Hallo! YN
It is de muoite wurdich om te begjinnen mei it feit dat wy, as telekomoperator, ús eigen enoarme MPLS-netwurk hawwe, dat foar klanten mei fêste line is ferdield yn twa haadsegminten - de iene dy't direkt wurdt brûkt om tagong te krijen ta it ynternet, en dejinge dy't is brûkt om isolearre netwurken te meitsjen - en it is troch dit MPLS-segment dat IPVPN (L3 OSI) en VPLAN (L2 OSI) ferkear streamt foar ús bedriuwskliïnten.
Typysk komt in klantferbining as folgjend foar.
In tagongsline wurdt lein nei it kantoar fan 'e kliïnt fan' e tichtstbye Point of Presence fan it netwurk (knooppunt MEN, RRL, BSSS, FTTB, ensfh.) En fierder wurdt it kanaal registrearre fia it ferfiernetwurk nei de oerienkommende PE-MPLS router, wêrop wy it útfiere nei in spesjaal makke foar de VRF-kliïnt, rekken hâldend mei it ferkearsprofyl dat de klant nedich is (profyletiketten wurde selektearre foar elke tagongspoarte, basearre op de ip-foarrangswearden 0,1,3,5, XNUMX).
As wy om ien of oare reden de lêste myl net folslein kinne organisearje foar de klant, bygelyks it kantoar fan 'e klant leit yn in saaklik sintrum, wêr't in oare provider in prioriteit is, of wy hawwe gewoan net ús punt fan oanwêzigens yn 'e buert, dan earder kliïnten moast ferskate IPVPN-netwurken oanmeitsje by ferskate providers (net de meast kosten-effektive arsjitektuer) of selsstannich problemen oplosse mei it organisearjen fan tagong ta jo VRF oer it ynternet.
In protte diene dit troch it ynstallearjen fan in IPVPN ynternet gateway - se ynstallearre in grins router (hardware of guon Linux-basearre oplossing), ferbûn in IPVPN kanaal mei de iene poarte en in ynternet kanaal mei de oare, lansearre harren VPN tsjinner op it en ferbûn brûkers fia har eigen VPN-gateway. Fansels soarget sa'n regeling ek foar lêst: sa'n ynfrastruktuer moat boud wurde en, meast ûngemaklik, eksploitearre en ûntwikkele.
Om it libben makliker te meitsjen foar ús kliïnten, hawwe wy in sintralisearre VPN-hub ynstalleare en stipe organisearre foar ferbiningen oer it ynternet mei IPSec, dat is no kliïnten hoege no allinich har router te konfigurearjen om te wurkjen mei ús VPN-hub fia in IPSec-tunnel oer elk iepenbier ynternet , en wy Litte wy it ferkear fan dizze klant frijlitte oan syn VRF.
Wa sil it nuttich fine?
- Foar dyjingen dy't al in grut IPVPN-netwurk hawwe en yn koarte tiid nije ferbiningen nedich binne.
- Elkenien dy't, om ien of oare reden, in diel fan it ferkear fan it iepenbiere ynternet nei IPVPN oerdrage wol, mar earder technyske beheiningen tsjinkaam ferbûn mei ferskate tsjinstferlieners.
- Foar dyjingen dy't op it stuit ferskate ferskillende VPN-netwurken hawwe oer ferskate telekomoperators. D'r binne kliïnten dy't IPVPN mei súkses hawwe organisearre fan Beeline, Megafon, Rostelecom, ensfh. Om it makliker te meitsjen, kinne jo allinich op ús single VPN bliuwe, alle oare kanalen fan oare operators oerskeakelje nei it ynternet, en dan ferbine mei Beeline IPVPN fia IPSec en it ynternet fan dizze operators.
- Foar dyjingen dy't al in IPVPN-netwurk hawwe oerlein op it ynternet.
As jo alles by ús ynsette, dan krije kliïnten folweardige VPN-stipe, serieuze ynfrastruktuer-redundânsje, en standertynstellingen dy't wurkje op elke router wêr't se wend binne oan (as it Cisco is, sels Mikrotik, it wichtichste is dat it goed kin stypje IPSec/IKEv2 mei standerdisearre autentikaasjemetoaden). Trouwens, oer IPSec - op it stuit stypje wy it allinich, mar wy binne fan plan in folsleine operaasje fan sawol OpenVPN as Wireguard te starten, sadat kliïnten net kinne ôfhinklik fan it protokol en it is noch makliker om alles nei ús te nimmen en oer te bringen, en wy wolle ek begjinne te ferbinen kliïnten út kompjûters en mobile apparaten (oplossings boud yn it OS, Cisco AnyConnect en strongSwan en it like). Mei dizze oanpak kin de de facto konstruksje fan 'e ynfrastruktuer feilich oerlevere wurde oan' e operator, wêrtroch allinich de konfiguraasje fan 'e CPE of host bliuwt.
Hoe wurket it ferbiningsproses foar IPSec-modus:
- De kliïnt lit in fersyk nei syn manager wêryn't hy de fereaske ferbiningssnelheid, ferkearsprofyl en IP-adresseringsparameters foar de tunnel oanjout (standert, in subnet mei in /30-masker) en it type routing (statysk as BGP). Om rûtes oer te bringen nei de lokale netwurken fan 'e kliïnt yn it ferbûne kantoar, wurde de IKEv2-meganismen fan' e IPSec-protokolfaze brûkt mei de passende ynstellings op 'e client-router, of se wurde advertearre fia BGP yn MPLS fan' e privee BGP AS spesifisearre yn 'e applikaasje fan 'e kliïnt. . Sa wurdt ynformaasje oer de rûtes fan kliïntnetwurken folslein kontrolearre troch de kliïnt fia de ynstellingen fan 'e client-router.
- As antwurd fan syn manager krijt de klant boekhâldgegevens foar opname yn syn VRF fan it formulier:
- VPN-HUB IP-adres
- login
- Autentikaasje wachtwurd
- Konfigurearret CPE, hjirûnder, bygelyks, twa basiskonfiguraasjeopsjes:
Opsje foar Cisco:
crypto ikev2 kaairing BeelineIPsec_keyring
peer Beeline_VPNHub
adres 62.141.99.183 -VPN-hub Beeline
pre-dielde kaai <Autentikaasje wachtwurd>
!
Foar de statyske routing-opsje kinne rûtes nei netwurken tagonklik fia de Vpn-hub wurde opjûn yn 'e IKEv2-konfiguraasje en se sille automatysk ferskine as statyske rûtes yn' e CE-routingtabel. Dizze ynstellings kinne ek makke wurde mei de standertmetoade foar it ynstellen fan statyske rûtes (sjoch hjirûnder).krypto ikev2 autorisaasjebelied FlexClient-auteur
Rûte nei netwurken efter de CE router - in ferplichte ynstelling foar statyske routing tusken CE en PE. De oerdracht fan rûtegegevens nei de PE wurdt automatysk útfierd as de tunnel wurdt ferhege troch IKEv2-ynteraksje.
route set remote ipv4 10.1.1.0 255.255.255.0 - Lokale kantoarnetwurk
!
krypto ikev2 profyl BeelineIPSec_profile
identiteit lokale <login>
autentikaasje lokale pre-share
autentikaasje op ôfstân pre-share
keyring lokale BeelineIPsec_keyring
aaa autorisaasjegroep psk list groep-auteur-list FlexClient-auteur
!
crypto ikev2 client flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
client ferbine Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profyl standert
set transform-set TRANSFORM1
set ikev2-profyl BeelineIPSec_profile
!
ynterface Tunnel1
* (10.20.1.2 - 255.255.255.252) IP Adres (Frysk) 🔍 - Tunneladres
tunnel boarne GigabitEthernet0/2 - Ynternet tagong ynterface
tunnelmodus ipsec ipv4
tunnel bestimming dynamysk
tunnel beskerming ipsec profyl standert
!
Rûten nei de partikuliere netwurken fan 'e kliïnt tagonklik fia de Beeline VPN-konsintrator kinne statysk ynsteld wurde.IP route 172.16.0.0 255.255.0.0 Tunnel1
IP route 192.168.0.0 255.255.255.0 Tunnel1Opsje foar Huawei (ar160/120):
ike lokale namme <login>
#
acl namme ipsec 3999
regel 1 tastean ip boarne 10.1.1.0 0.0.0.255 - Lokale kantoarnetwurk
#
aaa
tsjinst-skema IPSEC
route set acl 3999
#
ipsec foarstel ipsec
esp autentikaasje-algoritme sha2-256
esp fersifering-algoritme aes-256
#
ike foarstel standert
fersifering-algoritme aes-256
dh groep 2
autentikaasje-algoritme sha2-256
autentikaasje-metoade pre-share
yntegriteit-algoritme hmac-sha2-256
prf hmac-sha2-256
#
ik peer ipsec
pre-dielde kaai ienfâldich <Autentikaasjewachtwurd>
local-id-type fqdn
remote-id-type ip
remote-adres 62.141.99.183 -VPN-hub Beeline
tsjinst-skema IPSEC
config-útwikseling fersyk
config-exchange set akseptearje
config-útwikseling set ferstjoere
#
ipsec profyl ipsecprof
ike-peer ipsec
foarstel ipsec
#
ynterface Tunnel0/0/0
* (10.20.1.2 - 255.255.255.252) IP Adres (Frysk) 🔍 - Tunneladres
tunnel-protokol ipsec
boarne GigabitEthernet0/0/1 - Ynternet tagong ynterface
ipsec profyl ipsecprof
#
Rûten nei de partikuliere netwurken fan 'e kliïnt tagonklik fia de Beeline VPN-konsintrator kinne statysk ynsteld wurdeip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
It resultearjende kommunikaasjediagram sjocht der sa út:
As de kliïnt gjin foarbylden hat fan 'e basiskonfiguraasje, dan helpe wy gewoanlik mei har formaasje en meitsje se beskikber foar elkenien.
Alles wat oerbliuwt is de CPE te ferbinen mei it ynternet, ping nei it antwurddiel fan 'e VPN-tunnel en elke host yn' e VPN, en dat is it, wy kinne oannimme dat de ferbining makke is.
Yn it folgjende artikel sille wy jo fertelle hoe't wy dit skema kombineare mei IPSec en MultiSIM Redundancy mei Huawei CPE: wy ynstallearje ús Huawei CPE foar kliïnten, dy't net allinich in bedrade ynternetkanaal kinne brûke, mar ek 2 ferskillende SIM-kaarten, en de CPE automatysk werbout IPSec- tunnel itsij fia bedrade WAN of fia radio (LTE # 1 / LTE # 2), realisearje hege skuld tolerânsje fan de resultearjende tsjinst.
Spesjale tank oan ús RnD-kollega's foar it tarieden fan dit artikel (en, yn feite, oan de auteurs fan dizze technyske oplossingen)!
Boarne: www.habr.com