🥇 IPSec द्वारे Beeline IPVPN वर कसे जायचे. भाग १

नमस्कार! IN मागील पोस्ट मी आमच्या मल्टीसिम सेवेच्या कार्याचे अंशतः वर्णन केले आरक्षणे и संतुलन चॅनेल नमूद केल्याप्रमाणे, आम्ही ग्राहकांना VPN द्वारे नेटवर्कशी जोडतो आणि आज मी तुम्हाला VPN आणि या भागात आमच्या क्षमतांबद्दल थोडे अधिक सांगेन.

एक दूरसंचार ऑपरेटर म्हणून आमच्याकडे आमचे स्वत:चे मोठे MPLS नेटवर्क आहे, जे फिक्स्ड-लाइन ग्राहकांसाठी दोन मुख्य विभागांमध्ये विभागले गेले आहे - एक ज्याचा वापर थेट इंटरनेटवर प्रवेश करण्यासाठी केला जातो आणि दुसरा. पृथक नेटवर्क तयार करण्यासाठी वापरले जाते — आणि या MPLS विभागाद्वारे आमच्या कॉर्पोरेट क्लायंटसाठी IPVPN (L3 OSI) आणि VPLAN (L2 OSI) रहदारी प्रवाहित होते.

सामान्यतः, क्लायंट कनेक्शन खालीलप्रमाणे होते.

नेटवर्कच्या जवळच्या उपस्थितीच्या बिंदूपासून क्लायंटच्या कार्यालयात प्रवेश लाइन घातली जाते (नोड MEN, RRL, BSSS, FTTB, इ.) आणि पुढे, चॅनेलची नोंदणी वाहतूक नेटवर्कद्वारे संबंधित PE-MPLS वर केली जाते. राउटर, ज्यावर आम्ही क्लायंटला आवश्यक असलेले ट्रॅफिक प्रोफाइल विचारात घेऊन, व्हीआरएफ क्लायंटसाठी खास तयार केलेल्या आउटपुटवर आउटपुट करतो (प्रोफाईल लेबले प्रत्येक प्रवेश पोर्टसाठी निवडली जातात, आयपी प्राधान्य मूल्यांच्या आधारावर 0,1,3,5, ५).

जर काही कारणास्तव आम्ही क्लायंटसाठी शेवटचा माईल पूर्णपणे व्यवस्थित करू शकत नाही, उदाहरणार्थ, क्लायंटचे कार्यालय एका व्यवसाय केंद्रात स्थित आहे, जेथे दुसरा प्रदाता प्राधान्य आहे, किंवा आमच्याकडे आमची उपस्थिती जवळपास नसेल, तर पूर्वीचे क्लायंट वेगवेगळ्या प्रदात्यांवर अनेक IPVPN नेटवर्क तयार करावे लागले (सर्वात किफायतशीर आर्किटेक्चर नाही) किंवा इंटरनेटवर तुमच्या VRF मध्ये प्रवेश आयोजित करण्याच्या समस्यांचे स्वतंत्रपणे निराकरण करावे लागेल.

अनेकांनी हे IPVPN इंटरनेट गेटवे स्थापित करून केले - त्यांनी बॉर्डर राउटर (हार्डवेअर किंवा काही लिनक्स-आधारित सोल्यूशन) स्थापित केले, एका पोर्टसह IPVPN चॅनेल आणि दुसर्‍या पोर्टसह इंटरनेट चॅनेल कनेक्ट केले, त्यावर त्यांचे VPN सर्व्हर सुरू केले आणि कनेक्ट केले. वापरकर्ते त्यांच्या स्वतःच्या व्हीपीएन गेटवेद्वारे. साहजिकच, अशा योजनेमुळे भारही निर्माण होतो: अशा पायाभूत सुविधा निर्माण केल्या पाहिजेत आणि, सर्वात गैरसोयीच्या, ऑपरेट आणि विकसित केल्या पाहिजेत.

आमच्या क्लायंटसाठी जीवन सुकर करण्यासाठी, आम्ही केंद्रीकृत VPN हब स्थापित केले आणि IPSec वापरून इंटरनेटवरील कनेक्शनसाठी समर्थन आयोजित केले, म्हणजेच आता ग्राहकांना कोणत्याही सार्वजनिक इंटरनेटवर IPSec बोगद्याद्वारे आमच्या VPN हबसह कार्य करण्यासाठी त्यांचे राउटर कॉन्फिगर करावे लागेल. , आणि आम्ही या क्लायंटचा ट्रॅफिक त्याच्या VRF वर सोडू.

कोणाला उपयोगी पडेल?

ज्यांच्याकडे आधीपासून मोठे IPVPN नेटवर्क आहे आणि त्यांना थोड्याच वेळात नवीन कनेक्शनची आवश्यकता आहे.
जो कोणी, काही कारणास्तव, सार्वजनिक इंटरनेटवरून ट्रॅफिकचा काही भाग IPVPN वर हस्तांतरित करू इच्छितो, परंतु यापूर्वी अनेक सेवा प्रदात्यांशी संबंधित तांत्रिक मर्यादांचा सामना केला आहे.
ज्यांच्याकडे सध्या वेगवेगळ्या दूरसंचार ऑपरेटरमध्ये अनेक भिन्न VPN नेटवर्क आहेत त्यांच्यासाठी. असे क्लायंट आहेत ज्यांनी बीलाइन, मेगाफोन, रोस्टेलेकॉम इ. वरून यशस्वीरित्या आयपीव्हीपीएन आयोजित केले आहे. हे सोपे करण्यासाठी, तुम्ही फक्त आमच्या सिंगल VPN वर राहू शकता, इतर ऑपरेटर्सचे इतर सर्व चॅनेल इंटरनेटवर स्विच करू शकता आणि नंतर IPSec द्वारे Beeline IPVPN शी कनेक्ट करू शकता आणि या ऑपरेटरकडून इंटरनेट.
ज्यांच्याकडे आधीपासून इंटरनेटवर IPVPN नेटवर्क आच्छादित आहे त्यांच्यासाठी.

जर तुम्ही आमच्यासोबत सर्वकाही उपयोजित केले, तर क्लायंटला पूर्ण वाढ झालेला व्हीपीएन सपोर्ट, गंभीर पायाभूत सुविधा रिडंडंसी आणि मानक सेटिंग्ज मिळतात जी त्यांना वापरल्या जाणार्‍या कोणत्याही राउटरवर काम करतील (ते सिस्को असो, अगदी मिक्रोटिक असो, मुख्य म्हणजे ते योग्यरित्या समर्थन देऊ शकते. IPSec/IKEv2 प्रमाणित प्रमाणीकरण पद्धतींसह). तसे, IPSec बद्दल - आत्ता आम्ही फक्त त्याचे समर्थन करतो, परंतु आम्ही OpenVPN आणि वायरगार्ड या दोन्हींचे पूर्ण ऑपरेशन सुरू करण्याची योजना आखत आहोत, जेणेकरून क्लायंट प्रोटोकॉलवर अवलंबून राहू शकत नाहीत आणि आमच्याकडे सर्वकाही घेणे आणि हस्तांतरित करणे आणखी सोपे आहे, आणि आम्ही क्लायंटला संगणक आणि मोबाईल उपकरणांवरून जोडणे सुरू करू इच्छितो (OS, Cisco AnyConnect आणि strongSwan आणि सारखे मध्ये तयार केलेले उपाय). या दृष्टीकोनातून, पायाभूत सुविधांचे वास्तविक बांधकाम सुरक्षितपणे ऑपरेटरकडे सोपवले जाऊ शकते, फक्त सीपीई किंवा होस्टचे कॉन्फिगरेशन सोडून.

IPSec मोडसाठी कनेक्शन प्रक्रिया कशी कार्य करते:

क्लायंट त्याच्या व्यवस्थापकाला विनंती करतो ज्यामध्ये तो बोगद्यासाठी आवश्यक कनेक्शन गती, रहदारी प्रोफाइल आणि आयपी अॅड्रेसिंग पॅरामीटर्स (डिफॉल्टनुसार, /30 मास्कसह सबनेट) आणि राउटिंगचा प्रकार (स्थिर किंवा BGP) सूचित करतो. कनेक्ट केलेल्या ऑफिसमध्ये क्लायंटच्या स्थानिक नेटवर्कवर मार्ग हस्तांतरित करण्यासाठी, IPSec प्रोटोकॉल टप्प्यातील IKEv2 यंत्रणा क्लायंट राउटरवरील योग्य सेटिंग्ज वापरून वापरली जातात किंवा क्लायंटच्या ऍप्लिकेशनमध्ये निर्दिष्ट केलेल्या खाजगी BGP AS वरून MPLS मध्ये BGP द्वारे जाहिरात केली जाते. . अशा प्रकारे, क्लायंट नेटवर्कच्या मार्गांबद्दलची माहिती क्लायंटद्वारे क्लायंट राउटरच्या सेटिंग्जद्वारे पूर्णपणे नियंत्रित केली जाते.
त्याच्या व्यवस्थापकाकडून प्रतिसाद म्हणून, क्लायंटला त्याच्या फॉर्मच्या VRF मध्ये समाविष्ट करण्यासाठी लेखा डेटा प्राप्त होतो:
- VPN-HUB IP पत्ता
- लॉग इन
- प्रमाणीकरण पासवर्ड
CPE कॉन्फिगर करते, खाली, उदाहरणार्थ, दोन मूलभूत कॉन्फिगरेशन पर्याय:
सिस्कोसाठी पर्याय:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
पत्ता 62.141.99.183 -व्हीपीएन हब बीलाइन
pre-shared-key <प्रमाणीकरण पासवर्ड>
!
स्टॅटिक रूटिंग पर्यायासाठी, Vpn-हबद्वारे प्रवेशयोग्य नेटवर्कचे मार्ग IKEv2 कॉन्फिगरेशनमध्ये निर्दिष्ट केले जाऊ शकतात आणि ते स्वयंचलितपणे CE राउटिंग टेबलमध्ये स्थिर मार्ग म्हणून दिसून येतील. या सेटिंग्ज स्थिर मार्ग सेट करण्याच्या मानक पद्धतीचा वापर करून देखील केल्या जाऊ शकतात (खाली पहा).

क्रिप्टो ikev2 अधिकृतता धोरण FlexClient-लेखक

CE राउटरच्या मागे नेटवर्कचा मार्ग – CE आणि PE दरम्यान स्थिर राउटिंगसाठी अनिवार्य सेटिंग. जेव्हा IKEv2 परस्परसंवादाद्वारे बोगदा उभा केला जातो तेव्हा PE कडे मार्ग डेटाचे हस्तांतरण स्वयंचलितपणे केले जाते.

मार्ग सेट रिमोट ipv4 10.1.1.0 255.255.255.0 - ऑफिस स्थानिक नेटवर्क
!
क्रिप्टो ikev2 प्रोफाइल BeelineIPSec_profile
ओळख स्थानिक <लॉगिन>
प्रमाणीकरण स्थानिक प्री-शेअर
प्रमाणीकरण रिमोट प्री-शेअर
keyring स्थानिक BeelineIPsec_keyring
aaa अधिकृतता गट psk यादी गट-लेखक-सूची FlexClient-लेखक
!
क्रिप्टो ikev2 क्लायंट flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
क्लायंट कनेक्ट Tunnel1
!
क्रिप्टो ipsec ट्रान्सफॉर्म-सेट TRANSFORM1 esp-aes 256 esp-sha256-hmac
मोड बोगदा
!
क्रिप्टो ipsec प्रोफाइल डीफॉल्ट
transform-set TRANSFORM1 सेट करा
ikev2-profile BeelineIPSec_profile सेट करा
!
इंटरफेस टनेल1
आयपी पत्ता 10.20.1.2 255.255.255.252 - बोगद्याचा पत्ता
बोगदा स्रोत GigabitEthernet0/2 - इंटरनेट प्रवेश इंटरफेस
टनल मोड ipsec ipv4
बोगदा गंतव्य डायनॅमिक
टनल संरक्षण ipsec प्रोफाइल डीफॉल्ट
!
Beeline VPN concentrator द्वारे प्रवेश करण्यायोग्य क्लायंटच्या खाजगी नेटवर्कचे मार्ग स्थिरपणे सेट केले जाऊ शकतात.

ip मार्ग 172.16.0.0 255.255.0.0 बोगदा1
ip मार्ग 192.168.0.0 255.255.255.0 बोगदा1

Huawei साठी पर्याय (ar160/120):
ike local-name <login>
#
acl नाव ipsec 3999
नियम 1 परवानगी ip स्रोत 10.1.1.0 0.0.0.255 - ऑफिस स्थानिक नेटवर्क
#
aaa
सेवा योजना IPSEC
मार्ग सेट acl 3999
#
ipsec प्रस्ताव ipsec
esp प्रमाणीकरण-अल्गोरिदम sha2-256
esp एनक्रिप्शन-अल्गोरिदम aes-256
#
ike प्रस्ताव डीफॉल्ट
एन्क्रिप्शन-अल्गोरिदम aes-256
dh गट2
प्रमाणीकरण-अल्गोरिदम sha2-256
प्रमाणीकरण-पद्धत प्री-शेअर
इंटिग्रिटी-अल्गोरिदम hmac-sha2-256
prf hmac-sha2-256
#
ike पीअर ipsec
पूर्व-सामायिक-की साधी <प्रमाणीकरण पासवर्ड>
स्थानिक-आयडी-प्रकार fqdn
रिमोट-आयडी-प्रकार आयपी
रिमोट-पत्ता 62.141.99.183 -व्हीपीएन हब बीलाइन
सेवा योजना IPSEC
कॉन्फिग-एक्स्चेंज विनंती
कॉन्फिग-एक्स्चेंज सेट स्वीकारा
कॉन्फिग-एक्स्चेंज सेट पाठवा
#
ipsec प्रोफाइल ipsecprof
ike-peer ipsec
प्रस्ताव ipsec
#
इंटरफेस टनेल0/0/0
आयपी पत्ता 10.20.1.2 255.255.255.252 - बोगद्याचा पत्ता
बोगदा-प्रोटोकॉल ipsec
स्रोत GigabitEthernet0/0/1 - इंटरनेट प्रवेश इंटरफेस
ipsec प्रोफाइल ipsecprof
#
बीलाइन व्हीपीएन कॉन्सेंट्रेटरद्वारे प्रवेश करण्यायोग्य क्लायंटच्या खाजगी नेटवर्कचे मार्ग स्थिरपणे सेट केले जाऊ शकतात

ip मार्ग-स्थिर 192.168.0.0 255.255.255.0 टनेल0/0/0
ip मार्ग-स्थिर 172.16.0.0 255.255.0.0 टनेल0/0/0

परिणामी संप्रेषण आकृती असे काहीतरी दिसते:

जर क्लायंटकडे मूलभूत कॉन्फिगरेशनची काही उदाहरणे नसतील, तर आम्ही सहसा त्यांच्या निर्मितीमध्ये मदत करतो आणि त्यांना इतर प्रत्येकासाठी उपलब्ध करून देतो.

फक्त सीपीईला इंटरनेटशी कनेक्ट करणे, व्हीपीएन बोगद्याच्या प्रतिसाद भागाला पिंग करणे आणि व्हीपीएनच्या आत असलेल्या कोणत्याही होस्टला पिंग करणे आणि इतकेच, आम्ही असे मानू शकतो की कनेक्शन केले गेले आहे.

Huawei CPE वापरून आम्ही ही योजना IPSec आणि MultiSIM रिडंडन्सीसोबत कशी एकत्र केली ते आम्ही तुम्हाला पुढील लेखात सांगू: आम्ही ग्राहकांसाठी आमचे Huawei CPE इंस्टॉल करतो, जे केवळ वायर्ड इंटरनेट चॅनेलच नाही तर 2 भिन्न सिम कार्ड आणि CPE देखील वापरू शकतात. परिणामी सेवेची उच्च दोष सहिष्णुता लक्षात घेऊन वायर्ड WAN द्वारे किंवा रेडिओ (LTE#1/LTE#2) द्वारे IPSec- बोगदा स्वयंचलितपणे पुनर्बांधणी करते.

हा लेख तयार केल्याबद्दल आमच्या RnD सहकाऱ्यांचे विशेष आभार (आणि खरे तर या तांत्रिक उपायांच्या लेखकांना)!

स्त्रोत: www.habr.com

IPSec द्वारे Beeline IPVPN वर कसे जायचे. भाग 1

कोणाला उपयोगी पडेल?

एक टिप्पणी जोडा Отменить ответ