ProHoster > Blog > yönetim > IPSec aracılığıyla Beeline IPVPN'e nasıl ulaşılır? Bölüm 1

IPSec aracılığıyla Beeline IPVPN'e nasıl ulaşılır? Bölüm 1

Merhaba! İÇİNDE önceki yazı MultiSIM hizmetimizin çalışmasını kısmen anlattım rezervasyon и dengeleme kanallar. Belirtildiği gibi istemcileri VPN aracılığıyla ağa bağlıyoruz ve bugün size bu bölümde VPN ve yeteneklerimiz hakkında biraz daha bilgi vereceğim.

Bir telekom operatörü olarak, sabit hatlı müşteriler için iki ana bölüme ayrılan kendi devasa MPLS ağımıza sahip olduğumuz gerçeğiyle başlamaya değer - biri doğrudan İnternet'e erişmek için kullanılan, diğeri ise yalıtılmış ağlar oluşturmak için kullanılır ve kurumsal müşterilerimiz için IPVPN (L3 OSI) ve VPLAN (L2 OSI) trafiği bu MPLS segmenti aracılığıyla akar.

IPSec aracılığıyla Beeline IPVPN'e nasıl ulaşılır? Bölüm 1
Tipik olarak bir istemci bağlantısı aşağıdaki gibi gerçekleşir.

Ağın en yakın Varlık Noktasından (MEN, RRL, BSSS, FTTB vb. düğüm) müşterinin ofisine bir erişim hattı döşenir ve ayrıca kanal, taşıma ağı aracılığıyla ilgili PE-MPLS'ye kaydedilir. istemcinin ihtiyaç duyduğu trafik profilini dikkate alarak VRF istemcisi için özel olarak oluşturulmuş bir çıktıya verdiğimiz yönlendirici (her erişim bağlantı noktası için profil etiketleri 0,1,3,5 ip öncelik değerlerine göre seçilir), XNUMX).

Herhangi bir nedenden dolayı müşteri için son aşamayı tam olarak organize edemiyorsak, örneğin müşterinin ofisi, başka bir sağlayıcının öncelikli olduğu bir iş merkezinde bulunuyorsa veya yakınlarda bulunma noktamız yoksa, o zaman daha önce müşteriler farklı sağlayıcılarda birkaç IPVPN ağı oluşturmak (en uygun maliyetli mimari değil) veya VRF'nize İnternet üzerinden erişimi organize etme sorunlarını bağımsız olarak çözmek zorunda kaldı.

Birçoğu bunu bir IPVPN İnternet ağ geçidi kurarak yaptı - bir sınır yönlendiricisi (donanım veya Linux tabanlı bir çözüm) kurdular, bir bağlantı noktasına bir IPVPN kanalını ve diğerine bir İnternet kanalını bağladılar, üzerinde VPN sunucusunu başlattılar ve bağlandılar kullanıcılar kendi VPN ağ geçitleri aracılığıyla. Doğal olarak böyle bir plan aynı zamanda yük de yaratıyor: Bu tür bir altyapının inşa edilmesi ve en uygunsuz şekilde işletilmesi ve geliştirilmesi gerekiyor.

Müşterilerimiz için hayatı kolaylaştırmak amacıyla, merkezi bir VPN hub kurduk ve IPSec kullanarak İnternet üzerinden bağlantılar için destek düzenledik; yani, artık müşterilerin yalnızca yönlendiricilerini herhangi bir genel İnternet üzerinden bir IPSec tüneli aracılığıyla VPN hub'ımızla çalışacak şekilde yapılandırmaları gerekiyor. , ve bu istemcinin trafiğini VRF'sine bırakalım.

Kimin ihtiyacı olacak

  • Halihazırda geniş bir IPVPN ağına sahip olanlar ve kısa sürede yeni bağlantılara ihtiyaç duyanlar için.
  • Herhangi bir nedenle trafiğin bir kısmını halka açık İnternet'ten IPVPN'e aktarmak isteyen, ancak daha önce çeşitli hizmet sağlayıcılarla ilişkili teknik sınırlamalarla karşılaşmış olan herkes.
  • Şu anda farklı telekom operatörleri arasında birden fazla farklı VPN ağına sahip olanlar için. Beeline, Megafon, Rostelecom vb. Firmalardan IPVPN'i başarıyla organize eden müşteriler var. Bunu kolaylaştırmak için, yalnızca tek VPN'imizde kalabilir, diğer operatörlerin diğer tüm kanallarını İnternet'e geçirebilir ve ardından bu operatörlerden IPSec üzerinden Beeline IPVPN'e ve İnternet'e bağlanabilirsiniz.
  • Zaten İnternet üzerinde yer alan bir IPVPN ağına sahip olanlar için.

Her şeyi bizimle dağıtırsanız, müşteriler tam teşekküllü VPN desteği, ciddi altyapı yedekliliği ve alıştıkları herhangi bir yönlendiricide çalışacak standart ayarlara sahip olurlar (Cisco, hatta Mikrotik olsun, asıl önemli olan, uygun şekilde destekleyebilmesidir) IPSec/IKEv2 standartlaştırılmış kimlik doğrulama yöntemleriyle). Bu arada, IPSec hakkında - şu anda yalnızca destekliyoruz, ancak hem OpenVPN hem de Wireguard'ın tam teşekküllü çalışmasını başlatmayı planlıyoruz, böylece müşteriler protokole bağlı kalamaz ve her şeyi alıp bize aktarmak daha da kolay olur, ve ayrıca bilgisayarlardan ve mobil cihazlardan (işletim sistemindeki yerleşik çözümler, Cisco AnyConnect ve StrongSwan ve benzerleri) istemcileri bağlamaya başlamak istiyoruz. Bu yaklaşımla, altyapının fiili inşası güvenli bir şekilde operatöre devredilebilir ve geriye yalnızca CPE veya ana bilgisayarın konfigürasyonu kalır.

IPSec modunda bağlantı işlemi nasıl çalışır:

  1. Müşteri, yöneticisine, tünel için gerekli bağlantı hızını, trafik profilini ve IP adresleme parametrelerini (varsayılan olarak, /30 maskeli bir alt ağ) ve yönlendirme türünü (statik veya BGP) belirttiği bir istek bırakır. Bağlantılı ofisteki müşterinin yerel ağlarına rotaları aktarmak için, istemci yönlendiricisindeki uygun ayarlar kullanılarak IPSec protokolü aşamasının IKEv2 mekanizmaları kullanılır veya bunlar, müşterinin uygulamasında belirtilen özel BGP AS'den MPLS'deki BGP aracılığıyla duyurulur. . Böylece, istemci ağlarının yolları hakkındaki bilgiler, istemci yönlendiricisinin ayarları aracılığıyla tamamen istemci tarafından kontrol edilir.
  2. Yöneticisinden yanıt olarak müşteri, VRF formuna eklenmek üzere muhasebe verilerini alır:
    • VPN-HUB IP adresi
    • giriş
    • Kimlik doğrulama şifresi
  3. Aşağıda CPE'yi yapılandırır, örneğin iki temel yapılandırma seçeneği:

    Cisco için seçenek:
    kripto ikev2 anahtarlık BeelineIPsec_keyring
    eş Beeline_VPNHub
    62.141.99.183 adresi –VPN merkezi Beeline
    ön paylaşımlı anahtar <Kimlik doğrulama şifresi>
    !
    Statik yönlendirme seçeneği için, Vpn-hub aracılığıyla erişilebilen ağlara yönelik yollar, IKEv2 yapılandırmasında belirtilebilir ve bunlar, CE yönlendirme tablosunda otomatik olarak statik yollar olarak görünür. Bu ayarlar aynı zamanda statik rotaları ayarlamanın standart yöntemi kullanılarak da yapılabilir (aşağıya bakınız).

    kripto ikev2 yetkilendirme ilkesi FlexClient-yazar

    CE yönlendiricisinin arkasındaki ağlara yönlendirme – CE ve PE arasında statik yönlendirme için zorunlu bir ayar. Rota verilerinin PE'ye aktarımı, tünel IKEv2 etkileşimi yoluyla yükseltildiğinde otomatik olarak gerçekleştirilir.

    rota seti uzaktan ipv4 10.1.1.0 255.255.255.0 –Ofis yerel ağı
    !
    kripto ikev2 profili BeelineIPSec_profile
    kimlik yerel <giriş>
    kimlik doğrulama yerel ön paylaşımı
    kimlik doğrulama uzaktan ön paylaşımı
    yerel anahtarlık BeelineIPsec_keyring
    aaa yetkilendirme grubu psk listesi grup-yazar-listesi FlexClient-yazar
    !
    kripto ikev2 istemcisi flexvpn BeelineIPsec_flex
    eş 1 Beeline_VPNHub
    istemci Tüneli1'e bağlanır
    !
    kripto ipsec dönüşüm seti TRANSFORM1 esp-aes 256 esp-sha256-hmac
    mod tüneli
    !
    kripto ipsec profili varsayılanı
    dönüşüm setini ayarla TRANSFORM1
    ikev2 profilini ayarla BeelineIPSec_profile
    !
    arayüz Tünel1
    ip adresi 10.20.1.2 255.255.255.252 –Tünel adresi
    tünel kaynağı GigabitEthernet0/2 –İnternet erişim arayüzü
    tünel modu ipsec ipv4
    tünel hedefi dinamiği
    tünel koruması ipsec profili varsayılanı
    !
    Beeline VPN yoğunlaştırıcı aracılığıyla erişilebilen istemcinin özel ağlarına giden yollar statik olarak ayarlanabilir.

    ip rotası 172.16.0.0 255.255.0.0 Tünel1
    ip rotası 192.168.0.0 255.255.255.0 Tünel1

    Huawei seçeneği (ar160/120):
    ike yerel adı <giriş>
    #
    acl adı ipsec 3999
    kural 1 IP kaynağına izin verir 10.1.1.0 0.0.0.255 –Ofis yerel ağı
    #
    aaa
    hizmet şeması IPSEC
    rota seti acl 3999
    #
    ipsec teklifi ipsec
    esp kimlik doğrulama algoritması sha2-256
    esp şifreleme algoritması aes-256
    #
    ike teklif varsayılanı
    şifreleme algoritması aes-256
    dh grubu2
    kimlik doğrulama algoritması sha2-256
    kimlik doğrulama yöntemi ön paylaşımı
    bütünlük algoritması hmac-sha2-256
    prf hmac-sha2-256
    #
    ike eş ipsec
    önceden paylaşılan anahtar basit <Kimlik doğrulama şifresi>
    yerel kimlik türü fqdn
    uzak kimlik tipi IP
    uzak adres 62.141.99.183 –VPN merkezi Beeline
    hizmet şeması IPSEC
    yapılandırma değişimi isteği
    yapılandırma-değişim seti kabulü
    yapılandırma değişimi seti gönderme
    #
    ipsec profili ipsecprof
    ike-peer ipsec
    teklif ipsec
    #
    arayüz Tüneli0/0/0
    ip adresi 10.20.1.2 255.255.255.252 –Tünel adresi
    tünel protokolü ipsec
    kaynak GigabitEthernet0/0/1 –İnternet erişim arayüzü
    ipsec profili ipsecprof
    #
    Beeline VPN yoğunlaştırıcı aracılığıyla erişilebilen istemcinin özel ağlarına giden yollar statik olarak ayarlanabilir

    ip rota-statik 192.168.0.0 255.255.255.0 Tünel0/0/0
    ip rota-statik 172.16.0.0 255.255.0.0 Tünel0/0/0

Ortaya çıkan iletişim şeması şuna benzer:

IPSec aracılığıyla Beeline IPVPN'e nasıl ulaşılır? Bölüm 1

Müşterinin temel yapılandırmaya ilişkin bazı örnekleri yoksa, genellikle bunların oluşturulmasına yardımcı olur ve bunları herkesin kullanımına sunarız.

Geriye kalan tek şey CPE'yi internete bağlamak, VPN tünelinin yanıt kısmına ve VPN içindeki herhangi bir ana bilgisayara ping atmak, işte bu kadar, bağlantının kurulduğunu varsayabiliriz.

Bir sonraki makalede size bu şemayı Huawei CPE kullanarak IPSec ve MultiSIM Yedekleme ile nasıl birleştirdiğimizi anlatacağız: yalnızca kablolu bir İnternet kanalını değil aynı zamanda 2 farklı SIM kartı ve CPE'yi kullanabilen istemciler için Huawei CPE'mizi kuruyoruz. IPSec tünelini kablolu WAN veya radyo (LTE#1/LTE#2) aracılığıyla otomatik olarak yeniden oluşturur ve sonuçta ortaya çıkan hizmetin yüksek hata toleransını gerçekleştirir.

Bu makaleyi hazırladıkları için Ar-Ge meslektaşlarımıza (ve aslında bu teknik çözümlerin yazarlarına) özellikle teşekkür ederiz!

Kaynak: habr.com

Yorum ekle