Hallo! IN Ich habe die Arbeit unseres MultiSIM-Dienstes teilweise beschrieben и Kanäle. Wie bereits erwähnt, verbinden wir Clients über VPN mit dem Netzwerk, und heute werde ich Ihnen in diesem Teil etwas mehr über VPN und unsere Fähigkeiten erzählen.
Es lohnt sich, mit der Tatsache zu beginnen, dass wir als Telekommunikationsbetreiber über ein eigenes riesiges MPLS-Netzwerk verfügen, das für Festnetzkunden in zwei Hauptsegmente unterteilt ist – dasjenige, das direkt für den Internetzugang genutzt wird, und das andere, das direkt für den Internetzugang genutzt wird wird zur Erstellung isolierter Netzwerke verwendet – und über dieses MPLS-Segment fließt der IPVPN- (L3 OSI) und VPLAN- (L2 OSI) Datenverkehr für unsere Firmenkunden.
Normalerweise erfolgt eine Clientverbindung wie folgt.
Vom nächstgelegenen Point of Presence des Netzwerks (Knoten MEN, RRL, BSSS, FTTB usw.) wird eine Zugangsleitung zum Büro des Kunden verlegt und anschließend wird der Kanal über das Transportnetzwerk beim entsprechenden PE-MPLS registriert Router, auf dem wir es an einen speziell für den VRF-Client erstellten Client ausgeben, unter Berücksichtigung des vom Client benötigten Verkehrsprofils (Profilbezeichnungen werden für jeden Zugriffsport ausgewählt, basierend auf den IP-Präzedenzwerten 0,1,3,5, XNUMX).
Wenn wir aus irgendeinem Grund die letzte Meile für den Kunden nicht vollständig organisieren können, beispielsweise weil sich das Büro des Kunden in einem Geschäftszentrum befindet, in dem ein anderer Anbieter Priorität hat, oder wir einfach keinen Präsenzpunkt in der Nähe haben, dann werden frühere Kunden mussten mehrere IPVPN-Netzwerke bei verschiedenen Anbietern erstellen (nicht die kostengünstigste Architektur) oder Probleme bei der Organisation des Zugriffs auf Ihr VRF über das Internet unabhängig lösen.
Viele taten dies, indem sie ein IPVPN-Internet-Gateway installierten – sie installierten einen Grenzrouter (Hardware oder eine Linux-basierte Lösung), verbanden einen IPVPN-Kanal mit einem Port und einen Internetkanal mit dem anderen, starteten ihren VPN-Server darauf und stellten eine Verbindung her Benutzer über ihr eigenes VPN-Gateway. Natürlich bringt ein solches Vorhaben auch Belastungen mit sich: Eine solche Infrastruktur muss aufgebaut und, was höchst umständlich ist, betrieben und ausgebaut werden.
Um unseren Kunden das Leben zu erleichtern, haben wir einen zentralen VPN-Hub installiert und die Unterstützung für Verbindungen über das Internet mithilfe von IPSec organisiert. Das heißt, Kunden müssen jetzt nur noch ihren Router so konfigurieren, dass er über einen IPSec-Tunnel über jedes öffentliche Internet mit unserem VPN-Hub zusammenarbeitet , und wir geben den Datenverkehr dieses Clients an sein VRF frei.
Wer wird brauchen
- Für alle, die bereits über ein großes IPVPN-Netzwerk verfügen und in kurzer Zeit neue Verbindungen benötigen.
- Jeder, der aus irgendeinem Grund einen Teil des Datenverkehrs aus dem öffentlichen Internet auf IPVPN verlagern möchte, aber bisher bei einigen Dienstanbietern auf technische Einschränkungen gestoßen ist.
- Für diejenigen, die derzeit über mehrere unterschiedliche VPN-Netzwerke bei verschiedenen Telekommunikationsanbietern verfügen. Es gibt Kunden, die IPVPN erfolgreich organisiert haben, von Beeline, Megafon, Rostelecom usw. Um es einfacher zu machen, können Sie nur bei unserem einzigen VPN bleiben, alle anderen Kanäle anderer Betreiber auf das Internet umstellen und dann über IPSec und das Internet dieser Betreiber eine Verbindung zu Beeline IPVPN herstellen.
- Für diejenigen, die bereits über ein überlagertes IPVPN-Netzwerk im Internet verfügen.
Wenn Sie alles mit uns bereitstellen, erhalten Kunden vollwertige VPN-Unterstützung, ernsthafte Infrastrukturredundanz und Standardeinstellungen, die auf jedem Router funktionieren, den sie gewohnt sind (sei es Cisco, sogar Mikrotik, Hauptsache, er unterstützt richtig). IPSec/IKEv2 mit standardisierten Authentifizierungsmethoden). Übrigens, was IPSec betrifft – im Moment unterstützen wir es nur, aber wir planen, den vollwertigen Betrieb von OpenVPN und Wireguard einzuführen, damit sich Kunden nicht auf das Protokoll verlassen können und es noch einfacher ist, alles zu übernehmen und an uns zu übertragen. und wir wollen auch damit beginnen, Clients von Computern und mobilen Geräten zu verbinden (in das Betriebssystem integrierte Lösungen, Cisco AnyConnect und strongSwan und dergleichen). Mit diesem Ansatz kann der faktische Aufbau der Infrastruktur sicher dem Betreiber übergeben werden, sodass nur noch die Konfiguration des CPE oder Hosts übrig bleibt.
Wie funktioniert der Verbindungsvorgang im IPSec-Modus:
- Der Kunde hinterlässt bei seinem Manager eine Anfrage, in der er die erforderliche Verbindungsgeschwindigkeit, das Verkehrsprofil und die IP-Adressierungsparameter für den Tunnel (standardmäßig ein Subnetz mit einer /30-Maske) sowie die Art des Routings (statisch oder BGP) angibt. Um Routen zu den lokalen Netzwerken des Clients im angeschlossenen Büro zu übertragen, werden die IKEv2-Mechanismen der IPSec-Protokollphase mit den entsprechenden Einstellungen auf dem Client-Router verwendet oder sie werden über BGP in MPLS aus dem in der Anwendung des Clients angegebenen privaten BGP AS angekündigt . Somit werden Informationen über die Routen von Client-Netzwerken vollständig vom Client über die Einstellungen des Client-Routers gesteuert.
- Als Antwort von seinem Vorgesetzten erhält der Kunde Buchhaltungsdaten zur Aufnahme in sein VRF des Formulars:
- VPN-HUB-IP-Adresse
- Login
- Authentifizierungspasswort
- Konfiguriert CPE, im Folgenden beispielsweise zwei grundlegende Konfigurationsoptionen:
Option für Cisco:
crypto ikev2-Schlüsselring BeelineIPsec_keyring
Peer Beeline_VPNHub
Adresse 62.141.99.183 –VPN-Hub Beeline
Pre-Shared-Key <Authentifizierungskennwort>
!
Für die statische Routing-Option können Routen zu Netzwerken, auf die über den VPN-Hub zugegriffen werden kann, in der IKEv2-Konfiguration angegeben werden und werden automatisch als statische Routen in der CE-Routing-Tabelle angezeigt. Diese Einstellungen können auch mit der Standardmethode zum Festlegen statischer Routen vorgenommen werden (siehe unten).Krypto-IKEV2-Autorisierungsrichtlinie FlexClient-Autor
Route zu Netzwerken hinter dem CE-Router – eine obligatorische Einstellung für statisches Routing zwischen CE und PE. Die Übertragung der Routendaten an das PE erfolgt automatisch beim Aufbau des Tunnels durch IKEv2-Interaktion.
Route eingestellt Remote-IPv4 10.1.1.0 255.255.255.0 –Lokales Büronetzwerk
!
Krypto-ikev2-Profil BeelineIPSec_profile
Identität lokal <Anmeldung>
Authentifizierung lokale Vorabfreigabe
Authentifizierung Remote Pre-Share
Schlüsselbund lokal BeelineIPsec_keyring
AAA-Autorisierungsgruppe PSK-Liste Gruppenautorenliste FlexClient-Autor
!
crypto ikev2 client flexvpn BeelineIPsec_flex
Peer 1 Beeline_VPNHub
Client verbindet Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
Tunnelmodus
!
Krypto-IPsec-Profilstandard
set transform-set TRANSFORM1
setze ikev2-profile BeelineIPSec_profile
!
Schnittstelle Tunnel1
IP-Adresse 10.20.1.2 255.255.255.252 –Tunneladresse
Tunnelquelle GigabitEthernet0/2 –Internet-Zugangsschnittstelle
Tunnelmodus IPSec IPv4
Dynamik des Tunnelziels
Tunnelschutz-IPsec-Profilstandard
!
Routen zu den privaten Netzwerken des Kunden, auf die über den Beeline VPN-Konzentrator zugegriffen werden kann, können statisch festgelegt werden.IP-Route 172.16.0.0 255.255.0.0 Tunnel1
IP-Route 192.168.0.0 255.255.255.0 Tunnel1Option für Huawei (ar160/120):
ike local-name <login>
#
ACL-Name IPSec 3999
Regel 1 erlaubt IP-Quelle 10.1.1.0 0.0.0.255 –Lokales Büronetzwerk
#
aaa
Service-Schema IPSEC
Routensatz ACL 3999
#
IPSec-Vorschlag IPSec
esp-Authentifizierungsalgorithmus sha2-256
ESP-Verschlüsselungsalgorithmus AES-256
#
ike Vorschlagsstandard
Verschlüsselungsalgorithmus AES-256
dh Gruppe2
Authentifizierungsalgorithmus sha2-256
Authentifizierungsmethode vorab teilen
Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256
#
Wie Peer IPSec
Pre-Shared-Key Simple <Authentifizierungskennwort>
lokaler ID-Typ fqdn
Remote-ID-Typ-IP
Remote-Adresse 62.141.99.183 –VPN-Hub Beeline
Service-Schema IPSEC
Konfigurationsaustauschanfrage
config-exchange set akzeptieren
config-exchange set senden
#
IPSec-Profil ipsecprof
ike-peer ipsec
Vorschlag IPSec
#
Schnittstelle Tunnel0/0/0
IP-Adresse 10.20.1.2 255.255.255.252 –Tunneladresse
Tunnelprotokoll IPSec
Quelle GigabitEthernet0/0/1 –Internet-Zugangsschnittstelle
IPSec-Profil ipsecprof
#
Routen zu den privaten Netzwerken des Kunden, auf die über den Beeline VPN-Konzentrator zugegriffen werden kann, können statisch festgelegt werdenIP-Route-Statik 192.168.0.0 255.255.255.0 Tunnel0/0/0
IP-Route-Statik 172.16.0.0 255.255.0.0 Tunnel0/0/0
Das resultierende Kommunikationsdiagramm sieht in etwa so aus:
Wenn dem Kunden einige Beispiele der Grundkonfiguration nicht vorliegen, helfen wir in der Regel bei der Erstellung und stellen sie allen anderen zur Verfügung.
Es bleibt nur noch, das CPE mit dem Internet zu verbinden, den Antwortteil des VPN-Tunnels und jeden Host innerhalb des VPN anzupingen, und schon können wir davon ausgehen, dass die Verbindung hergestellt wurde.
Im nächsten Artikel erzählen wir Ihnen, wie wir dieses Schema mit IPSec und MultiSIM-Redundanz mithilfe von Huawei CPE kombiniert haben: Wir installieren unser Huawei CPE für Clients, das nicht nur einen kabelgebundenen Internetkanal, sondern auch zwei verschiedene SIM-Karten und das CPE nutzen kann baut den IPSec-Tunnel automatisch entweder über kabelgebundenes WAN oder über Funk (LTE#2/LTE#1) neu auf und sorgt so für eine hohe Fehlertoleranz des resultierenden Dienstes.
Besonderer Dank geht an unsere RnD-Kollegen für die Erstellung dieses Artikels (und eigentlich an die Autoren dieser technischen Lösungen)!
Source: habr.com