مرحبًا! في
يجدر بنا أن نبدأ بحقيقة أننا، كمشغل اتصالات، لدينا شبكة MPLS ضخمة خاصة بنا، والتي تنقسم لعملاء الخطوط الثابتة إلى قسمين رئيسيين - الجزء الذي يستخدم مباشرة للوصول إلى الإنترنت، والآخر الذي يستخدم تُستخدم لإنشاء شبكات معزولة - ومن خلال مقطع MPLS هذا، تنتقل حركة مرور IPVPN (L3 OSI) وVPLAN (L2 OSI) لعملائنا من الشركات.
عادةً ما يحدث اتصال العميل على النحو التالي.
يتم وضع خط وصول إلى مكتب العميل من أقرب نقطة تواجد للشبكة (العقدة MEN، RRL، BSSS، FTTB، وما إلى ذلك) علاوة على ذلك، يتم تسجيل القناة من خلال شبكة النقل إلى PE-MPLS المقابلة جهاز التوجيه، والذي نخرجه عليه إلى جهاز تم إنشاؤه خصيصًا لعميل VRF، مع مراعاة ملف تعريف حركة المرور الذي يحتاجه العميل (يتم تحديد تسميات ملف التعريف لكل منفذ وصول، بناءً على قيم أسبقية IP 0,1,3,5،XNUMX،XNUMX، XNUMX).
إذا لم نتمكن لسبب ما من تنظيم الميل الأخير للعميل بشكل كامل، على سبيل المثال، يقع مكتب العميل في مركز أعمال، حيث يكون مزود آخر هو الأولوية، أو ببساطة ليس لدينا نقطة تواجد قريبة لدينا، ثم العملاء السابقون اضطررت إلى إنشاء العديد من شبكات IPVPN لدى مقدمي خدمات مختلفين (ليست البنية الأكثر فعالية من حيث التكلفة) أو حل المشكلات بشكل مستقل فيما يتعلق بتنظيم الوصول إلى VRF الخاص بك عبر الإنترنت.
فعل الكثيرون ذلك عن طريق تثبيت بوابة إنترنت IPVPN - حيث قاموا بتثبيت جهاز توجيه حدودي (جهاز أو بعض الحلول المستندة إلى Linux)، وتوصيل قناة IPVPN به بمنفذ واحد وقناة إنترنت بالمنفذ الآخر، وتشغيل خادم VPN الخاص بهم عليه والاتصال المستخدمين من خلال بوابة VPN الخاصة بهم. وبطبيعة الحال، يخلق مثل هذا المخطط أيضاً أعباء: فلابد من بناء مثل هذه البنية الأساسية، وتشغيلها وتطويرها، وهو الأمر الأكثر إزعاجاً.
لجعل الحياة أسهل لعملائنا، قمنا بتثبيت محور VPN مركزي ودعم منظم للاتصالات عبر الإنترنت باستخدام IPSec، أي أن العملاء الآن يحتاجون فقط إلى تكوين جهاز التوجيه الخاص بهم للعمل مع محور VPN الخاص بنا عبر نفق IPSec عبر أي إنترنت عام ، ودعنا نطلق حركة مرور هذا العميل إلى VRF الخاص به.
من سيحتاج
- بالنسبة لأولئك الذين لديهم بالفعل شبكة IPVPN كبيرة ويحتاجون إلى اتصالات جديدة في وقت قصير.
- أي شخص يريد، لسبب ما، نقل جزء من حركة المرور من الإنترنت العام إلى IPVPN، ولكنه واجه في السابق قيودًا فنية مرتبطة بالعديد من مقدمي الخدمات.
- بالنسبة لأولئك الذين لديهم حاليًا عدة شبكات VPN متباينة عبر مشغلي اتصالات مختلفين. هناك عملاء نجحوا في تنظيم IPVPN من Beeline وMegafon وRostelecom وما إلى ذلك. لتسهيل الأمر، يمكنك البقاء فقط على VPN واحد لدينا، وتحويل جميع القنوات الأخرى للمشغلين الآخرين إلى الإنترنت، ثم الاتصال بـ Beeline IPVPN عبر IPSec والإنترنت من هؤلاء المشغلين.
- بالنسبة لأولئك الذين لديهم بالفعل شبكة IPVPN متراكبة على الإنترنت.
إذا قمت بنشر كل شيء معنا، فسيحصل العملاء على دعم VPN كامل، وتكرار كبير للبنية التحتية، وإعدادات قياسية ستعمل على أي جهاز توجيه اعتادوا عليه (سواء كان Cisco، أو حتى Mikrotik، والشيء الرئيسي هو أنه يمكنه الدعم بشكل صحيح IPSec/IKEv2 مع طرق المصادقة الموحدة). بالمناسبة، بخصوص IPSec - في الوقت الحالي نحن ندعمه فقط، ولكننا نخطط لإطلاق عملية كاملة لكل من OpenVPN وWireguard، بحيث لا يمكن للعملاء الاعتماد على البروتوكول ويكون من الأسهل أخذ كل شيء ونقله إلينا، ونريد أيضًا البدء في توصيل العملاء من أجهزة الكمبيوتر والأجهزة المحمولة (الحلول المضمنة في نظام التشغيل وCisco AnyConnect وstrongSwan وما شابه). ومن خلال هذا النهج، يمكن تسليم البناء الفعلي للبنية التحتية بأمان إلى المشغل، مع ترك تكوين جهاز CPE أو المضيف فقط.
كيف تعمل عملية الاتصال لوضع IPSec:
- يترك العميل طلبًا لمديره يشير فيه إلى سرعة الاتصال المطلوبة وملف تعريف حركة المرور ومعلمات عنونة IP للنفق (افتراضيًا، شبكة فرعية بقناع /30) ونوع التوجيه (ثابت أو BGP). لنقل المسارات إلى شبكات العميل المحلية في المكتب المتصل، يتم استخدام آليات IKEv2 لمرحلة بروتوكول IPSec باستخدام الإعدادات المناسبة على جهاز توجيه العميل، أو يتم الإعلان عنها عبر BGP في MPLS من BGP AS المحدد في تطبيق العميل . وبالتالي، يتم التحكم بشكل كامل في المعلومات المتعلقة بمسارات شبكات العميل بواسطة العميل من خلال إعدادات جهاز توجيه العميل.
- ردًا على ذلك من مديره، يتلقى العميل البيانات المحاسبية لإدراجها في نموذج VRF الخاص به:
- عنوان IP VPN-HUB
- Логин
- كلمة مرور المصادقة
- يقوم بتكوين CPE، على سبيل المثال، خيارين أساسيين للتكوين:
خيار سيسكو:
حلقة مفاتيح التشفير ikev2 BeelineIPsec_keyring
نظير Beeline_VPNHub
عنوان 62.141.99.183 -VPN محور الخط المباشر
المفتاح المشترك مسبقًا <كلمة مرور المصادقة>
!
بالنسبة لخيار التوجيه الثابت، يمكن تحديد المسارات إلى الشبكات التي يمكن الوصول إليها من خلال Vpn-hub في تكوين IKEv2 وستظهر تلقائيًا كمسارات ثابتة في جدول توجيه CE. يمكن أيضًا إجراء هذه الإعدادات باستخدام الطريقة القياسية لتعيين المسارات الثابتة (انظر أدناه).سياسة ترخيص التشفير ikev2 FlexClient-author
التوجيه إلى الشبكات خلف جهاز التوجيه CE - إعداد إلزامي للتوجيه الثابت بين CE وPE. يتم نقل بيانات المسار إلى PE تلقائيًا عند رفع النفق من خلال تفاعل IKEv2.
تعيين المسار عن بعد IPv4 10.1.1.0 255.255.255.0 -الشبكة المحلية للمكتب
!
ملف تعريف التشفير ikev2 BeelineIPSec_profile
الهوية المحلية <تسجيل الدخول>
المصادقة المحلية قبل المشاركة
المصادقة عن بعد قبل المشاركة
حلقة مفاتيح BeelineIPsec_keyring المحلية
aaa مجموعة الترخيص قائمة psk مجموعة المؤلفين قائمة FlexClient-author
!
عميل التشفير ikev2 flexvpn BeelineIPsec_flex
النظير 1 Beeline_VPNHub
العميل ربط Tunnel1
!
تشفير IPSEC تحويل مجموعة TRANSFORM1 esp-aes 256 esp-sha256-hmac
نفق الوضع
!
ملف تعريف تشفير IPSEC الافتراضي
تعيين مجموعة التحويل TRANSFORM1
قم بتعيين ملف تعريف ikev2 BeelineIPSec_profile
!
واجهة Tunnel1
عنوان IP 10.20.1.2 255.255.255.252 – عنوان النفق
مصدر النفق GigabitEthernet0/2 – واجهة الوصول إلى الإنترنت
وضع النفق IPSEC IPv4
ديناميكية وجهة النفق
ملف تعريف IPSEC الافتراضي لحماية النفق
!
يمكن تعيين المسارات إلى الشبكات الخاصة للعميل التي يمكن الوصول إليها من خلال مُركز Beeline VPN بشكل ثابت.طريق الملكية الفكرية 172.16.0.0 255.255.0.0 النفق 1
طريق الملكية الفكرية 192.168.0.0 255.255.255.0 النفق 1الخيار لهواوي (ar160/120):
ike local-name <تسجيل الدخول>
#
اسم ACL IPSEC 3999
القاعدة 1 تسمح بمصدر IP 10.1.1.0 0.0.0.255 -الشبكة المحلية للمكتب
#
AAA
مخطط الخدمة IPSEC
تعيين الطريق ACL 3999
#
IPSEC اقتراح IPSEC
esp المصادقة خوارزمية sha2-256
خوارزمية التشفير esp aes-256
#
مثل الاقتراح الافتراضي
خوارزمية التشفير AES-256
مجموعة دي إتش 2
خوارزمية المصادقة sha2-256
طريقة المصادقة قبل المشاركة
خوارزمية السلامة hmac-sha2-256
بي آر إف hmac-sha2-256
#
آيك نظير IPSEC
المفتاح المشترك مسبقًا بسيط <كلمة مرور المصادقة>
معرف محلي من نوع fqdn
عنوان IP من نوع المعرف البعيد
العنوان البعيد 62.141.99.183 -VPN محور الخط المباشر
مخطط الخدمة IPSEC
طلب تبادل التكوين
قبول مجموعة التكوين والتبادل
إرسال مجموعة التكوين والتبادل
#
ملف تعريف IPSEC ipsecprof
آيك نظير IPSEC
اقتراح IPSEC
#
واجهة النفق0/0/0
عنوان IP 10.20.1.2 255.255.255.252 – عنوان النفق
بروتوكول نفق IPSEC
المصدر جيجابت إيثرنت 0/0/1 – واجهة الوصول إلى الإنترنت
ملف تعريف IPSEC ipsecprof
#
يمكن تعيين المسارات إلى الشبكات الخاصة للعميل التي يمكن الوصول إليها من خلال مُركز Beeline VPN بشكل ثابتمسار IP ثابت 192.168.0.0 255.255.255.0 النفق 0/0/0
مسار IP ثابت 172.16.0.0 255.255.0.0 النفق 0/0/0
يبدو مخطط الاتصال الناتج كما يلي:
إذا لم يكن لدى العميل بعض الأمثلة على التكوين الأساسي، فعادةً ما نساعد في تكوينها ونجعلها متاحة للجميع.
كل ما تبقى هو توصيل CPE بالإنترنت، واختبار اتصال جزء الاستجابة من نفق VPN وأي مضيف داخل VPN، وهذا كل شيء، يمكننا أن نفترض أنه تم إجراء الاتصال.
في المقالة التالية، سنخبرك كيف قمنا بدمج هذا المخطط مع IPSec وMultiSIM Redundancy باستخدام Huawei CPE: نقوم بتثبيت Huawei CPE الخاص بنا للعملاء، والذي يمكنه ليس فقط استخدام قناة إنترنت سلكية، ولكن أيضًا بطاقتي SIM مختلفتين، وCPE يقوم تلقائيًا بإعادة بناء نفق IPSec إما عبر شبكة WAN سلكية أو عبر الراديو (LTE#2/LTE#1)، مما يحقق قدرًا كبيرًا من التسامح مع الأخطاء في الخدمة الناتجة.
شكر خاص لزملائنا في RnD لإعداد هذه المقالة (وفي الواقع لمؤلفي هذه الحلول التقنية)!
المصدر: www.habr.com