ProHoster > Blog > Rêveberî > Meriv çawa bi IPSec-ê ve diçe Beeline IPVPN. Beş 1

Meriv çawa bi IPSec-ê ve diçe Beeline IPVPN. Beş 1

Slav! LI posta berê Min karûbarê karûbarê meya MultiSIM-ê bi beşek vegot veqetandinê и hevsengî kanalên. Wekî ku hate gotin, em xerîdaran bi navgîniya VPN ve bi torê ve girêdidin, û îro ez ê di vê beşê de li ser VPN û kapasîteyên me hinekî bêtir ji we re vebêjim.

Hêjayî gotinê ye ku em, wekî operatorek telekomê, tora xweya MPLS ya mezin heye, ku ji bo xerîdarên xeta sabît li du beşên sereke têne dabeş kirin - ya ku rasterast ji bo gihîştina Înternetê tê bikar anîn, û ya ku ji bo afirandina torên veqetandî têne bikar anîn - û bi vê beşa MPLS ve ye ku IPVPN (L3 OSI) û VPLAN (L2 OSI) ji bo xerîdarên me yên pargîdanî diherike.

Meriv çawa bi IPSec-ê ve diçe Beeline IPVPN. Beş 1
Bi gelemperî, pêwendiyek xerîdar wekî jêrîn pêk tê.

Xetek gihîştinê ji niqteya Hebûna torê ya herî nêzîk (node ​​MEN, RRL, BSSS, FTTB, hwd.) ji nivîsgeha xerîdar re tê danîn û bêtir, kanal bi navgîniya tora veguheztinê berbi PE-MPLS-a têkildar ve tê tomar kirin. router, ku em li ser wê derdixînin ku bi taybetî ji bo xerîdar VRF hatî afirandin, profîla seyrûseferê ya ku muwekîlê hewce dike dihesibîne (etîketên profîlê ji bo her porta gihîştinê têne hilbijartin, li ser bingeha nirxên pêşîn ên ip-ê 0,1,3,5, XNUMX).

Ger ji ber hin sedeman em nekarin mîliya paşîn ji bo xerîdar bi tevahî organîze bikin, mînakî, ofîsa xerîdar li navendek karsaziyê ye, ku li wir peydakerek din pêşînek e, an jî em bi tenê xala hebûna xwe li nêzik nînin, wê hingê xerîdarên berê neçar bû ku çend torên IPVPN li pêşkêşkerên cihêreng biafirîne (ne mîmariya herî lêçûn) an jî bi serbixwe pirsgirêkên bi rêxistinkirina gihîştina VRF-ya xwe li ser Înternetê çareser bike.

Piran ev yek bi sazkirina dergehek Internetnternetê IPVPN-ê kir - wan rêwerek sînor saz kirin (hardware an hin çareseriyek Linux-ê), kanalek IPVPN bi yek portê re û kanalek Înternetê bi ya din ve girêda, servera xwe ya VPN li ser wê dan destpêkirin û girêdan. bikarhêner bi riya deriyê VPN-a xwe. Bi xwezayî, nexşeyek wusa barê çê dibe: Divê binesaziyek wusa were avakirin û, bi piranî, xebitandin û pêşve xistin.

Ji bo ku jiyan ji xerîdarên xwe re hêsantir bike, me navendek VPN-ya navendî saz kir û ji bo girêdanên li ser Înternetê bi karanîna IPSec-ê piştgirî organîze kir, ango, naha xerîdar tenê hewce ne ku routerê xwe mîheng bikin da ku bi navgîniya meya VPN-ê re bi navgînek tunelek IPSec-ê li ser her Internetnternetê gelemperî bixebitin. , û em dihêlin em vê seyrûsefera muwekîlê xwe ji VRF-ê xwe berdidin.

Kî dê hewce bike

  • Ji bo kesên ku berê xwe didin torê IPVPN-ê mezin û hewceyê têkiliyên nû di demek kurt de.
  • Her kesê ku, ji ber hin sedeman, dixwaze beşek ji seyrûsefera ji Internetnterneta giştî veguhezîne IPVPN, lê berê rastî tixûbên teknîkî yên ku bi gelek pêşkêşkerên karûbarê ve girêdayî ne.
  • Ji bo kesên ku niha di nav operatorên telekomê yên cihêreng de çend torên VPN yên cihêreng hene. Xerîdarên ku bi serfirazî IPVPN ji Beeline, Megafon, Rostelecom, hwd organîze kirine hene. Ji bo ku hûn hêsantir bikin, hûn dikarin tenê li ser VPN-ya meya yekane bimînin, hemî kanalên din ên operatorên din biguhezînin Înternetê, û dûv re bi rêya IPSec û Înternetê ji van operatoran bi Beeline IPVPN-ê ve girêbidin.
  • Ji bo kesên ku berê xwedan torgilokek IPVPN-ya ku li ser Înternetê hatî dorpêç kirin.

Ger hûn her tiştî bi me re bicîh bikin, wê hingê xerîdar piştgirîya VPN ya bêkêmasî, zêdebûnek binesaziya ciddî, ​​û mîhengên standard ên ku dê li ser her routerê ku ew jê re bikar bînin bixebitin (Cisco be, tewra Mikrotik be jî, ya sereke ev e ku ew dikare bi rêkûpêk piştgirî bike IPSec / IKEv2 bi rêbazên pejirandina standardkirî). Bi awayê, di derbarê IPSec de - naha em tenê wê piştgirî dikin, lê em plan dikin ku hem OpenVPN û hem jî Wireguard dest bi operasyona bêkêmasî bikin, da ku xerîdar nikaribin bi protokolê ve girêdayî bin û hîn hêsantir e ku meriv her tiştî ji me re bigire û veguhezîne, û em her weha dixwazin dest bi girêdana xerîdaran ji komputer û cîhazên mobîl bikin (çareseriyên ku di OS-ê de hatine çêkirin, Cisco AnyConnect û strongSwan û yên wekî wan). Bi vê nêzîkbûnê re, avakirina de facto ya binesaziyê dikare bi ewlehî radestî operatorê were kirin, tenê veavakirina CPE an mêvandar bimîne.

Pêvajoya girêdanê ji bo moda IPSec çawa dixebite:

  1. Xerîdar daxwazek ji rêveberê xwe re dihêle ku tê de ew leza pêwendiyê, profîla seyrûseferê û pîvanên navnîşana IP-yê ji bo tunelê (bi xwerû, jêrtorek bi maskek /30) û celebê rêvekirinê (statîk an BGP) destnîşan dike. Ji bo veguheztina rêwiyan li torên herêmî yên xerîdar li nivîsgeha girêdayî, mekanîzmayên IKEv2 yên qonaxa protokola IPSec bi karanîna mîhengên guncan ên li ser routerê xerîdar têne bikar anîn, an jî ew bi BGP-ê di MPLS-ê de ji BGP AS-ya taybet a ku di serîlêdana xerîdar de hatî destnîşan kirin têne reklam kirin. . Bi vî rengî, di derheqê rêgezên tora muwekîlê de bi tevahî ji hêla mişterî ve tê kontrolkirin bi navgîniya mîhengên routerê xerîdar.
  2. Di bersiva ji rêveberê xwe de, xerîdar daneyên hesabê ji bo tevlêbûnê di forma VRF ya wî de digire:
    • Navnîşana IP-ya VPN-HUB
    • Login
    • Şîfreya erêkirinê
  3. Mînakî, du vebijarkên veavakirina bingehîn, li jêr, CPE mîheng dike:

    Vebijêrk ji bo Cisco:
    crypto ikev2 keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    navnîşan 62.141.99.183 -VPN navenda Beeline
    Pêş-Shared-Key Passwordîfreya Nasname>
    !
    Ji bo vebijarka rêveçûna statîk, rêyên berbi torên ku bi navgîniya Vpn-hub ve têne gihîştin dikarin di veavakirina IKEv2 de bêne diyar kirin û ew ê bixweber wekî rêyên statîk di tabloya rêveçûna CE de xuya bibin. Van mîhengan jî dikarin bi karanîna rêbaza standard a sazkirina rêçikên statîk (li jêr binêrin) bikar bînin.

    Siyaseta destûrnameyê ya krîpto ikev2 FlexClient-nivîskar

    Rêya berbi torên li pişt routerê CE - mîhengek mecbûrî ji bo rêvekirina statîk di navbera CE û PE de. Veguheztina daneyên rêwîtiyê ji PE-ê re dema ku tunel bi navgîniya danûstendina IKEv2 bilind dibe bixweber tête kirin.

    set route dûr ipv4 10.1.1.0 255.255.255.0 -Tora herêmî ya ofîsê
    !
    Crypto ikev2 Profile Beelineipsec_profile
    nasnameya herêmî
    authentication herêmî pre-parvekirina
    Nasname ji dûr ve parvekirina dûr
    keyring herêmî BeelineIPsec_keyring
    aaa koma destûrnameyê navnîşa psk koma-nivîskar-lîsteya FlexClient-nivîskar
    !
    muwekîlê krîpto ikev2 flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    muwekîlê girêdana Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tunela modê
    !
    Profîla Crypto IPSEC default
    Transformasyona veguherîn-set set
    set ikev2-profile BeelineIPSec_profile
    !
    navber Tunnel1
    navnîşana ip 10.20.1.2 255.255.255.252 - Navnîşana tunelê
    çavkaniya tunelê GigabitEthernet0/2 -Ti têkiliya gihîştina înternetê
    moda tunelê ipsec ipv4
    Dentation Tunnel Dynamic
    parastina tunelê profîla ipsec default
    !
    Rêwiyên berbi torên taybet ên xerîdar ên ku bi navgîniya koncentratora Beeline VPN ve têne gihîştin dikarin bi statîkî bêne danîn.

    ip route 172.16.0.0 255.255.0.0 Tunnel1
    ip route 192.168.0.0 255.255.255.0 Tunnel1

    Vebijêrk ji bo Huawei (AR160 / 120):
    wekî navê herêmî
    #
    navê acl ipsec 3999
    qayde 1 destûrê ip source 10.1.1.0 0.0.0.255 -Tora herêmî ya ofîsê
    #
    aaa
    xizmeta-plana IPSEC
    set route acl 3999
    #
    ipsec pêşniyar ipsec
    esp authentication-algorithm sha2-256
    esp şîfrekirin-algorîtma aes-256
    #
    ike pêşniyara default
    Enryptionêkirin-Algorithm Aes-256
    dh koma2
    Authentication-Algorithm Sha2-256
    Nasname-Method Pêş-Share
    yekitî-algorîtma hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    Passwordîfreya Passwordîfreya Simple ya Pêş-Shared-Keyandî>
    herêmî-id-type fqdn
    dûr-id-type ip
    Navnîşana dûr 62.141.99.183 -VPN navenda Beeline
    xizmeta-plana IPSEC
    daxwaza config-exchange
    Setpig-Exchange Set qebûl bikin
    mîheng-veguhertina set şandin
    #
    profîla ipsec ipsecprof
    ike-peer ipsec
    pêşniyar ipsec
    #
    interface Tunnel0/0/0
    navnîşana ip 10.20.1.2 255.255.255.252 - Navnîşana tunelê
    tunnel-protokola ipsec
    Source Gigabithernetnet0 / 0/1 -Ti têkiliya gihîştina înternetê
    profîla ipsec ipsecprof
    #
    Rêwîtiyên ji tora taybet a xerîdar re gihîştina bi kîtekîta VPN ya Beeline re dikare bi statîkî were danîn

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Diagrama pêwendiyê ya encam de tiştek weha xuya dike:

Meriv çawa bi IPSec-ê ve diçe Beeline IPVPN. Beş 1

Ger xerîdar hin mînakên veavakirina bingehîn tune be, wê hingê em bi gelemperî di avakirina wan de dibin alîkar û wan ji her kesê din re peyda dikin.

Tiştê ku dimîne ev e ku CPE bi Înternetê ve girêbide, ping bi beşa bersivê ya tunela VPN û her mêvandarek di hundurê VPN-ê de ye, û ew e, em dikarin texmîn bikin ku pêwendiyek çêbûye.

Di gotara paşîn de em ê ji we re vebêjin ka me çawa vê plansaziyê bi IPSec û Redundancy MultiSIM re bi karanîna Huawei CPE re li hev kir: em Huawei CPE-ya xwe ji bo xerîdar saz dikin, ku dikarin ne tenê kanalek Internetnternetê ya têlkirî, lê di heman demê de 2 SIM-kartên cihêreng, û CPE-yê jî bikar bînin. bixweber tunela IPSec-ê an bi WAN-a têl an jî bi radyoyê (LTE#1/LTE#2) ji nû ve ava dike, û di encamê de tolerasyona xeletiya bilind a karûbarê encam dide.

Spas ji bo amadekirina vê gotarê (û, bi rastî, ji nivîskarên van çareseriyên teknîkî re spas dikim

Source: www.habr.com

Add a comment