ProHoster > Блог > басқарма > IPSec арқылы Beeline IPVPN желісіне қалай жетуге болады. 1 бөлім

IPSec арқылы Beeline IPVPN желісіне қалай жетуге болады. 1 бөлім

Сәлеметсіз бе! IN алдыңғы пост Мен MultiSIM қызметіміздің жұмысын ішінара сипаттадым ескертпелер и теңгеру арналар. Жоғарыда айтылғандай, біз клиенттерді желіге VPN арқылы қосамыз және бүгін мен сізге VPN және осы бөлімдегі мүмкіндіктер туралы аздап айтып беремін.

Байланыс операторы ретінде бізде тіркелген желі тұтынушылары үшін екі негізгі сегментке бөлінген үлкен MPLS желісі бар - Интернетке тікелей кіру үшін пайдаланылатын және оқшауланған желілерді құру үшін пайдаланылады — және дәл осы MPLS сегменті арқылы IPVPN (L3 OSI) және VPLAN (L2 OSI) трафигі корпоративтік клиенттеріміз үшін жүреді.

IPSec арқылы Beeline IPVPN желісіне қалай жетуге болады. 1 бөлім
Әдетте, клиенттік қосылым келесідей болады.

Клиент кеңсесіне желінің жақын орналасқан нүктесінен (MEN, RRL, BSSS, FTTB және т.б. түйін) кіру желісі тартылады және одан әрі арна көлік желісі арқылы сәйкес PE-MPLS-ке тіркеледі Клиентке қажет трафик профилін ескере отырып, оны VRF клиенті үшін арнайы жасалған маршрутизаторға шығарамыз (профиль белгілері IP басымдылығы 0,1,3,5 мәндеріне негізделген әрбір кіру порты үшін таңдалады, XNUMX).

Егер қандай да бір себептермен біз клиент үшін соңғы мильді толық ұйымдастыра алмасақ, мысалы, клиенттің кеңсесі басқа провайдер басым болып табылатын бизнес-орталықта орналасса немесе біздің жақын жерде біздің қатысу нүктеміз болмаса, онда бұрын клиенттер әртүрлі провайдерлерде бірнеше IPVPN желілерін жасау керек болды (ең үнемді архитектура емес) немесе Интернет арқылы VRF-ге қол жеткізуді ұйымдастыру мәселелерін дербес шешуге тура келді.

Көбісі мұны IPVPN интернет шлюзін орнату арқылы жасады - олар шекаралық маршрутизаторды (аппараттық құрал немесе кейбір Linux негізіндегі шешім) орнатты, оған IPVPN арнасын бір портпен және Интернет арнасын екіншісімен қосты, оған VPN серверін іске қосты және қосылды. пайдаланушылар өздерінің VPN шлюзі арқылы. Әрине, мұндай схема ауыртпалықтарды тудырады: мұндай инфрақұрылым салынуы керек және, ең ыңғайсызы, жұмыс істеуі және дамуы керек.

Клиенттеріміздің өмірін жеңілдету үшін біз орталықтандырылған VPN хабын орнаттық және IPSec арқылы Интернет арқылы қосылымдарға қолдау ұйымдастырдық, яғни енді клиенттерге кез келген жалпыға ортақ Интернет арқылы IPSec туннелі арқылы біздің VPN хабымызбен жұмыс істеу үшін өз маршрутизаторын конфигурациялау қажет. , және біз осы клиенттің трафигін оның VRF-ге жіберейік.

Кімге керек болады

  • Үлкен IPVPN желісі бар және қысқа уақыт ішінде жаңа қосылымдарды қажет ететіндер үшін.
  • Қандай да бір себептермен трафиктің бір бөлігін жалпыға ортақ Интернеттен IPVPN-ге ауыстырғысы келетін, бірақ бұрын бірнеше қызмет провайдерлерімен байланысты техникалық шектеулерге тап болған кез келген.
  • Қазіргі уақытта әртүрлі байланыс операторларында бірнеше бөлек VPN желілері бар адамдар үшін. Beeline, Megafon, Rostelecom және т.б.-дан IPVPN-ді сәтті ұйымдастырған клиенттер бар. Оны жеңілдету үшін сіз тек біздің жалғыз VPN-де қалып, басқа операторлардың барлық басқа арналарын Интернетке ауыстыра аласыз, содан кейін IPSec және осы операторлардан Интернет арқылы Beeline IPVPN желісіне қосыла аласыз.
  • Интернетте IPVPN желісі бар адамдар үшін.

Егер сіз бәрін бізбен бірге орналастырсаңыз, онда клиенттер толыққанды VPN қолдауын, күрделі инфрақұрылымды резервтеуді және олар үйреніп қалған кез келген маршрутизаторда жұмыс істейтін стандартты параметрлерді алады (мейлі ол Cisco, тіпті Mikrotik болсын, бастысы ол дұрыс қолдау көрсете алады. IPSec/IKEv2 стандартталған аутентификация әдістерімен). Айтпақшы, IPSec туралы - дәл қазір біз оны қолдаймыз, бірақ біз OpenVPN және Wireguard екеуінің де толыққанды жұмысын іске қосуды жоспарлап отырмыз, осылайша клиенттер хаттамаға тәуелді болмайды және бәрін бізге қабылдау және беру оңайырақ, және де біз клиенттерді компьютерлер мен мобильді құрылғылардан қосуды бастағымыз келеді (ОС жүйесіне енгізілген шешімдер, Cisco AnyConnect және strongSwan және т.б.). Бұл тәсілмен инфрақұрылымның іс жүзінде құрылысын CPE немесе хост конфигурациясын ғана қалдырып, операторға қауіпсіз түрде беруге болады.

IPSec режимі үшін қосылу процесі қалай жұмыс істейді:

  1. Клиент өз менеджеріне сұраныс қалдырады, онда ол қажетті қосылым жылдамдығын, трафик профилін және туннель үшін IP мекенжайының параметрлерін (әдепкі бойынша, /30 маскасы бар ішкі желі) және маршруттау түрін (статикалық немесе BGP) көрсетеді. Маршруттарды қосылған кеңседе клиенттің жергілікті желілеріне тасымалдау үшін IPSec хаттама фазасының IKEv2 механизмдері клиенттік маршрутизатордағы сәйкес параметрлерді пайдалана отырып пайдаланылады немесе олар клиенттің қосымшасында көрсетілген жеке BGP AS-тен MPLS ішіндегі BGP арқылы жарнамаланады. . Осылайша, клиенттік желілердің маршруттары туралы ақпаратты клиенттік маршрутизатордың параметрлері арқылы клиент толығымен басқарады.
  2. Менеджерінен жауап ретінде клиент өзінің VRF нысанына қосу үшін есеп деректерін алады:
    • VPN-HUB IP мекенжайы
    • Логин
    • Аутентификация құпия сөзі
  3. Төменде CPE конфигурациялайды, мысалы, екі негізгі конфигурация опциясы:

    Cisco опциясы:
    криптографиялық ikev2 кілттік желісі BeelineIPsec_keyring
    тең Beeline_VPNHub
    62.141.99.183 мекенжайы – Beeline VPN хабы
    алдын ала ортақ кілт <Аутентификация құпия сөзі>
    !
    Статикалық маршруттау опциясы үшін Vpn-хабы арқылы қолжетімді желілерге маршруттар IKEv2 конфигурациясында көрсетілуі мүмкін және олар CE маршруттау кестесінде автоматты түрде статикалық маршруттар ретінде пайда болады. Бұл параметрлерді статикалық маршруттарды орнатудың стандартты әдісі арқылы да жасауға болады (төменде қараңыз).

    крипто ikev2 авторизация саясаты FlexClient-автор

    CE маршрутизаторының артындағы желілерге бағыт – CE және PE арасындағы статикалық маршруттау үшін міндетті параметр. Бағыт деректерін PE-ге беру туннель IKEv2 өзара әрекеттесу арқылы көтерілген кезде автоматты түрде жүзеге асырылады.

    маршрут орнату қашықтағы ipv4 10.1.1.0 255.255.255.0 – Офистік жергілікті желі
    !
    крипто ikev2 профилі BeelineIPSec_profile
    жергілікті сәйкестендіру <логин>
    аутентификация жергілікті алдын ала бөлісу
    аутентификацияны қашықтан алдын ала бөлісу
    жергілікті BeelineIPsec_keyring кілттері
    aaa авторизация тобы psk тізімі тобы-автор-тізімі FlexClient-автор
    !
    крипто ikev2 клиент flexvpn BeelineIPsec_flex
    тең 1 Beeline_VPNHub
    клиент қосылу Tunnel1
    !
    крипто ipsec түрлендіру жиыны TRANSFORM1 esp-aes 256 esp-sha256-hmac
    режим туннелі
    !
    crypto ipsec профилінің әдепкі мәні
    TRANSFORM1 түрлендіру жиынын орнату
    ikev2-профилін BeelineIPSec_profile орнатыңыз
    !
    интерфейс туннель1
    IP мекенжайы 10.20.1.2 255.255.255.252 – Туннель мекенжайы
    туннель көзі GigabitEthernet0/2 – Интернетке кіру интерфейсі
    туннель режимі ipsec ipv4
    туннельді тағайындау динамикасы
    туннельді қорғау ipsec профилінің әдепкі
    !
    Beeline VPN концентраторы арқылы қол жетімді клиенттің жеке желілеріне арналған маршруттар статикалық түрде орнатылуы мүмкін.

    ip маршруты 172.16.0.0 255.255.0.0 туннель1
    ip маршруты 192.168.0.0 255.255.255.0 туннель1

    Huawei (ar160/120) опциясы:
    ike жергілікті атауы <логин>
    #
    acl атауы ipsec 3999
    ереже 1 рұқсат IP көзі 10.1.1.0 0.0.0.255 – Офистік жергілікті желі
    #
    AAA
    IPSEC қызмет көрсету схемасы
    маршруттар жиынтығы acl 3999
    #
    ipsec ұсынысы ipsec
    esp аутентификация-алгоритм sha2-256
    esp шифрлау-алгоритмі aes-256
    #
    әдепкі ұсыныс
    aes-256 шифрлау-алгоритмі
    dh тобы2
    аутентификация-алгоритм sha2-256
    аутентификация әдісі алдын ала бөлісу
    тұтастық алгоритмі hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    алдын ала ортақ кілт қарапайым <Аутентификация құпия сөзі>
    жергілікті идентификатор түріндегі fqdn
    қашықтағы идентификатор түріндегі IP
    қашықтағы мекенжайы 62.141.99.183 – Beeline VPN хабы
    IPSEC қызмет көрсету схемасы
    config-exchange сұрауы
    config-exchange жиынтығын қабылдайды
    config-exchange жиынын жіберу
    #
    ipsec профилі ipsecprof
    ike-peer ipsec
    ұсыныс ipsec
    #
    интерфейс Tunnel0/0/0
    IP мекенжайы 10.20.1.2 255.255.255.252 – Туннель мекенжайы
    туннель-протокол ipsec
    көзі GigabitEthernet0/0/1 – Интернетке кіру интерфейсі
    ipsec профилі ipsecprof
    #
    Beeline VPN концентраторы арқылы қол жетімді клиенттің жеке желілеріне маршруттар статикалық түрде орнатылуы мүмкін.

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Алынған байланыс диаграммасы келесідей көрінеді:

IPSec арқылы Beeline IPVPN желісіне қалай жетуге болады. 1 бөлім

Егер клиентте негізгі конфигурацияның кейбір мысалдары болмаса, біз әдетте оларды қалыптастыруға көмектесеміз және оларды басқаларға қолжетімді етеміз.

CPE-ді Интернетке қосу, VPN туннелінің жауап бөлігіне және VPN ішіндегі кез келген хостқа пинг жіберу ғана қалды, және біз қосылым жасалды деп болжауға болады.

Келесі мақалада біз Huawei CPE көмегімен осы схеманы IPSec және MultiSIM Redundancy көмегімен қалай біріктіргенімізді айтамыз: біз сымды интернет арнасын ғана емес, сонымен қатар 2 түрлі SIM картасын және CPE картасын пайдалана алатын клиенттерге арналған Huawei CPE орнатамыз. IPSec-туннельді сымды WAN арқылы немесе радио арқылы (LTE#1/LTE#2) автоматты түрде қайта құрастырады, нәтижесінде алынған қызметтің жоғары ақауларға төзімділігін жүзеге асырады.

Осы мақаланы дайындаған RnD әріптестерімізге (және шын мәнінде осы техникалық шешімдердің авторларына) ерекше алғыс айтамыз!

Ақпарат көзі: www.habr.com

пікір қалдыру