ProHoster > Blog > administratë > Si të arrini në Beeline IPVPN përmes IPSec. Pjesa 1

Si të arrini në Beeline IPVPN përmes IPSec. Pjesa 1

Përshëndetje! NË postimi i mëparshëm Përshkrova pjesërisht punën e shërbimit tonë MultiSIM rezervime и balancimi kanalet. Siç u përmend, ne lidhim klientët në rrjet përmes VPN, dhe sot do t'ju tregoj pak më shumë për VPN dhe aftësitë tona në këtë pjesë.

Vlen të fillojmë me faktin se ne, si operator telekomi, kemi rrjetin tonë të madh MPLS, i cili për klientët e linjës fikse është i ndarë në dy segmente kryesore - ai që përdoret drejtpërdrejt për të hyrë në internet dhe ai që është përdoret për të krijuar rrjete të izoluara — dhe është përmes këtij segmenti MPLS që trafiku IPVPN (L3 OSI) dhe VPLAN (L2 OSI) rrjedh për klientët tanë të korporatës.

Si të arrini në Beeline IPVPN përmes IPSec. Pjesa 1
Në mënyrë tipike, një lidhje klienti ndodh si më poshtë.

Një linjë aksesi vendoset në zyrën e klientit nga pika më e afërt e pranisë së rrjetit (nyja MEN, RRL, BSSS, FTTB, etj.) dhe më tej, kanali regjistrohet përmes rrjetit të transportit në PE-MPLS përkatëse. ruter, mbi të cilin e nxjerrim atë në një të krijuar posaçërisht për klientin VRF, duke marrë parasysh profilin e trafikut që i nevojitet klientit (etiketat e profilit zgjidhen për çdo portë aksesi, bazuar në vlerat e përparësisë ip 0,1,3,5, XNUMX).

Nëse për ndonjë arsye nuk mund të organizojmë plotësisht miljen e fundit për klientin, për shembull, zyra e klientit ndodhet në një qendër biznesi, ku një ofrues tjetër është një prioritet, ose thjesht nuk e kemi pikën tonë të pranisë afër, atëherë klientët më parë duhej të krijonte disa rrjete IPVPN në ofrues të ndryshëm (jo arkitektura më kosto-efektive) ose të zgjidhte në mënyrë të pavarur çështjet me organizimin e aksesit në VRF-në tuaj nëpërmjet internetit.

Shumë e bënë këtë duke instaluar një portë Interneti IPVPN - ata instaluan një ruter kufitar (hardware ose ndonjë zgjidhje të bazuar në Linux), lidhën një kanal IPVPN me të me një portë dhe një kanal interneti me tjetrin, nisën serverin e tyre VPN në të dhe u lidhën përdoruesit përmes portës së tyre VPN. Natyrisht, një skemë e tillë krijon edhe ngarkesa: një infrastrukturë e tillë duhet të ndërtohet dhe, më e pavolitshme, të funksionojë dhe zhvillohet.

Për ta bërë jetën më të lehtë për klientët tanë, ne instaluam një shpërndarës VPN të centralizuar dhe organizuam mbështetje për lidhjet përmes internetit duke përdorur IPSec, domethënë, tani klientët duhet vetëm të konfigurojnë ruterin e tyre për të punuar me qendrën tonë VPN përmes një tuneli IPSec mbi çdo Internet publik. , dhe ne Le të lëshojmë trafikun e këtij klienti në VRF-në e tij.

Kush do të ketë nevojë

  • Për ata që tashmë kanë një rrjet të madh IPVPN dhe kanë nevojë për lidhje të reja në një kohë të shkurtër.
  • Kushdo që, për ndonjë arsye, dëshiron të transferojë një pjesë të trafikut nga Interneti publik në IPVPN, por ka hasur më parë kufizime teknike të lidhura me disa ofrues shërbimesh.
  • Për ata që aktualisht kanë disa rrjete të ndryshme VPN nga operatorë të ndryshëm telekomi. Ka klientë që kanë organizuar me sukses IPVPN nga Beeline, Megafon, Rostelecom, etj. Për ta bërë më të lehtë, mund të qëndroni vetëm në VPN-në tonë të vetme, të kaloni të gjitha kanalet e tjera të operatorëve të tjerë në internet dhe më pas të lidheni me Beeline IPVPN përmes IPSec dhe Internetit nga këta operatorë.
  • Për ata që tashmë kanë një rrjet IPVPN të mbivendosur në internet.

Nëse vendosni gjithçka me ne, atëherë klientët marrin mbështetje të plotë VPN, tepricë serioze të infrastrukturës dhe cilësime standarde që do të funksionojnë në çdo ruter me të cilin janë mësuar (qoftë Cisco, madje edhe Mikrotik, gjëja kryesore është që ai mund të mbështesë siç duhet IPSec/IKEv2 me metoda të standardizuara të vërtetimit). Nga rruga, në lidhje me IPSec - tani ne e mbështesim vetëm atë, por planifikojmë të nisim funksionimin e plotë të OpenVPN dhe Wireguard, në mënyrë që klientët të mos mund të varen nga protokolli dhe është edhe më e lehtë të marrim dhe transferojmë gjithçka tek ne, dhe ne duam gjithashtu të fillojmë lidhjen e klientëve nga kompjuterët dhe pajisjet celulare (zgjidhje të integruara në OS, Cisco AnyConnect dhe strongSwan dhe të ngjashme). Me këtë qasje, ndërtimi de facto i infrastrukturës mund t'i dorëzohet në mënyrë të sigurt operatorit, duke lënë vetëm konfigurimin e CPE ose host.

Si funksionon procesi i lidhjes për modalitetin IPSec:

  1. Klienti i lë një kërkesë menaxherit të tij në të cilën ai tregon shpejtësinë e kërkuar të lidhjes, profilin e trafikut dhe parametrat e adresimit IP për tunelin (si parazgjedhje, një nënrrjet me një maskë /30) dhe llojin e rrugëtimit (statike ose BGP). Për të transferuar rrugët në rrjetet lokale të klientit në zyrën e lidhur, mekanizmat IKEv2 të fazës së protokollit IPSec përdoren duke përdorur cilësimet e duhura në ruterin e klientit, ose ato reklamohen nëpërmjet BGP në MPLS nga BGP AS private e specifikuar në aplikacionin e klientit. . Kështu, informacioni në lidhje me rrugët e rrjeteve të klientit kontrollohet plotësisht nga klienti përmes cilësimeve të ruterit të klientit.
  2. Në përgjigje nga menaxheri i tij, klienti merr të dhëna kontabël për t'i përfshirë në VRF-në e tij të formularit:
    • Adresa IP VPN-HUB
    • Hyrje
    • Fjalëkalimi i vërtetimit
  3. Konfiguron CPE, më poshtë, për shembull, dy opsione bazë të konfigurimit:

    Opsioni për Cisco:
    kripto ikev2 taskëtar BeelineIPsec_keyring
    bashkëmoshatar Beeline_VPNHub
    adresa 62.141.99.183 –VPN qendër Beeline
    tastin paraprakisht të përbashkët <Fjalëkalimi i vërtetimit>
    !
    Për opsionin e rrugëtimit statik, rrugët drejt rrjeteve të aksesueshme përmes Vpn-hub mund të specifikohen në konfigurimin IKEv2 dhe ato do të shfaqen automatikisht si rrugë statike në tabelën e rrugëtimit CE. Këto cilësime mund të bëhen gjithashtu duke përdorur metodën standarde të vendosjes së rrugëve statike (shih më poshtë).

    Politika e autorizimit kripto ikev2 FlexClient-autor

    Rruga drejt rrjeteve pas ruterit CE – një cilësim i detyrueshëm për drejtimin statik midis CE dhe PE. Transferimi i të dhënave të rrugës në PE kryhet automatikisht kur tuneli ngrihet përmes ndërveprimit IKEv2.

    grupi i rrugës në distancë ipv4 10.1.1.0 255.255.255.0 – Rrjeti lokal i zyrës
    !
    kripto ikev2 profili BeelineIPSec_profile
    identiteti lokal <login>
    autentifikimi lokal para-share
    autentifikimi në distancë paraprakisht
    kyçja lokale BeelineIPsec_keyring
    aaa grup autorizimi psk list group-author-list FlexClient-author
    !
    klienti kripto ikev2 flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    Tuneli i lidhjes së klientit 1
    !
    kripto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tuneli i modalitetit
    !
    Profili i paracaktuar i crypto ipsec
    vendos transform-bashkësi TRANSFORM1
    vendos ikev2-profile BeelineIPSec_profile
    !
    Ndërfaqja Tuneli 1
    adresa ip 10.20.1.2 255.255.255.252 – Adresa e tunelit
    burimi i tunelit GigabitEthernet0/2 – Ndërfaqja e aksesit në internet
    modaliteti i tunelit ipsec ipv4
    Dinamika e destinacionit të tunelit
    Profili i paracaktuar i mbrojtjes së tunelit ipsec
    !
    Rrugët drejt rrjeteve private të klientit të aksesueshme përmes koncentruesit VPN të Beeline mund të vendosen në mënyrë statike.

    ip route 172.16.0.0 255.255.0.0 Tuneli1
    ip route 192.168.0.0 255.255.255.0 Tuneli1

    Opsioni për Huawei (ar160/120):
    si emri lokal <login>
    #
    Emri acl ipsec 3999
    rregulli 1 burimi i lejes ip 10.1.1.0 0.0.0.255 – Rrjeti lokal i zyrës
    #
    aaa
    shërbim-skema IPSEC
    set itinerari acl 3999
    #
    propozim ipsec ipsec
    esp authentication-algorithm sha2-256
    esp encryption-algorithm aes-256
    #
    ike propozimi i paracaktuar
    enkriptim-algoritmi aes-256
    dh grupi2
    autentifikimi-algoritmi sha2-256
    authentication-metod para-share
    integriteti-algoritmi hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    <Fjalëkalimi i vërtetimit> i thjeshtë me çelës të përbashkët paraprak
    fqdn i tipit lokal-id
    ip i tipit remote-id
    adresa e largët 62.141.99.183 –VPN qendër Beeline
    shërbim-skema IPSEC
    kërkesë për konfigurim-shkëmbim
    set konfigurimi-shkëmbimi pranoj
    config-exchange set send
    #
    profili ipsec ipsecprof
    ike-peer ipsec
    propozimi ipsec
    #
    ndërfaqja Tuneli0/0/0
    adresa ip 10.20.1.2 255.255.255.252 – Adresa e tunelit
    tunel-protokolli ipsec
    burimi GigabitEthernet0/0/1 – Ndërfaqja e aksesit në internet
    profili ipsec ipsecprof
    #
    Rrugët drejt rrjeteve private të klientit të aksesueshme përmes koncentruesit VPN Beeline mund të vendosen në mënyrë statike

    ip route-static 192.168.0.0 255.255.255.0 Tuneli0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tuneli0/0/0

Diagrami i komunikimit që rezulton duket diçka si kjo:

Si të arrini në Beeline IPVPN përmes IPSec. Pjesa 1

Nëse klienti nuk ka disa shembuj të konfigurimit bazë, atëherë ne zakonisht ndihmojmë në formimin e tyre dhe i bëjmë të disponueshme për të gjithë të tjerët.

Mbetet vetëm të lidhni CPE me internetin, të bëni ping në pjesën e përgjigjes së tunelit VPN dhe çdo host brenda VPN, dhe kaq, mund të supozojmë se lidhja është bërë.

Në artikullin vijues do t'ju tregojmë se si e kemi kombinuar këtë skemë me IPSec dhe MultiSIM Redundancy duke përdorur Huawei CPE: ne instalojmë Huawei CPE për klientët, të cilët mund të përdorin jo vetëm një kanal interneti me tela, por edhe 2 karta SIM të ndryshme dhe CPE rindërton automatikisht tunelin IPSec ose nëpërmjet WAN me tela ose nëpërmjet radios (LTE#1/LTE#2), duke realizuar tolerancë të lartë ndaj gabimeve të shërbimit që rezulton.

Falenderime të veçanta për kolegët tanë të RnD për përgatitjen e këtij artikulli (dhe, në fakt, për autorët e këtyre zgjidhjeve teknike)!

Burimi: www.habr.com

Shto një koment