¡Hola! EN Describí en parte el trabajo de nuestro servicio MultiSIM. и canales. Como mencioné, conectamos clientes a la red a través de VPN y hoy les contaré un poco más sobre VPN y nuestras capacidades en esta parte.
Vale la pena comenzar con el hecho de que nosotros, como operador de telecomunicaciones, tenemos nuestra propia enorme red MPLS, que para los clientes de línea fija se divide en dos segmentos principales: el que se utiliza directamente para acceder a Internet y el que se se utiliza para crear redes aisladas, y es a través de este segmento MPLS que fluye el tráfico IPVPN (L3 OSI) y VPLAN (L2 OSI) para nuestros clientes corporativos.
Normalmente, una conexión de cliente se produce de la siguiente manera.
Se tiende una línea de acceso a la oficina del cliente desde el Punto de Presencia de la red más cercano (nodo MEN, RRL, BSSS, FTTB, etc.) y además se registra el canal a través de la red de transporte al PE-MPLS correspondiente. enrutador, en el que lo enviamos a un cliente VRF especialmente creado para el cliente, teniendo en cuenta el perfil de tráfico que el cliente necesita (las etiquetas de perfil se seleccionan para cada puerto de acceso, en función de los valores de precedencia de IP 0,1,3,5, XNUMX).
Si por alguna razón no podemos organizar completamente la última milla para el cliente, por ejemplo, la oficina del cliente está ubicada en un centro de negocios, donde otro proveedor es prioridad, o simplemente no tenemos nuestro punto de presencia cerca, entonces los clientes anteriores Tuve que crear varias redes IPVPN con diferentes proveedores (no es la arquitectura más rentable) o resolver de forma independiente los problemas con la organización del acceso a su VRF a través de Internet.
Muchos hicieron esto instalando una puerta de enlace de Internet IPVPN: instalaron un enrutador fronterizo (hardware o alguna solución basada en Linux), conectaron un canal IPVPN con un puerto y un canal de Internet con el otro, iniciaron su servidor VPN en él y se conectaron. usuarios a través de su propia puerta de enlace VPN. Naturalmente, un plan así también crea cargas: dicha infraestructura debe construirse y, lo que es más inconveniente, operar y desarrollarse.
Para hacer la vida más fácil a nuestros clientes, instalamos un centro VPN centralizado y organizamos soporte para conexiones a través de Internet usando IPSec, es decir, ahora los clientes solo necesitan configurar su enrutador para que funcione con nuestro centro VPN a través de un túnel IPSec a través de cualquier Internet público. y liberemos el tráfico de este cliente a su VRF.
quien va a necesitar
- Para aquellos que ya disponen de una gran red IPVPN y necesitan nuevas conexiones en poco tiempo.
- Cualquiera que, por alguna razón, quiera transferir parte del tráfico de la Internet pública a IPVPN, pero previamente haya encontrado limitaciones técnicas asociadas con varios proveedores de servicios.
- Para aquellos que actualmente tienen varias redes VPN diferentes entre diferentes operadores de telecomunicaciones. Hay clientes que han organizado con éxito IPVPN de Beeline, Megafon, Rostelecom, etc. Para hacerlo más fácil, puede permanecer solo en nuestra única VPN, cambiar todos los demás canales de otros operadores a Internet y luego conectarse a Beeline IPVPN a través de IPSec e Internet desde estos operadores.
- Para aquellos que ya tienen una red IPVPN superpuesta en Internet.
Si implementa todo con nosotros, los clientes recibirán soporte VPN completo, redundancia de infraestructura importante y configuraciones estándar que funcionarán en cualquier enrutador al que estén acostumbrados (ya sea Cisco, incluso Mikrotik, lo principal es que pueda soportar adecuadamente). IPSec/IKEv2 con métodos de autenticación estandarizados). Por cierto, en cuanto a IPSec, por el momento solo lo admitimos, pero planeamos lanzar una operación completa tanto de OpenVPN como de Wireguard, para que los clientes no puedan depender del protocolo y sea aún más fácil tomar y transferirnos todo. y también queremos comenzar a conectar clientes desde computadoras y dispositivos móviles (soluciones integradas en el sistema operativo, Cisco AnyConnect y strongSwan y similares). Con este enfoque, la construcción de facto de la infraestructura puede entregarse de forma segura al operador, dejando únicamente la configuración del CPE o host.
¿Cómo funciona el proceso de conexión para el modo IPSec?
- El cliente deja una solicitud a su administrador en la que indica la velocidad de conexión requerida, el perfil de tráfico y los parámetros de dirección IP para el túnel (por defecto, una subred con máscara /30) y el tipo de enrutamiento (estático o BGP). Para transferir rutas a las redes locales del cliente en la oficina conectada, se utilizan los mecanismos IKEv2 de la fase del protocolo IPSec utilizando la configuración adecuada en el enrutador del cliente, o se anuncian a través de BGP en MPLS desde el BGP AS privado especificado en la aplicación del cliente. . Por lo tanto, la información sobre las rutas de las redes del cliente está completamente controlada por el cliente a través de la configuración del enrutador del cliente.
- En respuesta de su gerente, el cliente recibe datos contables para incluirlos en su VRF del formulario:
- Dirección IP del concentrador VPN
- login
- Contraseña de autenticación
- Configura CPE, a continuación, por ejemplo, dos opciones de configuración básicas:
Opción para Cisco:
llavero cripto ikev2 BeelineIPsec_keyring
par Beeline_VPNHub
dirección 62.141.99.183 –Centro VPN Beeline
clave precompartida <contraseña de autenticación>
!
Para la opción de enrutamiento estático, las rutas a redes accesibles a través del Vpn-hub se pueden especificar en la configuración de IKEv2 y aparecerán automáticamente como rutas estáticas en la tabla de enrutamiento CE. Estas configuraciones también se pueden realizar utilizando el método estándar de configuración de rutas estáticas (ver más abajo).política de autorización cripto ikev2 FlexClient-autor
Ruta a redes detrás del enrutador CE: una configuración obligatoria para el enrutamiento estático entre CE y PE. La transferencia de datos de ruta al PE se realiza automáticamente cuando el túnel se eleva mediante la interacción IKEv2.
configuración de ruta remota ipv4 10.1.1.0 255.255.255.0 –Red local de oficina
!
perfil cripto ikev2 BeelineIPSec_profile
identidad local <iniciar sesión>
autenticación local precompartida
autenticación remota previa compartida
llavero local BeelineIPsec_keyring
aaa grupo de autorización psk lista grupo-autor-lista FlexClient-autor
!
cliente cripto ikev2 flexvpn BeelineIPsec_flex
par 1 Beeline_VPNHub
conexión de cliente Tunnel1
!
conjunto de transformación cripto ipsec TRANSFORM1 esp-aes 256 esp-sha256-hmac
modo túnel
!
perfil criptográfico ipsec predeterminado
establecer transformar-establecer TRANSFORM1
establecer perfil ikev2 BeelineIPSec_profile
!
interfaz Tunnel1
dirección IP 10.20.1.2 255.255.255.252 –Dirección del túnel
fuente del túnel GigabitEthernet0/2 –Interfaz de acceso a Internet
modo túnel ipsec ipv4
destino del túnel dinámico
perfil ipsec de protección de túnel predeterminado
!
Las rutas a las redes privadas del cliente accesibles a través del concentrador Beeline VPN se pueden configurar de forma estática.ruta ip 172.16.0.0 255.255.0.0 Túnel1
ruta ip 192.168.0.0 255.255.255.0 Túnel1Opción para Huawei (ar160/120):
ike nombre local <iniciar sesión>
#
nombre de acl ipsec 3999
regla 1 permitir fuente ip 10.1.1.0 0.0.0.255 –Red local de oficina
#
aaa
esquema de servicio IPSEC
ruta establecida acl 3999
#
propuesta ipsec ipsec
algoritmo de autenticación esp sha2-256
algoritmo-de-cifrado esp aes-256
#
propuesta de ike predeterminada
algoritmo-de-cifrado aes-256
grupo2
algoritmo-autenticación sha2-256
método de autenticación precompartido
algoritmo de integridad hmac-sha2-256
prf hmac-sha2-256
#
ike par ipsec
clave precompartida simple <contraseña de autenticación>
fqdn de tipo de identificación local
ip de tipo de identificación remota
dirección remota 62.141.99.183 –Centro VPN Beeline
esquema de servicio IPSEC
solicitud de intercambio de configuración
conjunto de intercambio de configuración aceptar
conjunto de intercambio de configuración enviar
#
perfil ipsec
ike-peer ipsec
propuesta ipsec
#
interfaz Túnel0/0/0
dirección IP 10.20.1.2 255.255.255.252 –Dirección del túnel
protocolo de túnel ipsec
fuente GigabitEthernet0/0/1 –Interfaz de acceso a Internet
perfil ipsec
#
Las rutas a las redes privadas del cliente accesibles a través del concentrador Beeline VPN se pueden configurar de forma estáticaip ruta estática 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip ruta estática 172.16.0.0 255.255.0.0 Tunnel0/0/0
El diagrama de comunicación resultante se parece a esto:
Si el cliente no tiene algunos ejemplos de la configuración básica, normalmente ayudamos con su formación y los ponemos a disposición de todos los demás.
Todo lo que queda es conectar el CPE a Internet, hacer ping a la parte de respuesta del túnel VPN y a cualquier host dentro de la VPN, y listo, podemos asumir que se ha realizado la conexión.
En el próximo artículo le diremos cómo combinamos este esquema con IPSec y Redundancia MultiSIM usando Huawei CPE: instalamos nuestro Huawei CPE para clientes, que pueden usar no solo un canal de Internet por cable, sino también 2 tarjetas SIM diferentes y el CPE. Reconstruye automáticamente el túnel IPSec ya sea mediante WAN cableada o mediante radio (LTE#1/LTE#2), logrando una alta tolerancia a fallas del servicio resultante.
¡Un agradecimiento especial a nuestros colegas de I+D por preparar este artículo (y, de hecho, a los autores de estas soluciones técnicas)!
Fuente: habr.com