ProHoster > blog > Amministrazzjoni > Kif tasal għal Beeline IPVPN permezz tal-IPSec. Parti 1

Kif tasal għal Beeline IPVPN permezz tal-IPSec. Parti 1

Bongu! IN post preċedenti Iddeskrivejt ix-xogħol tas-servizz MultiSIM tagħna parzjalment riżervi и ibbilanċjar kanali. Kif issemma, aħna nikkonnettjaw lill-klijenti man-netwerk permezz ta 'VPN, u llum se ngħidlek ftit aktar dwar VPN u l-kapaċitajiet tagħna f'din il-parti.

Ta 'min nibdew mill-fatt li aħna, bħala operatur tat-telekomunikazzjoni, għandna n-netwerk MPLS enormi tagħna stess, li għall-klijenti tal-linja fissa huwa maqsum f'żewġ segmenti ewlenin - dak li jintuża direttament biex jaċċessa l-Internet, u dak li huwa użati biex jinħolqu netwerks iżolati - u huwa permezz ta 'dan is-segment MPLS li IPVPN (L3 OSI) u VPLAN (L2 OSI) flussi tat-traffiku għall-klijenti korporattivi tagħna.

Kif tasal għal Beeline IPVPN permezz tal-IPSec. Parti 1
Tipikament, konnessjoni tal-klijent isseħħ kif ġej.

Linja ta' aċċess titqiegħed għall-uffiċċju tal-klijent mill-eqreb Punt ta 'Preżenza tan-netwerk (node ​​​​MEN, RRL, BSSS, FTTB, eċċ.) U barra minn hekk, il-kanal huwa rreġistrat permezz tan-netwerk tat-trasport għall-PE-MPLS korrispondenti router, li fuqu noħorġuh lil klijent maħluq apposta għall-klijent VRF, b'kont meħud tal-profil tat-traffiku li jeħtieġ il-klijent (it-tikketti tal-profil jintgħażlu għal kull port ta 'aċċess, ibbażati fuq il-valuri ta' preċedenza ip 0,1,3,5, XNUMX).

Jekk għal xi raġuni ma nistgħux norganizzaw bis-sħiħ l-aħħar mil għall-klijent, pereżempju, l-uffiċċju tal-klijent jinsab f'ċentru tan-negozju, fejn fornitur ieħor huwa prijorità, jew sempliċement ma jkollniex il-punt ta 'preżenza tagħna fil-qrib, allura qabel klijenti kellha toħloq diversi netwerks IPVPN fi fornituri differenti (mhux l-aktar arkitettura kosteffettiva) jew issolvi kwistjonijiet b'mod indipendenti bl-organizzazzjoni tal-aċċess għall-VRF tiegħek fuq l-Internet.

Ħafna għamlu dan billi installaw portal tal-Internet IPVPN - installaw router tal-fruntiera (ħardwer jew xi soluzzjoni bbażata fuq Linux), qabbdu kanal IPVPN miegħu b'port wieħed u kanal tal-Internet mal-ieħor, nedew is-server VPN tagħhom fuqu u konnessi miegħu. utenti permezz tal-portal VPN tagħhom stess. Naturalment, skema bħal din toħloq ukoll piżijiet: infrastruttura bħal din trid tinbena u, l-aktar inkonvenjenti, titħaddem u tiġi żviluppata.

Biex nagħmlu l-ħajja eħfef għall-klijenti tagħna, installajna ċentru VPN ċentralizzat u organizzajna appoġġ għal konnessjonijiet fuq l-Internet bl-użu ta’ IPSec, jiġifieri, issa l-klijenti jridu biss jikkonfiguraw ir-router tagħhom biex jaħdmu ma’ hub VPN tagħna permezz ta’ mina IPSec fuq kwalunkwe Internet pubbliku. , u aħna Ejja nirrilaxxaw it-traffiku ta 'dan il-klijent lill-VRF tiegħu.

Min se jkollu bżonn

  • Għal dawk li diġà għandhom netwerk IPVPN kbir u jeħtieġu konnessjonijiet ġodda fi żmien qasir.
  • Kull min, għal xi raġuni, irid jittrasferixxi parti mit-traffiku mill-Internet pubbliku għall-IPVPN, iżda qabel iltaqa’ ma’ limitazzjonijiet tekniċi assoċjati ma’ diversi fornituri tas-servizz.
  • Għal dawk li bħalissa għandhom diversi netwerks VPN differenti madwar operaturi tat-telekomunikazzjoni differenti. Hemm klijenti li organizzaw b'suċċess IPVPN minn Beeline, Megafon, Rostelecom, eċċ. Biex tagħmilha aktar faċli, tista 'toqgħod biss fuq il-VPN uniku tagħna, taqleb il-kanali l-oħra kollha ta' operaturi oħra għall-Internet, u mbagħad tikkonnettja ma 'Beeline IPVPN permezz tal-IPSec u l-Internet minn dawn l-operaturi.
  • Għal dawk li diġà għandhom netwerk IPVPN overlaid fuq l-Internet.

Jekk tuża kollox magħna, allura l-klijenti jirċievu appoġġ sħiħ għal VPN, redundancy serja tal-infrastruttura, u settings standard li jaħdmu fuq kwalunkwe router li jkunu mdorrijin bih (kemm jekk ikun Cisco, anke Mikrotik, il-ħaġa prinċipali hija li tista 'tappoġġja sew). IPSec/IKEv2 b’metodi ta’ awtentikazzjoni standardizzati). Mill-mod, dwar IPSec - bħalissa aħna nappoġġjawha biss, iżda qed nippjanaw li nniedu operazzjoni sħiħa kemm ta 'OpenVPN kif ukoll ta' Wireguard, sabiex il-klijenti ma jkunux jistgħu jiddependu fuq il-protokoll u huwa saħansitra aktar faċli li tieħu u tittrasferixxi kollox lilna, u rridu wkoll nibdew nikkonnettjaw klijenti minn kompjuters u apparat mobbli (soluzzjonijiet mibnija fis-OS, Cisco AnyConnect u strongSwan u simili). B'dan l-approċċ, il-kostruzzjoni de facto tal-infrastruttura tista 'tiġi mgħoddija b'mod sikur lill-operatur, u tħalli biss il-konfigurazzjoni tas-CPE jew tal-host.

Kif jaħdem il-proċess ta' konnessjoni għall-modalità IPSec:

  1. Il-klijent iħalli talba lill-maniġer tiegħu li fiha jindika l-veloċità tal-konnessjoni meħtieġa, il-profil tat-traffiku u l-parametri tal-indirizzar tal-IP għall-mina (b'mod awtomatiku, subnet b'maskra /30) u t-tip ta 'routing (statiku jew BGP). Biex tittrasferixxi r-rotot għan-netwerks lokali tal-klijent fl-uffiċċju konness, il-mekkaniżmi IKEv2 tal-fażi tal-protokoll IPSec jintużaw bl-użu tas-settings xierqa fuq ir-router tal-klijent, jew jiġu reklamati permezz tal-BGP f'MPLS mill-BGP privat AS speċifikat fl-applikazzjoni tal-klijent . Għalhekk, l-informazzjoni dwar ir-rotot tan-netwerks tal-klijenti hija kompletament ikkontrollata mill-klijent permezz tas-settings tar-router tal-klijent.
  2. Bi tweġiba mill-maniġer tiegħu, il-klijent jirċievi data tal-kontabilità għall-inklużjoni fil-VRF tiegħu tal-formola:
    • Indirizz IP VPN-HUB
    • Login
    • Password tal-awtentikazzjoni
  3. Jikkonfigura CPE, hawn taħt, pereżempju, żewġ għażliet bażiċi ta 'konfigurazzjoni:

    Għażla għal Cisco:
    kripto ikev2 keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    indirizz 62.141.99.183 –VPN hub Beeline
    pre-shared-key <Password tal-awtentikazzjoni>
    !
    Għall-għażla tar-rotot statiku, rotot għal netwerks aċċessibbli permezz tal-Vpn-hub jistgħu jiġu speċifikati fil-konfigurazzjoni IKEv2 u awtomatikament jidhru bħala rotot statiċi fit-tabella tar-rotot CE. Dawn is-settings jistgħu jsiru wkoll bl-użu tal-metodu standard ta’ kif jiġu stabbiliti rotot statiċi (ara hawn taħt).

    kripto ikev2 awtorizzazzjoni politika FlexClient-awtur

    Rotta lejn netwerks wara r-router CE – issettjar obbligatorju għal routing statiku bejn CE u PE. It-trasferiment tad-dejta tar-rotta lejn il-PE jitwettaq awtomatikament meta l-mina tittella' permezz tal-interazzjoni IKEv2.

    sett tar-rotta remot ipv4 10.1.1.0 255.255.255.0 -Netwerk lokali tal-uffiċċju
    !
    crypto ikev2 profil BeelineIPSec_profile
    identità lokali <login>
    awtentikazzjoni pre-share lokali
    awtentikazzjoni remota pre-share
    keyring lokali BeelineIPsec_keyring
    aaa grupp ta' awtorizzazzjoni psk lista grupp-awtur-lista FlexClient-awtur
    !
    kripto ikev2 klijent flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    klijent jgħaqqad Tunnel1
    !
    kripto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    mina tal-modalità
    !
    kripto ipsec profil default
    sett transform-sett TRANSFORM1
    issettja ikev2-profile BeelineIPSec_profile
    !
    interface Tunnel1
    indirizz IP 10.20.1.2 255.255.255.252 –L-indirizz tal-mina
    sors tal-mina GigabitEthernet0/2 – Interfaċċja għall-aċċess għall-Internet
    modalità mina ipsec ipv4
    dinamika tad-destinazzjoni tal-mina
    protezzjoni tal-mina profil ipsec default
    !
    Ir-rotot għan-netwerks privati ​​tal-klijent aċċessibbli permezz tal-konċentratur Beeline VPN jistgħu jiġu stabbiliti b'mod statiku.

    ip rotta 172.16.0.0 255.255.0.0 Tunnel1
    ip rotta 192.168.0.0 255.255.255.0 Tunnel1

    Għażla għal Huawei (ar160/120):
    ike local-name <login>
    #
    isem acl ipsec 3999
    regola 1 permess ip sors 10.1.1.0 0.0.0.255 -Netwerk lokali tal-uffiċċju
    #
    aaa
    skema ta' servizz IPSEC
    sett tar-rotta acl 3999
    #
    ipsec proposta ipsec
    esp awtentikazzjoni-algoritmu sha2-256
    esp encryption-algoritmu aes-256
    #
    ike proposta default
    encryption-algoritmu aes-256
    dh grupp2
    awtentikazzjoni-algoritmu sha2-256
    awtentikazzjoni-metodu pre-share
    integrità-algoritmu hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    pre-shared-key sempliċi <Password ta' awtentikazzjoni>
    lokali-id-tip fqdn
    remote-id-tip ip
    indirizz remot 62.141.99.183 –VPN hub Beeline
    skema ta' servizz IPSEC
    talba ta' skambju ta' konfigurazzjoni
    konfig-skambju sett jaċċetta
    konfig-skambju sett ibgħat
    #
    profil ipsec ipsecprof
    ike-peer ipsec
    proposta ipsec
    #
    interface Tunnel0/0/0
    indirizz IP 10.20.1.2 255.255.255.252 –L-indirizz tal-mina
    mina-protokoll ipsec
    sors GigabitEthernet0/0/1 – Interfaċċja għall-aċċess għall-Internet
    profil ipsec ipsecprof
    #
    Ir-rotot għan-netwerks privati ​​tal-klijent aċċessibbli permezz tal-konċentratur Beeline VPN jistgħu jiġu stabbiliti b'mod statiku

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Id-dijagramma tal-komunikazzjoni li tirriżulta tidher xi ħaġa bħal din:

Kif tasal għal Beeline IPVPN permezz tal-IPSec. Parti 1

Jekk il-klijent ma jkollux xi eżempji tal-konfigurazzjoni bażika, allura aħna ġeneralment ngħinu fil-formazzjoni tagħhom u nagħmluhom disponibbli għal kulħadd.

Dak kollu li jibqa 'huwa li tikkonnettja s-CPE mal-Internet, ping mal-parti tar-rispons tal-mina VPN u kwalunkwe host ġewwa l-VPN, u dak hu, nistgħu nassumu li l-konnessjoni saret.

Fl-artiklu li jmiss se ngħidulek kif għaqqadna din l-iskema ma 'IPSec u MultiSIM Redundancy bl-użu ta' Huawei CPE: aħna ninstallaw Huawei CPE tagħna għall-klijenti, li jistgħu jużaw mhux biss kanal tal-Internet bil-fili, iżda wkoll 2 SIM cards differenti, u s-CPE awtomatikament jibni mill-ġdid l-IPSec-tunnel jew permezz tal-WAN bil-fili jew permezz tar-radju (LTE#1/LTE#2), billi tirrealizza tolleranza għolja għall-ħsarat tas-servizz li jirriżulta.

Grazzi speċjali lill-kollegi tagħna RnD talli ppreparaw dan l-artikolu (u, fil-fatt, lill-awturi ta 'dawn is-soluzzjonijiet tekniċi)!

Sors: www.habr.com

Żid kumment