Prohoster > Blog > quản lý > Cách truy cập Beeline IPVPN qua IPSec. Phần 1

Cách truy cập Beeline IPVPN qua IPSec. Phần 1

Xin chào! TRONG bài trước Tôi đã mô tả một phần hoạt động của dịch vụ MultiSIM của chúng tôi đặt chỗ trước и thăng bằng kênh truyền hình. Như đã đề cập, chúng tôi kết nối máy khách với mạng thông qua VPN và hôm nay tôi sẽ cho bạn biết thêm một chút về VPN và các khả năng của chúng tôi trong phần này.

Cần bắt đầu với thực tế là chúng tôi, với tư cách là một nhà khai thác viễn thông, có mạng MPLS khổng lồ của riêng mình, mạng này dành cho khách hàng sử dụng điện thoại cố định được chia thành hai phân đoạn chính - một phân đoạn được sử dụng trực tiếp để truy cập Internet và một phân đoạn được sử dụng trực tiếp để truy cập Internet. được sử dụng để tạo các mạng biệt lập — và chính thông qua phân đoạn MPLS này mà lưu lượng IPVPN (L3 OSI) và VPLAN (L2 OSI) sẽ truyền cho các khách hàng doanh nghiệp của chúng tôi.

Cách truy cập Beeline IPVPN qua IPSec. Phần 1
Thông thường, kết nối máy khách sẽ diễn ra như sau.

Một đường dây truy cập được đặt đến văn phòng của khách hàng từ Điểm hiện diện gần nhất của mạng (nút MEN, RRL, BSSS, FTTB, v.v.) và hơn nữa, kênh được đăng ký qua mạng truyền tải tới PE-MPLS tương ứng bộ định tuyến, trên đó chúng tôi xuất nó tới một bộ định tuyến được tạo đặc biệt cho máy khách VRF, có tính đến cấu hình lưu lượng mà máy khách cần (nhãn hồ sơ được chọn cho mỗi cổng truy cập, dựa trên các giá trị ưu tiên ip 0,1,3,5, XNUMX).

Ví dụ: nếu vì lý do nào đó, chúng tôi không thể tổ chức đầy đủ chặng cuối cho khách hàng, văn phòng của khách hàng nằm ở trung tâm thương mại, nơi ưu tiên nhà cung cấp khác hoặc đơn giản là chúng tôi không có điểm hiện diện gần đó, thì các khách hàng trước đây phải tạo một số mạng IPVPN tại các nhà cung cấp khác nhau (không phải kiến ​​trúc tiết kiệm chi phí nhất) hoặc giải quyết độc lập các vấn đề về tổ chức quyền truy cập vào VRF của bạn qua Internet.

Nhiều người đã làm điều này bằng cách cài đặt một cổng Internet IPVPN - họ đã cài đặt bộ định tuyến biên (phần cứng hoặc một số giải pháp dựa trên Linux), kết nối kênh IPVPN với nó bằng một cổng và kênh Internet với cổng kia, khởi chạy máy chủ VPN của họ trên đó và kết nối người dùng thông qua cổng VPN của riêng họ. Đương nhiên, kế hoạch như vậy cũng tạo ra gánh nặng: cơ sở hạ tầng như vậy phải được xây dựng và bất tiện nhất là phải vận hành và phát triển.

Để giúp cuộc sống của khách hàng dễ dàng hơn, chúng tôi đã cài đặt một trung tâm VPN tập trung và tổ chức hỗ trợ các kết nối qua Internet bằng IPSec, nghĩa là giờ đây khách hàng chỉ cần định cấu hình bộ định tuyến của họ để hoạt động với trung tâm VPN của chúng tôi thông qua đường hầm IPSec trên bất kỳ mạng Internet công cộng nào và chúng tôi Hãy giải phóng lưu lượng truy cập của khách hàng này tới VRF của nó.

Ai sẽ cần

  • Dành cho những người đã có mạng IPVPN lớn và cần kết nối mới trong thời gian ngắn.
  • Bất kỳ ai, vì lý do nào đó, muốn chuyển một phần lưu lượng truy cập từ Internet công cộng sang IPVPN nhưng trước đó đã gặp phải các hạn chế kỹ thuật liên quan đến một số nhà cung cấp dịch vụ.
  • Dành cho những người hiện có một số mạng VPN khác nhau trên các nhà khai thác viễn thông khác nhau. Có những khách hàng đã tổ chức thành công IPVPN từ Beeline, Megafon, Rostelecom, v.v. Để dễ dàng hơn, bạn chỉ có thể sử dụng VPN duy nhất của chúng tôi, chuyển tất cả các kênh khác của các nhà khai thác khác sang Internet, sau đó kết nối với Beeline IPVPN qua IPSec và Internet từ các nhà khai thác này.
  • Dành cho những người đã có mạng IPVPN phủ sóng trên Internet.

Nếu bạn triển khai mọi thứ với chúng tôi, thì khách hàng sẽ nhận được hỗ trợ VPN chính thức, dự phòng cơ sở hạ tầng nghiêm túc và cài đặt tiêu chuẩn sẽ hoạt động trên bất kỳ bộ định tuyến nào họ quen sử dụng (có thể là Cisco, thậm chí Mikrotik, điều chính là nó có thể hỗ trợ đúng cách). IPSec/IKEv2 với các phương thức xác thực được tiêu chuẩn hóa). Nhân tiện, về IPSec - hiện tại chúng tôi chỉ hỗ trợ nó, nhưng chúng tôi dự định triển khai hoạt động chính thức của cả OpenVPN và Wireguard, để khách hàng không thể phụ thuộc vào giao thức và việc lấy và chuyển mọi thứ cho chúng tôi thậm chí còn dễ dàng hơn, và chúng tôi cũng muốn bắt đầu kết nối máy khách từ máy tính và thiết bị di động (các giải pháp được tích hợp trong HĐH, Cisco AnyConnect và strongSwan, v.v.). Với cách tiếp cận này, việc xây dựng cơ sở hạ tầng trên thực tế có thể được bàn giao một cách an toàn cho nhà điều hành, chỉ để lại cấu hình của CPE hoặc máy chủ.

Quá trình kết nối hoạt động như thế nào đối với chế độ IPSec:

  1. Khách hàng để lại yêu cầu cho người quản lý của mình, trong đó anh ta chỉ ra tốc độ kết nối, hồ sơ lưu lượng truy cập và các thông số địa chỉ IP cần thiết cho đường hầm (theo mặc định là mạng con có mặt nạ /30) và loại định tuyến (tĩnh hoặc BGP). Để truyền các tuyến đến mạng cục bộ của máy khách trong văn phòng được kết nối, các cơ chế IKEv2 của giai đoạn giao thức IPSec được sử dụng bằng cách sử dụng các cài đặt thích hợp trên bộ định tuyến máy khách hoặc chúng được quảng cáo qua BGP trong MPLS từ BGP AS riêng được chỉ định trong ứng dụng của máy khách . Do đó, thông tin về các tuyến đường của mạng máy khách hoàn toàn được máy khách kiểm soát thông qua cài đặt của bộ định tuyến máy khách.
  2. Theo phản hồi từ người quản lý của mình, khách hàng nhận được dữ liệu kế toán để đưa vào VRF của mình theo biểu mẫu:
    • Địa chỉ IP VPN-HUB
    • đăng nhập
    • Mật khẩu xác thực
  3. Định cấu hình CPE, ví dụ: bên dưới, hai tùy chọn cấu hình cơ bản:

    Tùy chọn cho Cisco:
    khóa mật mã ikev2 BeelineIPsec_keyring
    ngang hàng Beeline_VPNHub
    địa chỉ 62.141.99.183 –Trung tâm VPN Beeline
    pre-shared-key <Mật khẩu xác thực>
    !
    Đối với tùy chọn định tuyến tĩnh, các tuyến đến mạng có thể truy cập thông qua trung tâm Vpn có thể được chỉ định trong cấu hình IKEv2 và chúng sẽ tự động xuất hiện dưới dạng tuyến tĩnh trong bảng định tuyến CE. Những cài đặt này cũng có thể được thực hiện bằng phương pháp thiết lập tuyến tĩnh tiêu chuẩn (xem bên dưới).

    chính sách ủy quyền crypto ikev2 FlexClient-tác giả

    Định tuyến tới các mạng phía sau bộ định tuyến CE – cài đặt bắt buộc để định tuyến tĩnh giữa CE và PE. Việc truyền dữ liệu tuyến đường tới PE được thực hiện tự động khi đường hầm được nâng lên thông qua tương tác IKEv2.

    định tuyến đặt ipv4 từ xa 10.1.1.0 255.255.255.0 –Mạng cục bộ của văn phòng
    !
    hồ sơ mật mã ikev2 BeelineIPSec_profile
    danh tính cục bộ <đăng nhập>
    xác thực chia sẻ trước cục bộ
    xác thực từ xa chia sẻ trước
    khóa BeelineIPsec_keyring cục bộ
    nhóm ủy quyền aaa danh sách psk nhóm-tác giả-danh sách FlexClient-tác giả
    !
    mật mã ikev2 client flexvpn BeelineIPsec_flex
    ngang hàng 1 Beeline_VPNHub
    khách hàng kết nối Tunnel1
    !
    bộ biến đổi mật mã ipsec TRANSFORM1 đặc biệt là 256 đặc biệt là sha256-hmac
    đường hầm chế độ
    !
    hồ sơ mật mã ipsec mặc định
    bộ biến đổi-bộ TRANSFORM1
    đặt hồ sơ ikev2 BeelineIPSec_profile
    !
    giao diện Tunnel1
    địa chỉ ip 10.20.1.2 255.255.255.252 –Địa chỉ đường hầm
    nguồn đường hầm GigabitEthernet0/2 –Giao diện truy cập Internet
    chế độ đường hầm ipsec ipv4
    động đích đường hầm
    hồ sơ ipsec bảo vệ đường hầm mặc định
    !
    Các tuyến đến mạng riêng của khách hàng có thể truy cập thông qua bộ tập trung Beeline VPN có thể được đặt tĩnh.

    tuyến ip 172.16.0.0 255.255.0.0 Tunnel1
    tuyến ip 192.168.0.0 255.255.255.0 Tunnel1

    Tùy chọn cho Huawei (ar160/120):
    ike tên địa phương <đăng nhập>
    #
    tên acl ipsec 3999
    quy tắc 1 cho phép nguồn ip 10.1.1.0 0.0.0.255 –Mạng cục bộ của văn phòng
    #
    aaa
    lược đồ dịch vụ IPSEC
    bộ định tuyến acl 3999
    #
    đề xuất ipsec ipsec
    thuật toán xác thực đặc biệt sha2-256
    thuật toán mã hóa đặc biệt aes-256
    #
    mặc định đề xuất ike
    thuật toán mã hóa aes-256
    nhóm dh2
    thuật toán xác thực sha2-256
    chia sẻ trước phương thức xác thực
    thuật toán toàn vẹn hmac-sha2-256
    prf hmac-sha2-256
    #
    ike ngang hàng ipsec
    khóa chia sẻ trước đơn giản <Mật khẩu xác thực>
    fqdn kiểu id cục bộ
    ip loại id từ xa
    địa chỉ từ xa 62.141.99.183 –Trung tâm VPN Beeline
    lược đồ dịch vụ IPSEC
    yêu cầu trao đổi cấu hình
    bộ trao đổi cấu hình chấp nhận
    bộ trao đổi cấu hình gửi
    #
    hồ sơ ipsec ipsecprof
    ike-peer ipsec
    đề xuất ipsec
    #
    giao diện Tunnel0/0/0
    địa chỉ ip 10.20.1.2 255.255.255.252 –Địa chỉ đường hầm
    ipsec giao thức đường hầm
    nguồn GigabitEthernet0/0/1 –Giao diện truy cập Internet
    hồ sơ ipsec ipsecprof
    #
    Các tuyến đến mạng riêng của khách hàng có thể truy cập thông qua bộ tập trung Beeline VPN có thể được đặt tĩnh

    ip định tuyến tĩnh 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip định tuyến tĩnh 172.16.0.0 255.255.0.0 Tunnel0/0/0

Sơ đồ truyền thông kết quả trông giống như thế này:

Cách truy cập Beeline IPVPN qua IPSec. Phần 1

Nếu khách hàng không có một số ví dụ về cấu hình cơ bản, thì chúng tôi thường giúp tạo cấu hình và cung cấp chúng cho những người khác.

Tất cả những gì còn lại là kết nối CPE với Internet, ping tới phần phản hồi của đường hầm VPN và bất kỳ máy chủ nào bên trong VPN, và thế là xong, chúng ta có thể giả định rằng kết nối đã được thực hiện.

Trong bài viết tiếp theo, chúng tôi sẽ cho bạn biết cách chúng tôi kết hợp sơ đồ này với IPSec và Dự phòng MultiSIM bằng cách sử dụng Huawei CPE: chúng tôi cài đặt Huawei CPE cho khách hàng, không chỉ có thể sử dụng kênh Internet có dây mà còn có thể sử dụng 2 thẻ SIM khác nhau và CPE tự động xây dựng lại đường hầm IPSec qua mạng WAN có dây hoặc qua sóng vô tuyến (LTE#1/LTE#2), mang lại khả năng chịu lỗi cao cho dịch vụ thu được.

Đặc biệt cảm ơn các đồng nghiệp RnD của chúng tôi đã chuẩn bị bài viết này (và trên thực tế là các tác giả của các giải pháp kỹ thuật này)!

Nguồn: www.habr.com

Thêm một lời nhận xét