سلام! که در
شایان ذکر است که ما به عنوان یک اپراتور مخابراتی، شبکه عظیم MPLS خود را داریم که برای مشتریان خط ثابت به دو بخش اصلی تقسیم می شود - یکی که مستقیماً برای دسترسی به اینترنت استفاده می شود و دیگری که برای ایجاد شبکه های ایزوله استفاده می شود - و از طریق این بخش MPLS است که ترافیک IPVPN (L3 OSI) و VPLAN (L2 OSI) برای مشتریان شرکتی ما جریان می یابد.
به طور معمول، اتصال مشتری به صورت زیر رخ می دهد.
یک خط دسترسی از نزدیکترین نقطه حضور شبکه (گره MEN، RRL، BSSS، FTTB و غیره) به دفتر مشتری گذاشته می شود و سپس کانال از طریق شبکه حمل و نقل به PE-MPLS مربوطه ثبت می شود. روتر، که بر روی آن با در نظر گرفتن مشخصات ترافیکی که مشتری نیاز دارد، آن را به یک برنامه ویژه ایجاد شده برای مشتری VRF خروجی می دهیم (برچسب های پروفایل برای هر پورت دسترسی بر اساس مقادیر اولویت IP 0,1,3,5،XNUMX،XNUMX انتخاب می شوند، XNUMX).
اگر به دلایلی نتوانیم آخرین مایل را به طور کامل برای مشتری سازماندهی کنیم، به عنوان مثال، دفتر مشتری در یک مرکز تجاری واقع شده است، جایی که ارائه دهنده دیگری در اولویت است، یا ما به سادگی نقطه حضور خود را در نزدیکی نداریم، مشتریان قبلی باید چندین شبکه IPVPN در ارائه دهندگان مختلف ایجاد می کرد (نه مقرون به صرفه ترین معماری) یا به طور مستقل مسائل مربوط به سازماندهی دسترسی به VRF خود را از طریق اینترنت حل می کرد.
بسیاری این کار را با نصب یک دروازه اینترنتی IPVPN انجام دادند - آنها یک روتر مرزی (سخت افزار یا برخی از راه حل های مبتنی بر لینوکس) نصب کردند، یک کانال IPVPN را با یک پورت و یک کانال اینترنت با دیگری به آن متصل کردند، سرور VPN خود را روی آن راه اندازی کردند و متصل شدند. کاربران از طریق دروازه VPN خودشان. طبیعتاً چنین طرحی بارهایی را نیز ایجاد می کند: چنین زیرساختی باید ساخته شود و از همه ناخوشایندتر، بهره برداری و توسعه یابد.
برای آسانتر کردن زندگی برای مشتریان خود، یک هاب VPN متمرکز و پشتیبانی سازماندهی شده برای اتصالات از طریق اینترنت با استفاده از IPSec نصب کردیم، یعنی اکنون مشتریان فقط باید روتر خود را برای کار با هاب VPN ما از طریق یک تونل IPSec روی هر اینترنت عمومی پیکربندی کنند. ، و اجازه دهید ترافیک این مشتری را به VRF آن آزاد کنیم.
چه کسی نیاز خواهد داشت
- برای کسانی که در حال حاضر یک شبکه IPVPN بزرگ دارند و در مدت زمان کوتاهی به اتصالات جدید نیاز دارند.
- هر کسی که به دلایلی می خواهد بخشی از ترافیک اینترنت عمومی را به IPVPN منتقل کند، اما قبلاً با محدودیت های فنی مرتبط با چندین ارائه دهنده خدمات مواجه شده است.
- برای کسانی که در حال حاضر چندین شبکه VPN متفاوت در اپراتورهای مخابراتی مختلف دارند. مشتریانی وجود دارند که IPVPN را از Beeline، Megafon، Rostelecom و غیره با موفقیت سازماندهی کرده اند. برای آسانتر کردن کار، میتوانید فقط در VPN واحد ما بمانید، همه کانالهای دیگر اپراتورهای دیگر را به اینترنت تغییر دهید و سپس از طریق IPSec و اینترنت این اپراتورها به Beeline IPVPN متصل شوید.
- برای کسانی که قبلاً یک شبکه IPVPN روی اینترنت دارند.
اگر همه چیز را با ما مستقر کنید، مشتریان پشتیبانی کامل VPN، افزونگی زیرساخت جدی و تنظیمات استاندارد را دریافت میکنند که روی هر روتری که به آن عادت کردهاند کار میکند (چه سیسکو باشد، حتی Mikrotik، نکته اصلی این است که میتواند به درستی پشتیبانی کند. IPSec/IKEv2 با روشهای احراز هویت استاندارد). به هر حال، در مورد IPSec - در حال حاضر ما فقط از آن پشتیبانی می کنیم، اما قصد داریم عملیات تمام عیار OpenVPN و Wireguard را راه اندازی کنیم، به طوری که مشتریان نتوانند به پروتکل وابسته باشند و حتی راحت تر می توانند همه چیز را به ما منتقل کنند. و همچنین میخواهیم اتصال کلاینتها را از رایانهها و دستگاههای تلفن همراه آغاز کنیم (راهحلهای ساخته شده در سیستمعامل، Cisco AnyConnect و strongSwan و موارد مشابه). با این رویکرد، ساخت و ساز واقعی زیرساخت را می توان با خیال راحت به اپراتور واگذار کرد و تنها پیکربندی CPE یا میزبان باقی می ماند.
فرآیند اتصال برای حالت IPSec چگونه کار می کند:
- مشتری درخواستی را به مدیر خود میگذارد که در آن سرعت اتصال، مشخصات ترافیک و پارامترهای آدرسدهی IP برای تونل (به طور پیشفرض، یک زیرشبکه با ماسک 30/) و نوع مسیریابی (ایستا یا BGP) را نشان میدهد. برای انتقال مسیرها به شبکههای محلی مشتری در دفتر متصل، مکانیسمهای IKEv2 فاز پروتکل IPSec با استفاده از تنظیمات مناسب روی روتر مشتری استفاده میشوند یا از طریق BGP در MPLS از BGP AS خصوصی مشخص شده در برنامه مشتری تبلیغ میشوند. . بنابراین، اطلاعات در مورد مسیرهای شبکه های مشتری به طور کامل توسط مشتری از طریق تنظیمات روتر مشتری کنترل می شود.
- در پاسخ از مدیر خود، مشتری داده های حسابداری را برای درج در VRF خود از فرم دریافت می کند:
- آدرس IP VPN-HUB
- ورود به سیستم
- رمز احراز هویت
- CPE را پیکربندی می کند، برای مثال، در زیر، دو گزینه اصلی پیکربندی:
گزینه ای برای سیسکو:
crypto ikev2 keyring BeelineIPsec_keyring
همتا Beeline_VPNHub
آدرس 62.141.99.183 – هاب VPN Beeline
کلید از پیش مشترک <گذرواژه احراز هویت>
!
برای گزینه مسیریابی استاتیک، مسیرهای دسترسی به شبکه های قابل دسترسی از طریق Vpn-hub را می توان در پیکربندی IKEv2 مشخص کرد و آنها به طور خودکار به عنوان مسیرهای ثابت در جدول مسیریابی CE ظاهر می شوند. این تنظیمات را می توان با استفاده از روش استاندارد تنظیم مسیرهای استاتیک نیز انجام داد (به زیر مراجعه کنید).خط مشی مجوز کریپتو ikev2 FlexClient-author
مسیریابی به شبکه های پشت روتر CE - یک تنظیم اجباری برای مسیریابی استاتیک بین CE و PE. هنگامی که تونل از طریق تعامل IKEv2 بالا می رود، انتقال داده های مسیر به PE به طور خودکار انجام می شود.
تنظیم مسیر راه دور ipv4 10.1.1.0 255.255.255.0 -شبکه محلی دفتر
!
نمایه کریپتو ikev2 BeelineIPSec_profile
هویت محلی <ورود به سیستم>
احراز هویت محلی پیش اشتراک گذاری
پیش اشتراک گذاری از راه دور احراز هویت
کلید محلی BeelineIPsec_keyring
aaa مجوز گروه لیست psk group-author-list FlexClient-author
!
سرویس گیرنده کریپتو ikev2 flexvpn BeelineIPsec_flex
همتا 1 Beeline_VPNHub
Client Connect Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
تونل حالت
!
پیش فرض نمایه crypto ipsec
مجموعه transform-set TRANSFORM1
تنظیم ikev2-profile BeelineIPSec_profile
!
رابط تونل 1
آدرس IP 10.20.1.2 255.255.255.252 -آدرس تونل
منبع تونل GigabitEthernet0/2 -رابط دسترسی به اینترنت
حالت تونل ipsec ipv4
پویایی مقصد تونل
حفاظت تونل پیش فرض نمایه ipsec
!
مسیرهای دسترسی به شبکه های خصوصی مشتری از طریق متمرکز کننده Beeline VPN را می توان به صورت ایستا تنظیم کرد.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1گزینه هواوی (ar160/120):
مانند نام محلی <ورود به سیستم>
#
نام acl ipsec 3999
قانون 1 مجوز IP منبع 10.1.1.0 0.0.0.255 -شبکه محلی دفتر
#
AAA
طرح خدمات IPSEC
مجموعه مسیر acl 3999
#
پیشنهاد ipsec ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
پیش فرض پیشنهاد ike
رمزگذاری-الگوریتم aes-256
گروه dh2
احراز هویت-الگوریتم sha2-256
روش احراز هویت پیش اشتراک گذاری
یکپارچگی-الگوریتم hmac-sha2-256
prf hmac-sha2-256
#
مثل همتا ipsec
کلید از پیش مشترک <گذرواژه احراز هویت> ساده
local-id-type fqdn
آی پی از نوع remote-id
آدرس راه دور 62.141.99.183 – هاب VPN Beeline
طرح خدمات IPSEC
درخواست config-exchange
پیکربندی-تبادل مجموعه قبول
پیکربندی تبادل مجموعه ارسال
#
پروفایل ipsec ipsecprof
ike-peer ipsec
پیشنهاد ipsec
#
رابط تونل0/0/0
آدرس IP 10.20.1.2 255.255.255.252 -آدرس تونل
تونل-پروتکل ipsec
منبع GigabitEthernet0/0/1 -رابط دسترسی به اینترنت
پروفایل ipsec ipsecprof
#
مسیرهای دسترسی به شبکه های خصوصی مشتری از طریق متمرکز کننده VPN Beeline را می توان به صورت ایستا تنظیم کرد.ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
نمودار ارتباطی حاصل چیزی شبیه به این است:
اگر مشتری نمونههایی از پیکربندی اولیه را نداشته باشد، ما معمولاً به شکلگیری آنها کمک میکنیم و آنها را در دسترس دیگران قرار میدهیم.
تنها چیزی که باقی می ماند این است که CPE را به اینترنت وصل کنیم، به قسمت پاسخ تونل VPN و هر میزبانی در داخل VPN پینگ کنیم، و تمام، می توانیم فرض کنیم که اتصال برقرار شده است.
در مقاله بعدی به شما خواهیم گفت که چگونه این طرح را با استفاده از Huawei CPE با IPSec و MultiSIM Redundancy ترکیب کردیم: ما Huawei CPE خود را برای مشتریان نصب می کنیم که می توانند نه تنها از یک کانال اینترنت سیمی، بلکه از 2 سیم کارت مختلف و CPE استفاده کنند. به طور خودکار تونل IPSec را از طریق WAN سیمی یا از طریق رادیو (LTE#1/LTE#2) بازسازی میکند و به تحمل خطای بالای سرویس منجر میشود.
با تشکر ویژه از همکاران RnD خود برای تهیه این مقاله (و در واقع از نویسندگان این راه حل های فنی)!
منبع: www.habr.com