Salam! IN
Bir telekommunikasiya operatoru olaraq, sabit xətt müştəriləri üçün iki əsas seqmentə bölünən öz nəhəng MPLS şəbəkəmizdən başlamağa dəyər - birbaşa İnternetə daxil olmaq üçün istifadə olunan və digər təcrid olunmuş şəbəkələr yaratmaq üçün istifadə olunur – və məhz bu MPLS seqmenti vasitəsilə korporativ müştərilərimiz üçün IPVPN (L3 OSI) və VPLAN (L2 OSI) trafiki axır.
Tipik olaraq, müştəri bağlantısı aşağıdakı kimi baş verir.
Müştərinin ofisinə şəbəkənin ən yaxın mövcudluq nöqtəsindən (MEN, RRL, BSSS, FTTB qovşağı və s.) giriş xətti çəkilir və daha sonra kanal nəqliyyat şəbəkəsi vasitəsilə müvafiq PE-MPLS-ə qeydiyyata alınır. Müştərinin ehtiyac duyduğu trafik profilini nəzərə alaraq VRF müştərisi üçün xüsusi olaraq yaradılan marşrutlaşdırıcıya çıxarırıq (profil etiketləri hər giriş portu üçün ip üstünlük dəyərlərinə əsasən seçilir 0,1,3,5, XNUMX).
Əgər nədənsə biz müştəri üçün son mili tam təşkil edə bilmiriksə, məsələn, müştərinin ofisi başqa bir provayderin prioritet olduğu biznes mərkəzində yerləşirsə və ya sadəcə olaraq yaxınlıqda mövcud olma nöqtəmiz yoxdursa, o zaman əvvəllər müştərilər müxtəlif provayderlərdə (ən sərfəli arxitektura deyil) bir neçə IPVPN şəbəkəsi yaratmalı və ya İnternet üzərindən VRF-yə girişin təşkili ilə bağlı problemləri müstəqil həll etməli idi.
Çoxları bunu IPVPN İnternet şlüzünü quraşdıraraq etdi - onlar sərhəd marşrutlaşdırıcısı (avadanlıq və ya bəzi Linux əsaslı həllər) quraşdırdılar, ona bir portla IPVPN kanalını, digəri ilə İnternet kanalını qoşdular, VPN serverlərini işə saldılar və qoşuldular. istifadəçilər öz VPN şlüzləri vasitəsilə. Təbii ki, belə bir sxem həm də yüklər yaradır: belə infrastruktur qurulmalı və ən əlverişsiz halda işlədilməli və inkişaf etdirilməlidir.
Müştərilərimizin həyatını asanlaşdırmaq üçün biz mərkəzləşdirilmiş VPN mərkəzi quraşdırdıq və IPSec-dən istifadə edərək İnternet üzərindən bağlantılar üçün dəstək təşkil etdik, yəni indi müştərilər yalnız hər hansı ictimai İnternet üzərindən IPSec tuneli vasitəsilə VPN mərkəzimizlə işləmək üçün marşrutlaşdırıcılarını konfiqurasiya etməlidirlər. , və biz bu müştərinin trafikini VRF-ə buraxaq.
Bunu kim faydalı tapacaq?
- Artıq böyük bir IPVPN şəbəkəsi olan və qısa müddətdə yeni bağlantılara ehtiyacı olanlar üçün.
- Nədənsə trafikin bir hissəsini ictimai İnternetdən IPVPN-ə köçürmək istəyən, lakin əvvəllər bir neçə xidmət təminatçısı ilə əlaqəli texniki məhdudiyyətlərlə qarşılaşan hər kəs.
- Hal-hazırda müxtəlif telekommunikasiya operatorları arasında bir neçə fərqli VPN şəbəkəsi olanlar üçün. Beeline, Megafon, Rostelecom və s.-dən IPVPN-ni uğurla təşkil edən müştərilər var. Bunu asanlaşdırmaq üçün siz yalnız bizim tək VPN-də qala, digər operatorların bütün digər kanallarını İnternetə keçirə və sonra IPSec və bu operatorlardan İnternet vasitəsilə Beeline IPVPN-ə qoşula bilərsiniz.
- İnternetdə artıq IPVPN şəbəkəsi olanlar üçün.
Hər şeyi bizimlə yerləşdirsəniz, müştərilər tam hüquqlu VPN dəstəyi, ciddi infrastruktur ehtiyatı və adət etdikləri hər hansı bir marşrutlaşdırıcıda işləyəcək standart parametrlər alırlar (istər Cisco, istərsə də Mikrotik olsun, əsas odur ki, onu düzgün dəstəkləyə bilsin. standartlaşdırılmış autentifikasiya üsulları ilə IPSec/IKEv2). Yeri gəlmişkən, IPSec haqqında - hazırda biz yalnız onu dəstəkləyirik, lakin biz həm OpenVPN, həm də Wireguard-ın tam hüquqlu işləməsinə başlamağı planlaşdırırıq ki, müştərilər protokoldan asılı olmasın və hər şeyi götürüb bizə ötürmək daha da asan olsun, və biz həmçinin müştəriləri kompüterlərdən və mobil cihazlardan birləşdirməyə başlamaq istəyirik (ƏS-də quraşdırılmış həllər, Cisco AnyConnect və strongSwan və s.). Bu yanaşma ilə, infrastrukturun faktiki tikintisi yalnız CPE və ya hostun konfiqurasiyasını tərk edərək təhlükəsiz şəkildə operatora təhvil verilə bilər.
IPSec rejimi üçün qoşulma prosesi necə işləyir:
- Müştəri menecerinə tələb qoyur, burada o, tunel üçün tələb olunan əlaqə sürətini, trafik profilini və IP ünvanlama parametrlərini (standart olaraq, /30 maskalı alt şəbəkə) və marşrutlaşdırma növünü (statik və ya BGP) göstərir. Marşrutları qoşulmuş ofisdə müştərinin yerli şəbəkələrinə ötürmək üçün IPSec protokol mərhələsinin IKEv2 mexanizmləri müştəri yönləndiricisindəki müvafiq parametrlərdən istifadə etməklə istifadə olunur və ya müştərinin ərizəsində göstərilən özəl BGP AS-dan MPLS-də BGP vasitəsilə reklam olunur. . Beləliklə, müştəri şəbəkələrinin marşrutları haqqında məlumat müştəri yönləndiricisinin parametrləri vasitəsilə müştəri tərəfindən tamamilə idarə olunur.
- Menecerindən cavab olaraq, müştəri VRF formasına daxil etmək üçün mühasibat məlumatlarını alır:
- VPN-HUB IP ünvanı
- giriş
- Doğrulama parolu
- Aşağıdakı CPE-ni konfiqurasiya edir, məsələn, iki əsas konfiqurasiya variantı:
Cisco üçün seçim:
kripto ikev2 açarlıq BeelineIPsec_keyring
həmyaşıd Beeline_VPNHub
ünvan 62.141.99.183 -VPN mərkəzi Beeline
əvvəlcədən paylaşılan açar <Autentifikasiya parolu>
!
Statik marşrutlaşdırma seçimi üçün Vpn-hub vasitəsilə əldə edilə bilən şəbəkələrə marşrutlar IKEv2 konfiqurasiyasında göstərilə bilər və onlar avtomatik olaraq CE marşrutlaşdırma cədvəlində statik marşrutlar kimi görünəcək. Bu parametrlər həmçinin statik marşrutların qurulmasının standart metodundan istifadə etməklə edilə bilər (aşağıya bax).kripto ikev2 avtorizasiya siyasəti FlexClient-müəllif
CE marşrutlaşdırıcısının arxasındakı şəbəkələrə marşrut – CE və PE arasında statik marşrutlaşdırma üçün məcburi parametr. Marşrut məlumatlarının PE-yə ötürülməsi tunel IKEv2 qarşılıqlı əlaqəsi vasitəsilə qaldırıldıqda avtomatik olaraq həyata keçirilir.
marşrut seti uzaqdan ipv4 10.1.1.0 255.255.255.0 -Ofis lokal şəbəkəsi
!
kripto ikev2 profili BeelineIPSec_profile
yerli kimlik <login>
autentifikasiya yerli əvvəlcədən paylaşma
identifikasiya uzaqdan əvvəlcədən paylaşma
açarlıq yerli BeelineIPsec_keyring
aaa avtorizasiya qrupu psk siyahısı qrup-müəllif siyahısı FlexClient-müəllif
!
kripto ikev2 müştəri flexvpn BeelineIPsec_flex
həmyaşıd 1 Beeline_VPNHub
müştəri Tunel 1 əlaqəsi
!
kripto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
rejim tuneli
!
kripto ipsec profili default
təyin transform-set TRANSFORM1
ikev2-profil BeelineIPSec_profile təyin edin
!
interfeys Tunel1
ip ünvanı 10.20.1.2 255.255.255.252 -Tunel ünvanı
tunel mənbəyi GigabitEthernet0/2 – İnternetə çıxış interfeysi
tunel rejimi ipsec ipv4
tunel təyinat dinamikası
tunel mühafizəsi ipsec profili default
!
Beeline VPN konsentratoru vasitəsilə əldə edilə bilən müştərinin şəxsi şəbəkələrinə marşrutlar statik olaraq təyin edilə bilər.ip marşrutu 172.16.0.0 255.255.0.0 Tunel1
ip marşrutu 192.168.0.0 255.255.255.0 Tunel1Huawei üçün seçim (ar160/120):
ike yerli adı <giriş>
#
acl adı ipsec 3999
qayda 1 icazə ip mənbəyi 10.1.1.0 0.0.0.255 -Ofis lokal şəbəkəsi
#
aaa
IPSEC xidmət sxemi
Marşrut dəsti acl 3999
#
ipsec təklifi ipsec
esp autentifikasiya alqoritmi sha2-256
esp şifrələmə alqoritmi aes-256
#
ike təklifi defolt
şifrələmə alqoritmi aes-256
dh qrupu2
autentifikasiya alqoritmi sha2-256
autentifikasiya-metodu əvvəlcədən paylaşma
bütövlük alqoritmi hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
əvvəlcədən paylaşılan açar sadə <Autentifikasiya parolu>
yerli-id tipli fqdn
uzaqdan id tipli ip
uzaq ünvan 62.141.99.183 -VPN mərkəzi Beeline
IPSEC xidmət sxemi
konfiqurasiya mübadilə sorğusu
konfiqurasiya mübadilə dəsti qəbul edir
config-exchange set göndərin
#
ipsec profili ipsecprof
ike-peer ipsec
təklif ipsec
#
interfeys Tunel0/0/0
ip ünvanı 10.20.1.2 255.255.255.252 -Tunel ünvanı
tunel-protokol ipsec
mənbə GigabitEthernet0/0/1 – İnternetə çıxış interfeysi
ipsec profili ipsecprof
#
Beeline VPN konsentratoru vasitəsilə əldə edilə bilən müştərinin şəxsi şəbəkələrinə marşrutlar statik olaraq təyin edilə bilər.ip marşrutu-statik 192.168.0.0 255.255.255.0 Tunel0/0/0
ip marşrutu-statik 172.16.0.0 255.255.0.0 Tunel0/0/0
Nəticə əlaqə diaqramı belə görünür:
Müştərinin bəzi əsas konfiqurasiya nümunələri yoxdursa, biz adətən onların formalaşmasına kömək edirik və onları hamı üçün əlçatan edirik.
Yalnız CPE-ni İnternetə qoşmaq, VPN tunelinin cavab hissəsinə və VPN daxilindəki hər hansı hosta ping göndərməkdir və bu, əlaqənin qurulduğunu güman edə bilərik.
Növbəti məqalədə bu sxemi Huawei CPE-dən istifadə edərək IPSec və MultiSIM Redundancy ilə necə birləşdirdiyimizi sizə xəbər verəcəyik: biz müştərilər üçün Huawei CPE-ni quraşdırırıq, onlar təkcə simli İnternet kanalından deyil, həm də 2 müxtəlif SİM kartdan və CPE-dən istifadə edə bilirlər. IPSec tunelini ya simli WAN və ya radio (LTE#1/LTE#2) vasitəsilə avtomatik olaraq yenidən qurur və nəticədə yaranan xidmətin yüksək nasazlıqlara dözümlülüyünü həyata keçirir.
Bu məqaləni hazırlayan RnD həmkarlarımıza (və əslində bu texniki həllərin müəlliflərinə) xüsusi təşəkkür edirik!
Mənbə: www.habr.com