Hei! SISÄÄN
Kannattaa aloittaa siitä, että meillä teleoperaattorina on oma valtava MPLS-verkkomme, joka kiinteän verkon asiakkaille on jaettu kahteen pääsegmenttiin - siihen, jota käytetään suoraan Internetiin pääsyyn, ja siihen, joka on käytetään erillisten verkkojen luomiseen – ja juuri tämän MPLS-segmentin kautta IPVPN (L3 OSI) ja VPLAN (L2 OSI) liikenne kulkee yritysasiakkaillemme.
Tyypillisesti asiakasyhteys tapahtuu seuraavasti.
Asiakkaan toimistoon vedetään liittymä lähimmästä verkon läsnäolopisteestä (solmu MEN, RRL, BSSS, FTTB jne.) ja edelleen kanava rekisteröidään kuljetusverkon kautta vastaavaan PE-MPLS:ään. reititin, jolla lähetämme sen erityisesti VRF-asiakkaalle luotuun, ottaen huomioon asiakkaan tarvitseman liikenneprofiilin (profiilitunnisteet valitaan jokaiselle pääsyportille IP-ensisijaisuusarvojen 0,1,3,5 perusteella, XNUMX).
Jos emme jostain syystä pysty järjestämään asiakkaalle täysin viimeistä mailia, esimerkiksi asiakkaan toimisto sijaitsee yrityskeskuksessa, jossa toinen palveluntarjoaja on etusijalla tai meillä ei yksinkertaisesti ole läsnäolopistettämme lähellä, niin aikaisemmat asiakkaat piti luoda useita IPVPN-verkkoja eri palveluntarjoajille (ei kustannustehokkain arkkitehtuuri) tai ratkaista itsenäisesti ongelmia VRF:n pääsyn järjestämisessä Internetin kautta.
Monet tekivät tämän asentamalla IPVPN-Internet-yhdyskäytävän - he asensivat rajareitittimen (laitteiston tai jonkin Linux-pohjaisen ratkaisun), yhdistivät siihen IPVPN-kanavan toisella portilla ja Internet-kanavan toisella, käynnistivät VPN-palvelimensa siihen ja muodostivat yhteyden. käyttäjiä oman VPN-yhdyskäytävänsä kautta. Luonnollisesti tällainen järjestelmä luo myös rasituksia: tällaista infrastruktuuria on rakennettava ja mikä epämukavinta, sitä on käytettävä ja kehitettävä.
Helpottaaksemme asiakkaidemme elämää asensimme keskitetyn VPN-keskittimen ja järjestimme tuen Internet-yhteyksille IPSecillä, eli nyt asiakkaiden tarvitsee vain määrittää reitittimensä toimimaan VPN-keskittimen kanssa IPSec-tunnelin kautta minkä tahansa julkisen Internetin kautta. , ja vapautetaan tämän asiakkaan liikenne sen VRF:ään.
Kuka tarvitsee
- Niille, joilla on jo laaja IPVPN-verkko ja jotka tarvitsevat uusia yhteyksiä lyhyessä ajassa.
- Jokainen, joka jostain syystä haluaa siirtää osan liikenteestä julkisesta Internetistä IPVPN:ään, mutta on aiemmin törmännyt useisiin palveluntarjoajiin liittyviin teknisiin rajoituksiin.
- Niille, joilla on tällä hetkellä useita eri VPN-verkkoja eri teleoperaattoreiden välillä. On asiakkaita, jotka ovat onnistuneesti järjestäneet IPVPN:n Beelineltä, Megafonilta, Rostelecomilta jne. Helpottaaksesi voit pysyä vain yhdellä VPN:llämme, vaihtaa muiden operaattoreiden kaikki muut kanavat Internetiin ja muodostaa sitten yhteyden Beeline IPVPN:ään IPSecin kautta ja näiden operaattoreiden Internetin kautta.
- Niille, joilla on jo IPVPN-verkko Internetissä.
Jos otat kaiken käyttöön kanssamme, asiakkaat saavat täysimittaisen VPN-tuen, vakavan infrastruktuurin redundanssin ja vakioasetukset, jotka toimivat missä tahansa reitittimessä, johon he ovat tottuneet (oli se sitten Cisco, jopa Mikrotik, pääasia, että se tukee kunnolla IPSec/IKEv2 standardoiduilla todennusmenetelmillä). Muuten, IPSecistä - juuri nyt tuemme sitä, mutta aiomme käynnistää sekä OpenVPN:n että Wireguardin täysimittaisen toiminnan, jotta asiakkaat eivät voi olla riippuvaisia protokollasta ja on vielä helpompi ottaa ja siirtää kaikki meille, ja haluamme myös aloittaa asiakkaiden yhdistämisen tietokoneista ja mobiililaitteista (käyttöjärjestelmään sisäänrakennetut ratkaisut, Cisco AnyConnect ja strongSwan ja vastaavat). Tällä lähestymistavalla infrastruktuurin tosiasiallinen rakentaminen voidaan turvallisesti luovuttaa operaattorille, jolloin jäljelle jää vain CPE:n tai isännän konfiguraatio.
Kuinka yhteysprosessi toimii IPSec-tilassa:
- Asiakas jättää esimiehelleen pyynnön, jossa hän ilmoittaa vaaditun yhteysnopeuden, liikenneprofiilin ja tunnelin IP-osoiteparametrit (oletusarvoisesti aliverkko /30-maskilla) ja reititystyypin (staattinen tai BGP). Reittien siirtämiseksi asiakkaan paikallisverkkoihin yhdistetyssä toimistossa käytetään IPSec-protokollavaiheen IKEv2-mekanismeja asiakasreitittimen sopivilla asetuksilla tai ne mainostetaan BGP:n kautta MPLS:ssä asiakkaan sovelluksessa määritetystä yksityisestä BGP AS:sta. . Näin ollen asiakas hallitsee täysin asiakasverkkojen reittejä koskevia tietoja asiakasreitittimen asetusten kautta.
- Vastauksena johtajaltaan asiakas saa kirjanpitotiedot sisällytettäväksi lomakkeen VRF:ään:
- VPN-HUB IP-osoite
- kirjautuminen
- Todennuksen salasana
- Konfiguroi CPE:n alla esimerkiksi kaksi perusasetusvaihtoehtoa:
Vaihtoehto Ciscolle:
krypto ikev2 avaimenperä BeelineIPsec_keyring
vertaisversio Beeline_VPNHub
osoite 62.141.99.183 -VPN-keskitin Beeline
pre-shared-key <Todennussalasana>
!
Staattiselle reititysvaihtoehdolle reitit Vpn-keskittimen kautta saavutettaviin verkkoihin voidaan määrittää IKEv2-kokoonpanossa ja ne näkyvät automaattisesti staattisina reiteinä CE-reititystaulukossa. Nämä asetukset voidaan tehdä myös käyttämällä staattisten reittien vakioasetustapaa (katso alla).krypto ikev2 valtuutuskäytäntö FlexClient-author
Reititä verkkoihin CE-reitittimen takana – pakollinen asetus staattista reititystä varten CE:n ja PE:n välillä. Reittitietojen siirto PE:lle tapahtuu automaattisesti, kun tunneli nostetaan IKEv2-vuorovaikutuksen kautta.
reitti asetettu kauko-ipv4 10.1.1.0 255.255.255.0 – Toimiston paikallisverkko
!
krypto ikev2 -profiili BeelineIPSec_profile
identiteetti paikallinen <kirjautuminen>
todennus paikallinen ennakkojako
todennuksen etäesijako
avainrengas paikallinen BeelineIPsec_keyring
aaa valtuutusryhmä psk-lista ryhmä-author-list FlexClient-author
!
krypto ikev2 -asiakas flexvpn BeelineIPsec_flex
vertaisversio 1 Beeline_VPNHub
asiakasyhteys Tunnel1
!
krypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
tunnelitila
!
crypto ipsec -profiilin oletusasetus
set transform-set TRANSFORM1
aseta ikev2-profiili BeelineIPSec_profile
!
käyttöliittymä Tunnel1
ip-osoite 10.20.1.2 255.255.255.252 – Tunnelin osoite
tunnelilähde GigabitEthernet0/2 – Internet-käyttöliittymä
tunnelitila ipsec ipv4
tunnelin määränpään dynaaminen
tunnelin suojaus ipsec-profiilin oletusarvo
!
Reitit asiakkaan yksityisiin verkkoihin, joihin pääsee Beeline VPN -keskittimen kautta, voidaan asettaa staattisesti.ip-reitti 172.16.0.0 255.255.0.0 Tunneli1
ip-reitti 192.168.0.0 255.255.255.0 Tunneli1Vaihtoehto Huaweille (ar160/120):
kuten paikallinen-nimi <kirjautuminen>
#
acl-nimi ipsec 3999
sääntö 1 salli IP-lähteen 10.1.1.0 0.0.0.255 – Toimiston paikallisverkko
#
aaa
palvelujärjestelmä IPSEC
reitti asetettu acl 3999
#
ipsec-ehdotus ipsec
esp-todennus-algoritmi sha2-256
esp salausalgoritmi aes-256
#
kuten oletusehdotus
salausalgoritmi aes-256
dh ryhmä 2
todennusalgoritmi sha2-256
todennusmenetelmän ennakkojako
eheys-algoritmi hmac-sha2-256
prf hmac-sha2-256
#
kuten peer ipsec
esijaettu avain yksinkertainen <todennussalasana>
local-id-type fqdn
remote-id-type ip
etäosoite 62.141.99.183 -VPN-keskitin Beeline
palvelujärjestelmä IPSEC
asetusten vaihtopyyntö
config-vaihtosarja hyväksyä
config-change set lähetä
#
ipsec-profiili ipsecprof
ike-peer ipsec
ehdotus ipsec
#
rajapinta Tunnel0/0/0
ip-osoite 10.20.1.2 255.255.255.252 – Tunnelin osoite
tunneliprotokolla ipsec
lähde GigabitEthernet0/0/1 – Internet-käyttöliittymä
ipsec-profiili ipsecprof
#
Reitit asiakkaan yksityisiin verkkoihin, joihin pääsee Beeline VPN -keskittimen kautta, voidaan asettaa staattisestiip reitti-staattinen 192.168.0.0 255.255.255.0 Tunneli0/0/0
ip reitti-staattinen 172.16.0.0 255.255.0.0 Tunneli0/0/0
Tuloksena oleva viestintäkaavio näyttää suunnilleen tältä:
Jos asiakkaalla ei ole esimerkkejä peruskokoonpanosta, autamme yleensä niiden muodostamisessa ja tarjoamme ne kaikkien muiden saataville.
Jäljelle jää vain CPE:n yhdistäminen Internetiin, ping VPN-tunnelin vastausosaan ja mihin tahansa VPN:n sisällä olevaan isäntään, ja siinä kaikki, voimme olettaa, että yhteys on muodostettu.
Seuraavassa artikkelissa kerromme, kuinka yhdistämme tämän järjestelmän IPSec- ja MultiSIM-redundanssiin käyttämällä Huawei CPE:tä: asennamme asiakkaillemme Huawei CPE:n, joka voi käyttää langallisen Internet-kanavan lisäksi myös kahta eri SIM-korttia ja CPE:tä. rakentaa automaattisesti IPSec-tunnelin uudelleen joko langallisen WAN-verkon tai radion (LTE#2/LTE#1) kautta, mikä takaa palvelun korkean vikasietoisuuden.
Erityiset kiitokset RnD-kollegoillemme tämän artikkelin valmistelusta (ja itse asiassa näiden teknisten ratkaisujen tekijöille)!
Lähde: will.com