Carane njaluk menyang Beeline IPVPN liwat IPSec. Bagean 1

Hello! ING kirim sadurunge Aku njlèntrèhaké karya layanan MultiSIM kita ing bagean leladen и ngimbangi saluran. Kaya sing wis kasebut, kita nyambungake klien menyang jaringan liwat VPN, lan dina iki aku bakal ngandhani sampeyan babagan VPN lan kemampuan kita ing bagean iki.

Perlu diwiwiti kanthi kasunyatan manawa kita, minangka operator telekomunikasi, duwe jaringan MPLS sing gedhe banget, sing kanggo pelanggan saluran tetep dipérang dadi rong segmen utama - sing digunakake langsung kanggo ngakses Internet, lan sing digunakake kanggo nggawe jaringan terisolasi - lan liwat segmen MPLS iki, lalu lintas IPVPN (L3 OSI) lan VPLAN (L2 OSI) mili kanggo klien perusahaan.

Biasane, sambungan klien kedadeyan kaya ing ngisor iki.

Jalur akses dilebokake menyang kantor klien saka Titik Presensi sing paling cedhak ing jaringan (node ​​MEN, RRL, BSSS, FTTB, lsp.) Lan luwih, saluran kasebut didaftar liwat jaringan transportasi menyang PE-MPLS sing cocog router, sing kita output menyang klien VRF khusus, njupuk profil lalu lintas sing dibutuhake klien (label profil dipilih kanggo saben port akses, adhedhasar nilai precedence ip 0,1,3,5, XNUMX).

Yen sakperangan alesan, kita ora bisa kanthi lengkap ngatur mil pungkasan kanggo klien, contone, kantor klien dumunung ing pusat bisnis, ngendi panyedhiya liyane dadi prioritas, utawa kita mung ora duwe titik ngarsane kita, banjur sadurunge klien. kudu nggawe sawetara jaringan IPVPN ing panyedhiya sing beda-beda (dudu arsitektur paling larang regane) utawa kanthi mandiri ngrampungake masalah kanthi ngatur akses menyang VRF liwat Internet.

Akeh sing nindakake iki kanthi nginstal gateway Internet IPVPN - padha nginstal router tapel wates (perangkat keras utawa sawetara solusi berbasis Linux), nyambungake saluran IPVPN menyang port siji lan saluran Internet karo liyane, ngluncurake server VPN lan nyambungake. pangguna liwat gateway VPN dhewe. Mesthine, skema kasebut uga nggawe beban: infrastruktur kasebut kudu dibangun lan, sing paling ora trep, dioperasikake lan dikembangake.

Kanggo nggawe urip luwih gampang kanggo klien kita, kita nginstal hub VPN terpusat lan ngatur dhukungan kanggo sambungan liwat Internet nggunakake IPSec, yaiku, saiki klien mung kudu ngatur router supaya bisa digunakake karo hub VPN liwat trowongan IPSec liwat Internet umum. , lan kita Ayo ngeculake lalu lintas klien iki menyang VRF.

Sapa sing butuh

• Kanggo sing wis duwe jaringan IPVPN gedhe lan butuh sambungan anyar ing wektu sing cendhak.
• Sapa wae sing, sakperangan alesan, pengin nransfer bagean lalu lintas saka Internet umum menyang IPVPN, nanging sadurunge nemoni watesan teknis sing ana gandhengane karo sawetara panyedhiya layanan.
• Kanggo sing saiki duwe sawetara jaringan VPN sing beda ing operator telekomunikasi sing beda. Ana klien sing wis sukses ngatur IPVPN saka Beeline, Megafon, Rostelecom, lsp. Kanggo luwih gampang, sampeyan mung bisa tetep ing VPN siji, ngalih kabeh saluran operator liyane menyang Internet, banjur nyambung menyang Beeline IPVPN liwat IPSec lan Internet saka operator kasebut.
• Kanggo sing wis duwe jaringan IPVPN sing dilapis ing Internet.

Yen sampeyan nyebarake kabeh karo kita, banjur klien bakal nampa dhukungan VPN lengkap, redundansi infrastruktur serius, lan setelan standar sing bakal bisa digunakake ing router apa wae sing digunakake (apa Cisco, malah Mikrotik, sing utama yaiku bisa ndhukung kanthi bener. IPSec/IKEv2 kanthi metode otentikasi standar). Miturut cara, babagan IPSec - saiki kita mung ndhukung, nanging kita rencana kanggo miwiti operasi lengkap OpenVPN lan Wireguard, supaya klien ora bisa gumantung ing protokol lan malah luwih gampang kanggo njupuk lan nransfer kabeh kanggo kita. lan kita uga pengin miwiti nyambungake klien saka komputer lan piranti seluler (solusi dibangun ing OS, Cisco AnyConnect lan strongSwan lan kaya). Kanthi pendekatan iki, pambangunan de facto infrastruktur bisa dipasrahake kanthi aman menyang operator, mung ninggalake konfigurasi CPE utawa host.

Kepiye cara proses sambungan kanggo mode IPSec:

1. Klien ninggalake panjalukan marang manajer sing nuduhake kacepetan sambungan sing dibutuhake, profil lalu lintas lan paramèter alamat IP kanggo trowongan (kanthi standar, subnet kanthi topeng / 30) lan jinis rute (statis utawa BGP). Kanggo mindhah rute menyang jaringan lokal klien ing kantor sing disambungake, mekanisme IKEv2 saka fase protokol IPSec digunakake nggunakake setelan sing cocog ing router klien, utawa diiklanake liwat BGP ing MPLS saka BGP pribadi AS sing ditemtokake ing aplikasi klien. . Mangkono, informasi babagan rute jaringan klien rampung dikontrol dening klien liwat setelan router klien.
2. Nanggepi manajer, klien nampa data akuntansi kanggo dilebokake ing formulir VRF:
   • Alamat IP VPN-HUB
   • Login
   • Sandi otentikasi
3. Konfigurasi CPE, ing ngisor iki, contone, rong opsi konfigurasi dhasar:

   Pilihan kanggo Cisco:
   crypto ikev2 keyring BeelineIPsec_keyring
   peer Beeline_VPNHub
   alamat 62.141.99.183 - Hub VPN Beeline
   pre-shared-key <Sandhi otentikasi>
   !
   Kanggo opsi nuntun statis, rute menyang jaringan sing bisa diakses liwat Vpn-hub bisa ditemtokake ing konfigurasi IKEv2 lan bakal kanthi otomatis katon minangka rute statis ing tabel nuntun CE. Setelan iki uga bisa digawe nggunakake cara standar nyetel rute statis (ndeleng ngisor).

   kabijakan wewenang crypto ikev2 FlexClient-penulis

   Rute menyang jaringan ing mburi router CE - setelan wajib kanggo rute statis antarane CE lan PE. Transfer data rute menyang PE ditindakake kanthi otomatis nalika trowongan diunggahake liwat interaksi IKEv2.

   rute nyetel remot IPv4 10.1.1.0 255.255.255.0 - Jaringan lokal kantor
   !
   profil crypto ikev2 BeelineIPSec_profile
   identitas lokal <login>
   otentikasi lokal pre-share
   otentikasi remote pre-share
   keyring lokal BeelineIPsec_keyring
   aaa grup wewenang psk dhaptar grup-penulis-dhaftar FlexClient-penulis
   !
   klien crypto ikev2 flexvpn BeelineIPsec_flex
   peer 1 Beeline_VPNHub
   klien nyambung Tunnel1
   !
   crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
   modus trowongan
   !
   standar profil crypto ipsec
   atur transformasi-set TRANSFORMASI1
   nyetel ikev2-profil BeelineIPSec_profile
   !
   Antarmuka Tunnel1
   alamat ip 10.20.1.2 255.255.255.252 -Alamat trowongan
   sumber trowongan GigabitEthernet0/2 - Antarmuka akses Internet
   mode trowongan ipsec ipv4
   dinamis tujuan terowongan
   proteksi trowongan profil ipsec standar
   !
   Rute menyang jaringan pribadi klien sing bisa diakses liwat konsentrator VPN Beeline bisa disetel kanthi statis.

   ip route 172.16.0.0 255.255.0.0 Tunnel1
   ip route 192.168.0.0 255.255.255.0 Tunnel1

   Pilihan kanggo Huawei (ar160/120):
   jeneng lokal <login>
   #
   jeneng acl ipsec 3999
   aturan 1 idin sumber ip 10.1.1.0 0.0.0.255 - Jaringan lokal kantor
   #
   aaa
   layanan-skema IPSEC
   rute nyetel acl 3999
   #
   proposal ipsec ipsec
   esp otentikasi-algoritma sha2-256
   esp enkripsi-algoritma aes-256
   #
   standar proposal iki
   enkripsi-algoritma aes-256
   dh klompok2
   otentikasi-algoritma sha2-256
   otentikasi-metode pre-share
   integritas-algoritma hmac-sha2-256
   prf hmac-sha2-256
   #
   sebaya ipsec
   pra-shared-key prasaja <Sandhi otentikasi>
   lokal-id-jinis fqdn
   remote-id-type ip
   remot-alamat 62.141.99.183 - Hub VPN Beeline
   layanan-skema IPSEC
   config-exchange request
   config-exchange set nampa
   config-exchange set ngirim
   #
   profil ipsec ipsecprof
   ike-peer ipsec
   proposal ipsec
   #
   antarmuka Tunnel0/0/0
   alamat ip 10.20.1.2 255.255.255.252 -Alamat trowongan
   terowongan-protokol ipsec
   sumber GigabitEthernet0/0/1 - Antarmuka akses Internet
   profil ipsec ipsecprof
   #
   Rute menyang jaringan pribadi klien sing bisa diakses liwat konsentrator Beeline VPN bisa disetel kanthi statis

   ip route-statis 192.168.0.0 255.255.255.0 Tunnel0/0/0
   ip route-statis 172.16.0.0 255.255.0.0 Tunnel0/0/0

Diagram komunikasi sing diasilake katon kaya iki:

Yen klien ora duwe sawetara conto konfigurasi dhasar, banjur kita biasane bantuan karo tatanan lan kasedhiya kanggo wong liya.

Kabeh sing isih ana yaiku nyambungake CPE menyang Internet, ping menyang bagean respon saka trowongan VPN lan host apa wae sing ana ing njero VPN, lan iku, kita bisa nganggep yen sambungan wis digawe.

Ing artikel sabanjure kita bakal pitutur marang kowe carane kita gabungke skema iki karo IPSec lan MultiSIM Redundansi nggunakake Huawei CPE: kita nginstal Huawei CPE kanggo klien, kang bisa nggunakake ora mung saluran Internet kabel, nanging uga 2 kertu SIM beda, lan CPE kanthi otomatis mbangun IPSec- trowongan liwat WAN kabel utawa liwat radio (LTE # 1 / LTE # 2), sadhar toleransi fault dhuwur saka layanan asil.

Matur nuwun khusus kanggo kolega RnD kanggo nyiapake artikel iki (lan, nyatane, kanggo penulis solusi teknis kasebut)!

Source: www.habr.com