ProHoster > blog > Utawala > Jinsi ya kupata Beeline IPVPN kupitia IPSec. Sehemu 1

Jinsi ya kupata Beeline IPVPN kupitia IPSec. Sehemu 1

Habari! KATIKA chapisho lililopita Nilielezea kazi ya huduma yetu ya MultiSIM kwa sehemu kutoridhishwa ΠΈ kusawazisha njia. Kama ilivyoelezwa, tunaunganisha wateja kwenye mtandao kupitia VPN, na leo nitakuambia zaidi kuhusu VPN na uwezo wetu katika sehemu hii.

Inafaa kuanza na ukweli kwamba sisi, kama mwendeshaji wa mawasiliano ya simu, tuna mtandao wetu mkubwa wa MPLS, ambao kwa wateja wa laini imegawanywa katika sehemu kuu mbili - ile inayotumika moja kwa moja kupata mtandao, na ile inayotumika. inayotumika kuunda mitandao iliyotengwa - na ni kupitia sehemu hii ya MPLS ambapo trafiki ya IPVPN (L3 OSI) na VPLAN (L2 OSI) hutiririka kwa wateja wetu wa kampuni.

Jinsi ya kupata Beeline IPVPN kupitia IPSec. Sehemu 1
Kwa kawaida, uunganisho wa mteja hutokea kama ifuatavyo.

Mstari wa ufikiaji umewekwa kwa ofisi ya mteja kutoka kwa Uwepo wa karibu wa mtandao (nodi MEN, RRL, BSSS, FTTB, nk) na zaidi, chaneli imesajiliwa kupitia mtandao wa usafirishaji hadi PE-MPLS inayolingana. router, ambayo tunaitoa kwa mteja iliyoundwa mahsusi kwa mteja wa VRF, kwa kuzingatia wasifu wa trafiki ambao mteja anahitaji (lebo za wasifu huchaguliwa kwa kila bandari ya ufikiaji, kulingana na maadili ya utangulizi ya ip 0,1,3,5, XNUMX).

Ikiwa kwa sababu fulani hatuwezi kupanga kikamilifu maili ya mwisho kwa mteja, kwa mfano, ofisi ya mteja iko katika kituo cha biashara, ambapo mtoa huduma mwingine ni kipaumbele, au hatuna uhakika wetu wa uwepo karibu, basi wateja wa awali. ilibidi kuunda mitandao kadhaa ya IPVPN kwa watoa huduma tofauti (sio usanifu wa gharama nafuu zaidi) au kutatua masuala kwa kujitegemea kwa kuandaa ufikiaji wa VRF yako kwenye Mtandao.

Wengi walifanya hivyo kwa kusakinisha lango la Mtandao la IPVPN - waliweka kipanga njia cha mpaka (vifaa au suluhisho la msingi la Linux), waliunganisha chaneli ya IPVPN kwa bandari moja na chaneli ya Mtandao na nyingine, walizindua seva yao ya VPN juu yake na kuunganishwa. watumiaji kupitia lango lao la VPN. Kwa kawaida, mpango huo pia hujenga mizigo: miundombinu hiyo lazima ijengwe na, kwa urahisi zaidi, kuendeshwa na kuendelezwa.

Ili kurahisisha maisha kwa wateja wetu, tulisakinisha kitovu cha VPN na kupanga usaidizi wa miunganisho kwenye Mtandao kwa kutumia IPSec, yaani, sasa wateja wanahitaji tu kusanidi kipanga njia chao ili kufanya kazi na kitovu chetu cha VPN kupitia handaki ya IPSec kwenye mtandao wowote wa umma. , na sisi Hebu tuachilie trafiki ya mteja huyu kwa VRF yake.

Nani atahitaji

  • Kwa wale ambao tayari wana mtandao mkubwa wa IPVPN na wanahitaji miunganisho mipya kwa muda mfupi.
  • Mtu yeyote ambaye, kwa sababu fulani, anataka kuhamisha sehemu ya trafiki kutoka kwa mtandao wa umma hadi IPVPN, lakini hapo awali amekutana na mapungufu ya kiufundi yanayohusiana na watoa huduma kadhaa.
  • Kwa wale ambao kwa sasa wana mitandao kadhaa tofauti ya VPN kwenye waendeshaji tofauti wa mawasiliano ya simu. Kuna wateja ambao wamefanikiwa kupanga IPVPN kutoka Beeline, Megafon, Rostelecom, nk. Ili kurahisisha, unaweza kukaa tu kwenye VPN yetu moja, kubadili njia nyingine zote za waendeshaji wengine kwenye Mtandao, na kisha kuunganisha kwa Beeline IPVPN kupitia IPSec na Mtandao kutoka kwa waendeshaji hawa.
  • Kwa wale ambao tayari wana mtandao wa IPVPN uliowekwa kwenye mtandao.

Ikiwa unatumia kila kitu na sisi, basi wateja hupokea usaidizi kamili wa VPN, upungufu mkubwa wa miundombinu, na mipangilio ya kawaida ambayo itafanya kazi kwenye router yoyote waliyozoea (iwe Cisco, hata Mikrotik, jambo kuu ni kwamba inaweza kusaidia vizuri. IPSec/IKEv2 yenye mbinu sanifu za uthibitishaji). Kwa njia, kuhusu IPSec - hivi sasa tunaiunga mkono tu, lakini tunapanga kuzindua operesheni kamili ya OpenVPN na Wireguard, ili wateja wasitegemee itifaki na ni rahisi zaidi kuchukua na kuhamisha kila kitu kwetu, na pia tunataka kuanza kuunganisha wateja kutoka kwa kompyuta na vifaa vya rununu (suluhisho zilizojengwa ndani ya OS, Cisco AnyConnect na strongSwan na kadhalika). Kwa njia hii, ujenzi wa miundo msingi unaweza kukabidhiwa kwa opereta kwa usalama, na kuacha tu usanidi wa CPE au mwenyeji.

Mchakato wa uunganisho hufanyaje kazi kwa modi ya IPSec:

  1. Mteja anaacha ombi kwa meneja wake ambalo anaonyesha kasi ya uunganisho unaohitajika, wasifu wa trafiki na vigezo vya anwani ya IP kwa handaki (kwa default, subnet yenye mask / 30) na aina ya uelekezaji (tuli au BGP). Ili kuhamisha njia hadi mitandao ya ndani ya mteja katika ofisi iliyounganishwa, taratibu za IKEv2 za awamu ya itifaki ya IPSec hutumiwa kwa kutumia mipangilio inayofaa kwenye kipanga njia cha mteja, au zinatangazwa kupitia BGP katika MPLS kutoka kwa BGP AS ya kibinafsi iliyobainishwa katika programu ya mteja. . Kwa hivyo, habari kuhusu njia za mitandao ya mteja inadhibitiwa kabisa na mteja kupitia mipangilio ya router ya mteja.
  2. Kujibu kutoka kwa meneja wake, mteja hupokea data ya uhasibu kwa kujumuishwa katika VRF yake ya fomu:
    • Anwani ya IP ya VPN-HUB
    • Login
    • Nenosiri la uthibitishaji
  3. Inasanidi CPE, hapa chini, kwa mfano, chaguo mbili za msingi za usanidi:

    Chaguo kwa Cisco:
    crypto ikev2 keyring BeelineIPsec_keyring
    rika Beeline_VPNHub
    anwani 62.141.99.183 - kitovu cha VPN Beeline
    ufunguo ulioshirikiwa awali <Nenosiri la uthibitishaji>
    !
    Kwa chaguo la uelekezaji tuli, njia za mitandao zinazofikiwa kupitia Vpn-hub zinaweza kubainishwa katika usanidi wa IKEv2 na zitaonekana kiotomatiki kama njia tuli kwenye jedwali la uelekezaji la CE. Mipangilio hii pia inaweza kufanywa kwa kutumia njia ya kawaida ya kuweka njia tuli (tazama hapa chini).

    sera ya idhini ya crypto ikev2 FlexClient-mwandishi

    Njia kwa mitandao nyuma ya kipanga njia cha CE - mpangilio wa lazima wa uelekezaji tuli kati ya CE na PE. Uhamisho wa data ya njia kwa PE unafanywa moja kwa moja wakati handaki inafufuliwa kupitia mwingiliano wa IKEv2.

    njia iliyowekwa kwa mbali ipv4 10.1.1.0 255.255.255.0 - Ofisi ya mtandao wa ndani
    !
    wasifu wa crypto ikev2 BeelineIPSec_profile
    kitambulisho cha ndani <ingia>
    uthibitishaji wa kushiriki mapema wa ndani
    uthibitishaji wa kushiriki mapema kwa mbali
    keyring ndani ya BeelineIPsec_keyring
    aaa kikundi cha uidhinishaji psk orodha kikundi-mwandishi-orodha FlexClient-mwandishi
    !
    crypto ikev2 mteja flexvpn BeelineIPsec_flex
    rika 1 Beeline_VPNHub
    mteja unganisha Tunnel1
    !
    crypto ipsec kubadilisha-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    njia ya handaki
    !
    wasifu chaguo-msingi wa crypto ipsec
    weka badilisha-weka TRANSFORM1
    weka ikev2-profile BeelineIPSec_profile
    !
    kiolesura cha Tunnel1
    anwani ya ip 10.20.1.2 255.255.255.252 - Anwani ya tunnel
    chanzo cha handaki GigabitEthernet0/2 - Kiolesura cha ufikiaji wa mtandao
    hali ya handaki ipsec ipv4
    mienendo ya mwishilio wa handaki
    ulinzi wa handaki chaguomsingi wa wasifu wa ipsec
    !
    Njia za mitandao ya kibinafsi ya mteja zinazoweza kufikiwa kupitia kizingatiaji cha Beeline VPN zinaweza kuwekwa kwa takwimu.

    njia ya ip 172.16.0.0 255.255.0.0 Tunnel1
    njia ya ip 192.168.0.0 255.255.255.0 Tunnel1

    Chaguo la Huawei (ar160/120):
    ike local-name <login>
    #
    jina la acl ipsec 3999
    kanuni ya 1 kibali cha chanzo cha ip 10.1.1.0 0.0.0.255 - Ofisi ya mtandao wa ndani
    #
    aaa
    Mpango wa huduma wa IPSEC
    njia iliyowekwa acl 3999
    #
    pendekezo la ipsec ipsec
    esp uthibitishaji-algorithm sha2-256
    esp encryption-algorithm aes-256
    #
    ike pendekezo chaguo-msingi
    encryption-algorithm aes-256
    kikundi cha 2
    uthibitishaji-algorithm sha2-256
    uthibitishaji-njia ya kushiriki mapema
    uadilifu-algorithm hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    ufunguo ulioshirikiwa mapema <Nenosiri la Uthibitishaji>
    local-id-aina fqdn
    kijijini-id-aina ip
    kijijini-anwani 62.141.99.183 - kitovu cha VPN Beeline
    Mpango wa huduma wa IPSEC
    config-exchange ombi
    config-exchange seti ukubali
    config-exchange seti tuma
    #
    wasifu wa ipsec ipsecprof
    ike-peer ipsec
    pendekezo ipsec
    #
    kiolesura cha Tunnel0/0/0
    anwani ya ip 10.20.1.2 255.255.255.252 - Anwani ya tunnel
    handaki-itifaki ipsec
    chanzo GigabitEthernet0/0/1 - Kiolesura cha ufikiaji wa mtandao
    wasifu wa ipsec ipsecprof
    #
    Njia za mitandao ya kibinafsi ya mteja inayopatikana kupitia kiunganishi cha Beeline VPN inaweza kuwekwa kwa takwimu

    ip njia-tuli 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip njia-tuli 172.16.0.0 255.255.0.0 Tunnel0/0/0

Mchoro wa mawasiliano unaotokana unaonekana kama hii:

Jinsi ya kupata Beeline IPVPN kupitia IPSec. Sehemu 1

Ikiwa mteja hana baadhi ya mifano ya usanidi wa msingi, basi kwa kawaida tunasaidia na uundaji wao na kuwafanya kupatikana kwa kila mtu mwingine.

Yote iliyobaki ni kuunganisha CPE kwenye Mtandao, ping kwa sehemu ya majibu ya handaki ya VPN na mwenyeji yeyote ndani ya VPN, na ndivyo tu, tunaweza kudhani kuwa uunganisho umefanywa.

Katika makala inayofuata tutakuambia jinsi tulivyounganisha mpango huu na IPSec na MultiSIM Redundancy kwa kutumia Huawei CPE: tunaweka Huawei CPE yetu kwa wateja, ambayo inaweza kutumia sio tu chaneli ya mtandao yenye waya, lakini pia SIM kadi 2 tofauti, na CPE. hujenga upya IPSec- tunnel kiotomatiki ama kupitia WAN yenye waya au kupitia redio (LTE#1/LTE#2), ikitambua ustahimilivu wa hali ya juu wa huduma inayotokana.

Shukrani maalum kwa wenzetu wa RnD kwa kuandaa makala hii (na, kwa kweli, kwa waandishi wa ufumbuzi huu wa kiufundi)!

Chanzo: mapenzi.com

Kuongeza maoni