ProHoster > Blogs > Administrācija > Kā nokļūt Beeline IPVPN, izmantojot IPSec. 1. daļa

Kā nokļūt Beeline IPVPN, izmantojot IPSec. 1. daļa

Sveiki! IN iepriekŔējā ziņa Es daļēji aprakstÄ«ju mÅ«su MultiSIM pakalpojuma darbu atrunas Šø balansÄ“Å”ana kanāliem. Kā jau minēts, mēs savienojam klientus ar tÄ«klu, izmantojot VPN, un Å”odien es jums pastāstÄ«Å”u nedaudz vairāk par VPN un mÅ«su iespējām Å”ajā daļā.

Ir vērts sākt ar to, ka mums kā telekomunikāciju operatoram ir savs milzÄ«gs MPLS tÄ«kls, kas fiksēto lÄ«niju klientiem ir sadalÄ«ts divos galvenajos segmentos ā€“ tajā, kas tiek izmantots tieÅ”i interneta piekļuvei, un tajā, kas ir izmanto, lai izveidotu izolētus tÄ«klus ā€” un tieÅ”i caur Å”o MPLS segmentu mÅ«su korporatÄ«vajiem klientiem plÅ«st IPVPN (L3 OSI) un VPLAN (L2 OSI) trafika.

Kā nokļūt Beeline IPVPN, izmantojot IPSec. 1. daļa
Parasti klienta savienojums notiek Ŕādi.

Klienta birojam tiek izveidota piekļuves lÄ«nija no tuvākā tÄ«kla klātbÅ«tnes punkta (mezgls MEN, RRL, BSSS, FTTB utt.) un tālāk kanāls caur transporta tÄ«klu tiek reÄ£istrēts atbilstoÅ”ajam PE-MPLS. marÅ”rutētājs, uz kura mēs to izvadām uz speciāli VRF klientam izveidoto, ņemot vērā klientam nepiecieÅ”amo trafika profilu (katram piekļuves portam tiek atlasÄ«tas profila etiÄ·etes, pamatojoties uz IP prioritātes vērtÄ«bām 0,1,3,5, XNUMX).

Ja kādu iemeslu dēļ nevaram pilnÄ«bā noorganizēt klientam pēdējo jÅ«dzi, piemēram, klienta birojs atrodas biznesa centrā, kur prioritāte ir citam pakalpojumu sniedzējam, vai arÄ« mums vienkārÅ”i nav tuvumā mÅ«su klātbÅ«tnes punkta, tad iepriekÅ” klienti bija jāizveido vairāki IPVPN tÄ«kli pie dažādiem pakalpojumu sniedzējiem (nav visrentablākā arhitektÅ«ra) vai patstāvÄ«gi jāatrisina problēmas ar piekļuves organizÄ“Å”anu jÅ«su VRF, izmantojot internetu.

Daudzi to izdarÄ«ja, instalējot IPVPN interneta vārteju - viņi uzstādÄ«ja robežmarÅ”rutētāju (aparatÅ«ru vai kādu uz Linux balstÄ«tu risinājumu), ar vienu portu pievienoja tam IPVPN kanālu un ar otru interneta kanālu, palaida tajā savu VPN serveri un izveidoja savienojumu. lietotājiem, izmantojot savu VPN vārteju. LikumsakarÄ«gi, ka Ŕāda shēma rada arÄ« apgrÅ«tinājumus: Ŕāda infrastruktÅ«ra ir jābÅ«vē un, visneērtāk, tā ekspluatē un jāattÄ«sta.

Lai atvieglotu mÅ«su klientu dzÄ«vi, mēs uzstādÄ«jām centralizētu VPN centrmezglu un organizējām atbalstu savienojumiem internetā, izmantojot IPSec, tas ir, tagad klientiem ir tikai jākonfigurē marÅ”rutētājs darbam ar mÅ«su VPN centrmezglu, izmantojot IPSec tuneli, izmantojot jebkuru publisko internetu. , un mēs atbrÄ«vosim Ŕī klienta trafiku tā VRF.

Kam vajadzēs

  • Tiem, kuriem jau ir liels IPVPN tÄ«kls un ir nepiecieÅ”ami jauni savienojumi Ä«sā laikā.
  • Ikviens, kurÅ” kaut kādu iemeslu dēļ vēlas pārsÅ«tÄ«t daļu trafika no publiskā interneta uz IPVPN, taču iepriekÅ” ir saskāries ar tehniskiem ierobežojumiem, kas saistÄ«ti ar vairākiem pakalpojumu sniedzējiem.
  • Tiem, kuriem paÅ”laik ir vairāki atŔķirÄ«gi VPN tÄ«kli no dažādiem telekomunikāciju operatoriem. Ir klienti, kuri veiksmÄ«gi organizējuÅ”i IPVPN no Beeline, Megafon, Rostelecom utt. Lai to atvieglotu, varat palikt tikai mÅ«su vienotajā VPN, pārslēgt visus pārējos citu operatoru kanālus uz internetu un pēc tam izveidot savienojumu ar Beeline IPVPN, izmantojot IPSec un internetu no Å”iem operatoriem.
  • Tiem, kuriem jau ir IPVPN tÄ«kls, kas pārklāts internetā.

Ja visu izvietojat pie mums, klienti saņem pilnvērtÄ«gu VPN atbalstu, nopietnu infrastruktÅ«ras dublÄ“Å”anu un standarta iestatÄ«jumus, kas darbosies uz jebkura marÅ”rutētāja, pie kura viņi ir pieraduÅ”i (vai tas bÅ«tu Cisco, pat Mikrotik, galvenais, lai tas varētu pareizi atbalstÄ«t IPSec/IKEv2 ar standartizētām autentifikācijas metodēm). Starp citu, par IPSec - Å”obrÄ«d tikai atbalstām, bet plānojam uzsākt pilnvērtÄ«gu gan OpenVPN, gan Wireguard darbÄ«bu, lai klienti nevarētu bÅ«t atkarÄ«gi no protokola un vēl vienkārŔāk bÅ«tu visu paņemt un nodot mums, un mēs arÄ« vēlamies sākt savienot klientus no datoriem un mobilajām ierÄ«cēm (OS iebÅ«vēti risinājumi, Cisco AnyConnect un strongSwan un tamlÄ«dzÄ«gi). Izmantojot Å”o pieeju, de facto infrastruktÅ«ras izbÅ«vi var droÅ”i nodot operatoram, atstājot tikai CPE vai resursdatora konfigurāciju.

Kā savienojuma process darbojas IPSec režīmā:

  1. Klients atstāj pieprasÄ«jumu savam pārvaldniekam, kurā norāda nepiecieÅ”amo savienojuma ātrumu, trafika profilu un tuneļa IP adresācijas parametrus (pēc noklusējuma apakÅ”tÄ«kls ar /30 masku) un marÅ”rutÄ“Å”anas veidu (statiskā vai BGP). MarÅ”rutu pārsÅ«tÄ«Å”anai uz klienta lokālajiem tÄ«kliem pievienotajā birojā tiek izmantoti IPSec protokola fāzes IKEv2 mehānismi, izmantojot atbilstoÅ”os klienta marÅ”rutētāja iestatÄ«jumus, vai arÄ« tie tiek reklamēti caur BGP MPLS formātā no klienta aplikācijā norādÄ«tās privātās BGP AS. . Tādējādi informāciju par klientu tÄ«klu marÅ”rutiem klients pilnÄ«bā kontrolē, izmantojot klienta marÅ”rutētāja iestatÄ«jumus.
  2. Atbildot no sava menedžera, klients saņem grāmatvedÄ«bas datus iekļauÅ”anai savā veidlapas VRF:
    • VPN-HUB IP adrese
    • P> RѕRіReRŠ…
    • Autentifikācijas parole
  3. Konfigurē CPE, piemēram, divas pamata konfigurācijas opcijas:

    Cisco opcija:
    crypto ikev2 keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    adrese 62.141.99.183 - VPN centrmezgls Beeline
    iepriekÅ” koplietotā atslēga <Autentifikācijas parole>
    !
    Statiskās marÅ”rutÄ“Å”anas opcijai IKEv2 konfigurācijā var norādÄ«t marÅ”rutus uz tÄ«kliem, kas pieejami caur Vpn-centru, un tie automātiski tiks parādÄ«ti kā statiski marÅ”ruti CE marÅ”rutÄ“Å”anas tabulā. Å os iestatÄ«jumus var veikt arÄ«, izmantojot statisko marÅ”rutu iestatÄ«Å”anas standarta metodi (skatiet tālāk).

    crypto ikev2 autorizācijas politika FlexClient-author

    MarÅ”ruts uz tÄ«kliem aiz CE marÅ”rutētāja ā€” obligāts iestatÄ«jums statiskai marÅ”rutÄ“Å”anai starp CE un PE. MarÅ”ruta datu pārsÅ«tÄ«Å”ana uz PE tiek veikta automātiski, kad tunelis tiek pacelts, izmantojot IKEv2 mijiedarbÄ«bu.

    marÅ”ruta iestatÄ«jums attālais ipv4 10.1.1.0 255.255.255.0 - Biroja vietējais tÄ«kls
    !
    crypto ikev2 profils BeelineIPSec_profile
    identitāte vietējā <pieteikÅ”anās>
    autentifikācija vietējā iepriekŔēja koplietoÅ”ana
    autentifikācijas attālā iepriekŔēja kopÄ«goÅ”ana
    atslēgu piekariņa vietējais BeelineIPsec_keyring
    aaa autorizācijas grupa psk saraksts group-author-list FlexClient-author
    !
    crypto ikev2 klienta flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    klienta savienojums Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    režīma tunelis
    !
    kriptogrāfijas ipsec profila noklusējums
    set transform-set TRANSFORM1
    iestatiet ikev2-profile BeelineIPSec_profile
    !
    interfeiss Tunnel1
    IP adrese 10.20.1.2 255.255.255.252 -Tuneļa adrese
    tuneļa avots GigabitEthernet0/2 - Interneta piekļuves interfeiss
    tuneļa režīms ipsec ipv4
    tuneļa galamērķa dinamika
    tuneļa aizsardzība ipsec profila noklusējums
    !
    MarŔrutus uz klienta privātajiem tīkliem, kas pieejami, izmantojot Beeline VPN koncentratoru, var iestatīt statiski.

    ip marŔruts 172.16.0.0 255.255.0.0 Tunelis 1
    ip marŔruts 192.168.0.0 255.255.255.0 Tunelis 1

    Opcija Huawei (ar160/120):
    piemēram, vietējais nosaukums <pieteikÅ”anās>
    #
    acl nosaukums ipsec 3999
    1. noteikums atļauja ip avots 10.1.1.0 0.0.0.255 - Biroja vietējais tīkls
    #
    aaa
    pakalpojumu shēma IPSEC
    marŔruta komplekts acl 3999
    #
    ipsec priekŔlikums ipsec
    esp autentifikācijas algoritms sha2-256
    esp ŔifrēŔanas algoritms aes-256
    #
    ike priekÅ”likuma noklusējuma
    ŔifrēŔanas algoritms aes-256
    dh grupa2
    autentifikācijas algoritms sha2-256
    autentifikācijas metodes iepriekŔēja kopÄ«goÅ”ana
    integritātes algoritms hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    vienkārÅ”a iepriekÅ” koplietota atslēga <Autentifikācijas parole>
    vietējā ID tipa fqdn
    remote-id-type ip
    attālā adrese 62.141.99.183 - VPN centrmezgls Beeline
    pakalpojumu shēma IPSEC
    konfigurācijas apmaiņas pieprasījums
    konfigurācijas apmaiņas komplekts pieņemt
    konfigurācijas apmaiņas komplekta nosÅ«tÄ«Å”ana
    #
    ipsec profils ipsecprof
    ike-peer ipsec
    priekŔlikums ipsec
    #
    saskarne Tunnel0/0/0
    IP adrese 10.20.1.2 255.255.255.252 -Tuneļa adrese
    tuneļa protokols ipsec
    avots GigabitEthernet0/0/1 - Interneta piekļuves interfeiss
    ipsec profils ipsecprof
    #
    MarŔrutus uz klienta privātajiem tīkliem, kas pieejami, izmantojot Beeline VPN koncentratoru, var iestatīt statiski

    IP marŔruts-statiskais 192.168.0.0 255.255.255.0 Tunnelis0/0/0
    IP marŔruts-statiskais 172.16.0.0 255.255.0.0 Tunnelis0/0/0

IegÅ«tā komunikācijas diagramma izskatās apmēram Ŕādi:

Kā nokļūt Beeline IPVPN, izmantojot IPSec. 1. daļa

Ja klientam nav daži pamata konfigurācijas piemēri, tad parasti palÄ«dzam to veidoÅ”anā un padarām pieejamus visiem pārējiem.

Atliek tikai savienot CPE ar internetu, ping uz VPN tuneļa atbildes daļu un jebkuru saimniekdatoru VPN iekÅ”ienē, un tas ir viss, mēs varam pieņemt, ka savienojums ir izveidots.

Nākamajā rakstā mēs jums pastāstÄ«sim, kā mēs apvienojām Å”o shēmu ar IPSec un MultiSIM redundancy, izmantojot Huawei CPE: mēs uzstādām mÅ«su Huawei CPE klientiem, kas var izmantot ne tikai vadu interneta kanālu, bet arÄ« 2 dažādas SIM kartes un CPE. automātiski atjauno IPSec tuneli, izmantojot vadu WAN vai radio (LTE#1/LTE#2), realizējot iegÅ«tā pakalpojuma augstu kļūdu toleranci.

ÄŖpaÅ”s paldies mÅ«su RnD kolēģiem par Ŕī raksta sagatavoÅ”anu (un patiesÄ«bā arÄ« Å”o tehnisko risinājumu autoriem)!

Avots: www.habr.com

Pievieno komentāru