Прывітанне! У
Пачаць варта з таго, што ў нас як у аператара сувязі ёсць свая велізарная MPLS-сетка, якая для кліентаў фіксаванай сувязі падзелена на два асноўных сегмента - той, што выкарыстоўваецца непасрэдна для доступу ў сетку Інтэрнэт, і той, што выкарыстоўваецца для стварэння ізаляваных сетак - І менавіта праз гэты сегмент MPLS ходзіць трафік IPVPN (L3 OSI) і VPLAN (L2 OSI) для нашых карпаратыўных кліентаў.
Звычайна падлучэнне кліента адбываецца наступным чынам.
Да офіса кліента пракладаецца лінія доступу ад бліжэйшай кропкі прысутнасці сеткі (вузла MEN, РРЛ, БССС, FTTB і г.д.) і далей, канал прапісваецца па транспартнай сетцы да адпаведнага РЕ-MPLS-маршрутызатара, на якім мы выводзім яе ў спецыяльна ствараемы. для кліента VRF c улікам профіля трафіку, які неабходзен кліенту (пазнакі профіля выбіраюцца для кожнага порта доступу, засноўваючыся на значэннях ip precedence 0,1,3,5).
Калі па нейкіх прычынах мы не можам паўнавартасна арганізаваць у кліента апошнюю мілю, напрыклад, офіс кліента знаходзіцца ў бізнес-цэнтры, дзе ў прыярытэце іншы правайдэр, ці побач проста няма нашай кропкі прысутнасці, то раней кліентам даводзілася ствараць некалькі IPVPN-сетак у розных правайдэраў (не самая выгадная па кошце архітэктура) або самастойна вырашаць пытанні з арганізацыяй доступу да са свайго VRF па-над сеткай Інтэрнэт.
Многія рабілі гэта з дапамогай усталёўкі IPVPN-інтэрнэт шлюза - усталёўвалі межавы маршрутызатар (апаратны ці якое-небудзь рашэнне на базе Linux), падлучалі да яго адным портам IPVPN-канал, а іншым - Інтэрнэт-канал, запускалі на ім свой VPN-сервер і падлучалі карыстачоў праз свой уласны VPN-шлюз. Натуральна, такая схема спараджае і абцяжарання: падобную інфраструктуру трэба ўмець будаваць і, што самае нязручнае - эксплуатаваць і развіваць.
Каб спрасціць нашым кліентам жыццё, мы ўсталявалі цэнтралізаваны VPN-хаб і арганізавалі падтрымку ўключэнняў па-над інтэрнэтам з выкарыстаннем IPSec, гэта значыць зараз кліентам, трэба толькі наладзіць свой роўтэр для працы з нашым VPN-хабам па IPSec-тунэлю праз любы публічны інтэрнэт, і мы выпусцім трафік гэтага кліента ў яго VRF.
Каму спатрэбіцца
- Тым, у каго ўжо існуе вялікая IPVPN-сетка і ўзнікаюць запатрабаванні ў новых падлучэннях у сціснутыя тэрміны.
- Усім, хто з нейкіх прычынаў хоча перанесці частку трафіку з публічнага інтэрнэту ў IPVPN, але раней сутыкаўся з тэхнічнымі абмежаваннямі, звязанымі з некалькімі правайдэрамі паслуг.
- Тым, у каго зараз ёсць некалькі разрозненых VPN-сетак у розных аператараў сувязі. Існуюць кліенты, у якіх паспяхова арганізаваны IPVPN і ад Білайн, і ад Мегафон, і ад Растэлекам і г.д. Каб стала прасцей, можна застацца толькі на нашым адзіным VPN, усе астатнія каналы іншых аператараў пераключыць на інтэрнэт, пасля чаго далучацца да IPVPN Білайн праз IPSec і інтэрнэт ад гэтых аператараў.
- Тым, у каго ўжо ёсць IPVPN-сетка, накладзеная на Інтэрнет.
Калі разгарнуць усё ў нас, то кліенты атрымліваюць і паўнавартасны саппорт па VPN, і сур'ёзнае рэзерваванне інфраструктуры, і тыпавыя налады, якія запрацуюць на любым звыклым для яго роўтары (няхай гэта будзе хоць Cisco, хоць Mikrotik, галоўнае, каб умеў нармальна падтрымліваць IPSec/IKEv2 са стандартызаванымі метадамі аўтэнтыфікацыі). Дарэчы, пра IPSec – прама цяпер мы падтрымліваем толькі яго, але ў планах запусціць паўнавартасную працу і OpenVPN, і Wireguard, каб кліенты маглі не залежаць ад пратаколу і яшчэ прасцей узяць і перанесці ўсё да нас, а таксама жадаем пачаць падлучаць кліентаў з кампутараў і мабільных прылад (убудаваныя ў АС рашэнні, Cisco AnyConnect і strongSwan і падобныя). Пры такім падыходзе дэ-факта пабудову інфраструктуры можна смела аддаць аператару, пакінуўшы толькі настройку СРЕ або хаста.
Як адбываецца працэс падключэння для рэжыму IPSec:
- Кліент пакідае заяўку свайму мэнэджару, у якой паказвае неабходную хуткасць падключэння, профіль трафіку і параметры IP адрасацыі для тунэля (па змаўчанні падсетку з маскай /30) і тып маршрутызацыі (статыка або BGP). Для перадачы маршрутаў да лакальных сетак кліента ў падключаемым офісе выкарыстоўваюцца механізмы IKEv2 фазы пратакола IPSec з дапамогай адпаведных настроек на кліенцкім маршрутызатары, або анансуюцца па BGP у MPLS з указанага ў заяўцы кліентам прыватнага BGP AS. Такім чынам інфармацыя аб маршрутах кліенцкіх сетак цалкам кантралюецца кліентам праз наладкі кліенцкага маршрутызатара.
- У адказ ад свайго мэнэджара кліент атрымлівае акаўнтынгавыя дадзеныя для ўключэння ў свой VRF выгляду:
- IP-адрас VPN-HUB
- Лагін
- Пароль аўтэнтыфікацыі
- Наладжвае СРЕ, ніжэй, для прыкладу два варыянты базавай канфігурацыі:
Варыянт для Сisco:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
адрас 62.141.99.183 –VPN канцэнтратар Білайн
pre-shared-key <Пароль аўтэнтыфікацыі>
!
Для варыянту са статычнай маршрутызацыяй маршруты да сетак, даступных праз Vpn-hub могуць быць зададзены ў наладзе IKEv2 і яны аўтаматычна з'явяцца як статычныя маршруты ў табліцы маршрутызацыі СЕ. Дадзеныя налады магчыма зрабіць таксама і стандартным спосабам задання статычных маршрутаў (гл.ніжэй).crypto ikev2 authorization policy FlexClient-author
Маршрут да сетак за СЕ маршрутызатарам - абавязковая настройка пры статычнай маршрутызацыі паміж СЕ і PE. Перадача дадзеных маршрутаў на РЭ вырабляецца аўтаматычна пры ўзняцці тунэля праз IKEv2 узаемадзеянне.
route set remote ipv4 10.1.1.0 255.255.255.0 -Лакальная сетка офіса
!
crypto profil ikev2 BeelineIPSec_profile
identity local < лагін >
authentication local pre-share
authentication remote pre-share
keyring local BeelineIPsec_keyring
aaa authorization group psk list group-author-list FlexClient-author
!
crypto ikev2 client flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
client connect Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile default
set transform-set TRANSFORM1
set ikev2-profile BeelineIPSec_profile
!
інтэрфейс Tunnel1
IP-адрас 10.20.1.2 255.255.255.252 -Адрас тунэля
tunnel source GigabitEthernet0/2 -Інтэрфейс доступу ў Інтэрнэт
Тунэльны рэжым ipsec ipv4
tunnel destination dynamic
tunnel protection ipsec profile default
!
Маршруты да прыватных сетак кліента, даступных праз VPN канцэнтратар Білайн, можна задаць статычна.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1Варыянт для Huawei (ar160/120):
ike local-name < лагін >
#
acl name ipsec 3999
rule 1 permit ip source 10.1.1.0 0.0.0.255 -Лакальная сетка офіса
#
ааа
service-scheme IPSEC
route set acl 3999
#
ipsec proposal ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal default
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
pre-shared-key simple <Пароль аўтэнтыфікацыі>
local-id-type fqdn
remote-id-type ip
remote-address 62.141.99.183 –VPN канцэнтратар Білайн
service-scheme IPSEC
config-exchange request
config-exchange set accept
config-exchange set send
#
ipsec profile ipsecprof
ike-peer ipsec
proposal ipsec
#
interface Tunnel0/0/0
IP-адрас 10.20.1.2 255.255.255.252 -Адрас тунэля
tunnel-protocol ipsec
source GigabitEthernet0/0/1 -Інтэрфейс доступу ў Інтэрнэт
ipsec profile ipsecprof
#
Маршруты да прыватных сетак кліента, даступных праз VPN канцэнтратар Білайн, можна задаць статычнаip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Атрыманая схема сувязі выглядае прыкладна вось так:
Калі нейкіх прыкладаў базавай канфігурацыі няма ў кліента - то мы звычайна дапамагаем з іх фарміраваннем і робім даступнымі для ўсіх астатніх.
Засталося падлучыць СРЕ ў Інтэрнэт, зрабіць ping да зваротнай часткі VPN-тунэля і які-небудзь хаста ўсярэдзіне VPN, і ўсё, можна лічыць, што падлучэнне адбылося.
У наступным артыкуле раскажам, як мы скамбінавалі гэтую схему з IPSec і MultiSIM Рэзерваваннем з дапамогай CPE Huawei: ставім кліентам наша CPE Huawei, у якім можа выкарыстоўвацца не толькі правадной інтэрнэт канал, але і 2 розных SIM-карты, і CPE аўтаматычна перабудоўвае IPSec- тунэль альбо праз правадной WAN, альбо праз радыё (LTE#1/LTE#2), рэалізуючы высокую адмоваўстойлівасць выніковага сэрвісу.
Асобны дзякуй за падрыхтоўку гэтага артыкула (і, уласна, аўтарам гэтых тэхрашэнняў) калегам з нашага RnD!
Крыніца: habr.com