Γειά σου! ΣΕ
Αξίζει να ξεκινήσουμε από το γεγονός ότι εμείς, ως τηλεπικοινωνιακός πάροχος, έχουμε το δικό μας τεράστιο δίκτυο MPLS, το οποίο για τους πελάτες σταθερής γραμμής χωρίζεται σε δύο βασικά τμήματα - αυτό που χρησιμοποιείται απευθείας για πρόσβαση στο Διαδίκτυο και αυτό που χρησιμοποιείται για τη δημιουργία απομονωμένων δικτύων — και μέσω αυτού του τμήματος MPLS ρέει η κίνηση IPVPN (L3 OSI) και VPLAN (L2 OSI) για τους εταιρικούς πελάτες μας.
Συνήθως, μια σύνδεση πελάτη πραγματοποιείται ως εξής.
Μια γραμμή πρόσβασης τοποθετείται στο γραφείο του πελάτη από το πλησιέστερο Σημείο Παρουσίας του δικτύου (κόμβος MEN, RRL, BSSS, FTTB, κ.λπ.) και περαιτέρω, το κανάλι καταχωρείται μέσω του δικτύου μεταφορών στο αντίστοιχο PE-MPLS δρομολογητή, στον οποίο το εξάγουμε σε ένα ειδικά δημιουργημένο για τον πελάτη VRF, λαμβάνοντας υπόψη το προφίλ κίνησης που χρειάζεται ο πελάτης (οι ετικέτες προφίλ επιλέγονται για κάθε θύρα πρόσβασης, με βάση τις τιμές προτεραιότητας ip 0,1,3,5, XNUMX).
Εάν για κάποιο λόγο δεν μπορούμε να οργανώσουμε πλήρως το τελευταίο μίλι για τον πελάτη, για παράδειγμα, το γραφείο του πελάτη βρίσκεται σε ένα επιχειρηματικό κέντρο, όπου ένας άλλος πάροχος είναι προτεραιότητα ή απλά δεν έχουμε το σημείο παρουσίας μας κοντά, τότε οι πελάτες στο παρελθόν έπρεπε να δημιουργήσει πολλά δίκτυα IPVPN σε διαφορετικούς παρόχους (όχι την πιο οικονομική αρχιτεκτονική) ή να επιλύσει ανεξάρτητα προβλήματα με την οργάνωση της πρόσβασης στο VRF σας μέσω του Διαδικτύου.
Πολλοί το έκαναν εγκαθιστώντας μια πύλη Διαδικτύου IPVPN - εγκατέστησαν έναν δρομολογητή συνόρων (υλισμικό ή κάποια λύση που βασίζεται σε Linux), συνέδεσαν ένα κανάλι IPVPN σε αυτό με τη μία θύρα και ένα κανάλι Διαδικτύου με την άλλη, κυκλοφόρησαν τον διακομιστή VPN σε αυτήν και συνδέθηκαν χρήστες μέσω της δικής τους πύλης VPN. Φυσικά, ένα τέτοιο σχέδιο δημιουργεί επίσης βάρη: τέτοιες υποδομές πρέπει να κατασκευαστούν και, το πιο άβολο, να λειτουργήσουν και να αναπτυχθούν.
Για να κάνουμε τη ζωή ευκολότερη για τους πελάτες μας, εγκαταστήσαμε έναν κεντρικό διανομέα VPN και οργανώσαμε υποστήριξη για συνδέσεις μέσω Διαδικτύου χρησιμοποιώντας IPSec, δηλαδή τώρα οι πελάτες χρειάζεται μόνο να διαμορφώσουν τον δρομολογητή τους ώστε να συνεργάζεται με το διανομέα VPN μέσω μιας σήραγγας IPSec μέσω οποιουδήποτε δημόσιου Διαδικτύου , και Ας απελευθερώσουμε την επισκεψιμότητα αυτού του πελάτη στο VRF του.
Ποιος θα χρειαστεί
- Για όσους έχουν ήδη μεγάλο δίκτυο IPVPN και χρειάζονται νέες συνδέσεις σε σύντομο χρονικό διάστημα.
- Όποιος, για κάποιο λόγο, θέλει να μεταφέρει μέρος της κίνησης από το δημόσιο Διαδίκτυο στο IPVPN, αλλά έχει αντιμετωπίσει στο παρελθόν τεχνικούς περιορισμούς που σχετίζονται με πολλούς παρόχους υπηρεσιών.
- Για όσους έχουν επί του παρόντος πολλά διαφορετικά δίκτυα VPN σε διαφορετικούς φορείς τηλεπικοινωνιών. Υπάρχουν πελάτες που έχουν οργανώσει με επιτυχία IPVPN από Beeline, Megafon, Rostelecom κ.λπ. Για να το κάνετε πιο εύκολο, μπορείτε να παραμείνετε μόνο στο μοναδικό μας VPN, να αλλάξετε όλα τα άλλα κανάλια άλλων παρόχων στο Διαδίκτυο και, στη συνέχεια, να συνδεθείτε στο Beeline IPVPN μέσω IPSec και στο Διαδίκτυο από αυτούς τους παρόχους.
- Για όσους έχουν ήδη ένα δίκτυο IPVPN επικαλυμμένο στο Διαδίκτυο.
Εάν αναπτύξετε τα πάντα μαζί μας, τότε οι πελάτες λαμβάνουν πλήρη υποστήριξη VPN, σοβαρό πλεονασμό υποδομής και τυπικές ρυθμίσεις που θα λειτουργούν σε οποιονδήποτε δρομολογητή έχουν συνηθίσει (είτε είναι Cisco, ακόμα και Mikrotik, το κύριο πράγμα είναι ότι μπορεί να υποστηρίξει σωστά IPSec/IKEv2 με τυποποιημένες μεθόδους ελέγχου ταυτότητας). Παρεμπιπτόντως, σχετικά με το IPSec - αυτή τη στιγμή το υποστηρίζουμε μόνο, αλλά σκοπεύουμε να ξεκινήσουμε την πλήρη λειτουργία τόσο του OpenVPN όσο και του Wireguard, έτσι ώστε οι πελάτες να μην μπορούν να εξαρτώνται από το πρωτόκολλο και να είναι ακόμα πιο εύκολο να πάρουμε και να μεταφέρουμε τα πάντα σε εμάς, και θέλουμε επίσης να ξεκινήσουμε τη σύνδεση πελατών από υπολογιστές και κινητές συσκευές (λύσεις ενσωματωμένες στο λειτουργικό σύστημα, Cisco AnyConnect και strongSwan και παρόμοια). Με αυτήν την προσέγγιση, η de facto κατασκευή της υποδομής μπορεί να παραδοθεί με ασφάλεια στον χειριστή, αφήνοντας μόνο τη διαμόρφωση του CPE ή του κεντρικού υπολογιστή.
Πώς λειτουργεί η διαδικασία σύνδεσης για τη λειτουργία IPSec:
- Ο πελάτης αφήνει ένα αίτημα στον διευθυντή του στο οποίο υποδεικνύει την απαιτούμενη ταχύτητα σύνδεσης, το προφίλ κίνησης και τις παραμέτρους διεύθυνσης IP για τη σήραγγα (από προεπιλογή, ένα υποδίκτυο με μάσκα /30) και τον τύπο δρομολόγησης (στατική ή BGP). Για τη μεταφορά διαδρομών στα τοπικά δίκτυα του πελάτη στο συνδεδεμένο γραφείο, χρησιμοποιούνται οι μηχανισμοί IKEv2 της φάσης πρωτοκόλλου IPSec χρησιμοποιώντας τις κατάλληλες ρυθμίσεις στο δρομολογητή πελάτη ή διαφημίζονται μέσω BGP σε MPLS από το ιδιωτικό BGP AS που καθορίζεται στην εφαρμογή του πελάτη . Έτσι, οι πληροφορίες σχετικά με τις διαδρομές των δικτύων πελατών ελέγχονται πλήρως από τον πελάτη μέσω των ρυθμίσεων του δρομολογητή πελάτη.
- Σε απάντηση από τον διευθυντή του, ο πελάτης λαμβάνει λογιστικά δεδομένα για συμπερίληψη στο VRF του της φόρμας:
- Διεύθυνση IP VPN-HUB
- Όνομα χρήστη *
- Κωδικός πρόσβασης ελέγχου ταυτότητας
- Ρυθμίζει το CPE, παρακάτω, για παράδειγμα, δύο βασικές επιλογές διαμόρφωσης:
Επιλογή για Cisco:
crypto ikev2 μπρελόκ BeelineIPsec_keyring
ομότιμος Beeline_VPNHub
διεύθυνση 62.141.99.183 – Κόμβος VPN Beeline
προ-κοινόχρηστο κλειδί <Κωδικός πρόσβασης ελέγχου ταυτότητας>
!
Για την επιλογή στατικής δρομολόγησης, οι διαδρομές σε δίκτυα προσβάσιμα μέσω του Vpn-hub μπορούν να καθοριστούν στη διαμόρφωση IKEv2 και θα εμφανίζονται αυτόματα ως στατικές διαδρομές στον πίνακα δρομολόγησης CE. Αυτές οι ρυθμίσεις μπορούν επίσης να γίνουν χρησιμοποιώντας την τυπική μέθοδο ρύθμισης στατικών διαδρομών (δείτε παρακάτω).Πολιτική εξουσιοδότησης crypto ikev2 FlexClient-author
Διαδρομή σε δίκτυα πίσω από τον δρομολογητή CE - μια υποχρεωτική ρύθμιση για στατική δρομολόγηση μεταξύ CE και PE. Η μεταφορά των δεδομένων διαδρομής στο PE πραγματοποιείται αυτόματα όταν η σήραγγα ανυψωθεί μέσω της αλληλεπίδρασης IKEv2.
σύνολο διαδρομής απομακρυσμένο ipv4 10.1.1.0 255.255.255.0 – Τοπικό δίκτυο γραφείων
!
crypto ikev2 προφίλ BeelineIPSec_profile
τοπική ταυτότητα <login>
έλεγχος ταυτότητας τοπική προ-κοινή χρήση
προ-κοινή χρήση απομακρυσμένου ελέγχου ταυτότητας
μπρελόκ τοπικό BeelineIPsec_keyring
ααα ομάδα εξουσιοδότησης λίστα psk group-author-list FlexClient-author
!
πελάτης crypto ikev2 flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
Client Connect Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
λειτουργία σήραγγας
!
Προεπιλογή προφίλ crypto ipsec
set transform-set TRANSFORM1
ορίστε το ikev2-profile BeelineIPSec_profile
!
διεπαφή σήραγγα 1
διεύθυνση IP 10.20.1.2 255.255.255.252 – Διεύθυνση σήραγγας
πηγή σήραγγας GigabitEthernet0/2 – Διεπαφή πρόσβασης στο Διαδίκτυο
λειτουργία tunnel ipsec ipv4
δυναμική προορισμού σήραγγας
Προεπιλογή προφίλ προστασίας σήραγγας ipsec
!
Οι διαδρομές προς τα ιδιωτικά δίκτυα του πελάτη που είναι προσβάσιμα μέσω του συγκεντρωτή VPN Beeline μπορούν να ρυθμιστούν στατικά.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1Επιλογή για Huawei (ar160/120):
όπως τοπικό όνομα <σύνδεση>
#
όνομα acl ipsec 3999
κανόνας 1 permit ip source 10.1.1.0 0.0.0.255 – Τοπικό δίκτυο γραφείων
#
ααα
σύστημα υπηρεσιών IPSEC
σύνολο διαδρομής acl 3999
#
πρόταση ipsec ipsec
esp έλεγχος ταυτότητας-αλγόριθμος sha2-256
esp encryption-algorithm aes-256
#
ike πρόταση προεπιλογής
κρυπτογράφηση-αλγόριθμος aes-256
dh ομάδα2
έλεγχος ταυτότητας-αλγόριθμος sha2-256
μέθοδος ελέγχου ταυτότητας προ-κοινή χρήση
ακεραιότητα-αλγόριθμος hmac-sha2-256
prf hmac-sha2-256
#
όπως peer ipsec
προ-κοινόχρηστο κλειδί απλό <Κωδικός πρόσβασης ελέγχου ταυτότητας>
fqdn τύπου local-id
ip τύπου remote-id
τηλεδιεύθυνση 62.141.99.183 – Κόμβος VPN Beeline
σύστημα υπηρεσιών IPSEC
αίτημα config-change
config-exchange σύνολο αποδοχή
config-exchange σύνολο αποστολή
#
προφίλ ipsec ipsecprof
ike-peer ipsec
πρόταση ipsec
#
διεπαφή Tunnel0/0/0
διεύθυνση IP 10.20.1.2 255.255.255.252 – Διεύθυνση σήραγγας
σήραγγα-πρωτόκολλο ipsec
πηγή GigabitEthernet0/0/1 – Διεπαφή πρόσβασης στο Διαδίκτυο
προφίλ ipsec ipsecprof
#
Οι διαδρομές προς τα ιδιωτικά δίκτυα του πελάτη που είναι προσβάσιμες μέσω του συγκεντρωτή VPN Beeline μπορούν να ρυθμιστούν στατικάip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Το διάγραμμα επικοινωνίας που προκύπτει μοιάζει με αυτό:
Εάν ο πελάτης δεν έχει κάποια παραδείγματα της βασικής διαμόρφωσης, τότε συνήθως βοηθάμε στη διαμόρφωση τους και τα κάνουμε διαθέσιμα σε όλους τους άλλους.
Το μόνο που μένει είναι να συνδέσουμε το CPE στο Διαδίκτυο, να κάνουμε ping στο τμήμα απόκρισης της σήραγγας VPN και σε οποιοδήποτε κεντρικό υπολογιστή μέσα στο VPN, και αυτό είναι όλο, μπορούμε να υποθέσουμε ότι η σύνδεση έχει γίνει.
Στο επόμενο άρθρο θα σας πούμε πώς συνδυάσαμε αυτό το σχήμα με το IPSec και το MultiSIM Redundancy χρησιμοποιώντας Huawei CPE: εγκαθιστούμε το Huawei CPE για πελάτες, οι οποίοι μπορούν να χρησιμοποιήσουν όχι μόνο ένα ενσύρματο κανάλι Internet, αλλά και 2 διαφορετικές κάρτες SIM και το CPE ανακατασκευάζει αυτόματα το IPSectunnel είτε μέσω ενσύρματου WAN είτε μέσω ραδιοφώνου (LTE#1/LTE#2), πραγματοποιώντας υψηλή ανοχή σφαλμάτων της υπηρεσίας που προκύπτει.
Ιδιαίτερες ευχαριστίες στους συναδέλφους μας RnD για την προετοιμασία αυτού του άρθρου (και, μάλιστα, στους συντάκτες αυτών των τεχνικών λύσεων)!
Πηγή: www.habr.com