ProHoster > Blog > башкаруу > IPSec аркылуу Beeline IPVPNге кантип жетсе болот. 1-бөлүк

IPSec аркылуу Beeline IPVPNге кантип жетсе болот. 1-бөлүк

Салам! IN мурунку пост Мен биздин MultiSIM кызматыбыздын ишин жарым-жартылай сүрөттөп бердим резервациялар и баланстоо каналдар. Жогоруда айтылгандай, биз кардарларды тармакка VPN аркылуу туташтырабыз жана бүгүн мен бул бөлүктө VPN жана биздин мүмкүнчүлүктөр жөнүндө бир аз көбүрөөк айтып берем.

Биз, байланыш оператору катары, туруктуу байланыш кардарлары үчүн эки негизги сегментке - Интернетке кирүү үчүн түздөн-түз пайдаланылуучу жана эң негизги сегментке бөлүнгөн өзүбүздүн чоң MPLS тармагына ээ экендигибизден баштоо керек. обочолонгон тармактарды түзүү үчүн колдонулат — жана дал ушул MPLS сегменти аркылуу IPVPN (L3 OSI) жана VPLAN (L2 OSI) трафиги биздин корпоративдик кардарларыбыз үчүн өтөт.

IPSec аркылуу Beeline IPVPNге кантип жетсе болот. 1-бөлүк
Эреже катары, кардар байланышы төмөнкүдөй пайда болот.

Кардардын кеңсесине жетүү линиясы тармактын эң жакын жайгашкан пунктунан (MEN, RRL, BSSS, FTTB ж. роутер, биз аны VRF кардары үчүн атайын түзүлгөн, кардарга керек болгон трафик профилин эске алуу менен чыгарабыз (профиль этикеткалары ар бир кирүү порту үчүн тандалып алынат, IP артыкчылыктарынын 0,1,3,5 маанилеринин негизинде, XNUMX).

Эгерде кандайдыр бир себептерден улам биз кардар үчүн акыркы миляны толугу менен уюштура албасак, мисалы, кардардын кеңсеси бизнес-борбордо жайгашкан, ал жерде башка провайдер приоритеттүү болуп саналат, же бизде жакын жерде биздин катышуу пунктубуз жок болсо, анда мурда кардарлар ар кандай провайдерлерде (эң үнөмдүү архитектура эмес) бир нече IPVPN тармактарын түзүүгө же Интернет аркылуу VRF'ге кирүү мүмкүнчүлүгүн уюштуруу маселелерин өз алдынча чечүүгө туура келди.

Көптөр муну IPVPN Интернет шлюзун орнотуу менен жасашты - алар чек ара роутерин (аппараттык же кандайдыр бир Linux негизиндеги чечим) орнотушту, ага IPVPN каналын бир порт менен, ал эми экинчиси менен Интернет каналын туташтырышты, ага VPN серверин ишке киргизишти жана туташты. өз VPN шлюз аркылуу колдонуучулар. Албетте, мындай схема да оорчулуктарды жаратат: мындай инфраструктураны куруп, эң ыңгайсызы иштетип, өнүктүрүү керек.

Кардарларыбыздын жашоосун жеңилдетүү үчүн биз борборлоштурулган VPN хабын орноттук жана IPSec аркылуу Интернет аркылуу туташууну уюштурдук, башкача айтканда, эми кардарларга роутерин каалаган коомдук Интернет аркылуу IPSec туннели аркылуу биздин VPN хабыбыз менен иштөө үчүн конфигурациялоо гана керек. , жана биз бул кардардын трафигин анын VRF'ине чыгаралы.

Кимге керек болот

  • Буга чейин эле чоң IPVPN тармагына ээ жана кыска убакыттын ичинде жаңы байланыштарды талап кылгандар үчүн.
  • Ким кандайдыр бир себептерден улам трафиктин бир бөлүгүн коомдук Интернеттен IPVPNге өткөргүсү келсе, бирок буга чейин бир нече кызмат көрсөтүүчүлөр менен байланышкан техникалык чектөөлөргө туш болгон.
  • Учурда ар кандай байланыш операторлору боюнча бир нече айырмаланган VPN тармактары барлар үчүн. Beeline, Megafon, Rostelecom ж.б.дан IPVPNди ийгиликтүү уюштурган кардарлар бар. Аны жеңилдетүү үчүн сиз биздин жалгыз VPNде гана калып, башка операторлордун бардык башка каналдарын Интернетке которсоңуз болот, андан кийин IPSec жана бул операторлордон Интернет аркылуу Beeline IPVPN'ге кошула аласыз.
  • Интернетте IPVPN тармагы барлар үчүн.

Эгер сиз бардыгын биз менен колдонсоңуз, анда кардарлар толук кандуу VPN колдоосун, олуттуу инфраструктураны жана стандарттуу орнотууларды алышат, алар көнүп калган ар кандай роутерде (мейли Cisco, атүгүл Mikrotik болсун, эң негизгиси ал туура колдоо көрсөтө алат) IPSec/IKEv2 стандартташтырылган аутентификация ыкмалары менен). Айтмакчы, IPSec жөнүндө - азыр биз аны колдойбуз, бирок биз OpenVPN жана Wireguard экөөнүн тең толук кандуу иштешин баштоону пландап жатабыз, ошентип кардарлар протоколдон көз каранды болбошу үчүн жана бардыгын бизге өткөрүп берүү оңой, жана биз ошондой эле кардарларды компьютерлерден жана мобилдик түзүлүштөрдөн (OS, Cisco AnyConnect жана strongSwan жана ушуга окшогондорго орнотулган чечимдер) туташтырууну каалайбыз. Бул ыкма менен, инфраструктуранын де-факто курулушун операторго аман-эсен өткөрүп берүүгө болот, ал эми CPE же хосттун конфигурациясын гана калтырса болот.

IPSec режими үчүн туташуу процесси кантип иштейт:

  1. Кардар өзүнүн менеджерине суроо-талапты калтырат, анда ал талап кылынган туташуунун ылдамдыгын, трафик профилин жана туннель үчүн IP дарегинин параметрлерин (демейки боюнча, /30 маскасы бар субнет) жана маршрутташтыруунун түрүн (статикалык же BGP) көрсөтөт. Маршруттарды туташкан кеңседе кардардын локалдык тармактарына өткөрүү үчүн IPSec протоколунун фазасынын IKEv2 механизмдери кардар роутериндеги тиешелүү орнотууларды колдонуу менен колдонулат же алар кардардын арызында көрсөтүлгөн жеке BGP ASтен MPLSте BGP аркылуу жарнамаланат. . Ошентип, кардар тармактарынын маршруттары жөнүндө маалымат толугу менен кардар роутер орнотуулары аркылуу кардар тарабынан көзөмөлдөнөт.
  2. Менеджеринен жооп катары кардар өзүнүн VRF формасына киргизүү үчүн эсепке алуу маалыматтарды алат:
    • VPN-HUB IP дареги
    • Кирүү
    • Аутентификация сырсөзү
  3. Төмөндө CPE конфигурациялайт, мисалы, эки негизги конфигурация опциясы:

    Cisco үчүн опция:
    крипто ikev2 ачкыч BeelineIPsec_keyring
    теңдеш Beeline_VPNHub
    дареги 62.141.99.183 – Beeline VPN хабы
    алдын ала бөлүшүлгөн ачкыч <Аутентификация сырсөз>
    !
    Статикалык багыттоо опциясы үчүн Vpn-хабы аркылуу жеткиликтүү болгон тармактарга каттамдар IKEv2 конфигурациясында көрсөтүлүшү мүмкүн жана алар автоматтык түрдө CE багыттоо таблицасында статикалык маршруттар катары пайда болот. Бул орнотууларды статикалык маршруттарды орнотуунун стандарттык ыкмасы менен да жасоого болот (төмөндө караңыз).

    крипто ikev2 авторизация саясаты FlexClient-автор

    CE роутердин артындагы тармактарга маршрут – CE жана PE ортосундагы статикалык маршрутташтыруу үчүн милдеттүү жөндөө. IKEv2 өз ара аракеттенүүсү аркылуу туннель көтөрүлгөндө PEге маршруттук маалыматтарды берүү автоматтык түрдө ишке ашырылат.

    маршрутту орнотуу алыстан IPv4 10.1.1.0 255.255.255.0 – Офистин локалдык тармагы
    !
    крипто ikev2 профили BeelineIPSec_profile
    жергиликтүү идентификация <логин>
    аныктыгын текшерүү жергиликтүү алдын ала бөлүшүү
    аутентификацияны алыстан алдын ала бөлүшүү
    жергиликтүү BeelineIPsec_keyring keyring
    aaa авторизация тобу psk тизмеси тобу-автор-тизмеси FlexClient-автор
    !
    крипто ikev2 кардары flexvpn BeelineIPsec_flex
    теңдеш 1 Beeline_VPNHub
    кардар Tunnel1 туташтыруу
    !
    крипто ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    режим туннели
    !
    крипто ipsec профили демейки
    TRANSFORM1
    ikev2-профилин BeelineIPSec_profile орнотуңуз
    !
    интерфейс туннели1
    ip дареги 10.20.1.2 255.255.255.252 – Туннелдин дареги
    туннель булагы GigabitEthernet0/2 – Интернетке кирүү интерфейси
    туннель режими ipsec ipv4
    туннелдин көздөгөн динамикасы
    туннелди коргоо ipsec профилинин демейки
    !
    Beeline VPN концентратору аркылуу жеткиликтүү кардардын жеке тармактарына маршруттар статикалык түрдө коюлушу мүмкүн.

    ip маршруту 172.16.0.0 255.255.0.0 Tunnel1
    ip маршруту 192.168.0.0 255.255.255.0 Tunnel1

    Huawei үчүн опция (ar160/120):
    жергиликтүү аты <логин>
    #
    acl аты ipsec 3999
    эреже 1 уруксат IP булагы 10.1.1.0 0.0.0.255 – Офистин локалдык тармагы
    #
    ааа
    IPSEC кызмат схемасы
    маршруттун топтому acl 3999
    #
    ipsec сунушу ipsec
    esp аутентификация-алгоритм sha2-256
    esp шифрлөө-алгоритм aes-256
    #
    ike сунуш демейки
    шифрлөө-алгоритм aes-256
    dh group2
    аутентификация-алгоритм sha2-256
    аутентификация ыкмасы алдын ала бөлүшүү
    бүтүндүк-алгоритм hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    алдын ала бөлүшүлгөн ачкыч жөнөкөй <Аутентификация сырсөзү>
    жергиликтүү id-түрдөгү fqdn
    алыскы ID түрүндөгү IP
    алыскы дарек 62.141.99.183 – Beeline VPN хабы
    IPSEC кызмат схемасы
    конфигурация алмашуу өтүнүчү
    config-алмашуу топтомун кабыл алуу
    config-алмашуу топтомун жөнөтүү
    #
    ipsec профили ipsecprof
    ike-peer ipsec
    сунуш ipsec
    #
    интерфейс Tunnel0/0/0
    ip дареги 10.20.1.2 255.255.255.252 – Туннелдин дареги
    туннель-протокол ipsec
    GigabitEthernet0/0/1 булагы – Интернетке кирүү интерфейси
    ipsec профили ipsecprof
    #
    Beeline VPN концентратору аркылуу жеткиликтүү кардардын жеке тармактарына маршруттар статикалык түрдө орнотулушу мүмкүн

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Натыйжада байланыш диаграммасы төмөнкүдөй көрүнөт:

IPSec аркылуу Beeline IPVPNге кантип жетсе болот. 1-бөлүк

Эгерде кардарда негизги конфигурациянын кээ бир мисалдары жок болсо, анда биз адатта аларды түзүүгө жардам беребиз жана аларды башкаларга жеткиликтүү кылабыз.

Болгону CPEди Интернетке туташтыруу, VPN туннелинин жооп бөлүгүнө жана VPN ичиндеги каалаган хостко пинг жүргүзүү, ушуну менен биз байланыш түзүлдү деп ойлойбуз.

Кийинки макалада биз Huawei CPE аркылуу бул схеманы IPSec жана MultiSIM Redundancy менен кантип айкалыштырганыбызды айтып беребиз: биз кардарлар үчүн Huawei CPE орнотобуз, ал зымдуу интернет каналын гана эмес, ошондой эле 2 түрдүү SIM картаны жана CPEди колдоно алат. IPSec туннелин зымдуу WAN аркылуу же радио аркылуу (LTE#1/LTE#2) автоматтык түрдө калыбына келтирет, натыйжада пайда болгон кызматтын каталарына жогорку толеранттуулукту ишке ашырат.

Бул макаланы даярдаган RnD кесиптештерибизге (жана чындыгында бул техникалык чечимдердин авторлоруна) өзгөчө ыраазычылык билдиребиз!

Source: www.habr.com

Комментарий кошуу