ProHoster > Blog > Administrasi > Kumaha carana meunang ka Beeline IPVPN via IPSec. Bagian 1

Kumaha carana meunang ka Beeline IPVPN via IPSec. Bagian 1

Halo! DI pos saméméhna Kuring ngajelaskeun karya jasa MultiSIM kami sabagian reservations и nyaimbangkeun saluran. Sakumaha didadarkeun di, urang nyambungkeun klien ka jaringan via VPN, sarta kiwari kuring bakal ngabejaan Anjeun saeutik ngeunaan VPN jeung kamampuhan urang dina bagian ieu.

Éta patut dimimitian ku kanyataan yén kami, salaku operator telekomunikasi, gaduh jaringan MPLS anu ageung, anu pikeun konsumén garis tetep dibagi jadi dua bagéan utama - anu dianggo langsung pikeun ngaksés Internét, sareng anu sanés. dipaké pikeun nyieun jaringan terasing - sarta ngaliwatan bagéan MPLS ieu IPVPN (L3 OSI) jeung VPLAN (L2 OSI) lalulintas ngalir pikeun klien perusahaan urang.

Kumaha carana meunang ka Beeline IPVPN via IPSec. Bagian 1
Ilaharna, sambungan klien lumangsung saperti kieu.

Jalur aksés ditetepkeun ka kantor klien tina Titik Hadir anu pangcaketna tina jaringan (titik MEN, RRL, BSSS, FTTB, jsb) sareng salajengna, saluran kadaptar ngaliwatan jaringan angkutan ka PE-MPLS anu saluyu. router, nu urang kaluaran ka husus dijieun pikeun klien VRF, nyokot kana akun profil lalulintas anu diperlukeun klien (profil labél dipilih pikeun tiap port aksés, dumasar kana nilai precedence ip 0,1,3,5, XNUMX).

Upami kusabab sababaraha alesan urang teu tiasa pinuh ngatur mil terakhir pikeun klien, contona, kantor klien ayana di pusat bisnis, dimana panyadia anu sanés mangrupikeun prioritas, atanapi urang ngan saukur henteu gaduh titik ayana caket dieu, teras sateuacana klien kapaksa nyieun sababaraha jaringan IPVPN di panyadia béda (sanes arsitéktur paling ongkos-éféktif) atawa bebas ngabéréskeun masalah jeung ngatur aksés ka VRF anjeun ngaliwatan Internet.

Seueur anu ngalakukeun ieu ku cara masang gateway Internét IPVPN - aranjeunna masang router wates (hardware atanapi sababaraha solusi berbasis Linux), nyambungkeun saluran IPVPN kana hiji port sareng saluran Internét sareng anu sanés, ngaluncurkeun server VPN na di dinya sareng nyambungkeun. pamaké ngaliwatan gateway VPN sorangan. Alami, skéma sapertos kitu ogé nyiptakeun beban: infrastruktur sapertos kitu kedah diwangun sareng, paling henteu pikaresepeun, dioperasikeun sareng dikembangkeun.

Pikeun ngagampangkeun kahirupan pikeun klien kami, kami masang hub VPN terpusat sareng ngatur dukungan pikeun sambungan dina Internét nganggo IPSec, nyaéta, ayeuna klien ngan ukur kedah ngonpigurasikeun routerna pikeun damel sareng hub VPN kami liwat torowongan IPSec dina Internét umum. , sarta kami Hayu urang ngaleupaskeun lalulintas klien ieu VRF na.

Anu bakal butuh

  • Pikeun anu parantos gaduh jaringan IPVPN ageung sareng peryogi sambungan énggal dina waktos anu singget.
  • Saha waé anu, kusabab sababaraha alesan, hoyong nransferkeun bagian tina lalu lintas tina Internét umum ka IPVPN, tapi sateuacana ngalaman watesan téknis anu aya hubunganana sareng sababaraha panyadia jasa.
  • Pikeun anu ayeuna gaduh sababaraha jaringan VPN anu béda-béda dina operator telekomunikasi anu béda. Aya klien anu parantos suksés ngatur IPVPN ti Beeline, Megafon, Rostelecom, jsb. Pikeun ngagampangkeun, anjeun ngan ukur tiasa cicing dina VPN tunggal kami, gentos sadaya saluran operator anu sanés ka Internét, teras sambungkeun ka Beeline IPVPN via IPSec sareng Internét tina operator ieu.
  • Pikeun anu parantos gaduh jaringan IPVPN anu dilapis dina Internét.

Upami anjeun nyebarkeun sadayana sareng kami, maka klien nampi dukungan VPN anu lengkep, redundansi infrastruktur anu serius, sareng setélan standar anu bakal dianggo dina router anu biasa aranjeunna biasa (naha éta Cisco, bahkan Mikrotik, hal utama nyaéta yén éta leres tiasa ngadukung. IPSec/IKEv2 kalawan métode auténtikasi standar). Ngomong-ngomong, ngeunaan IPSec - ayeuna urang ngan ukur ngadukung, tapi urang ngarencanakeun pikeun ngaluncurkeun operasi pinuh ku OpenVPN sareng Wireguard, ku kituna para klien henteu tiasa gumantung kana protokol sareng éta langkung gampang nyandak sareng nransferkeun sadayana ka kami. sarta kami ogé rék ngamimitian nyambungkeun klien tina komputer tur alat nu bagerak (solusi diwangun kana OS, Cisco AnyConnect na strongSwan jeung kawas). Kalayan pendekatan ieu, pangwangunan de facto infrastruktur tiasa aman dipasrahkeun ka operator, ngan nyésakeun konfigurasi CPE atanapi host.

Kumaha prosés sambungan jalan pikeun mode IPSec:

  1. Klien ngantunkeun pamundut ka manajer na dimana anjeunna nunjukkeun laju sambungan anu diperyogikeun, profil lalu lintas sareng parameter alamat IP pikeun torowongan (sacara standar, subnet nganggo topeng /30) sareng jinis rute (statik atanapi BGP). Pikeun mindahkeun rute ka jaringan lokal klien di kantor disambungkeun, mékanisme IKEv2 fase protokol IPSec dipaké ngagunakeun setélan luyu dina router klien, atawa aranjeunna diémbarkeun via BGP di MPLS ti BGP swasta AS dieusian dina aplikasi klien. . Ku kituna, informasi ngeunaan ruteu jaringan klien sagemblengna dikawasa ku klien ngaliwatan setélan tina router klien.
  2. Dina respon ti manajer-Na, klien nu narima data akuntansi pikeun citakan dina VRF na formulir:
    • Alamat IP VPN-HUB
    • login
    • Sandi auténtikasi
  3. Ngonpigurasikeun CPE, di handap, contona, dua pilihan konfigurasi dasar:

    Pilihan pikeun Cisco:
    crypto ikev2 keyring BeelineIPsec_keyring
    tara Beeline_VPNHub
    alamat 62.141.99.183 - VPN hub Beeline
    tos dibagikeun-konci <Sandi auténtikasi>
    !
    Pikeun pilihan routing statik, ruteu ka jaringan diaksés ngaliwatan Vpn-hub bisa dieusian dina konfigurasi IKEv2 sarta aranjeunna bakal otomatis muncul salaku ruteu statik dina tabel routing CE. Setélan ieu ogé tiasa dilakukeun nganggo metodeu standar pikeun netepkeun rute statik (tingali di handap).

    kawijakan otorisasi crypto ikev2 FlexClient-panulis

    Rute ka jaringan tukangeun router CE - setelan wajib pikeun routing statik antara CE jeung PE. Mindahkeun data rute ka PE dilaksanakeun sacara otomatis nalika torowongan diangkat ngaliwatan interaksi IKEv2.

    jalur set jauh IPv4 10.1.1.0 255.255.255.0 - Jaringan lokal kantor
    !
    crypto ikev2 profil BeelineIPSec_profile
    idéntitas lokal <login>
    auténtikasi lokal pre-share
    auténtikasi jauh pre-share
    keyring lokal BeelineIPsec_keyring
    aaa grup otorisasi psk daptar grup-panulis-daftar FlexClient-panulis
    !
    klien crypto ikev2 flexvpn BeelineIPsec_flex
    tara 1 Beeline_VPNHub
    klien nyambungkeun Torowongan1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    torowongan mode
    !
    standar profil crypto ipsec
    set transform-set TRANSFORM1
    set ikev2-profil BeelineIPSec_profile
    !
    panganteur Torowongan1
    alamat ip 10.20.1.2 255.255.255.252 – Alamat torowongan
    sumber torowongan GigabitEthernet0/2 - Antarbeungeut aksés Internét
    mode torowongan ipsec ipv4
    tujuan torowongan dinamis
    propil ipsec panyalindungan torowongan standar
    !
    Rute ka jaringan pribadi klien nu bisa diasupan ngaliwatan Beeline VPN concentrator bisa diatur statis.

    ip rute 172.16.0.0 255.255.0.0 Torowongan1
    ip rute 192.168.0.0 255.255.255.0 Torowongan1

    Pilihan pikeun Huawei (ar160/120):
    ngaran lokal <login>
    #
    acl ngaran ipsec 3999
    aturan 1 ngidinan ip sumber 10.1.1.0 0.0.0.255 - Jaringan lokal kantor
    #
    aaa
    jasa-skéma IPSEC
    set jalur acl 3999
    #
    usul ipsec ipsec
    esp auténtikasi-algoritma sha2-256
    esp énkripsi-algoritma aes-256
    #
    usulna standar
    énkripsi-algoritma aes-256
    golongan dh 2
    auténtikasi-algoritma sha2-256
    auténtikasi-métode pre-share
    integritas-algoritma hmac-sha2-256
    prf hmac-sha2-256
    #
    keun peer ipsec
    pre-shared-key basajan <Authentication password>
    local-id-type fqdn
    jarak jauh-id-tipe ip
    jauh-alamat 62.141.99.183 - VPN hub Beeline
    jasa-skéma IPSEC
    pamundut config-tukeur
    config-exchange set narima
    config-exchange set ngirim
    #
    ipsec profil ipsecprof
    ike-peer ipsec
    usulan ipsec
    #
    panganteur Torowongan0/0/0
    alamat ip 10.20.1.2 255.255.255.252 – Alamat torowongan
    torowongan-protokol ipsec
    sumber GigabitEthernet0/0/1 - Antarbeungeut aksés Internét
    ipsec profil ipsecprof
    #
    Rute ka jaringan pribadi klien nu bisa diasupan ngaliwatan Beeline VPN concentrator bisa diatur statis

    ip route-statik 192.168.0.0 255.255.255.0 Torowongan0/0/0
    ip route-statik 172.16.0.0 255.255.0.0 Torowongan0/0/0

Diagram komunikasi anu dihasilkeun kasampak kawas kieu:

Kumaha carana meunang ka Beeline IPVPN via IPSec. Bagian 1

Mun klien nu teu boga sababaraha conto konfigurasi dasar, lajeng urang biasana mantuan formasi maranéhanana sarta nyieun sadia ka dulur sejenna.

Sadaya anu tetep nyaéta nyambungkeun CPE ka Internét, ping kana bagian réspon tina torowongan VPN sareng host mana waé anu aya di jero VPN, sareng éta, urang tiasa nganggap yén sambungan parantos dilakukeun.

Dina artikel salajengna urang bakal ngabejaan ka maneh kumaha urang ngagabungkeun skéma ieu kalawan IPSec na MultiSIM Redundancy ngagunakeun Huawei CPE: urang install Huawei CPE pikeun klien, nu bisa ngagunakeun teu ukur saluran Internet kabel, tapi ogé 2 kartu SIM béda, sarta CPE. otomatis rebuilds IPSec- torowongan boh via WAN kabel atawa via radio (LTE # 1 / LTE # 2), sadar kasabaran sesar tinggi tina jasa anu dihasilkeun.

Hatur nuhun khusus ka kolega RnD kami pikeun nyiapkeun tulisan ieu (sareng, kanyataanna, ka panulis solusi téknis ieu)!

sumber: www.habr.com

Tambahkeun komentar