Բարեւ Ձեզ! IN Ես մասամբ նկարագրեցի մեր MultiSIM ծառայության աշխատանքը и ալիքներ. Ինչպես նշվեց, մենք հաճախորդներին միացնում ենք ցանցին VPN-ի միջոցով, և այսօր ես ձեզ մի փոքր ավելին կպատմեմ VPN-ի և այս մասում մեր հնարավորությունների մասին։
Արժե սկսել նրանից, որ մենք՝ որպես հեռահաղորդակցության օպերատոր, ունենք մեր սեփական հսկայական MPLS ցանցը, որը ֆիքսված կապի բաժանորդների համար բաժանված է երկու հիմնական հատվածի՝ այն, որն օգտագործվում է անմիջապես ինտերնետ մուտք գործելու համար, և այն օգտագործվում է մեկուսացված ցանցեր ստեղծելու համար, և հենց MPLS հատվածի միջոցով է, որ IPVPN (L3 OSI) և VPLAN (L2 OSI) տրաֆիկը հոսում է մեր կորպորատիվ հաճախորդների համար:
Սովորաբար, հաճախորդի կապը տեղի է ունենում հետևյալ կերպ.
Հաճախորդի գրասենյակ մուտքի գիծ է դրվում ցանցի ներկայության մոտակա կետից (հանգույց MEN, RRL, BSSS, FTTB և այլն), և հետագայում ալիքը գրանցվում է տրանսպորտային ցանցի միջոցով դեպի համապատասխան PE-MPLS: երթուղղիչ, որի վրա մենք այն ուղարկում ենք հատուկ ստեղծված VRF հաճախորդի համար՝ հաշվի առնելով հաճախորդի կարիքների համար տրաֆիկի պրոֆիլը (պրոֆիլի պիտակները ընտրվում են յուրաքանչյուր մուտքի պորտի համար՝ հիմնվելով ip-ի գերակայության արժեքների վրա՝ 0,1,3,5, XNUMX).
Եթե ինչ-ինչ պատճառներով մենք չենք կարողանում լիովին կազմակերպել վերջին մղոնը հաճախորդի համար, օրինակ՝ հաճախորդի գրասենյակը գտնվում է բիզնես կենտրոնում, որտեղ առաջնահերթ է մեկ այլ մատակարար, կամ մենք պարզապես չունենք մեր ներկայության կետը մոտակայքում, ապա նախկինում հաճախորդները. ստիպված էր ստեղծել մի քանի IPVPN ցանցեր տարբեր պրովայդերների մոտ (ոչ ամենաարդյունավետ ճարտարապետությունը) կամ ինքնուրույն լուծել խնդիրները ձեր VRF մուտքի կազմակերպման հետ կապված ինտերնետի միջոցով:
Շատերը դա արեցին՝ տեղադրելով IPVPN ինտերնետ դարպաս. նրանք տեղադրեցին սահմանային երթուղիչ (ապարատային կամ Linux-ի վրա հիմնված որևէ լուծում), մի պորտով միացրին IPVPN ալիքը, իսկ մյուսի հետ՝ ինտերնետային ալիք, գործարկեցին իրենց VPN սերվերը և միացան։ օգտվողները իրենց սեփական VPN դարպասի միջոցով: Բնականաբար, նման սխեման նաև ծանրաբեռնվածություն է առաջացնում. նման ենթակառուցվածքներ պետք է կառուցվեն և, որ ամենաանհարմարն է, շահագործվեն ու զարգանան։
Մեր հաճախորդների կյանքը հեշտացնելու համար մենք տեղադրեցինք կենտրոնացված VPN հանգույց և կազմակերպեցինք աջակցություն ինտերնետի միջոցով կապերի համար՝ օգտագործելով IPSec, այսինքն՝ այժմ հաճախորդները միայն պետք է կարգավորեն իրենց երթուղիչը՝ մեր VPN հանգույցի հետ աշխատելու համար IPSec թունելի միջոցով ցանկացած հանրային ինտերնետի միջոցով: , և մենք թողարկենք այս հաճախորդի տրաֆիկը դեպի իր VRF:
Ում պետք կգա
- Նրանց համար, ովքեր արդեն ունեն մեծ IPVPN ցանց և կարճ ժամանակում նոր կապերի կարիք ունեն։
- Յուրաքանչյուր ոք, ով ինչ-ինչ պատճառներով ցանկանում է տրաֆիկի մի մասը փոխանցել հանրային ինտերնետից IPVPN-ին, սակայն նախկինում հանդիպել է տեխնիկական սահմանափակումների՝ կապված մի քանի ծառայություններ մատուցողների հետ:
- Նրանց համար, ովքեր ներկայումս ունեն մի քանի տարբեր VPN ցանցեր տարբեր հեռահաղորդակցության օպերատորներից: Կան հաճախորդներ, ովքեր հաջողությամբ կազմակերպել են IPVPN Beeline-ից, Megafon-ից, Rostelecom-ից և այլն: Դա հեշտացնելու համար դուք կարող եք մնալ միայն մեր մեկ VPN-ում, միացնել այլ օպերատորների բոլոր մյուս ալիքները դեպի ինտերնետ, այնուհետև միանալ Beeline IPVPN-ին IPSec-ի և ինտերնետի միջոցով այս օպերատորներից:
- Նրանց համար, ովքեր արդեն ունեն IPVPN ցանց, որը ծածկված է ինտերնետում:
Եթե դուք ամեն ինչ տեղադրեք մեզ հետ, ապա հաճախորդները կստանան VPN-ի լիարժեք աջակցություն, լուրջ ենթակառուցվածքի ավելորդություն և ստանդարտ կարգավորումներ, որոնք կաշխատեն ցանկացած երթուղիչի վրա, որին նրանք սովոր են (լինի Cisco, նույնիսկ Mikrotik, գլխավորն այն է, որ այն կարող է պատշաճ կերպով աջակցել: IPSec/IKEv2 ստանդարտացված վավերացման մեթոդներով): Ի դեպ, IPSec-ի մասին. այս պահին մենք միայն աջակցում ենք դրան, բայց նախատեսում ենք գործարկել ինչպես OpenVPN-ի, այնպես էլ Wireguard-ի լիարժեք գործարկումը, որպեսզի հաճախորդները չկարողանան կախված լինել արձանագրությունից, և նույնիսկ ավելի հեշտ լինի ամեն ինչ վերցնել և փոխանցել մեզ, և մենք նաև ցանկանում ենք սկսել հաճախորդներին միացնել համակարգչից և շարժական սարքերից (ՕՀ-ում ներկառուցված լուծումներ, Cisco AnyConnect և strongSwan և այլն): Այս մոտեցմամբ ենթակառուցվածքի դե ֆակտո կառուցումը կարող է ապահով կերպով փոխանցվել օպերատորին՝ թողնելով միայն CPE-ի կամ հյուրընկալողի կոնֆիգուրացիան:
Ինչպես է միացման գործընթացը աշխատում IPSec ռեժիմի համար.
- Հաճախորդը հարցում է թողնում իր մենեջերին, որտեղ նա նշում է թունելի համար անհրաժեշտ կապի արագությունը, երթևեկության պրոֆիլը և IP հասցեավորման պարամետրերը (լռելյայն՝ ենթացանց /30 դիմակով) և երթուղման տեսակը (ստատիկ կամ BGP): Միացված գրասենյակում հաճախորդի տեղական ցանցեր երթուղիները փոխանցելու համար օգտագործվում են IPSec արձանագրության փուլի IKEv2 մեխանիզմները՝ օգտագործելով հաճախորդի երթուղիչի համապատասխան կարգավորումները, կամ դրանք գովազդվում են BGP-ի միջոցով MPLS-ում հաճախորդի հավելվածում նշված մասնավոր BGP AS-ից: . Այսպիսով, հաճախորդի ցանցերի երթուղիների մասին տեղեկատվությունը ամբողջությամբ վերահսկվում է հաճախորդի կողմից հաճախորդի երթուղիչի կարգավորումների միջոցով:
- Ի պատասխան իր մենեջերի՝ հաճախորդը ստանում է հաշվապահական տվյալներ՝ իր VRF ձևի մեջ ներառելու համար.
- VPN-HUB IP հասցե
- Մուտք
- Նույնականացման գաղտնաբառ
- Կարգավորում է CPE-ն, ստորև, օրինակ, կազմաձևման երկու հիմնական տարբերակ.
Տարբերակ Cisco-ի համար.
կրիպտո ikev2 ստեղնաշար BeelineIPsec_keyring
գործընկեր Beeline_VPNHub
հասցեն `62.141.99.183 – VPN հանգույց Beeline
նախնական համօգտագործվող ստեղնը <Վավերացման գաղտնաբառ>
!
Ստատիկ երթուղման տարբերակի համար երթուղիները դեպի ցանցեր, որոնք հասանելի են Vpn-հաբի միջոցով, կարող են նշվել IKEv2-ի կազմաձևում, և դրանք ավտոմատ կերպով կհայտնվեն որպես ստատիկ երթուղիներ ԵԽ երթուղիների աղյուսակում: Այս կարգավորումները կարող են կատարվել նաև ստատիկ երթուղիների տեղադրման ստանդարտ մեթոդի միջոցով (տես ստորև):crypto ikev2 թույլտվության քաղաքականություն FlexClient-author
Երթուղի դեպի ցանցեր CE երթուղիչի հետևում. CE-ի և PE-ի միջև ստատիկ երթուղման պարտադիր կարգավորում: Երթուղու տվյալների փոխանցումը PE-ին իրականացվում է ավտոմատ կերպով, երբ թունելը բարձրացվում է IKEv2 փոխազդեցության միջոցով:
երթուղու հավաքածու հեռավոր ipv4 10.1.1.0 255.255.255.0 - Գրասենյակային տեղական ցանց
!
ծպտյալ ikev2 պրոֆիլը BeelineIPSec_profile
ինքնությունը տեղական <մուտք>
նույնականացում տեղական նախնական համօգտագործում
նույնականացման հեռակառավարման նախնական համօգտագործում
ստեղնաշար տեղական BeelineIPsec_keyring
aaa թույլտվության խումբ psk list group-author-list FlexClient-author
!
ծպտյալ ikev2 հաճախորդ flexvpn BeelineIPsec_flex
հասակակից 1 Beeline_VPNHub
հաճախորդը միացնել Tunnel1
!
crypto ipsec փոխակերպման հավաքածու TRANSFORM1 esp-aes 256 esp-sha256-hmac
ռեժիմի թունել
!
crypto ipsec պրոֆիլի լռելյայն
set transform-set TRANSFORM1
սահմանել ikev2-profile BeelineIPSec_profile
!
ինտերֆեյսի թունել 1
IP հասցե 10.20.1.2 255.255.255.252 - Թունելի հասցեն
թունելի աղբյուր GigabitEthernet0/2 - Ինտերնետ հասանելիության ինտերֆեյս
թունելի ռեժիմ ipsec ipv4
թունելի նպատակակետ դինամիկ
թունելի պաշտպանություն ipsec պրոֆիլի լռելյայն
!
Beeline VPN կոնցենտրատորի միջոցով հասանելի երթուղիները դեպի հաճախորդի մասնավոր ցանցեր կարելի է ստատիկ կերպով սահմանել:ip երթուղի 172.16.0.0 255.255.0.0 Թունել 1
ip երթուղի 192.168.0.0 255.255.255.0 Թունել 1Ընտրանք Huawei-ի համար (ar160/120):
ike local-name <login>
#
acl անունը ipsec 3999
կանոն 1 թույլտվություն ip աղբյուր 10.1.1.0 0.0.0.255 - Գրասենյակային տեղական ցանց
#
aaa
սպասարկման սխեմա IPSEC
երթուղու հավաքածու acl 3999
#
ipsec առաջարկը ipsec
esp վավերացում-ալգորիթմ sha2-256
esp գաղտնագրման ալգորիթմ aes-256
#
ike առաջարկի լռելյայն
կոդավորում-ալգորիթմ aes-256
dh խումբ 2
Նույնականացում-ալգորիթմ sha2-256
վավերացման մեթոդի նախնական համօգտագործում
ամբողջականություն-ալգորիթմ hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
նախնական համօգտագործվող բանալին պարզ <Ավտենտիկայի գաղտնաբառ>
local-id-type fqdn
remote-id-type ip
հեռավար-հասցե 62.141.99.183 – VPN հանգույց Beeline
սպասարկման սխեմա IPSEC
config-փոխանակման հարցում
config-exchange set ընդունել
config-exchange set send
#
ipsec պրոֆիլը ipsecprof
ike-peer ipsec
առաջարկ ipsec
#
ինտերֆեյս Թունել0/0/0
IP հասցե 10.20.1.2 255.255.255.252 - Թունելի հասցեն
թունել-արձանագրություն ipsec
աղբյուր GigabitEthernet0/0/1 - Ինտերնետ հասանելիության ինտերֆեյս
ipsec պրոֆիլը ipsecprof
#
Երթուղիները դեպի հաճախորդի մասնավոր ցանցեր, որոնք հասանելի են Beeline VPN համակենտրոնացման միջոցով, կարող են կարգավորվել ստատիկ կերպովip route-static 192.168.0.0 255.255.255.0 Թունել0/0/0
ip route-static 172.16.0.0 255.255.0.0 Թունել0/0/0
Արդյունքում ստացված հաղորդակցության դիագրամը նման է հետևյալին.
Եթե հաճախորդը չունի հիմնական կոնֆիգուրացիայի որոշ օրինակներ, ապա մենք սովորաբար օգնում ենք դրանց ձևավորմանը և հասանելի դարձնում բոլորին:
Մնում է միայն CPE-ն միացնել ինտերնետին, ping անել VPN թունելի պատասխան մասին և VPN-ի ներսում գտնվող ցանկացած հոսթին, և վերջ, կարելի է ենթադրել, որ կապը կատարվել է:
Հաջորդ հոդվածում մենք ձեզ կպատմենք, թե ինչպես ենք համատեղել այս սխեման IPSec-ի և MultiSIM Redundancy-ի հետ՝ օգտագործելով Huawei CPE. մենք տեղադրում ենք մեր Huawei CPE-ն հաճախորդների համար, որոնք կարող են օգտագործել ոչ միայն լարային ինտերնետ ալիք, այլ նաև 2 տարբեր SIM քարտեր և CPE: ավտոմատ կերպով վերակառուցում է IPS-թունելը կա՛մ լարային WAN-ի, կա՛մ ռադիոյի միջոցով (LTE#1/LTE#2)՝ գիտակցելով արդյունքում ստացված ծառայության անսարքության բարձր հանդուրժողականությունը:
Հատուկ շնորհակալություն մեր RnD գործընկերներին այս հոդվածը պատրաստելու համար (և, ըստ էության, այս տեխնիկական լուծումների հեղինակներին):
Source: www.habr.com