В данной статье мы рассмотрим подключение site-to-site, используемое для объединения локальных сетей офисов и удаленных филиалов. При этом применяется технология виртуальных частных сетей VPN (Virtual Private Network), которая обеспечивает построение логической сети поверх другой (в том числе и интернет). Основное ее предназначение – криптографическая защита данных, передаваемых по компьютерным сетям. Виртуальная частная сеть, в таком случае, станет совокупностью сетевых соединений между несколькими VPN-шлюзами, на которых и будет производиться шифрование сетевого трафика.
VPN-соединение типа site-to-site чаще всего используется в крупных организациях и компаниях для объединения сетей головного и удаленного офисов. При таком межсетевом взаимодействии два одноранговых узла соединяются напрямую, обеспечивая прозрачную связь между сетями. Организация защищенного туннеля по типу site-to-site дает возможность устанавливать безопасные соединения между несколькими сетями удалённых филиалов. При этом для аутентификации и шифрования трафика между двумя одноранговыми узлами используется набор протоколов IPSec, среди которых наиболее часто используются Internet Key Exchange (IKE), Encapsulation Security Payload (ESP) и Authentication Header (AH).
IKE является стандартным протоколом набора IPsec, основными функциями которого являются подключение, обслуживание (обеспечения безопасности взаимодействия в VPN) и отключение туннеля. Чтобы протоколы в составе IPSec могли выполнять свои функции по защите передаваемых данных, протокол IKE устанавливает между двумя конечными точками логическое соединение - безопасную ассоциацию (Security Association или SA), которая определяет аутентификацию, ключи и настройки, используемые для шифрования и дешифрования пакетов.
Согласование IKE состоит из двух фаз. Во время первой фазы создается вспомогательный туннель для защиты последующих сообщений согласования IKE. В время второй фазы создается туннель, который предназначен для защиты данных. После этого активизируется набор протоколов IPsec, отвечающий за шифрование данных с использованием специальных алгоритмов, то есть обеспечивающий аутентификацию, шифрование и защиту от повторного воспроизведения. По окончании второй фазы устанавливается VPN-подключение.
Для объединения филиалов через VPN компания QTECH предлагает линейку маршрутизаторов серий QSR-1920, QSR-2920, QSR-3920, которые являются многофункциональными интеллектуальными платформами высокой производительности. Обладая широкими возможностями маршрутизации и коммуникации, такое оборудование, помимо предоставления VPN, обеспечит надлежащую безопасность сети, для чего предназначен широкий функционал программного обеспечения и аппаратные модули ускорения обработки трафика. Благодаря продуманным решениям, маршрутизаторы этой серии с успехом применяются для построения сетей среднего и малого масштаба государственных и коммерческих предприятий, а также операторов связи.
Пошаговая настройка объединения филиалов через VPN, с помощью оборудования QTECH
В рамках данной статьи будет показано, как настроить два маршрутизатора QTECH для создания постоянного безопасного туннеля VPN типа «site-to-site» через Интернет с использованием протокола IP Security (IPSec). Представленные настройки могут быть использованы для маршрутизаторов серий QSR-1920, QSR-2920, QSR-3920.
Все настройки производятся в терминале, с использованием подключения по telnet, ssh или консольным кабелем.
В данном случае мы предполагаем, что оба маршрутизатора Qtech имеют статический публичный IP-адрес.
Схема сети будет выглядеть следующим образом:
В первую очередь необходимо назначить ip адреса на интерфейсы маршрутизаторов и настроить ip связанность.
Далее настраиваем шифрование и туннель.
Далее мы настраиваем Pre-Shared ключ для аутентификации:
На первой фазе согласования VPN-точки аутентифицируют друг друга на основе общего ключа (Pre-Shared Key)
Также вместо команды any можно задать ip адрес пира для согласования ключей.
Настраиваем Ipsec туннель:
Далее создаём политику безопасности, чтобы создать защищённое соединение между сетями 100.0.0.1/24 to и 101.0.0.1/24 и связываем ее с созданным ранее туннелем:
Тоже самое делаем на Device2:
Для проверки информации о работе туннеля используем следующие команды:
show crypto ike sa
На основе выводов видно, что туннели в работе.
Источник: https://www.qtech.ru/education/articles/obedinenie-filialov-cherez-vpn-na-oborudovanii-qtech/
