Halo! DI DALAM
Ada baiknya dimulai dengan fakta bahwa kami, sebagai operator telekomunikasi, memiliki jaringan MPLS kami sendiri yang besar, yang untuk pelanggan telepon tetap dibagi menjadi dua segmen utama - segmen yang digunakan langsung untuk mengakses Internet, dan segmen yang digunakan langsung untuk mengakses Internet, dan segmen yang digunakan secara langsung untuk mengakses Internet. digunakan untuk membuat jaringan terisolasi β dan melalui segmen MPLS inilah lalu lintas IPVPN (L3 OSI) dan VPLAN (L2 OSI) mengalir untuk klien korporat kami.
Biasanya, koneksi klien terjadi sebagai berikut.
Jalur akses dipasang ke kantor klien dari Titik Kehadiran jaringan terdekat (node ββMEN, RRL, BSSS, FTTB, dll.) dan selanjutnya saluran didaftarkan melalui jaringan transportasi ke PE-MPLS yang sesuai router, di mana kami mengeluarkannya ke klien VRF yang dibuat khusus, dengan mempertimbangkan profil lalu lintas yang dibutuhkan klien (label profil dipilih untuk setiap port akses, berdasarkan nilai prioritas ip 0,1,3,5, XNUMX).
Jika karena alasan tertentu kami tidak dapat sepenuhnya mengatur last mile untuk klien, misalnya, kantor klien berlokasi di pusat bisnis, di mana penyedia lain menjadi prioritas, atau kami tidak memiliki titik kehadiran terdekat, maka sebelumnya klien harus membuat beberapa jaringan IPVPN di penyedia yang berbeda (bukan arsitektur yang paling hemat biaya) atau secara mandiri menyelesaikan masalah dengan mengatur akses ke VRF Anda melalui Internet.
Banyak yang melakukan ini dengan memasang gateway Internet IPVPN - mereka memasang router perbatasan (perangkat keras atau solusi berbasis Linux), menghubungkan saluran IPVPN ke sana dengan satu port dan saluran Internet dengan port lainnya, meluncurkan server VPN mereka di sana dan terhubung pengguna melalui gateway VPN mereka sendiri. Tentu saja, skema seperti ini juga menimbulkan beban: infrastruktur seperti itu harus dibangun dan, yang paling merepotkan, harus dioperasikan dan dikembangkan.
Untuk membuat hidup lebih mudah bagi klien kami, kami memasang hub VPN terpusat dan mengatur dukungan untuk koneksi melalui Internet menggunakan IPSec, yaitu, sekarang klien hanya perlu mengkonfigurasi router mereka untuk bekerja dengan hub VPN kami melalui terowongan IPSec melalui Internet publik mana pun , dan mari kita lepaskan lalu lintas klien ini ke VRF-nya.
Siapa yang akan membutuhkan
- Bagi yang sudah memiliki jaringan IPVPN besar dan membutuhkan koneksi baru dalam waktu singkat.
- Siapa pun yang, karena alasan tertentu, ingin mentransfer sebagian lalu lintas dari Internet publik ke IPVPN, namun sebelumnya mengalami keterbatasan teknis terkait dengan beberapa penyedia layanan.
- Bagi mereka yang saat ini memiliki beberapa jaringan VPN berbeda di berbagai operator telekomunikasi. Ada klien yang berhasil mengatur IPVPN dari Beeline, Megafon, Rostelecom, dll. Untuk membuatnya lebih mudah, Anda hanya dapat menggunakan VPN tunggal kami, mengalihkan semua saluran lain dari operator lain ke Internet, lalu menyambung ke Beeline IPVPN melalui IPSec dan Internet dari operator ini.
- Bagi yang sudah memiliki jaringan IPVPN yang di-overlay di Internet.
Jika Anda menyebarkan semuanya bersama kami, maka klien menerima dukungan VPN lengkap, redundansi infrastruktur yang serius, dan pengaturan standar yang akan berfungsi pada router apa pun yang biasa mereka gunakan (baik itu Cisco, bahkan Mikrotik, yang utama adalah dapat mendukung dengan baik IPSec/IKEv2 dengan metode otentikasi standar). Ngomong-ngomong, tentang IPSec - saat ini kami hanya mendukungnya, tetapi kami berencana meluncurkan operasi penuh OpenVPN dan Wireguard, sehingga klien tidak dapat bergantung pada protokol dan lebih mudah lagi untuk mengambil dan mentransfer semuanya kepada kami, dan kami juga ingin mulai menghubungkan klien dari komputer dan perangkat seluler (solusi yang dibangun ke dalam OS, Cisco AnyConnect dan strongSwan dan sejenisnya). Dengan pendekatan ini, pembangunan infrastruktur secara de facto dapat diserahkan dengan aman kepada operator, hanya menyisakan konfigurasi CPE atau host.
Bagaimana cara kerja proses koneksi untuk mode IPSec:
- Klien meninggalkan permintaan kepada manajernya di mana ia menunjukkan kecepatan koneksi yang diperlukan, profil lalu lintas dan parameter pengalamatan IP untuk terowongan (secara default, subnet dengan mask /30) dan jenis perutean (statis atau BGP). Untuk mentransfer rute ke jaringan lokal klien di kantor yang terhubung, mekanisme IKEv2 dari fase protokol IPSec digunakan menggunakan pengaturan yang sesuai pada router klien, atau diiklankan melalui BGP di MPLS dari BGP AS pribadi yang ditentukan dalam aplikasi klien . Dengan demikian, informasi tentang rute jaringan klien sepenuhnya dikontrol oleh klien melalui pengaturan router klien.
- Sebagai tanggapan dari manajernya, klien menerima data akuntansi untuk dimasukkan dalam VRF-nya dalam bentuk:
- Alamat IP VPN-HUB
- Login
- Kata sandi otentikasi
- Mengonfigurasi CPE, di bawah, misalnya, dua opsi konfigurasi dasar:
Opsi untuk Cisco:
gantungan kunci kripto ikev2 BeelineIPsec_keyring
rekan Beeline_VPNHub
alamat 62.141.99.183 βHub VPN Langsung menuju
kunci yang dibagikan sebelumnya <Kata sandi otentikasi>
!
Untuk opsi perutean statis, rute ke jaringan yang dapat diakses melalui hub Vpn dapat ditentukan dalam konfigurasi IKEv2 dan secara otomatis akan muncul sebagai rute statis dalam tabel perutean CE. Pengaturan ini juga dapat dilakukan dengan menggunakan metode standar pengaturan rute statis (lihat di bawah).kebijakan otorisasi crypto ikev2 Penulis FlexClient
Rute ke jaringan di belakang router CE β pengaturan wajib untuk perutean statis antara CE dan PE. Transfer data rute ke PE dilakukan secara otomatis saat terowongan dinaikkan melalui interaksi IKEv2.
set rute jarak jauh ipv4 10.1.1.0 255.255.255.0 βJaringan lokal kantor
!
profil kripto ikev2 BeelineIPSec_profile
identitas lokal <login>
otentikasi pra-berbagi lokal
otentikasi pra-berbagi jarak jauh
gantungan kunci BeelineIPsec_keyring lokal
aaa grup otorisasi daftar psk grup-penulis-daftar FlexClient-penulis
!
klien kripto ikev2 flexvpn BeelineIPsec_flex
rekan 1 Beeline_VPNHub
klien menghubungkan Tunnel1
!
kripto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
terowongan modus
!
profil profil kripto IPSec default
atur transformasi-atur TRANSFORM1
atur profil ikev2 BeelineIPSec_profile
!
antarmuka Tunnel1
alamat ip 10.20.1.2 255.255.255.252 βAlamat terowongan
sumber terowongan GigabitEthernet0/2 βAntarmuka akses internet
mode terowongan ipsec ipv4
tujuan terowongan dinamis
perlindungan terowongan profil IPSec default
!
Rute ke jaringan pribadi klien yang dapat diakses melalui konsentrator Beeline VPN dapat diatur secara statis.rute ip 172.16.0.0 255.255.0.0 Tunnel1
rute ip 192.168.0.0 255.255.255.0 Tunnel1Opsi untuk Huawei (ar160/120):
seperti nama lokal <login>
#
nama acl ipsec 3999
aturan 1 mengizinkan sumber ip 10.1.1.0 0.0.0.255 βJaringan lokal kantor
#
aaa
skema layanan IPSEC
rute ditetapkan acl 3999
#
usulan ipsec ipsec
esp algoritma otentikasi sha2-256
esp algoritma enkripsi aes-256
#
seperti proposal default
algoritma enkripsi aes-256
dh grup2
algoritma otentikasi sha2-256
pra-pembagian metode autentikasi
algoritma integritas hmac-sha2-256
prf hmac-sha2-256
#
seperti rekan IPSec
kunci pra-berbagi sederhana <Kata sandi otentikasi>
fqdn tipe id lokal
ip tipe id jarak jauh
alamat jarak jauh 62.141.99.183 βHub VPN Langsung menuju
skema layanan IPSEC
permintaan pertukaran konfigurasi
set pertukaran konfigurasi diterima
config-pertukaran mengatur pengiriman
#
profil ipsec ipsecprof
ike-rekan IPSec
usulan IPSec
#
antarmuka Tunnel0/0/0
alamat ip 10.20.1.2 255.255.255.252 βAlamat terowongan
protokol terowongan ipsec
sumber GigabitEthernet0/0/1 βAntarmuka akses internet
profil ipsec ipsecprof
#
Rute ke jaringan pribadi klien yang dapat diakses melalui konsentrator Beeline VPN dapat diatur secara statisip rute-statis 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip rute-statis 172.16.0.0 255.255.0.0 Tunnel0/0/0
Diagram komunikasi yang dihasilkan terlihat seperti ini:
Jika klien tidak memiliki beberapa contoh konfigurasi dasar, maka kami biasanya membantu pembentukannya dan menyediakannya untuk semua orang.
Yang tersisa hanyalah menghubungkan CPE ke Internet, melakukan ping ke bagian respons terowongan VPN dan host mana pun di dalam VPN, dan hanya itu, kita dapat berasumsi bahwa koneksi telah dibuat.
Pada artikel berikutnya kami akan memberi tahu Anda bagaimana kami menggabungkan skema ini dengan Redundansi IPSec dan MultiSIM menggunakan Huawei CPE: kami menginstal Huawei CPE untuk klien, yang tidak hanya dapat menggunakan saluran Internet kabel, tetapi juga 2 kartu SIM berbeda, dan CPE secara otomatis membangun kembali terowongan IPSec baik melalui WAN berkabel atau melalui radio (LTE#1/LTE#2), mewujudkan toleransi kesalahan yang tinggi pada layanan yang dihasilkan.
Terima kasih khusus kepada rekan-rekan RnD kami yang telah menyiapkan artikel ini (dan, pada kenyataannya, kepada penulis solusi teknis ini)!
Sumber: www.habr.com