ProHoster > Blog > Adminisztráció > Hogyan juthatunk el a Beeline IPVPN-hez IPSec-en keresztül. 1. rész

Hogyan juthatunk el a Beeline IPVPN-hez IPSec-en keresztül. 1. rész

Helló! BAN BEN előző poszt MultiSIM szolgáltatásunk működését részben ismertettem fenntartások и egyensúlyozás csatornák. Amint már említettük, VPN-en keresztül kapcsoljuk a klienseket a hálózathoz, és ma ebben a részben egy kicsit többet mesélek a VPN-ről és a képességeinkről.

Érdemes azzal kezdeni, hogy távközlési szolgáltatóként saját hatalmas MPLS-hálózattal rendelkezünk, amely a vezetékes ügyfelek számára két fő szegmensre oszlik - a közvetlenül internetezésre használt és a elszigetelt hálózatok létrehozására használják – és ezen az MPLS szegmensen keresztül folyik az IPVPN (L3 OSI) és VPLAN (L2 OSI) forgalom vállalati ügyfeleink számára.

Hogyan juthatunk el a Beeline IPVPN-hez IPSec-en keresztül. 1. rész
Az ügyfélkapcsolat általában a következőképpen történik.

A hálózat legközelebbi jelenléti pontjáról (csomópont MEN, RRL, BSSS, FTTB stb.) egy hozzáférési vonalat fektetnek le az ügyfél irodájába, majd a csatornát a szállítási hálózaton keresztül regisztrálják a megfelelő PE-MPLS-hez. router, amelyen kiadjuk egy speciálisan a VRF kliens számára létrehozott forgalmi profilra, figyelembe véve a kliens számára szükséges forgalmi profilt (a profilcímkéket minden hozzáférési porthoz kiválasztjuk, az IP-preferencia értéke 0,1,3,5 alapján, XNUMX).

Ha valamilyen oknál fogva nem tudjuk maradéktalanul megszervezni az ügyfél számára az utolsó mérföldet, például az ügyfél irodája egy üzleti központban található, ahol egy másik szolgáltató prioritást élvez, vagy egyszerűen nincs a közelben jelenléti pontunk, akkor a korábbi ügyfelek több IPVPN-hálózatot kellett létrehoznia különböző szolgáltatóknál (nem a legköltséghatékonyabb architektúra), vagy önállóan kellett megoldania a VRF-hez való interneten keresztüli hozzáférés megszervezésével kapcsolatos problémákat.

Sokan ezt úgy tették, hogy telepítettek egy IPVPN internetes átjárót - telepítettek egy border routert (hardver vagy valamilyen Linux alapú megoldás), az egyik porttal IPVPN csatornát, a másikkal internetes csatornát csatlakoztattak hozzá, elindították rajta a VPN szerverüket és csatlakoztak. felhasználók saját VPN-átjárójukon keresztül. Egy ilyen rendszer természetesen terheket is jelent: ilyen infrastruktúrát kell kiépíteni, és ami a legkényelmetlenebb, azt üzemeltetni és fejleszteni kell.

Ügyfeleink életének megkönnyítése érdekében központosított VPN-központot telepítettünk, és megszerveztük az IPSec-en keresztüli internetes kapcsolatok támogatását, vagyis az ügyfeleknek most már csak be kell állítaniuk útválasztójukat, hogy a VPN-központunkkal egy IPSec-alagúton keresztül, bármely nyilvános interneten keresztül működjenek. , és engedjük fel ennek az ügyfélnek a forgalmát a VRF-re.

Kinek lesz szüksége

  • Azoknak, akik már rendelkeznek nagy IPVPN hálózattal és rövid időn belül új kapcsolatokra van szükségük.
  • Bárki, aki valamilyen okból a nyilvános internetről a forgalom egy részét át akarja vinni az IPVPN-re, de korábban több szolgáltatónál is technikai korlátokba ütközött.
  • Azok számára, akik jelenleg több különböző VPN-hálózattal rendelkeznek a különböző távközlési szolgáltatók között. Vannak olyan ügyfelek, akik sikeresen megszervezték az IPVPN-t a Beeline, a Megafon, a Rostelecom stb. A könnyebbé tétel érdekében maradhat csak a mi egyetlen VPN-ünknél, átkapcsolhatja más szolgáltatók összes többi csatornáját az internetre, majd csatlakozhat a Beeline IPVPN-hez az IPSec-en és az interneten keresztül ezektől a szolgáltatóktól.
  • Azoknak, akik már rendelkeznek IPVPN-hálózattal az interneten.

Ha mindent nálunk telepítesz, akkor a kliensek teljes körű VPN támogatást, komoly infrastruktúra redundanciát és szabványos beállításokat kapnak, amelyek minden tőlük megszokott routeren működnek (legyen az Cisco, akár Mikrotik, a lényeg, hogy megfelelően tudja támogatni IPSec/IKEv2 szabványos hitelesítési módszerekkel). Egyébként az IPSec-ről - jelenleg csak azt támogatjuk, de tervezzük az OpenVPN és a Wireguard teljes körű működését is, hogy a kliensek ne függhessenek a protokolltól, és még könnyebb legyen mindent átvenni és átadni nekünk, valamint el akarjuk kezdeni a kliensek összekapcsolását számítógépekről és mobileszközökről (OS-be épített megoldások, Cisco AnyConnect és strongSwan és hasonlók). Ezzel a megközelítéssel az infrastruktúra de facto kiépítése biztonságosan átadható az üzemeltetőnek, csak a CPE vagy a gazdagép konfigurációja marad meg.

Hogyan működik a csatlakozási folyamat IPSec módban:

  1. A kliens kérést hagy a menedzsernek, amelyben megadja a szükséges kapcsolati sebességet, forgalmi profilt és az alagút IP-címzési paramétereit (alapértelmezés szerint /30 maszkkal rendelkező alhálózat), valamint az útválasztás típusát (statikus vagy BGP). Az útvonalak átviteléhez a kliens helyi hálózataiba a csatlakoztatott irodában az IPSec protokoll fázis IKEv2 mechanizmusait használják a kliens útválasztó megfelelő beállításaival, vagy BGP-n keresztül hirdetik MPLS-ben az ügyfél alkalmazásában megadott privát BGP AS-ből. . Így a klienshálózatok útvonalaira vonatkozó információkat teljes mértékben a kliens vezérli a kliens útválasztó beállításain keresztül.
  2. Vezetőjétől válaszul az ügyfél számviteli adatokat kap az űrlap VRF-jébe való felvételhez:
    • VPN-HUB IP-cím
    • Bejelentkezés
    • Hitelesítési jelszó
  3. Konfigurálja a CPE-t, például két alapvető konfigurációs lehetőséget:

    Lehetőség Cisco számára:
    crypto ikev2 kulcstartó BeelineIPsec_keyring
    peer Beeline_VPNHub
    cím 62.141.99.183 – Beeline VPN hub
    pre-shared-key <Hitelesítési jelszó>
    !
    A statikus útválasztási opciónál a Vpn-hubon keresztül elérhető hálózatokhoz vezető útvonalak megadhatók az IKEv2 konfigurációjában, és ezek automatikusan statikus útvonalként jelennek meg a CE útválasztási táblázatban. Ezeket a beállításokat a statikus útvonalak beállításának standard módszerével is elvégezheti (lásd alább).

    crypto ikev2 engedélyezési szabályzat FlexClient-author

    Útvonal a CE útválasztó mögötti hálózatokhoz – kötelező beállítás a CE és PE ​​közötti statikus útválasztáshoz. Az útvonaladatok átvitele a PE-hez automatikusan megtörténik, amikor az alagút IKEv2 interakció révén megemelkedik.

    útvonal beállítása távoli ipv4 10.1.1.0 255.255.255.0 – Irodai helyi hálózat
    !
    crypto ikev2 profil BeelineIPSec_profile
    identitás helyi <bejelentkezés>
    hitelesítés helyi előre megosztás
    hitelesítés távoli előmegosztás
    kulcstartó helyi BeelineIPsec_keyring
    aaa jogosultsági csoport psk list group-author-list FlexClient-author
    !
    crypto ikev2 kliens flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    ügyfélcsatlakozás Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    módus alagút
    !
    crypto ipsec profil alapértelmezett
    set transform-set TRANSFORM1
    állítsa be az ikev2-profile BeelineIPSec_profile-t
    !
    interfész Tunnel1
    IP cím 10.20.1.2 255.255.255.252 – Az alagút címe
    alagútforrás GigabitEthernet0/2 – Internet hozzáférési felület
    alagút mód ipsec ipv4
    alagút cél dinamikus
    alagútvédelem ipsec profil alapértelmezett
    !
    A Beeline VPN-koncentrátoron keresztül elérhető útvonalak az ügyfél magánhálózataihoz statikusan beállíthatók.

    ip útvonal 172.16.0.0 255.255.0.0 Tunnel1
    ip útvonal 192.168.0.0 255.255.255.0 Tunnel1

    Opció Huaweihez (ar160/120):
    mint a helyi név <bejelentkezés>
    #
    acl név ipsec 3999
    1. szabály ip-forrás engedélyezése 10.1.1.0 0.0.0.255 – Irodai helyi hálózat
    #
    aaa
    IPSEC szolgáltatási rendszer
    útvonalkészlet acl 3999
    #
    ipsec javaslat ipsec
    esp hitelesítési algoritmus sha2-256
    esp titkosítási algoritmus aes-256
    #
    ike javaslat alapértelmezett
    titkosítási algoritmus aes-256
    dh csoport2
    hitelesítési algoritmus sha2-256
    hitelesítési módszer előre megosztás
    integritás-algoritmus hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    előre megosztott kulcsú egyszerű <Hitelesítési jelszó>
    local-id-type fqdn
    remote-id-type ip
    távoli cím 62.141.99.183 – Beeline VPN hub
    IPSEC szolgáltatási rendszer
    konfigurációcsere kérés
    config-Exchange set elfogadja
    config-Exchange set küld
    #
    ipsec profil ipsecprof
    ike-peer ipsec
    javaslat ipsec
    #
    interfész Tunnel0/0/0
    IP cím 10.20.1.2 255.255.255.252 – Az alagút címe
    tunnel-protocol ipsec
    forrás GigabitEthernet0/0/1 – Internet hozzáférési felület
    ipsec profil ipsecprof
    #
    A Beeline VPN-koncentrátoron keresztül elérhető útvonalak az ügyfél magánhálózataihoz statikusan beállíthatók

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

A kapott kommunikációs diagram valahogy így néz ki:

Hogyan juthatunk el a Beeline IPVPN-hez IPSec-en keresztül. 1. rész

Ha az ügyfélnek nincs néhány példája az alapkonfigurációra, akkor általában segítünk azok kialakításában, és mindenki számára elérhetővé tesszük.

Már csak a CPE-t kell csatlakoztatni az internethez, pingelni a VPN-alagút válaszrészét és a VPN-en belüli bármely gazdagépet, és ennyi, feltételezhetjük, hogy a kapcsolat létrejött.

A következő cikkben elmondjuk, hogyan kombináltuk ezt a sémát az IPSec és MultiSIM redundanciával a Huawei CPE használatával: az ügyfelek számára telepítjük a Huawei CPE-nket, amely nem csak vezetékes internetes csatornát, hanem 2 különböző SIM-kártyát és a CPE-t is használhat. automatikusan újraépíti az IPSec-alagutat vezetékes WAN-on vagy rádión keresztül (LTE#1/LTE#2), megvalósítva az eredményül kapott szolgáltatás magas hibatűrését.

Külön köszönet az RnD munkatársainknak a cikk elkészítéséért (és tulajdonképpen a technikai megoldások szerzőinek)!

Forrás: will.com

Hozzászólás