Добавить в корзинуПозвонить
Найти в Дзене
QTECH
480 подписчиков

Объединение филиалов через VPN

150
3 мин
В данной статье мы рассмотрим подключение site-to-site, используемое для объединения локальных сетей офисов и удаленных филиалов. При этом применяется технология виртуальных частных сетей VPN (Virtual Private Network), которая обеспечивает построение логической сети поверх другой (в том числе и интернет). Основное ее предназначение – криптографическая защита данных, передаваемых по компьютерным сетям. Виртуальная частная сеть, в таком случае, станет совокупностью сетевых соединений между несколькими VPN-шлюзами, на которых и будет производиться шифрование сетевого трафика.
VPN-соединение типа site-to-site чаще всего используется в крупных организациях и компаниях для объединения сетей головного и удаленного офисов. При таком межсетевом взаимодействии два одноранговых узла соединяются напрямую, обеспечивая прозрачную связь между сетями. Организация защищенного туннеля по типу site-to-site дает возможность устанавливать безопасные соединения между несколькими сетями удалённых филиалов

В данной статье мы рассмотрим подключение site-to-site, используемое для объединения локальных сетей офисов и удаленных филиалов. При этом применяется технология виртуальных частных сетей VPN (Virtual Private Network), которая обеспечивает построение логической сети поверх другой (в том числе и интернет). Основное ее предназначение – криптографическая защита данных, передаваемых по компьютерным сетям. Виртуальная частная сеть, в таком случае, станет совокупностью сетевых соединений между несколькими VPN-шлюзами, на которых и будет производиться шифрование сетевого трафика.

VPN-соединение типа site-to-site чаще всего используется в крупных организациях и компаниях для объединения сетей головного и удаленного офисов. При таком межсетевом взаимодействии два одноранговых узла соединяются напрямую, обеспечивая прозрачную связь между сетями. Организация защищенного туннеля по типу site-to-site дает возможность устанавливать безопасные соединения между несколькими сетями удалённых филиалов. При этом для аутентификации и шифрования трафика между двумя одноранговыми узлами используется набор протоколов IPSec, среди которых наиболее часто используются Internet Key Exchange (IKE), Encapsulation Security Payload (ESP) и Authentication Header (AH).

IKE является стандартным протоколом набора IPsec, основными функциями которого являются подключение, обслуживание (обеспечения безопасности взаимодействия в VPN) и отключение туннеля. Чтобы протоколы в составе IPSec могли выполнять свои функции по защите передаваемых данных, протокол IKE устанавливает между двумя конечными точками логическое соединение - безопасную ассоциацию (Security Association или SA), которая определяет аутентификацию, ключи и настройки, используемые для шифрования и дешифрования пакетов.

Согласование IKE состоит из двух фаз. Во время первой фазы создается вспомогательный туннель для защиты последующих сообщений согласования IKE. В время второй фазы создается туннель, который предназначен для защиты данных. После этого активизируется набор протоколов IPsec, отвечающий за шифрование данных с использованием специальных алгоритмов, то есть обеспечивающий аутентификацию, шифрование и защиту от повторного воспроизведения. По окончании второй фазы устанавливается VPN-подключение.

Для объединения филиалов через VPN компания QTECH предлагает линейку маршрутизаторов серий QSR-1920, QSR-2920, QSR-3920, которые являются многофункциональными интеллектуальными платформами высокой производительности. Обладая широкими возможностями маршрутизации и коммуникации, такое оборудование, помимо предоставления VPN, обеспечит надлежащую безопасность сети, для чего предназначен широкий функционал программного обеспечения и аппаратные модули ускорения обработки трафика. Благодаря продуманным решениям, маршрутизаторы этой серии с успехом применяются для построения сетей среднего и малого масштаба государственных и коммерческих предприятий, а также операторов связи.

Пошаговая настройка объединения филиалов через VPN, с помощью оборудования QTECH

В рамках данной статьи будет показано, как настроить два маршрутизатора QTECH для создания постоянного безопасного туннеля VPN типа «site-to-site» через Интернет с использованием протокола IP Security (IPSec). Представленные настройки могут быть использованы для маршрутизаторов серий QSR-1920, QSR-2920, QSR-3920.

Все настройки производятся в терминале, с использованием подключения по telnet, ssh или консольным кабелем.

В данном случае мы предполагаем, что оба маршрутизатора Qtech имеют статический публичный IP-адрес.

Схема сети будет выглядеть следующим образом:

-2

В первую очередь необходимо назначить ip адреса на интерфейсы маршрутизаторов и настроить ip связанность.

-3

Далее настраиваем шифрование и туннель.

Вторая часть – это те IP данные, которые необходимо зашифровать и аутентифицировать. То же самое делаем на Device2:
Вторая часть – это те IP данные, которые необходимо зашифровать и аутентифицировать. То же самое делаем на Device2:

Далее мы настраиваем Pre-Shared ключ для аутентификации:

На первой фазе согласования VPN-точки аутентифицируют друг друга на основе общего ключа (Pre-Shared Key)

-5

Также вместо команды any можно задать ip адрес пира для согласования ключей.

Настраиваем Ipsec туннель:

-6

Далее создаём политику безопасности, чтобы создать защищённое соединение между сетями 100.0.0.1/24 to и 101.0.0.1/24 и связываем ее с созданным ранее туннелем:

-7

Тоже самое делаем на Device2:

-8

Для проверки информации о работе туннеля используем следующие команды:

show crypto ike sa

show crypto ipsec sa
show crypto ipsec sa
-10

На основе выводов видно, что туннели в работе.

Источник: https://www.qtech.ru/education/articles/obedinenie-filialov-cherez-vpn-na-oborudovanii-qtech/

Домашний интернет и сотовая связь
119,3 тыс интересуются