ProHoster > Blog > Идораи > Чӣ тавр ба Beeline IPVPN тавассути IPSec дастрас шудан мумкин аст. Қисми 1

Чӣ тавр ба Beeline IPVPN тавассути IPSec дастрас шудан мумкин аст. Қисми 1

Салом! ДАР пости қаблӣ Ман кори хидмати MultiSIM-и моро қисман тавсиф кардам фармоишҳо и мувозинат каналҳо. Тавре зикр гардид, мо муштариёнро тавассути VPN ба шабака пайваст мекунем ва имрӯз ман ба шумо дар бораи VPN ва имкониятҳои мо дар ин қисмат каме бештар маълумот медиҳам.

Бояд аз он оғоз кунем, ки мо ҳамчун оператори телекоммуникатсионӣ шабакаи бузурги MPLS-и худро дорем, ки барои муштариёни хатти собит ба ду сегменти асосӣ тақсим мешавад - сегменте, ки мустақиман барои дастрасӣ ба Интернет истифода мешавад ва дигаре, ки барои эҷоди шабакаҳои ҷудогона истифода мешавад - ва маҳз тавассути ин сегменти MPLS трафики IPVPN (L3 OSI) ва VPLAN (L2 OSI) барои муштариёни корпоративии мо мегузарад.

Чӣ тавр ба Beeline IPVPN тавассути IPSec дастрас шудан мумкин аст. Қисми 1
Одатан, пайвасти муштарӣ ба таври зерин сурат мегирад.

Хатти дастрасӣ ба идораи муштарӣ аз наздиктарин Нуқтаи ҳузури шабака (гиреҳ MEN, RRL, BSSS, FTTB ва ғайра) гузаронида мешавад ва минбаъд канал тавассути шабакаи нақлиёт ба PE-MPLS мувофиқ ба қайд гирифта мешавад. роутер, ки дар он мо онро бо назардошти профили трафики барои муштарии VRF махсус сохташуда мебарорем (тамгаҳои профил барои ҳар як порти дастрасӣ дар асоси арзишҳои афзалияти ip 0,1,3,5 интихоб карда мешаванд, XNUMX).

Агар бо ягон сабаб мо натавонистем, ки милаи охиринро барои муштарӣ пурра ташкил кунем, масалан, офиси муштарӣ дар маркази тиҷорат ҷойгир аст, ки дар он провайдери дигар афзалият дорад ё мо танҳо нуқтаи ҳузури худро дар наздикӣ надорем, пас қаблан мизоҷон бояд дар провайдерҳои гуногун якчанд шабакаҳои IPVPN эҷод кунад (на меъмории аз ҳама камхарҷ) ё мустақилона мушкилотро бо ташкили дастрасӣ ба VRF-и худ тавассути Интернет ҳал кунад.

Бисёриҳо ин корро тавассути насб кардани шлюзи Интернети IPVPN анҷом доданд - онҳо роутери сарҳадӣ (сахтафзор ё ягон ҳалли Linux асосёфта) насб карданд, канали IPVPN-ро ба он бо як порт ва канали интернетӣ бо дигараш пайваст карданд, сервери VPN-и худро дар он оғоз карданд ва пайваст шуданд. истифодабарандагон тавассути дарвозаи VPN-и худ. Табиист, ки чунин схема низ бори гарон ба миён меорад: чунин инфрасохтор бояд сохта шавад ва аз хама номуносибтар истифода ва инкишоф дода шавад.

Барои осон кардани зиндагии муштариён, мо як маркази мутамаркази VPN насб кардем ва барои пайвастшавӣ тавассути Интернет бо истифода аз IPSec дастгирии ташкил кардем, яъне ҳоло муштариён танҳо бояд роутери худро барои кор бо маркази VPN-и мо тавассути нақби IPSec тавассути ҳама гуна Интернети ҷамъиятӣ танзим кунанд. , ва мо Биёед трафики ин муштариро ба VRF-и он озод кунем.

Ба кй лозим мешавад

  • Барои онҳое, ки аллакай шабакаи бузурги IPVPN доранд ва дар муддати кӯтоҳ ба пайвастҳои нав ниёз доранд.
  • Ҳар касе, ки бо ягон сабаб мехоҳад як қисми трафикро аз Интернети ҷамъиятӣ ба IPVPN интиқол диҳад, аммо қаблан бо маҳдудиятҳои техникии марбут ба якчанд провайдерҳои хидматрасон дучор шудааст.
  • Барои онҳое, ки дар айни замон якчанд шабакаҳои VPN дар байни операторҳои гуногуни телекоммуникатсионӣ доранд. Мизоҷоне ҳастанд, ки бомуваффақият IPVPN-ро аз Beeline, Megafon, Rostelecom ва ғайра ташкил кардаанд. Барои осон кардани он, шумо метавонед танҳо дар VPN-и ягонаи мо бимонед, ҳамаи каналҳои дигари операторҳои дигарро ба Интернет гузаред ва сипас тавассути IPSec ва Интернет аз ин операторҳо ба Beeline IPVPN пайваст шавед.
  • Барои онҳое, ки аллакай дар Интернет шабакаи IPVPN доранд.

Агар шумо ҳама чизро бо мо ҷойгир кунед, пас мизоҷон дастгирии мукаммали VPN, изофаи ҷиддии инфрасохтор ва танзимоти стандартиро мегиранд, ки дар ҳама гуна роутерҳо кор мекунанд (хоҳ Cisco, ҳатто Mikrotik, чизи асосӣ он аст, ки он метавонад дуруст дастгирӣ кунад. IPSec/IKEv2 бо усулҳои стандартишудаи аутентификатсия). Дар омади гап, дар бораи IPSec - ҳоло мо танҳо онро дастгирӣ мекунем, аммо мо нақша дорем, ки амалиёти пурраи ҳам OpenVPN ва ҳам Wireguard оғоз кунем, то муштариён аз протокол вобаста набошанд ва гирифтан ва интиқол додани ҳама чиз ба мо боз ҳам осонтар аст, ва мо инчунин мехоҳем пайваст кардани мизоҷонро аз компютерҳо ва дастгоҳҳои мобилӣ оғоз кунем (ҳалли дар OS, Cisco AnyConnect ва strongSwan ва монанди инҳо сохташуда). Бо ин равиш, бунёди воқеии инфрасохтор метавонад ба оператор бехатар супорида шавад ва танҳо конфигуратсияи CPE ё мизбон боқӣ монад.

Раванди пайвастшавӣ барои ҳолати IPSec чӣ гуна кор мекунад:

  1. Мизоҷ ба мудири худ дархост мегузорад, ки дар он суръати зарурии пайвастшавӣ, профили трафик ва параметрҳои суроғаи IP-ро барои нақб (ба таври нобаёнӣ, зершабакаи бо ниқоби /30) ва навъи масир (статикӣ ё BGP) нишон медиҳад. Барои интиқоли масирҳо ба шабакаҳои маҳаллии муштарӣ дар идораи пайвастшуда, механизмҳои IKEv2-и марҳилаи протоколи IPSec бо истифода аз танзимоти мувофиқ дар роутери муштарӣ истифода мешаванд ё онҳо тавассути BGP дар MPLS аз BGP AS хусусии дар аризаи муштарӣ нишондодашуда таблиғ карда мешаванд. . Ҳамин тариқ, маълумот дар бораи хатсайрҳои шабакаҳои муштарӣ аз ҷониби муштарӣ тавассути танзимоти роутер муштарӣ пурра назорат карда мешавад.
  2. Дар посух аз менеҷери худ, муштарӣ маълумоти баҳисобгирии муҳосибӣ барои дохил шудан ба VRF-и худ мегирад:
    • Суроғаи IP VPN-HUB
    • воридшавӣ
    • Пароли аутентификатсия
  3. CPE-ро танзим мекунад, дар зер, масалан, ду варианти асосии конфигуратсия:

    Опсия барои Cisco:
    крипто ikev2 калид BeelineIPsec_keyring
    ҳамсол Beeline_VPNHub
    суроғаи 62.141.99.183 - VPN маркази Beeline
    калиди пешакӣ муштараки <Пароли аутентификатсия>
    !
    Барои варианти масири статикӣ, масирҳо ба шабакаҳое, ки тавассути Vpn-hub дастрасанд, метавонанд дар конфигуратсияи IKEv2 муайян карда шаванд ва онҳо ба таври худкор ҳамчун масирҳои статикӣ дар ҷадвали масиргузории CE пайдо мешаванд. Ин танзимотро инчунин бо истифода аз усули стандартии танзими хатсайрҳои статикӣ анҷом додан мумкин аст (нигаред ба поён).

    Сиёсати иҷозати crypto ikev2 FlexClient-муаллиф

    Масир ба шабакаҳои паси роутери CE - танзими ҳатмӣ барои масири статикӣ байни CE ва PE. Интиқоли маълумоти масир ба PE ба таври худкор ҳангоми баланд шудани нақб тавассути ҳамкории IKEv2 сурат мегирад.

    маҷмӯи масир IPv4 дурдаст 10.1.1.0 255.255.255.0 - Шабакаи локалии офис
    !
    профили крипто ikev2 BeelineIPSec_profile
    шахсияти маҳаллӣ <логин>
    аутентификатсияи пешакии маҳаллӣ
    аутентификатсияи дурдаст пеш аз мубодила
    калидҳои маҳаллӣ BeelineIPsec_keyring
    aaa иҷозати гурӯҳи psk рӯйхати гурӯҳи-муаллиф-рӯйхати FlexClient-муаллиф
    !
    муштарии крипто ikev2 flexvpn BeelineIPsec_flex
    ҳамсол 1 Beeline_VPNHub
    муштарӣ пайваст Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    туннели режим
    !
    пешфарз профили crypto ipsec
    танзим табдил-маҷмӯи TRANSFORM1
    танзим ikev2-профили BeelineIPSec_profile
    !
    интерфейси туннели 1
    суроғаи IP 10.20.1.2 255.255.255.252 – Суроғаи нақб
    манбаи нақби GigabitEthernet0/2 - Интерфейси дастрасӣ ба интернет
    режими нақби ipsec ipv4
    динамикии таъиноти нақб
    ҳифзи нақб ipsec профили пешфарз
    !
    Масирҳо ба шабакаҳои хусусии муштарӣ, ки тавассути консентратсияи Beeline VPN дастрасанд, метавонанд статикӣ муқаррар карда шаванд.

    ip route 172.16.0.0 255.255.0.0 Tunnel1
    ip route 192.168.0.0 255.255.255.0 Tunnel1

    Опсия барои Huawei (ar160/120):
    монанди номи маҳаллӣ <ворид>
    #
    номи acl ipsec 3999
    қоида 1 манбаи IP иҷозат 10.1.1.0 0.0.0.255 - Шабакаи локалии офис
    #
    ААА
    Схемаи хидматрасонии IPSEC
    маҷмӯи масир acl 3999
    #
    пешниҳоди ipsec ipsec
    esp аутентификатсия-алгоритм sha2-256
    esp рамзкунонӣ-алгоритми aes-256
    #
    пешфарз пешниҳод ike
    рамзкунонӣ-алгоритми aes-256
    dh гурӯҳи 2
    аутентификатсия-алгоритм sha2-256
    аутентификатсия-усули пешакии мубодила
    беайбии-алгоритм hmac-sha2-256
    prf hmac-sha2-256
    #
    мисли peer ipsec
    калиди пешакии оддӣ <Пароли аутентификатсия>
    fqdn-и навъи маҳаллӣ
    IP-намуди дурдаст
    суроғаи дурдаст 62.141.99.183 - VPN маркази Beeline
    Схемаи хидматрасонии IPSEC
    дархости мубодилаи конфигуратсия
    маҷмӯи config-exchange қабул
    маҷмӯи конфигуратсияи мубодила фиристодан
    #
    профили ipsec ipsecprof
    ike-peer ipsec
    пешниҳоди ipsec
    #
    интерфейси Tunnel0/0/0
    суроғаи IP 10.20.1.2 255.255.255.252 – Суроғаи нақб
    туннел-протоколи ipsec
    манбаи GigabitEthernet0/0/1 - Интерфейси дастрасӣ ба интернет
    профили ipsec ipsecprof
    #
    Масирҳо ба шабакаҳои хусусии муштарӣ, ки тавассути консентратсияи Beeline VPN дастрасанд, метавонанд статикӣ муқаррар карда шаванд.

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Диаграммаи муоширати натиҷавӣ чунин менамояд:

Чӣ тавр ба Beeline IPVPN тавассути IPSec дастрас шудан мумкин аст. Қисми 1

Агар муштарӣ намунаҳои конфигуратсияи асосӣ надошта бошад, мо одатан дар ташаккули онҳо кӯмак мерасонем ва онҳоро барои ҳама дастрас мегардонем.

Танҳо он аст, ки пайваст кардани CPE ба Интернет, пинг ба қисми вокуниши нақби VPN ва ҳама гуна ҳост дар дохили VPN, ва ин аст, ки мо метавонем тахмин кунем, ки пайвастшавӣ анҷом дода шудааст.

Дар мақолаи навбатӣ мо ба шумо мегӯям, ки чӣ тавр мо ин схемаро бо IPSec ва MultiSIM Redundancy бо истифода аз Huawei CPE якҷоя кардем: мо Huawei CPE-и худро барои муштариён насб мекунем, ки метавонад на танҳо як канали интернетии симӣ, балки 2 SIM-корти гуногун ва CPE-ро истифода барад. нақби IPSec-ро тавассути WAN симдор ё тавассути радио (LTE#1/LTE#2) ба таври худкор аз нав месозад, ки таҳаммулпазирии баланди хатогиҳои хидматрасонии натиҷаро дарк мекунад.

Ташаккури махсус ба ҳамкорони RnD-и мо барои омода кардани ин мақола (ва дар асл ба муаллифони ин қарорҳои техникӣ)!

Манбаъ: will.com

Илова Эзоҳ