Hola! EN
Val la pena començar pel fet que nosaltres, com a operador de telecomunicacions, tenim la nostra pròpia xarxa MPLS enorme, que per als clients de línia fixa es divideix en dos segments principals: el que s'utilitza directament per accedir a Internet i el que és s'utilitza per crear xarxes aïllades, i és a través d'aquest segment MPLS que flueix el trànsit IPVPN (L3 OSI) i VPLAN (L2 OSI) per als nostres clients corporatius.
Normalment, una connexió de client es produeix de la següent manera.
Es posa una línia d'accés a l'oficina del client des del punt de presència més proper de la xarxa (node MEN, RRL, BSSS, FTTB, etc.) i, a més, el canal es registra a través de la xarxa de transport al PE-MPLS corresponent. encaminador, en el qual l'enviam a un client especialment creat per al client VRF, tenint en compte el perfil de trànsit que necessita el client (les etiquetes de perfil es seleccionen per a cada port d'accés, en funció dels valors de precedència ip 0,1,3,5, XNUMX).
Si per alguna raó no podem organitzar completament l'última milla per al client, per exemple, l'oficina del client està ubicada en un centre de negocis, on un altre proveïdor és una prioritat, o simplement no tenim el nostre punt de presència a prop, llavors els clients anteriors va haver de crear diverses xarxes IPVPN a diferents proveïdors (no l'arquitectura més rendible) o resoldre de manera independent problemes amb l'organització de l'accés al vostre VRF a través d'Internet.
Molts ho van fer instal·lant una passarel·la d'Internet IPVPN: van instal·lar un encaminador de frontera (maquinari o alguna solució basada en Linux), van connectar-hi un canal IPVPN amb un port i un canal d'Internet amb l'altre, van llançar el seu servidor VPN i es van connectar. usuaris mitjançant la seva pròpia passarel·la VPN. Naturalment, aquest esquema també genera càrregues: aquesta infraestructura s'ha de construir i, el més inconvenient, operar i desenvolupar.
Per facilitar la vida als nostres clients, hem instal·lat un concentrador VPN centralitzat i hem organitzat el suport per a connexions a Internet mitjançant IPSec, és a dir, ara els clients només han de configurar el seu encaminador perquè funcioni amb el nostre concentrador VPN a través d'un túnel IPSec a través de qualsevol Internet pública. , i alliberem el trànsit d'aquest client al seu VRF.
Qui necessitarà
- Per a aquells que ja tenen una gran xarxa IPVPN i necessiten noves connexions en poc temps.
- Qualsevol persona que, per algun motiu, vulgui transferir part del trànsit d'Internet pública a IPVPN, però prèviament s'ha trobat amb limitacions tècniques associades a diversos proveïdors de serveis.
- Per a aquells que actualment tenen diverses xarxes VPN diferents entre diferents operadors de telecomunicacions. Hi ha clients que han organitzat IPVPN amb èxit des de Beeline, Megafon, Rostelecom, etc. Per facilitar-ho, només podeu romandre a la nostra única VPN, canviar tots els altres canals d'altres operadors a Internet i connectar-vos a Beeline IPVPN mitjançant IPSec i Internet des d'aquests operadors.
- Per a aquells que ja tenen una xarxa IPVPN superposada a Internet.
Si ho desplegueu tot amb nosaltres, els clients reben suport VPN complet, redundància d'infraestructura seriosa i configuracions estàndard que funcionaran en qualsevol encaminador al qual estiguin acostumats (ja sigui Cisco, fins i tot Mikrotik, el més important és que pugui donar suport correctament). IPSec/IKEv2 amb mètodes d'autenticació estandarditzats). Per cert, sobre IPSec: ara mateix només ho donem suport, però tenim previst llançar un funcionament complet tant d'OpenVPN com de Wireguard, de manera que els clients no puguin dependre del protocol i sigui encara més fàcil agafar i transferir-nos-ho tot, i també volem començar a connectar clients des d'ordinadors i dispositius mòbils (solucions integrades al sistema operatiu, Cisco AnyConnect i strongSwan i similars). Amb aquest enfocament, la construcció de facto de la infraestructura es pot lliurar de manera segura a l'operador, deixant només la configuració del CPE o host.
Com funciona el procés de connexió per al mode IPSec:
- El client deixa una petició al seu gestor en què indica la velocitat de connexió requerida, el perfil de trànsit i els paràmetres d'adreçament IP del túnel (per defecte, una subxarxa amb màscara /30) i el tipus d'encaminament (estàtica o BGP). Per transferir rutes a les xarxes locals del client a l'oficina connectada, s'utilitzen els mecanismes IKEv2 de la fase del protocol IPSec mitjançant la configuració adequada del router del client, o s'anuncien mitjançant BGP en MPLS des del BGP AS privat especificat a l'aplicació del client. . Així, la informació sobre les rutes de les xarxes de client està completament controlada pel client mitjançant la configuració de l'encaminador client.
- Com a resposta del seu responsable, el client rep dades comptables per incloure'ls en el seu VRF del formulari:
- Adreça IP VPN-HUB
- Iniciar sessió
- Contrasenya d'autenticació
- Configura CPE, a continuació, per exemple, dues opcions de configuració bàsiques:
Opció per a Cisco:
anell de claus cripto ikev2 BeelineIPsec_keyring
igual Beeline_VPNHub
adreça 62.141.99.183 – Hub VPN Beeline
pre-shared-key <Contrasenya d'autenticació>
!
Per a l'opció d'encaminament estàtic, les rutes a xarxes accessibles a través del Vpn-hub es poden especificar a la configuració IKEv2 i apareixeran automàticament com a rutes estàtiques a la taula d'encaminament CE. Aquests paràmetres també es poden fer mitjançant el mètode estàndard d'establir rutes estàtiques (vegeu més avall).política d'autorització cripto ikev2 FlexClient-author
Encaminament a xarxes darrere de l'encaminador CE: una configuració obligatòria per a l'encaminament estàtic entre CE i PE. La transferència de dades de ruta al PE es realitza automàticament quan el túnel s'eleva mitjançant la interacció IKEv2.
conjunt de rutes remot ipv4 10.1.1.0 255.255.255.0 – Xarxa local d'oficines
!
crypto ikev2 profile BeelineIPSec_profile
identitat local <inici de sessió>
autenticació local prèvia compartida
precompartició remota d'autenticació
anell de claus local BeelineIPsec_keyring
aaa grup d'autorització llista psk grup-author-list FlexClient-author
!
client cripto ikev2 flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
Túnel de connexió del client 1
!
conjunt de transformacions cripto ipsec TRANSFORM1 esp-aes 256 esp-sha256-hmac
túnel de mode
!
Per defecte del perfil cripto ipsec
set transforma-conjunt TRANSFORM1
defineix ikev2-profile BeelineIPSec_profile
!
interfície Tunnel1
adreça IP 10.20.1.2 255.255.255.252 – Adreça del túnel
font del túnel GigabitEthernet0/2 - Interfície d'accés a Internet
mode túnel ipsec ipv4
dinàmica de destinació del túnel
protecció del túnel per defecte del perfil ipsec
!
Les rutes a les xarxes privades del client accessibles mitjançant el concentrador VPN de Beeline es poden configurar de manera estàtica.ruta IP 172.16.0.0 255.255.0.0 Tunnel1
ruta IP 192.168.0.0 255.255.255.0 Tunnel1Opció per a Huawei (ar160/120):
com nom-local <inici de sessió>
#
nom acl ipsec 3999
regla 1 permet la font IP 10.1.1.0 0.0.0.255 – Xarxa local d'oficines
#
aaa
esquema de servei IPSEC
conjunt de rutes acl 3999
#
proposta ipsec ipsec
esp algorisme d'autenticació sha2-256
esp algorisme de xifratge aes-256
#
com la proposta predeterminada
algorisme de xifratge aes-256
grup dh 2
algorisme d'autenticació sha2-256
precompartició del mètode d'autenticació
algorisme d'integritat hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
clau precompartida simple <contrasenya d'autenticació>
local-id-type fqdn
IP de tipus identificador remot
adreça remota 62.141.99.183 – Hub VPN Beeline
esquema de servei IPSEC
sol·licitud d'intercanvi de configuració
config-exchange set acceptar
config-exchange set envia
#
perfil ipsec ipsecprof
ike-peer ipsec
proposta ipsec
#
interfície Tunnel0/0/0
adreça IP 10.20.1.2 255.255.255.252 – Adreça del túnel
túnel-protocol ipsec
font GigabitEthernet0/0/1 - Interfície d'accés a Internet
perfil ipsec ipsecprof
#
Les rutes a les xarxes privades del client accessibles mitjançant el concentrador VPN de Beeline es poden configurar de manera estàticaip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
El diagrama de comunicació resultant s'assembla a això:
Si el client no té alguns exemples de la configuració bàsica, normalment ajudem amb la seva formació i els posem a disposició de tots els altres.
Només queda connectar el CPE a Internet, fer ping a la part de resposta del túnel VPN i qualsevol host dins de la VPN, i ja està, podem suposar que la connexió s'ha fet.
En el següent article us explicarem com hem combinat aquest esquema amb IPSec i Redundància MultiSIM mitjançant Huawei CPE: instal·lem el nostre Huawei CPE per a clients, que pot utilitzar no només un canal d'Internet per cable, sinó també 2 targetes SIM diferents, i el CPE. reconstrueix automàticament el túnel IPSec ja sigui mitjançant WAN per cable o per ràdio (LTE#1/LTE#2), aconseguint una alta tolerància a fallades del servei resultant.
Un agraïment especial als nostres companys de RnD per preparar aquest article (i, de fet, als autors d'aquestes solucions tècniques)!
Font: www.habr.com