IPSec를 통해 Beeline IPVPN에 접속하는 방법. 1 부

안녕하세요! 안에 이전 게시물 MultiSIM 서비스의 작업을 부분적으로 설명했습니다. 예약 и 균형을 맞추다 채널. 언급했듯이 우리는 VPN을 통해 클라이언트를 네트워크에 연결합니다. 오늘은 VPN과 이 부분의 기능에 대해 조금 더 설명하겠습니다.

통신 사업자로서 우리는 자체적으로 거대한 MPLS 네트워크를 보유하고 있다는 사실부터 시작하는 것이 좋습니다. 이 네트워크는 유선 고객을 위해 인터넷에 직접 액세스하는 데 사용되는 부분과 인터넷에 액세스하는 데 사용되는 부분의 두 가지 주요 부분으로 나뉩니다. 격리된 네트워크를 만드는 데 사용되며 기업 클라이언트에 대한 IPVPN(L3 OSI) 및 VPLAN(L2 OSI) 트래픽이 이 MPLS 세그먼트를 통해 흐릅니다.

일반적으로 클라이언트 연결은 다음과 같이 발생합니다.

네트워크의 가장 가까운 PoP(노드 MEN, RRL, BSSS, FTTB 등)에서 클라이언트 사무실까지 액세스 라인이 배치되고, 또한 채널이 전송 네트워크를 통해 해당 PE-MPLS에 등록됩니다. 클라이언트에 필요한 트래픽 프로필을 고려하여 VRF 클라이언트용으로 특별히 생성된 라우터로 출력합니다(IP 우선 순위 값 0,1,3,5을 기반으로 각 액세스 포트에 대해 프로필 레이블이 선택됨). XNUMX).

예를 들어, 어떤 이유로 고객의 라스트 마일을 완전히 구성할 수 없는 경우, 예를 들어 고객의 사무실이 다른 제공업체가 우선순위인 비즈니스 센터에 있거나 단순히 근처에 지점이 없는 경우 이전 고객은 가장 비용 효율적인 아키텍처는 아니지만 다양한 제공업체에서 여러 IPVPN 네트워크를 생성하거나 인터넷을 통해 VRF에 대한 액세스를 구성하는 데 관련된 문제를 독립적으로 해결해야 했습니다.

많은 사람들이 IPVPN 인터넷 게이트웨이를 설치하여 이 작업을 수행했습니다. 경계 라우터(하드웨어 또는 일부 Linux 기반 솔루션)를 설치하고 IPVPN 채널을 한 포트에 연결하고 다른 포트에 인터넷 채널을 연결한 다음 VPN 서버를 시작하고 연결했습니다. 사용자는 자신의 VPN 게이트웨이를 통해 당연히 이러한 계획은 부담도 야기합니다. 이러한 인프라를 구축해야 하며, 가장 불편하게도 운영 및 개발해야 합니다.

클라이언트의 삶을 더 쉽게 만들기 위해 우리는 중앙 집중식 VPN 허브를 설치하고 IPSec를 사용하여 인터넷을 통한 연결 지원을 체계화했습니다. 즉, 이제 클라이언트는 공용 인터넷의 IPSec 터널을 통해 VPN 허브와 작동하도록 라우터를 구성하기만 하면 됩니다. , 이 클라이언트의 트래픽을 VRF로 릴리스하겠습니다.

누가 필요합니까

• 이미 대규모 IPVPN 네트워크를 보유하고 있으며 짧은 시간 내에 새로운 연결이 필요한 사용자를 위한 제품입니다.
• 어떤 이유로든 트래픽의 일부를 공용 인터넷에서 IPVPN으로 전송하고 싶지만 이전에 여러 서비스 제공업체와 관련된 기술적 제한에 직면했던 사람.
• 현재 여러 통신 사업자에 걸쳐 여러 개의 서로 다른 VPN 네트워크를 보유하고 있는 사용자를 위한 것입니다. Beeline, Megafon, Rostelecom 등의 IPVPN을 성공적으로 구성한 클라이언트가 있습니다. 더 쉽게 하기 위해 단일 VPN에만 머물면서 다른 운영자의 다른 모든 채널을 인터넷으로 전환한 다음 IPSec 및 해당 운영자의 인터넷을 통해 Beeline IPVPN에 연결할 수 있습니다.
• 이미 인터넷에 IPVPN 네트워크가 오버레이되어 있는 사용자를 위한 것입니다.

우리와 함께 모든 것을 배포하면 클라이언트는 본격적인 VPN 지원, 심각한 인프라 중복성 및 익숙한 모든 라우터에서 작동하는 표준 설정을 받게 됩니다(Cisco든 Mikrotik이든 가장 중요한 것은 제대로 지원할 수 있다는 것입니다) 표준화된 인증 방법을 갖춘 IPSec/IKEv2). 그건 그렇고, IPSec에 대해 - 지금은 지원만 하지만 클라이언트가 프로토콜에 의존할 수 없고 모든 것을 더 쉽게 가져오고 전송할 수 있도록 OpenVPN과 Wireguard의 본격적인 작업을 시작할 계획입니다. 또한 컴퓨터와 모바일 장치(OS, Cisco AnyConnect 및 StrongSwan 등에 내장된 솔루션)에서 클라이언트 연결을 시작하려고 합니다. 이 접근 방식을 사용하면 CPE 또는 호스트 구성만 남기고 사실상 인프라 구축을 운영자에게 안전하게 전달할 수 있습니다.

IPSec 모드의 연결 프로세스는 어떻게 작동합니까?

1. 클라이언트는 관리자에게 필요한 연결 속도, 트래픽 프로필, 터널(기본적으로 /30 마스크가 있는 서브넷) 및 라우팅 유형(정적 또는 BGP)에 대한 IP 주소 지정 매개변수를 나타내는 요청을 남깁니다. 연결된 사무실에서 클라이언트의 로컬 네트워크로 경로를 전송하기 위해 클라이언트 라우터의 적절한 설정을 사용하여 IPSec 프로토콜 단계의 IKEv2 메커니즘을 사용하거나 클라이언트 애플리케이션에 지정된 개인 BGP AS의 MPLS에서 BGP를 통해 광고됩니다. . 따라서 클라이언트 네트워크의 경로에 대한 정보는 클라이언트 라우터의 설정을 통해 클라이언트에 의해 완전히 제어됩니다.
2. 관리자의 응답으로 고객은 VRF에 포함할 다음 형식의 회계 데이터를 받습니다.
   • VPN-허브 IP 주소
   • 로그인
   • 인증 비밀번호
3. 예를 들어 두 가지 기본 구성 옵션과 같이 CPE를 구성합니다.

   Cisco용 옵션:
   암호화 ikev2 키링 BeelineIPsec_keyring
   피어 Beeline_VPNHub
   62.141.99.183 주소 –VPN 허브 Beeline
   사전 공유 키 <인증 비밀번호>
   !
   정적 라우팅 옵션의 경우 Vpn-hub를 통해 액세스할 수 있는 네트워크에 대한 경로를 IKEv2 구성에서 지정할 수 있으며 CE 라우팅 테이블에 자동으로 정적 경로로 표시됩니다. 이러한 설정은 정적 경로를 설정하는 표준 방법을 사용하여 수행할 수도 있습니다(아래 참조).

   crypto ikev2 인증 정책 FlexClient-author

   CE 라우터 뒤의 네트워크로 라우팅 – CE와 PE 간의 정적 라우팅을 위한 필수 설정입니다. PE로의 경로 데이터 전송은 IKEv2 상호 작용을 통해 터널이 올라가면 자동으로 수행됩니다.

   경로 세트 원격 ipv4 10.1.1.0 255.255.255.0 –사무실 로컬 네트워크
   !
   암호화 ikev2 프로필 BeelineIPSec_profile
   ID 로컬 <로그인>
   인증 로컬 사전 공유
   인증 원격 사전 공유
   로컬 BeelineIPsec_keyring 키링
   aaa 인증 그룹 psk 목록 그룹-작성자 목록 FlexClient-작성자
   !
   암호화 ikev2 클라이언트 flexvpn BeelineIPsec_flex
   피어 1 Beeline_VPNHub
   클라이언트 연결 Tunnel1
   !
   암호화 IPsec 변환 세트 TRANSFORM1 esp-aes 256 esp-sha256-hmac
   모드 터널
   !
   암호화 IPsec 프로필 기본값
   변환 집합 TRANSFORM1 설정
   ikev2-프로필 BeelineIPSec_profile 설정
   !
   인터페이스 Tunnel1
   IP 주소 10.20.1.2 255.255.255.252 – 터널 주소
   터널 소스 GigabitEthernet0/2 – 인터넷 액세스 인터페이스
   터널 모드 ipsec ipv4
   터널 목적지 동적
   터널 보호 IPsec 프로필 기본값
   !
   Beeline VPN 집중 장치를 통해 액세스할 수 있는 클라이언트의 개인 네트워크에 대한 경로는 정적으로 설정할 수 있습니다.

   IP 경로 172.16.0.0 255.255.0.0 터널1
   IP 경로 192.168.0.0 255.255.255.0 터널1

   Huawei용 옵션(ar160/120):
   ike 로컬 이름 <로그인>
   #
   ACL 이름 ipsec 3999
   규칙 1 IP 소스 10.1.1.0 0.0.0.255 허용 –사무실 로컬 네트워크
   #
   AAA
   서비스 체계 IPSEC
   경로 세트 acl 3999
   #
   IPsec 제안 IPsec
   esp 인증 알고리즘 sha2-256
   esp 암호화 알고리즘 aes-256
   #
   ike 제안 기본값
   암호화 알고리즘 aes-256
   dh 그룹 2
   인증 알고리즘 sha2-256
   인증 방법 사전 공유
   무결성 알고리즘 hmac-sha2-256
   prf hmac-sha2-256
   #
   ike 피어 ipsec
   사전 공유 키 단순 <인증 비밀번호>
   로컬 ID 유형 fqdn
   원격 ID 유형 IP
   원격 주소 62.141.99.183 –VPN 허브 Beeline
   서비스 체계 IPSEC
   구성 교환 요청
   구성 교환 세트 수락
   구성 교환 세트 보내기
   #
   ipsec 프로필 ipsecprof
   ike-peer ipsec
   IPsec 제안
   #
   인터페이스 Tunnel0/0/0
   IP 주소 10.20.1.2 255.255.255.252 – 터널 주소
   터널 프로토콜 IPsec
   소스 GigabitEthernet0/0/1 – 인터넷 액세스 인터페이스
   ipsec 프로필 ipsecprof
   #
   Beeline VPN 집중 장치를 통해 액세스할 수 있는 클라이언트의 개인 네트워크에 대한 경로를 정적으로 설정할 수 있습니다.

   IP 경로 고정 192.168.0.0 255.255.255.0 Tunnel0/0/0
   IP 경로 고정 172.16.0.0 255.255.0.0 Tunnel0/0/0

결과 통신 다이어그램은 다음과 같습니다.

클라이언트가 기본 구성의 몇 가지 예를 갖고 있지 않은 경우 일반적으로 우리는 해당 구성을 구성하는 데 도움을 주고 다른 모든 사람이 사용할 수 있도록 합니다.

남은 것은 CPE를 인터넷에 연결하고 VPN 터널의 응답 부분과 VPN 내부의 모든 호스트에 핑을 보내는 것뿐입니다. 그러면 연결이 이루어진 것으로 가정할 수 있습니다.

다음 기사에서는 Huawei CPE를 사용하여 이 체계를 IPSec 및 MultiSIM Redundancy와 결합하는 방법에 대해 설명합니다. 유선 인터넷 채널뿐만 아니라 2개의 다른 SIM 카드와 CPE도 사용할 수 있는 클라이언트용 Huawei CPE를 설치합니다. 유선 WAN이나 무선(LTE#1/LTE#2)을 통해 IPSec 터널을 자동으로 재구축하여 결과 서비스의 높은 내결함성을 실현합니다.

이 기사를 준비해준 RnD 동료들에게 특별히 감사드립니다(실제로 이러한 기술 솔루션의 작성자에게도)!

출처 : habr.com