Hallo! IN
Dit is die moeite werd om te begin met die feit dat ons, as 'n telekommunikasie-operateur, ons eie groot MPLS-netwerk het, wat vir vastelynkliënte in twee hoofsegmente verdeel word - die een wat direk gebruik word om toegang tot die internet te verkry, en die een wat gebruik om geïsoleerde netwerke te skep - en dit is deur hierdie MPLS-segment dat IPVPN (L3 OSI) en VPLAN (L2 OSI) verkeer vir ons korporatiewe kliënte vloei.
Tipies vind 'n kliëntverbinding soos volg plaas.
'n Toegangslyn word na die kliënt se kantoor gelê vanaf die naaste punt van teenwoordigheid van die netwerk (node MEN, RRL, BSSS, FTTB, ens.) en verder word die kanaal deur die vervoernetwerk geregistreer na die ooreenstemmende PE-MPLS router, waarop ons dit uitvoer na 'n spesiaal geskep vir die VRF-kliënt, met inagneming van die verkeersprofiel wat die kliënt benodig (profieletikette word vir elke toegangpoort gekies, gebaseer op die ip-voorrangwaardes 0,1,3,5, XNUMX).
As ons om een of ander rede nie die laaste myl ten volle vir die kliënt kan organiseer nie, byvoorbeeld, die kliënt se kantoor is in 'n sakesentrum geleë, waar 'n ander verskaffer 'n prioriteit is, of ons het eenvoudig nie ons punt van teenwoordigheid naby nie, dan het voorheen kliënte moes verskeie IPVPN-netwerke by verskillende verskaffers skep (nie die mees koste-effektiewe argitektuur nie) of onafhanklik probleme oplos met die organisering van toegang tot jou VRF oor die internet.
Baie het dit gedoen deur 'n IPVPN-internetpoort te installeer - hulle het 'n grensroeteerder (hardeware of een of ander Linux-gebaseerde oplossing) geïnstalleer, 'n IPVPN-kanaal daaraan gekoppel met een poort en 'n internetkanaal met die ander, hul VPN-bediener daarop geloods en gekoppel gebruikers deur hul eie VPN-poort. So 'n skema skep natuurlik ook laste: sulke infrastruktuur moet gebou word en, mees ongerieflik, bedryf en ontwikkel word.
Om die lewe vir ons kliënte makliker te maak, het ons 'n gesentraliseerde VPN-spilpunt geïnstalleer en ondersteuning vir verbindings oor die internet met behulp van IPSec geïnstalleer, dit wil sê, kliënte hoef nou net hul router op te stel om met ons VPN-spilpunt te werk via 'n IPSec-tonnel oor enige publieke internet , en ons Kom ons stel hierdie kliënt se verkeer vry na sy VRF.
Wie sal dit nuttig vind?
- Vir diegene wat reeds 'n groot IPVPN-netwerk het en binne 'n kort tyd nuwe verbindings benodig.
- Enigiemand wat om een of ander rede 'n deel van die verkeer van die publieke internet na IPVPN wil oordra, maar voorheen tegniese beperkings ondervind het wat met verskeie diensverskaffers verband hou.
- Vir diegene wat tans verskeie uiteenlopende VPN-netwerke oor verskillende telekommunikasie-operateurs het. Daar is kliënte wat IPVPN suksesvol georganiseer het van Beeline, Megafon, Rostelecom, ens. Om dit makliker te maak, kan jy net op ons enkele VPN bly, alle ander kanale van ander operateurs na die internet oorskakel, en dan via IPSec en die internet van hierdie operateurs aan Beeline IPVPN koppel.
- Vir diegene wat reeds 'n IPVPN-netwerk het wat op die internet bedek is.
As u alles by ons ontplooi, ontvang kliënte volwaardige VPN-ondersteuning, ernstige infrastruktuuroortolligheid en standaardinstellings wat sal werk op enige router waaraan hulle gewoond is (of dit nou Cisco is, selfs Mikrotik, die belangrikste ding is dat dit behoorlik kan ondersteun IPSec/IKEv2 met gestandaardiseerde verifikasiemetodes). Terloops, oor IPSec - op die oomblik ondersteun ons dit net, maar ons beplan om 'n volwaardige werking van beide OpenVPN en Wireguard te begin, sodat kliënte nie op die protokol kan staatmaak nie en dit selfs makliker is om alles na ons te neem en oor te dra, en ons wil ook begin om kliënte vanaf rekenaars en mobiele toestelle te koppel (oplossings ingebou in die bedryfstelsel, Cisco AnyConnect en strongSwan en dies meer). Met hierdie benadering kan die de facto-konstruksie van die infrastruktuur veilig aan die operateur oorhandig word, wat slegs die konfigurasie van die CPE of gasheer oorlaat.
Hoe werk die verbindingsproses vir IPSec-modus:
- Die kliënt laat 'n versoek aan sy bestuurder waarin hy die vereiste verbindingspoed, verkeersprofiel en IP-adresseringsparameters vir die tonnel aandui (by verstek 'n subnet met 'n /30-masker) en die tipe roetering (staties of BGP). Om roetes na die kliënt se plaaslike netwerke in die gekoppelde kantoor oor te dra, word die IKEv2-meganismes van die IPSec-protokolfase gebruik deur die toepaslike instellings op die kliëntroeteerder te gebruik, of dit word via BGP in MPLS geadverteer vanaf die private BGP SOOS gespesifiseer in die kliënt se toepassing . Dus word inligting oor die roetes van kliëntnetwerke heeltemal deur die kliënt beheer deur die instellings van die kliëntroeteerder.
- In reaksie van sy bestuurder ontvang die kliënt rekeningkundige data vir insluiting in sy VRF van die vorm:
- VPN-HUB IP-adres
- Teken in
- Verifikasie wagwoord
- Konfigureer CPE, onder, byvoorbeeld, twee basiese konfigurasie-opsies:
Opsie vir Cisco:
crypto ikev2 sleutelring BeelineIPsec_sleutelring
eweknie Beeline_VPNHub
adres 62.141.99.183 –VPN-hub Beeline
vooraf-gedeelde sleutel <Authentication password>
!
Vir die statiese roete-opsie kan roetes na netwerke toeganklik deur die Vpn-hub in die IKEv2-konfigurasie gespesifiseer word en hulle sal outomaties as statiese roetes in die CE-roeteringtabel verskyn. Hierdie instellings kan ook gemaak word deur gebruik te maak van die standaardmetode om statiese roetes op te stel (sien hieronder).crypto ikev2 magtigingsbeleid FlexClient-outeur
Roete na netwerke agter die CE-roeteerder – 'n verpligte instelling vir statiese roetering tussen CE en PE. Die oordrag van roetedata na die PE word outomaties uitgevoer wanneer die tonnel deur IKEv2-interaksie verhoog word.
roetestel afgeleë ipv4 10.1.1.0 255.255.255.0 - Kantoor plaaslike netwerk
!
crypto ikev2 profiel BeelineIPSec_profile
identiteit plaaslike <login>
verifikasie plaaslike voorafdeling
verifikasie afstandvoordeling
sleutelring plaaslike BeelineIPsec_sleutelring
aaa magtiging groep psk lys groep-outeur-lys FlexClient-outeur
!
crypto ikev2 kliënt flexvpn BeelineIPsec_flex
eweknie 1 Beeline_VPNHub
kliënt verbind Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
modus tonnel
!
crypto ipsec profiel verstek
stel transform-stel TRANSFORMEER1
stel ikev2-profiel BeelineIPSec_profile
!
koppelvlak Tunnel1
IP-adres 10.20.1.2 255.255.255.252 – Tonneladres
tonnelbron GigabitEthernet0/2 -Internet toegang koppelvlak
tonnelmodus ipsec ipv4
tonnelbestemming dinamiese
tonnelbeskerming ipsec profiel verstek
!
Roetes na die kliënt se private netwerke wat toeganklik is deur die Beeline VPN-konsentrator kan staties gestel word.ip-roete 172.16.0.0 255.255.0.0 Tonnel1
ip-roete 192.168.0.0 255.255.255.0 Tonnel1Opsie vir Huawei (ar160/120):
ike plaaslike-naam <login>
#
acl naam ipsec 3999
reël 1 laat ip-bron 10.1.1.0 0.0.0.255 toe - Kantoor plaaslike netwerk
#
aaa
diensskema IPSEC
roete stel acl 3999
#
ipsec voorstel ipsec
esp verifikasie-algoritme sha2-256
esp enkripsie-algoritme aes-256
#
ike voorstel verstek
enkripsie-algoritme aes-256
dh groep 2
verifikasie-algoritme sha2-256
verifikasie-metode voorafdeling
integriteit-algoritme hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
vooraf-gedeelde sleutel eenvoudige <Authentication password>
plaaslike-ID-tipe fqdn
afstand-ID-tipe ip
afstand-adres 62.141.99.183 –VPN-hub Beeline
diensskema IPSEC
config-uitruilversoek
config-uitruil stel aanvaar
config-uitruil stel stuur
#
ipsec profiel ipsecprof
ike-peer ipsec
voorstel ipsec
#
koppelvlak Tunnel0/0/0
IP-adres 10.20.1.2 255.255.255.252 – Tonneladres
tonnel-protokol ipsec
bron GigabitEthernet0/0/1 -Internet toegang koppelvlak
ipsec profiel ipsecprof
#
Roetes na die kliënt se privaat netwerke wat toeganklik is deur die Beeline VPN-konsentrator kan staties gestel wordip-roete-staties 192.168.0.0 255.255.255.0 Tonnel0/0/0
ip-roete-staties 172.16.0.0 255.255.0.0 Tonnel0/0/0
Die gevolglike kommunikasiediagram lyk iets soos volg:
As die kliënt nie 'n paar voorbeelde van die basiese konfigurasie het nie, help ons gewoonlik met die vorming daarvan en maak dit aan almal anders beskikbaar.
Al wat oorbly, is om die CPE aan die internet te koppel, te ping na die reaksiegedeelte van die VPN-tonnel en enige gasheer binne die VPN, en dit is dit, ons kan aanneem dat die verbinding gemaak is.
In die volgende artikel sal ons jou vertel hoe ons hierdie skema gekombineer het met IPSec en MultiSIM Redundancy met Huawei CPE: ons installeer ons Huawei CPE vir kliënte, wat nie net 'n bedrade internetkanaal kan gebruik nie, maar ook 2 verskillende SIM-kaarte, en die CPE herbou outomaties IPSec-tonnel óf via bedrade WAN óf via radio (LTE#1/LTE#2), en realiseer hoë fouttoleransie van die gevolglike diens.
Spesiale dank aan ons RnD-kollegas vir die voorbereiding van hierdie artikel (en, in werklikheid, aan die skrywers van hierdie tegniese oplossings)!
Bron: will.com