โปรโฮสต์ > บล็อก > การบริหาร > วิธีเข้าถึง Beeline IPVPN ผ่าน IPSec ส่วนที่ 1

วิธีเข้าถึง Beeline IPVPN ผ่าน IPSec ส่วนที่ 1

สวัสดี! ใน โพสต์ก่อนหน้า ฉันอธิบายการทำงานของบริการ MultiSIM ของเราเป็นบางส่วน การจอง и สมดุล ช่อง. ตามที่กล่าวไว้ เราเชื่อมต่อไคลเอนต์กับเครือข่ายผ่าน VPN และวันนี้ฉันจะบอกคุณเพิ่มเติมเล็กน้อยเกี่ยวกับ VPN และความสามารถของเราในส่วนนี้

เริ่มต้นด้วยความจริงที่ว่าเราในฐานะผู้ให้บริการโทรคมนาคมมีเครือข่าย MPLS ขนาดใหญ่ของเราเอง ซึ่งสำหรับลูกค้าโทรศัพท์พื้นฐานแบ่งออกเป็นสองส่วนหลัก - ส่วนที่ใช้โดยตรงในการเข้าถึงอินเทอร์เน็ตและส่วนที่เป็น ใช้เพื่อสร้างเครือข่ายแบบแยก — และผ่านเซ็กเมนต์ MPLS นี้ที่การรับส่งข้อมูล IPVPN (L3 OSI) และ VPLAN (L2 OSI) เดินทางสำหรับลูกค้าองค์กรของเรา

วิธีเข้าถึง Beeline IPVPN ผ่าน IPSec ส่วนที่ 1
โดยทั่วไปแล้ว การเชื่อมต่อไคลเอนต์เกิดขึ้นดังนี้

สายเชื่อมต่อจะถูกวางไปที่สำนักงานของลูกค้าจากจุดแสดงตนที่ใกล้ที่สุดของเครือข่าย (โหนด MEN, RRL, BSSS, FTTB ฯลฯ ) และยิ่งไปกว่านั้น ช่องสัญญาณจะถูกลงทะเบียนผ่านเครือข่ายการขนส่งไปยัง PE-MPLS ที่เกี่ยวข้อง เราเตอร์ซึ่งเราส่งออกไปยังที่สร้างขึ้นเป็นพิเศษสำหรับไคลเอนต์ VRF โดยคำนึงถึงโปรไฟล์การรับส่งข้อมูลที่ลูกค้าต้องการ (ป้ายกำกับโปรไฟล์จะถูกเลือกสำหรับแต่ละพอร์ตการเข้าถึงตามค่าลำดับความสำคัญของ IP 0,1,3,5 XNUMX).

หากเราไม่สามารถจัดระเบียบไมล์สุดท้ายให้กับลูกค้าได้ด้วยเหตุผลบางประการ เช่น สำนักงานของลูกค้าตั้งอยู่ในศูนย์ธุรกิจซึ่งมีผู้ให้บริการรายอื่นให้ความสำคัญเป็นอันดับแรก หรือเราไม่มีจุดให้บริการในบริเวณใกล้เคียง แสดงว่าลูกค้าก่อนหน้านี้ ต้องสร้างเครือข่าย IPVPN หลายเครือข่ายจากผู้ให้บริการหลายราย (ไม่ใช่สถาปัตยกรรมที่คุ้มค่าที่สุด) หรือแก้ไขปัญหาอย่างอิสระด้วยการจัดระเบียบการเข้าถึง VRF ของคุณผ่านทางอินเทอร์เน็ต

หลายคนทำเช่นนี้โดยการติดตั้งเกตเวย์อินเทอร์เน็ต IPVPN - พวกเขาติดตั้งเราเตอร์ชายแดน (ฮาร์ดแวร์หรือโซลูชันที่ใช้ Linux บางตัว) เชื่อมต่อช่อง IPVPN เข้ากับพอร์ตหนึ่งและช่องอินเทอร์เน็ตกับอีกพอร์ตหนึ่ง เปิดเซิร์ฟเวอร์ VPN ของพวกเขาและเชื่อมต่อ ผู้ใช้ผ่านเกตเวย์ VPN ของตนเอง โดยปกติแล้ว โครงการดังกล่าวยังสร้างภาระอีกด้วย: โครงสร้างพื้นฐานดังกล่าวจะต้องถูกสร้างขึ้นและดำเนินการและพัฒนาอย่างไม่สะดวกที่สุด

เพื่อให้ชีวิตลูกค้าของเราง่ายขึ้น เราได้ติดตั้งฮับ VPN แบบรวมศูนย์และจัดระเบียบการสนับสนุนสำหรับการเชื่อมต่อผ่านอินเทอร์เน็ตโดยใช้ IPSec นั่นคือตอนนี้ลูกค้าเพียงต้องกำหนดค่าเราเตอร์ให้ทำงานกับฮับ VPN ของเราผ่านอุโมงค์ IPSec บนอินเทอร์เน็ตสาธารณะใดๆ และเราขอปล่อยการรับส่งข้อมูลของลูกค้ารายนี้ไปยัง VRF

ใครจะต้อง

  • สำหรับผู้ที่มีเครือข่าย IPVPN ขนาดใหญ่อยู่แล้ว และต้องการการเชื่อมต่อใหม่ในเวลาอันสั้น
  • ใครก็ตามที่ต้องการถ่ายโอนการรับส่งข้อมูลบางส่วนจากอินเทอร์เน็ตสาธารณะไปยัง IPVPN ด้วยเหตุผลบางประการ แต่ก่อนหน้านี้เคยพบข้อจำกัดทางเทคนิคที่เกี่ยวข้องกับผู้ให้บริการหลายราย
  • สำหรับผู้ที่มีเครือข่าย VPN ที่แตกต่างกันหลายเครือข่ายในผู้ให้บริการโทรคมนาคมที่แตกต่างกันในปัจจุบัน มีลูกค้าที่ประสบความสำเร็จในการจัดระเบียบ IPVPN จาก Beeline, Megafon, Rostelecom เป็นต้น เพื่อให้ง่ายขึ้น คุณสามารถใช้งาน VPN เดียวของเราเท่านั้น เปลี่ยนช่องทางอื่นๆ ทั้งหมดของผู้ให้บริการรายอื่นเป็นอินเทอร์เน็ต จากนั้นเชื่อมต่อกับ Beeline IPVPN ผ่าน IPSec และอินเทอร์เน็ตจากผู้ให้บริการเหล่านี้
  • สำหรับผู้ที่มีเครือข่าย IPVPN ซ้อนทับบนอินเทอร์เน็ตอยู่แล้ว

หากคุณปรับใช้ทุกอย่างกับเรา ลูกค้าจะได้รับการสนับสนุน VPN เต็มรูปแบบ ความซ้ำซ้อนของโครงสร้างพื้นฐานที่ร้ายแรง และการตั้งค่ามาตรฐานที่จะทำงานบนเราเตอร์ใดๆ ที่พวกเขาคุ้นเคย (ไม่ว่าจะเป็น Cisco แม้แต่ Mikrotik สิ่งสำคัญคือสามารถรองรับได้อย่างเหมาะสม IPSec/IKEv2 พร้อมวิธีการพิสูจน์ตัวตนที่เป็นมาตรฐาน) อย่างไรก็ตามเกี่ยวกับ IPSec - ตอนนี้เรารองรับเท่านั้น แต่เราวางแผนที่จะเปิดตัวการทำงานเต็มรูปแบบของทั้ง OpenVPN และ Wireguard เพื่อให้ลูกค้าไม่สามารถพึ่งพาโปรโตคอลได้และง่ายกว่าในการรับและโอนทุกอย่างมาให้เรา และเรายังต้องการเริ่มเชื่อมต่อไคลเอนต์จากคอมพิวเตอร์และอุปกรณ์มือถือ (โซลูชันที่สร้างไว้ในระบบปฏิบัติการ, Cisco AnyConnect และ strongSwan และอื่นๆ ที่คล้ายกัน) ด้วยแนวทางนี้ การก่อสร้างโครงสร้างพื้นฐานโดยพฤตินัยสามารถส่งมอบให้กับผู้ปฏิบัติงานได้อย่างปลอดภัย เหลือเพียงการกำหนดค่าของ CPE หรือโฮสต์เท่านั้น

กระบวนการเชื่อมต่อทำงานอย่างไรสำหรับโหมด IPSec:

  1. ลูกค้าส่งคำขอไปยังผู้จัดการของเขา โดยระบุความเร็วการเชื่อมต่อที่ต้องการ โปรไฟล์การรับส่งข้อมูล และพารามิเตอร์การกำหนดที่อยู่ IP สำหรับทันเนล (โดยค่าเริ่มต้นคือซับเน็ตที่มีมาสก์ /30) และประเภทของการกำหนดเส้นทาง (คงที่หรือ BGP) ในการถ่ายโอนเส้นทางไปยังเครือข่ายท้องถิ่นของลูกค้าในสำนักงานที่เชื่อมต่อ กลไก IKEv2 ของเฟสโปรโตคอล IPSec จะถูกใช้โดยใช้การตั้งค่าที่เหมาะสมบนเราเตอร์ไคลเอนต์ หรือโฆษณาผ่าน BGP ใน MPLS จาก BGP AS ส่วนตัวที่ระบุในแอปพลิเคชันของไคลเอ็นต์ . ดังนั้นข้อมูลเกี่ยวกับเส้นทางของเครือข่ายไคลเอนต์จึงถูกควบคุมโดยไคลเอนต์อย่างสมบูรณ์ผ่านการตั้งค่าของเราเตอร์ไคลเอนต์
  2. เพื่อเป็นการตอบกลับจากผู้จัดการ ลูกค้าจะได้รับข้อมูลทางบัญชีเพื่อรวมไว้ใน VRF ในรูปแบบ:
    • ที่อยู่ IP VPN-HUB
    • เข้าสู่ระบบ
    • รหัสผ่านการตรวจสอบสิทธิ์
  3. กำหนดค่า CPE ด้านล่าง เช่น ตัวเลือกการกำหนดค่าพื้นฐานสองตัวเลือก:

    ตัวเลือกสำหรับซิสโก้:
    พวงกุญแจ crypto ikev2 BeelineIPsec_keyring
    เพียร์ Beeline_VPNHub
    ที่อยู่ 62.141.99.183 –VPN ฮับ Beeline
    คีย์ที่แชร์ล่วงหน้า <รหัสผ่านการรับรองความถูกต้อง>
    !
    สำหรับตัวเลือกการกำหนดเส้นทางแบบคงที่ สามารถระบุเส้นทางไปยังเครือข่ายที่เข้าถึงได้ผ่าน Vpn-hub ในการกำหนดค่า IKEv2 และเส้นทางเหล่านั้นจะปรากฏเป็นเส้นทางแบบคงที่ในตารางการกำหนดเส้นทาง CE โดยอัตโนมัติ การตั้งค่าเหล่านี้สามารถทำได้โดยใช้วิธีมาตรฐานในการตั้งค่าเส้นทางคงที่ (ดูด้านล่าง)

    นโยบายการอนุญาต crypto ikev2 ผู้เขียน FlexClient

    กำหนดเส้นทางไปยังเครือข่ายที่อยู่ด้านหลังเราเตอร์ CE – การตั้งค่าบังคับสำหรับการกำหนดเส้นทางแบบคงที่ระหว่าง CE และ PE การถ่ายโอนข้อมูลเส้นทางไปยัง PE จะดำเนินการโดยอัตโนมัติเมื่ออุโมงค์ถูกยกขึ้นผ่านการโต้ตอบของ IKEv2

    ตั้งค่าเส้นทางระยะไกล ipv4 10.1.1.0 255.255.255.0 –เครือข่ายท้องถิ่นของสำนักงาน
    !
    โปรไฟล์ crypto ikev2 BeelineIPSec_profile
    ข้อมูลประจำตัวท้องถิ่น <เข้าสู่ระบบ>
    การตรวจสอบสิทธิ์การแบ่งปันล่วงหน้าในพื้นที่
    การตรวจสอบสิทธิ์การแชร์ล่วงหน้าระยะไกล
    พวงกุญแจ BeelineIPsec_keyring ท้องถิ่น
    aaa กลุ่มการอนุญาต รายการ psk กลุ่มผู้เขียน รายชื่อ FlexClient ผู้เขียน
    !
    ไคลเอนต์ crypto ikev2 flexvpn BeelineIPsec_flex
    เพียร์ 1 Beeline_VPNHub
    ลูกค้าเชื่อมต่อ Tunnel1
    !
    crypto ipsec ชุดการแปลง TRANSFORM1 esp-aes 256 esp-sha256-hmac
    อุโมงค์โหมด
    !
    ค่าเริ่มต้นโปรไฟล์ crypto ipsec
    ตั้งค่าการแปลง-ตั้งค่า TRANSFORM1
    ตั้งค่าโปรไฟล์ ikev2 BeelineIPSec_profile
    !
    อินเตอร์เฟซอุโมงค์1
    ที่อยู่ไอพี 10.20.1.2 255.255.255.252 – ที่อยู่อุโมงค์
    ต้นทางทันเนล GigabitEthernet0/2 – อินเตอร์เฟซการเข้าถึงอินเทอร์เน็ต
    โหมดทันเนล ipsec ipv4
    ปลายทางอุโมงค์แบบไดนามิก
    การป้องกันช่องสัญญาณเป็นค่าเริ่มต้นโปรไฟล์ ipsec
    !
    เส้นทางไปยังเครือข่ายส่วนตัวของลูกค้าที่เข้าถึงได้ผ่านตัวรวม Beeline VPN สามารถตั้งค่าแบบคงที่ได้

    เส้นทาง ip 172.16.0.0 255.255.0.0 Tunnel1
    เส้นทาง ip 192.168.0.0 255.255.255.0 Tunnel1

    ตัวเลือกสำหรับ Huawei (ar160/120):
    ike ชื่อท้องถิ่น <login>
    #
    ชื่อ acl ipsec 3999
    กฎข้อที่ 1 อนุญาตให้ใช้แหล่ง IP 10.1.1.0 0.0.0.255 –เครือข่ายท้องถิ่นของสำนักงาน
    #
    AAA
    IPSEC แผนบริการ
    เส้นทางกำหนด ACL 3999
    #
    ข้อเสนอของ ipsec ipsec
    อัลกอริทึมการรับรองความถูกต้องโดยเฉพาะ sha2-256
    esp อัลกอริทึมการเข้ารหัส aes-256
    #
    ike เป็นค่าเริ่มต้นของข้อเสนอ
    อัลกอริทึมการเข้ารหัส aes-256
    ดีเอช กรุ๊ป2
    อัลกอริทึมการรับรองความถูกต้อง sha2-256
    วิธีการรับรองความถูกต้องก่อนแบ่งปัน
    ความสมบูรณ์ของอัลกอริทึม hmac-sha2-256
    prf hmac-sha2-256
    #
    ike เพียร์ ipsec
    คีย์ที่แชร์ล่วงหน้าแบบง่าย <รหัสผ่านการรับรองความถูกต้อง>
    ประเภท ID ท้องถิ่น fqdn
    IP ประเภทรหัสระยะไกล
    ที่อยู่ระยะไกล 62.141.99.183 –VPN ฮับ Beeline
    IPSEC แผนบริการ
    คำขอแลกเปลี่ยนการกำหนดค่า
    ยอมรับชุด config-exchange
    ชุด config-exchange ส่ง
    #
    โปรไฟล์ ipsec ipsecprof
    ike-เพียร์ ipsec
    ข้อเสนอ ipsec
    #
    อินเทอร์เฟซอุโมงค์0/0/0
    ที่อยู่ไอพี 10.20.1.2 255.255.255.252 – ที่อยู่อุโมงค์
    ipsec โปรโตคอลอุโมงค์
    แหล่งที่มา GigabitEthernet0/0/1 – อินเตอร์เฟซการเข้าถึงอินเทอร์เน็ต
    โปรไฟล์ ipsec ipsecprof
    #
    เส้นทางไปยังเครือข่ายส่วนตัวของลูกค้าที่เข้าถึงได้ผ่านตัวรวม Beeline VPN สามารถตั้งค่าแบบคงที่ได้

    เส้นทาง IP คงที่ 192.168.0.0 255.255.255.0 Tunnel0/0/0
    เส้นทาง IP คงที่ 172.16.0.0 255.255.0.0 Tunnel0/0/0

แผนภาพการสื่อสารที่ได้จะมีลักษณะดังนี้:

วิธีเข้าถึง Beeline IPVPN ผ่าน IPSec ส่วนที่ 1

หากลูกค้าไม่มีตัวอย่างการกำหนดค่าพื้นฐาน เราก็มักจะให้ความช่วยเหลือในการสร้างและเปิดให้ทุกคนใช้งานได้

สิ่งที่เหลืออยู่คือการเชื่อมต่อ CPE กับอินเทอร์เน็ต ping ไปยังส่วนตอบสนองของอุโมงค์ VPN และโฮสต์ใด ๆ ภายใน VPN และนั่นก็คือเราสามารถสรุปได้ว่ามีการเชื่อมต่อแล้ว

ในบทความถัดไป เราจะบอกคุณว่าเรารวมโครงร่างนี้เข้ากับ IPSec และ MultiSIM Redundancy โดยใช้ Huawei CPE ได้อย่างไร: เราติดตั้ง Huawei CPE สำหรับลูกค้า ซึ่งไม่เพียงแต่ใช้ช่องทางอินเทอร์เน็ตแบบมีสายเท่านั้น แต่ยังสามารถใช้ซิมการ์ดที่แตกต่างกัน 2 อัน และ CPE ได้ สร้าง IPSec-tunnel ใหม่โดยอัตโนมัติผ่าน WAN แบบมีสายหรือผ่านวิทยุ (LTE#1/LTE#2) ทำให้สามารถทนต่อข้อผิดพลาดในบริการที่เกิดขึ้นได้สูง

ขอขอบคุณเป็นพิเศษต่อเพื่อนร่วมงาน RnD ของเราในการเตรียมบทความนี้ (และผู้เขียนโซลูชันทางเทคนิคเหล่านี้ด้วย)!

ที่มา: will.com

เพิ่มความคิดเห็น