Bonjour! DANS J'ai décrit en partie le travail de notre service MultiSIM и chaînes. Comme mentionné, nous connectons les clients au réseau via VPN, et aujourd'hui je vais vous en dire un peu plus sur le VPN et nos capacités dans cette partie.
Il convient de commencer par le fait qu'en tant qu'opérateur de télécommunications, nous disposons de notre propre vaste réseau MPLS, qui, pour les clients de téléphonie fixe, est divisé en deux segments principaux : celui qui est utilisé directement pour accéder à Internet et celui qui est utilisé utilisé pour créer des réseaux isolés - et c'est via ce segment MPLS que circule le trafic IPVPN (L3 OSI) et VPLAN (L2 OSI) pour nos entreprises clientes.
En règle générale, une connexion client se produit comme suit.
Une ligne d'accès est posée jusqu'au bureau du client depuis le point de présence du réseau le plus proche (nœud MEN, RRL, BSSS, FTTB, etc.) et en outre, le canal est enregistré via le réseau de transport vers le PE-MPLS correspondant routeur, sur lequel nous l'envoyons vers un client spécialement créé pour le VRF, en tenant compte du profil de trafic dont le client a besoin (les étiquettes de profil sont sélectionnées pour chaque port d'accès, en fonction des valeurs de priorité IP 0,1,3,5, XNUMX).
Si, pour une raison quelconque, nous ne pouvons pas organiser entièrement le dernier kilomètre pour le client, par exemple si le bureau du client est situé dans un centre d'affaires, où un autre prestataire est une priorité, ou si nous n'avons tout simplement pas notre point de présence à proximité, alors les clients précédents a dû créer plusieurs réseaux IPVPN chez différents fournisseurs (ce n'est pas l'architecture la plus rentable) ou résoudre indépendamment les problèmes d'organisation de l'accès à votre VRF sur Internet.
Beaucoup l'ont fait en installant une passerelle Internet IPVPN - ils ont installé un routeur frontalier (matériel ou une solution basée sur Linux), y ont connecté un canal IPVPN avec un port et un canal Internet avec l'autre, ont lancé leur serveur VPN dessus et se sont connectés. utilisateurs via leur propre passerelle VPN. Naturellement, un tel projet crée également des charges : de telles infrastructures doivent être construites et, ce qui est le plus gênant, exploitées et développées.
Pour faciliter la vie de nos clients, nous avons installé un hub VPN centralisé et organisé la prise en charge des connexions sur Internet utilisant IPSec, c'est-à-dire qu'il suffit désormais aux clients de configurer leur routeur pour qu'il fonctionne avec notre hub VPN via un tunnel IPSec sur n'importe quel Internet public. , et nous libérons le trafic de ce client vers son VRF.
Qui aura besoin
- Pour ceux qui disposent déjà d’un grand réseau IPVPN et qui ont besoin de nouvelles connexions en peu de temps.
- Toute personne qui, pour une raison quelconque, souhaite transférer une partie du trafic de l'Internet public vers IPVPN, mais qui a déjà rencontré des limitations techniques associées à plusieurs fournisseurs de services.
- Pour ceux qui disposent actuellement de plusieurs réseaux VPN disparates parmi différents opérateurs télécoms. Il y a des clients qui ont organisé avec succès IPVPN depuis Beeline, Megafon, Rostelecom, etc. Pour vous faciliter la tâche, vous pouvez rester uniquement sur notre VPN unique, basculer tous les autres canaux des autres opérateurs vers Internet, puis vous connecter à Beeline IPVPN via IPSec et Internet depuis ces opérateurs.
- Pour ceux qui disposent déjà d’un réseau IPVPN superposé sur Internet.
Si vous déployez tout avec nous, les clients bénéficient d'un support VPN à part entière, d'une redondance d'infrastructure sérieuse et de paramètres standard qui fonctionneront sur n'importe quel routeur auquel ils sont habitués (que ce soit Cisco, même Mikrotik, l'essentiel est qu'il puisse prendre en charge correctement IPSec/IKEv2 avec méthodes d'authentification standardisées). À propos, à propos d'IPSec - pour le moment, nous ne le prenons en charge que, mais nous prévoyons de lancer le fonctionnement à part entière d'OpenVPN et de Wireguard, afin que les clients ne puissent pas dépendre du protocole et qu'il soit encore plus facile de tout prendre et de tout transférer vers nous, et nous souhaitons également commencer à connecter des clients à partir d'ordinateurs et d'appareils mobiles (solutions intégrées au système d'exploitation, Cisco AnyConnect et strongSwan, etc.). Avec cette approche, la construction de facto de l'infrastructure peut être confiée en toute sécurité à l'opérateur, ne laissant que la configuration du CPE ou de l'hôte.
Comment fonctionne le processus de connexion pour le mode IPSec :
- Le client laisse une demande à son manager dans laquelle il indique la vitesse de connexion souhaitée, le profil de trafic et les paramètres d'adressage IP du tunnel (par défaut, un sous-réseau avec un masque /30) et le type de routage (statique ou BGP). Pour transférer les routes vers les réseaux locaux du client dans le bureau connecté, les mécanismes IKEv2 de la phase de protocole IPSec sont utilisés en utilisant les paramètres appropriés sur le routeur client, ou ils sont annoncés via BGP en MPLS à partir de l'AS BGP privé spécifié dans l'application du client. . Ainsi, les informations sur les itinéraires des réseaux clients sont entièrement contrôlées par le client via les paramètres du routeur client.
- En réponse de son responsable, le client reçoit des données comptables à inscrire dans son VRF sous la forme :
- Adresse IP du VPN-HUB
- login
- Mot de passe d'authentification
- Configure le CPE, ci-dessous, par exemple, deux options de configuration de base :
Option pour Cisco :
porte-clés crypto ikev2 BeelineIPsec_keyring
homologue Beeline_VPNHub
adresse 62.141.99.183 –Hub VPN Beeline
clé pré-partagée <Mot de passe d'authentification>
!
Pour l'option de routage statique, les routes vers les réseaux accessibles via le Vpn-hub peuvent être spécifiées dans la configuration IKEv2 et elles apparaîtront automatiquement comme routes statiques dans la table de routage CE. Ces paramètres peuvent également être effectués à l'aide de la méthode standard de définition d'itinéraires statiques (voir ci-dessous).politique d'autorisation crypto ikev2 FlexClient-author
Route vers les réseaux derrière le routeur CE – un paramètre obligatoire pour le routage statique entre CE et PE. Le transfert des données d'itinéraire vers le PE est effectué automatiquement lorsque le tunnel est élevé via l'interaction IKEv2.
route définie à distance ipv4 10.1.1.0 255.255.255.0 –Réseau local du bureau
!
profil crypto ikev2 BeelineIPSec_profile
identité locale <login>
authentification pré-partage local
authentification pré-partage à distance
porte-clés local BeelineIPsec_keyring
groupe d'autorisation aaa liste psk groupe-auteur-liste FlexClient-auteur
!
client crypto ikev2 flexvpn BeelineIPsec_flex
pair 1 Beeline_VPNHub
connexion client Tunnel1
!
ensemble de transformations crypto ipsec TRANSFORM1 esp-aes 256 esp-sha256-hmac
tunnel mode
!
profil crypto ipsec par défaut
définir l'ensemble de transformation TRANSFORM1
définir le profil ikev2 BeelineIPSec_profile
!
interfaceTunnel1
adresse ip 10.20.1.2 255.255.255.252 –Adresse du tunnel
source du tunnel GigabitEthernet0/2 –Interface d'accès Internet
mode tunnel ipsec ipv4
dynamique de destination du tunnel
profil IPSec de protection du tunnel par défaut
!
Les routes vers les réseaux privés du client accessibles via le concentrateur Beeline VPN peuvent être définies de manière statique.route IP 172.16.0.0 255.255.0.0 Tunnel1
route IP 192.168.0.0 255.255.255.0 Tunnel1Option pour Huawei (ar160/120) :
ike nom-local <login>
#
nom d'acl ipsec 3999
règle 1 autorise la source IP 10.1.1.0 0.0.0.255 –Réseau local du bureau
#
aaa
schéma de service IPSEC
ensemble d'itinéraires acl 3999
#
proposition ipsec
algorithme d'authentification esp sha2-256
algorithme de chiffrement esp aes-256
#
proposition ike par défaut
algorithme de chiffrement aes-256
groupe DH2
algorithme d'authentification sha2-256
pré-partage de la méthode d'authentification
algorithme d'intégrité hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
clé pré-partagée simple <Mot de passe d'authentification>
nom de domaine complet de type identifiant local
IP de type ID distant
adresse distante 62.141.99.183 –Hub VPN Beeline
schéma de service IPSEC
demande d'échange de configuration
ensemble d'échange de configuration accepté
config-exchange set envoyer
#
profil ipsec ipsecprof
ike-peer ipsec
proposition IPSEC
#
interfaceTunnel0/0/0
adresse ip 10.20.1.2 255.255.255.252 –Adresse du tunnel
protocole de tunnel ipsec
source GigabitEthernet0/0/1 –Interface d'accès Internet
profil ipsec ipsecprof
#
Les routes vers les réseaux privés du client accessibles via le concentrateur Beeline VPN peuvent être définies de manière statiqueip route-statique 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-statique 172.16.0.0 255.255.0.0 Tunnel0/0/0
Le diagramme de communication résultant ressemble à ceci :
Si le client ne dispose pas d'exemples de configuration de base, nous aidons généralement à leur formation et les mettons à la disposition de tous.
Il ne reste plus qu'à connecter le CPE à Internet, à envoyer un ping à la partie réponse du tunnel VPN et à n'importe quel hôte à l'intérieur du VPN, et c'est tout, nous pouvons supposer que la connexion a été établie.
Dans le prochain article, nous vous expliquerons comment nous avons combiné ce schéma avec IPSec et MultiSIM Redundancy à l'aide de Huawei CPE : nous installons notre Huawei CPE pour les clients, qui peuvent utiliser non seulement un canal Internet filaire, mais également 2 cartes SIM différentes, et le CPE reconstruit automatiquement le tunnel IPSec via WAN filaire ou via radio (LTE#1/LTE#2), réalisant une tolérance aux pannes élevée du service résultant.
Un merci spécial à nos collègues RnD pour la préparation de cet article (et, de fait, aux auteurs de ces solutions techniques) !
Source: habr.com