Ahoj! V
Vyplatí se začít tím, že my jako telekomunikační operátor máme vlastní obrovskou MPLS síť, která se pro zákazníky pevných linek dělí na dva hlavní segmenty – na ten, který slouží přímo pro přístup k internetu, a ten, který je používá k vytváření izolovaných sítí — a právě přes tento segment MPLS proudí provoz IPVPN (L3 OSI) a VPLAN (L2 OSI) pro naše firemní klienty.
Připojení klienta obvykle probíhá následovně.
Do kanceláře klienta je položena přístupová linka z nejbližšího bodu přítomnosti sítě (uzel MEN, RRL, BSSS, FTTB atd.) a dále je kanál registrován přes transportní síť na odpovídající PE-MPLS router, na kterém jej vyvedeme do speciálně vytvořeného pro klienta VRF s přihlédnutím k profilu provozu, který klient potřebuje (pro každý přístupový port se vybírají štítky profilu na základě hodnot ip priority 0,1,3,5, XNUMX).
Pokud z nějakého důvodu nemůžeme pro klienta plně zorganizovat poslední míli, například kancelář klienta se nachází v obchodním centru, kde je prioritou jiný poskytovatel, nebo jednoduše nemáme své místo přítomnosti poblíž, pak dříve klienti museli vytvořit několik sítí IPVPN u různých poskytovatelů (není to nákladově nejefektivnější architektura) nebo nezávisle vyřešit problémy s organizací přístupu k vašemu VRF přes internet.
Mnozí to udělali instalací internetové brány IPVPN – nainstalovali hraniční směrovač (hardware nebo nějaké řešení založené na Linuxu), připojili k němu kanál IPVPN jedním portem a internetový kanál druhým, spustili na něm svůj VPN server a připojili se uživatelé prostřednictvím vlastní brány VPN. Takový systém samozřejmě také vytváří zátěž: taková infrastruktura musí být vybudována a, což je nejnevhodnější, provozována a rozvíjena.
Abychom našim klientům usnadnili život, nainstalovali jsme centralizovaný rozbočovač VPN a zorganizovali podporu pro připojení přes internet pomocí IPSec, to znamená, že nyní klienti potřebují pouze nakonfigurovat svůj router, aby fungoval s naším rozbočovačem VPN prostřednictvím tunelu IPSec přes jakýkoli veřejný internet. , a uvolníme provoz tohoto klienta do jeho VRF.
Kdo bude potřebovat
- Pro ty, kteří již mají velkou síť IPVPN a potřebují nová připojení v krátké době.
- Každý, kdo chce z nějakého důvodu převést část provozu z veřejného internetu do IPVPN, ale již dříve narazil na technická omezení spojená s více poskytovateli služeb.
- Pro ty, kteří v současné době mají několik různých sítí VPN u různých telekomunikačních operátorů. Existují klienti, kteří úspěšně zorganizovali IPVPN od společností Beeline, Megafon, Rostelecom atd. Aby to bylo jednodušší, můžete zůstat pouze u naší jediné VPN, přepnout všechny ostatní kanály ostatních operátorů na internet a poté se připojit k Beeline IPVPN přes IPSec a internet od těchto operátorů.
- Pro ty, kteří již mají IPVPN síť překrytou na internetu.
Pokud vše nasadíte u nás, pak klienti získají plnohodnotnou podporu VPN, vážnou redundanci infrastruktury a standardní nastavení, které bude fungovat na každém routeru, na který jsou zvyklí (ať už je to Cisco, dokonce i Mikrotik, hlavní je, že umí správně podporovat IPSec/IKEv2 se standardizovanými metodami ověřování). Mimochodem, o IPSec - zatím pouze podporujeme, ale plánujeme spustit plnohodnotný provoz OpenVPN i Wireguardu, aby klienti nebyli závislí na protokolu a bylo ještě snazší vše přebírat a přenášet k nám, a také chceme začít připojovat klienty z počítačů a mobilních zařízení (řešení zabudovaná v OS, Cisco AnyConnect a strongSwan a podobně). S tímto přístupem může být de facto výstavba infrastruktury bezpečně předána operátorovi a zůstane pouze konfigurace CPE nebo hostitele.
Jak funguje proces připojení v režimu IPSec:
- Klient zanechá svému manažerovi požadavek, ve kterém uvede požadovanou rychlost připojení, dopravní profil a parametry IP adresování pro tunel (standardně podsíť s maskou /30) a typ směrování (statické nebo BGP). Pro přenos tras do lokálních sítí klienta v připojené kanceláři se využívají mechanismy IKEv2 fáze protokolu IPSec pomocí příslušného nastavení na klientském routeru, nebo jsou inzerovány přes BGP v MPLS z privátního BGP AS specifikovaného v klientské aplikaci. . Informace o trasách klientských sítí jsou tedy zcela řízeny klientem prostřednictvím nastavení klientského routeru.
- V odpovědi od svého manažera klient obdrží účetní data, která zařadí do svého VRF ve formě:
- IP adresa VPN-HUB
- přihlášení
- Heslo pro autentizaci
- Konfiguruje CPE, níže například dvě základní možnosti konfigurace:
Možnost pro Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
adresu 62.141.99.183 –VPN hub Beeline
předsdílený klíč <Heslo pro ověření>
!
Pro možnost statického směrování lze v konfiguraci IKEv2 zadat trasy do sítí přístupných přes rozbočovač Vpn a automaticky se zobrazí jako statické trasy ve směrovací tabulce CE. Tato nastavení lze provést i standardním způsobem nastavení statických tras (viz níže).zásada autorizace krypto ikev2 FlexClient-author
Směrování do sítí za CE routerem – povinné nastavení pro statické směrování mezi CE a PE. Přenos dat trasy do PE se provádí automaticky, když je tunel zvednut prostřednictvím interakce IKEv2.
nastavení trasy vzdálené ipv4 10.1.1.0 255.255.255.0 – Místní síť Office
!
krypto ikev2 profil BeelineIPSec_profile
místní identita <přihlášení>
autentizace místní předsdílení
autentizace vzdálené předsdílení
místní klíčenka BeelineIPsec_keyring
aaa autorizační skupina psk seznam skupin-autor-seznam FlexClient-author
!
crypto ikev2 klient flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
klientské připojení Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
tunel režimu
!
výchozí profil krypto ipsec
set transform-set TRANSFORM1
nastavit ikev2-profile BeelineIPSec_profile
!
rozhraní Tunnel1
Adresa IP 10.20.1.2 255.255.255.252 – Adresa tunelu
tunelový zdroj GigabitEthernet0/2 – Rozhraní pro přístup k internetu
tunelový režim ipsec ipv4
dynamický cíl tunelu
Ochrana tunelu výchozí profil ipsec
!
Trasy do privátních sítí klienta přístupných přes koncentrátor Beeline VPN lze nastavit staticky.ip trasa 172.16.0.0 255.255.0.0 Tunel1
ip trasa 192.168.0.0 255.255.255.0 Tunel1Možnost pro Huawei (ar160/120):
ike local-name <login>
#
název acl ipsec 3999
pravidlo 1 povoluje zdroj IP 10.1.1.0 0.0.0.255 – Místní síť Office
#
aaa
schéma služeb IPSEC
trasa nastavena acl 3999
#
Návrh ipsec ipsec
esp autentizační-algoritmus sha2-256
esp šifrovací algoritmus aes-256
#
ike návrh výchozí
šifrovací algoritmus aes-256
dh skupina2
autentizační-algoritmus sha2-256
autentizační metoda předsdílení
integritní-algoritmus hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
jednoduchý předsdílený klíč <heslo pro ověření>
local-id-type fqdn
IP typu vzdáleného ID
vzdálená adresa 62.141.99.183 –VPN hub Beeline
schéma služeb IPSEC
požadavek config-exchange
config-exchange set přijmout
config-exchange set send
#
profil ipsec ipsecprof
ike-peer ipsec
návrh ipsec
#
rozhraní Tunnel0/0/0
Adresa IP 10.20.1.2 255.255.255.252 – Adresa tunelu
tunelový protokol ipsec
zdroj GigabitEthernet0/0/1 – Rozhraní pro přístup k internetu
profil ipsec ipsecprof
#
Trasy do privátních sítí klienta přístupných přes koncentrátor Beeline VPN lze nastavit statickyIP route-static 192.168.0.0 255.255.255.0 Tunel0/0/0
IP route-static 172.16.0.0 255.255.0.0 Tunel0/0/0
Výsledný komunikační diagram vypadá asi takto:
Pokud klient nemá nějaké příklady základní konfigurace, pak většinou pomůžeme s jejich tvorbou a zpřístupníme je všem ostatním.
Zbývá pouze připojit CPE k internetu, pingnout na odpovědní část tunelu VPN a libovolného hostitele uvnitř VPN, a je to, můžeme předpokládat, že připojení bylo vytvořeno.
V příštím článku vám řekneme, jak jsme toto schéma zkombinovali s IPSec a MultiSIM Redundancy pomocí Huawei CPE: klientům instalujeme naše Huawei CPE, kteří mohou využívat nejen kabelový internetový kanál, ale také 2 různé SIM karty a CPE automaticky obnovuje IPSec tunel buď přes kabelovou WAN nebo přes rádio (LTE#1/LTE#2), čímž dosahuje vysoké odolnosti vůči chybám výsledné služby.
Zvláštní poděkování patří našim kolegům z RnD za přípravu tohoto článku (a vlastně i autorům těchto technických řešení)!
Zdroj: www.habr.com