ProHoster > Dienoraštis > Administravimas > Kaip patekti į Beeline IPVPN per IPSec. 1 dalis

Kaip patekti į Beeline IPVPN per IPSec. 1 dalis

Sveiki! IN ankstesnis įrašas Iš dalies aprašiau mūsų MultiSIM paslaugos darbą išlygų и balansavimas kanalai. Kaip minėta, klientus prie tinklo jungiame per VPN, o šiandien šioje dalyje papasakosiu šiek tiek daugiau apie VPN ir mūsų galimybes.

Verta pradėti nuo to, kad mes, kaip telekomunikacijų operatorius, turime savo didžiulį MPLS tinklą, kuris fiksuoto ryšio klientams yra padalintas į du pagrindinius segmentus – tą, kuris naudojamas tiesiogiai prisijungti prie interneto, ir tą, kuris yra naudojami izoliuotiems tinklams kurti – būtent per šį MPLS segmentą IPVPN (L3 OSI) ir VPLAN (L2 OSI) srautas perduodamas mūsų verslo klientams.

Kaip patekti į Beeline IPVPN per IPSec. 1 dalis
Paprastai kliento ryšys vyksta taip.

Prie kliento biuro nutiesiama prieigos linija iš artimiausio tinklo buvimo vietos (mazgas MEN, RRL, BSSS, FTTB ir kt.), o toliau kanalas per transporto tinklą registruojamas į atitinkamą PE-MPLS. maršrutizatorius, kuriame jį išvedame į specialiai sukurtą VRF klientui, atsižvelgdami į klientui reikalingą srauto profilį (profilio etiketės parenkamos kiekvienam prieigos prievadui, remiantis IP pirmumo reikšmėmis 0,1,3,5, XNUMX).

Jei dėl kokių nors priežasčių negalime iki galo suorganizuoti paskutinės mylios klientui, pavyzdžiui, kliento biuras yra verslo centre, kur prioritetas yra kitam tiekėjui, arba mes tiesiog neturime savo buvimo vietos šalia, tai anksčiau klientai turėjo sukurti kelis IPVPN tinklus pas skirtingus tiekėjus (ne pati ekonomiškiausia architektūra) arba savarankiškai išspręsti problemas, susijusias su prieigos prie jūsų VRF internetu organizavimu.

Daugelis tai padarė įdiegę IPVPN interneto šliuzą – įdiegė pasienio maršrutizatorių (aparatinę įrangą ar kokį nors Linux pagrindu sukurtą sprendimą), su vienu prievadu prie jo prijungė IPVPN kanalą, o su kitu – interneto kanalą, paleido jame savo VPN serverį ir prisijungė. vartotojai per savo VPN šliuzą. Natūralu, kad tokia schema taip pat sukuria naštą: tokia infrastruktūra turi būti pastatyta ir, kas neparankiausia, eksploatuojama ir vystoma.

Siekdami palengvinti savo klientų gyvenimą, įdiegėme centralizuotą VPN šakotuvą ir organizavome ryšių palaikymą internetu naudojant IPSec, tai yra, dabar klientams tereikia sukonfigūruoti maršruto parinktuvą, kad jis veiktų su mūsų VPN šakotuvu per IPSec tunelį per bet kurį viešąjį internetą. , ir išleisime šio kliento srautą į jo VRF.

Kam tai bus naudinga?

  • Tiems, kurie jau turi didelį IPVPN tinklą ir kuriems reikia naujų jungčių per trumpą laiką.
  • Kiekvienas, kuris dėl kokių nors priežasčių nori perkelti dalį srauto iš viešojo interneto į IPVPN, tačiau anksčiau susidūrė su techniniais apribojimais, susijusiais su keliais paslaugų teikėjais.
  • Tiems, kurie šiuo metu turi kelis skirtingus VPN tinklus tarp skirtingų telekomunikacijų operatorių. Yra klientų, kurie sėkmingai organizavo IPVPN iš „Beeline“, „Megafon“, „Rostelecom“ ir kt. Kad būtų lengviau, galite likti tik prie mūsų vieno VPN, perjungti visus kitus kitų operatorių kanalus į internetą ir prisijungti prie „Beeline IPVPN“ per IPSec ir internetą iš šių operatorių.
  • Tiems, kurie jau turi IPVPN tinklą internete.

Jei viską įdiegsite pas mus, klientai gaus visavertį VPN palaikymą, rimtą infrastruktūros perteklių ir standartinius nustatymus, kurie veiks bet kuriame maršrutizatoriuje, prie kurio jie įpratę (ar tai būtų Cisco, net Mikrotik, svarbiausia, kad jis galėtų tinkamai palaikyti IPSec/IKEv2 su standartizuotais autentifikavimo metodais). Beje, apie IPSec – šiuo metu tik palaikome, bet planuojame pradėti visavertį ir OpenVPN, ir Wireguard veikimą, kad klientai negalėtų priklausyti nuo protokolo ir būtų dar paprasčiau viską paimti ir perduoti mums, taip pat norime pradėti jungti klientus iš kompiuterių ir mobiliųjų įrenginių (į OS įmontuoti sprendimai, Cisco AnyConnect ir strongSwan ir panašiai). Taikant šį metodą, de facto infrastruktūros statyba gali būti saugiai perduota operatoriui, paliekant tik CPE arba pagrindinio kompiuterio konfigūraciją.

Kaip prisijungimo procesas veikia naudojant IPSec režimą:

  1. Klientas palieka savo vadovui užklausą, kurioje nurodo reikiamą ryšio greitį, srauto profilį ir tunelio IP adresavimo parametrus (pagal numatytuosius nustatymus potinklis su /30 kauke) ir maršruto tipą (statinis arba BGP). Norėdami perkelti maršrutus į kliento vietinius tinklus prijungtame biure, naudojant atitinkamus kliento maršrutizatoriaus nustatymus, naudojami IPSec protokolo fazės IKEv2 mechanizmai arba jie reklamuojami per BGP MPLS iš privataus BGP AS, nurodyto kliento programoje. . Taigi informaciją apie klientų tinklų maršrutus klientas visiškai valdo per kliento maršrutizatoriaus nustatymus.
  2. Atsakydamas iš savo vadovo, klientas gauna apskaitos duomenis, kad jie būtų įtraukti į savo formos VRF:
    • VPN-HUB IP adresas
    • Vartotojas
    • Autentifikavimo slaptažodis
  3. Konfigūruoja CPE, pvz., dvi pagrindines konfigūracijos parinktis:

    „Cisco“ parinktis:
    crypto ikev2 raktų žiedas BeelineIPsec_keyring
    Peer Beeline_VPNHub
    adresas 62.141.99.183 – VPN centras „Beeline“.
    pre-shared-key <Autentifikavimo slaptažodis>
    !
    Naudojant statinio maršruto parinktį, IKEv2 konfigūracijoje gali būti nurodyti maršrutai į tinklus, pasiekiamus per Vpn-hub, ir jie automatiškai bus rodomi kaip statiniai maršrutai CE maršruto lentelėje. Šiuos nustatymus taip pat galima atlikti naudojant standartinį statinių maršrutų nustatymo metodą (žr. toliau).

    crypto ikev2 autorizacijos politika FlexClient-author

    Maršrutas į tinklus už CE maršrutizatoriaus – privalomas statinio maršruto tarp CE ir PE nustatymas. Maršruto duomenų perkėlimas į PE atliekamas automatiškai, kai tunelis pakeliamas per IKEv2 sąveiką.

    maršruto rinkinys nuotolinis ipv4 10.1.1.0 255.255.255.0 – Biuro vietinis tinklas
    !
    crypto ikev2 profilis BeelineIPSec_profile
    tapatybė vietinė <prisijungti>
    autentifikavimas vietinis išankstinis bendrinimas
    autentifikavimo nuotolinis išankstinis bendrinimas
    raktų pakabukas vietinis BeelineIPsec_keyring
    aaa autorizacijos grupė psk sąrašas group-author-list FlexClient-author
    !
    crypto ikev2 klientas flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    kliento prisijungimo tunelis1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    režimo tunelis
    !
    crypto ipsec profilis numatytasis
    rinkinys transform-set TRANSFORM1
    nustatyti ikev2 profilį BeelineIPSec_profile
    !
    sąsaja Tunnel1
    IP adresas 10.20.1.2 255.255.255.252 – Tunelio adresas
    tunelio šaltinis GigabitEthernet0/2 - Interneto prieigos sąsaja
    tunelio režimas ipsec ipv4
    tunelio paskirties dinamika
    tunelio apsauga numatytasis ipsec profilis
    !
    Maršrutus į kliento privačius tinklus, pasiekiamus per „Beeline VPN“ koncentratorių, galima nustatyti statiškai.

    ip maršrutas 172.16.0.0 255.255.0.0 Tunelis 1
    ip maršrutas 192.168.0.0 255.255.255.0 Tunelis 1

    „Huawei“ (ar160/120) parinktis:
    kaip vietinis vardas <prisijungti>
    #
    acl pavadinimas ipsec 3999
    1 taisyklė leidimas ip šaltinis 10.1.1.0 0.0.0.255 – Biuro vietinis tinklas
    #
    aaa
    paslaugų schema IPSEC
    maršruto rinkinys acl 3999
    #
    ipsec pasiūlymas ipsec
    esp autentifikavimo algoritmas sha2-256
    esp šifravimo algoritmas aes-256
    #
    ike pasiūlymas pagal nutylėjimą
    šifravimo algoritmas aes-256
    dh grupė2
    autentifikavimo algoritmas sha2-256
    autentifikavimo metodas, išankstinis bendrinimas
    vientisumas-algoritmas hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    paprastas iš anksto bendrinamas raktas <Autentifikavimo slaptažodis>
    vietinio ID tipo fqdn
    nuotolinio ID tipo ip
    nuotolinis adresas 62.141.99.183 – VPN centras „Beeline“.
    paslaugų schema IPSEC
    konfigūracijos keitimo užklausa
    Config-Exchange rinkinys priimti
    config-exchange set siųsti
    #
    ipsec profilis ipsecprof
    ike-peer ipsec
    pasiūlymas ipsec
    #
    sąsaja Tunnel0/0/0
    IP adresas 10.20.1.2 255.255.255.252 – Tunelio adresas
    tunelio protokolas ipsec
    šaltinis GigabitEthernet0/0/1 - Interneto prieigos sąsaja
    ipsec profilis ipsecprof
    #
    Maršrutus į kliento privačius tinklus, pasiekiamus per „Beeline VPN“ koncentratorių, galima nustatyti statiškai

    ip maršrutas-statinis 192.168.0.0 255.255.255.0 Tunelis0/0/0
    ip maršrutas-statinis 172.16.0.0 255.255.0.0 Tunelis0/0/0

Gauta komunikacijos schema atrodo maždaug taip:

Kaip patekti į Beeline IPVPN per IPSec. 1 dalis

Jei klientas neturi kai kurių pagrindinės konfigūracijos pavyzdžių, dažniausiai padedame juos suformuoti ir padarome prieinamus visiems kitiems.

Belieka tik prijungti CPE prie interneto, ping į VPN tunelio atsako dalį ir bet kurį VPN viduje esantį pagrindinį kompiuterį, ir viskas, galime manyti, kad ryšys buvo užmegztas.

Kitame straipsnyje papasakosime, kaip šią schemą derinome su IPSec ir MultiSIM redundancy naudojant Huawei CPE: klientams įdiegiame savo Huawei CPE, kuris gali naudoti ne tik laidinį interneto kanalą, bet ir 2 skirtingas SIM korteles bei CPE. automatiškai atkuria IPSec tunelį per laidinį WAN arba radiją (LTE#1/LTE#2), realizuodamas aukštą gaunamos paslaugos atsparumą gedimams.

Ypatingas ačiū mūsų RnD kolegoms už šio straipsnio parengimą (ir, tiesą sakant, šių techninių sprendimų autoriams)!

Šaltinis: www.habr.com

Добавить комментарий