Halló! IN
Það er þess virði að byrja á því að við, sem fjarskiptafyrirtæki, erum með okkar eigin risastóra MPLS net, sem fyrir fastlínuviðskiptavini er skipt í tvo meginhluta - þann sem er notaður beint til að komast á internetið og þann sem er notað til að búa til einangruð net - og það er í gegnum þennan MPLS hluta sem IPVPN (L3 OSI) og VPLAN (L2 OSI) umferð flæðir fyrir fyrirtækjaviðskiptavini okkar.
Venjulega fer tenging við viðskiptavini fram sem hér segir.
Aðgangslína er lögð að skrifstofu viðskiptavinar frá næsta viðverustað netsins (hnút MEN, RRL, BSSS, FTTB, osfrv.) og ennfremur er rásin skráð í gegnum flutningsnetið á samsvarandi PE-MPLS beini, sem við sendum hana út á sérstaklega búið til fyrir VRF viðskiptavininn, að teknu tilliti til umferðarsniðsins sem viðskiptavinurinn þarfnast (prófílmerki eru valin fyrir hverja aðgangsport, byggt á ip forgangsgildum 0,1,3,5, XNUMX).
Ef við af einhverjum ástæðum getum ekki skipulagt að fullu síðustu míluna fyrir viðskiptavininn, til dæmis, skrifstofa viðskiptavinarins er staðsett í viðskiptamiðstöð, þar sem annar veitandi er í forgangi, eða við höfum einfaldlega ekki viðveru okkar nálægt, þá eru áður viðskiptavinir þurfti að búa til nokkur IPVPN net hjá mismunandi veitendum (ekki hagkvæmasta arkitektúrinn) eða leysa sjálfstætt vandamál með að skipuleggja aðgang að VRF þínum í gegnum internetið.
Margir gerðu þetta með því að setja upp IPVPN netgátt - þeir settu upp landamærabeini (vélbúnað eða einhverja Linux-byggða lausn), tengdu IPVPN rás við hana með annarri tenginu og internetrás við hina, ræstu VPN netþjóninn sinn á hana og tengdu hana. notendur í gegnum eigin VPN gátt. Slíkt skipulag skapar náttúrulega líka byrðar: slíka innviði verður að byggja og, sem er óþægilegast, reka og þróa.
Til að auðvelda viðskiptavinum okkar lífið settum við upp miðlæga VPN miðstöð og skipulagðan stuðning fyrir tengingar yfir internetið með IPSec, það er að segja að nú þurfa viðskiptavinir aðeins að stilla beininn sinn til að vinna með VPN miðstöðinni okkar í gegnum IPSec göng yfir hvaða opinberu internet sem er. , og við skulum gefa út umferð þessa viðskiptavinar á VRF hans.
Hver mun þurfa
- Fyrir þá sem eru nú þegar með stórt IPVPN net og þurfa nýjar tengingar á stuttum tíma.
- Allir sem vilja af einhverjum ástæðum flytja hluta umferðarinnar af almannanetinu yfir á IPVPN, en hafa áður lent í tæknilegum takmörkunum sem tengjast nokkrum þjónustuaðilum.
- Fyrir þá sem nú eru með nokkur ólík VPN net yfir mismunandi fjarskiptafyrirtæki. Það eru viðskiptavinir sem hafa skipulagt IPVPN með góðum árangri frá Beeline, Megafon, Rostelecom o.s.frv. Til að gera það auðveldara geturðu aðeins verið á einu VPN-netinu okkar, skipt um allar aðrar rásir annarra rekstraraðila yfir á internetið og síðan tengst Beeline IPVPN í gegnum IPSec og internetið frá þessum símafyrirtækjum.
- Fyrir þá sem þegar eru með IPVPN net sem er lagt yfir á internetið.
Ef þú setur allt í notkun hjá okkur, þá fá viðskiptavinir fullkominn VPN stuðning, alvarlega innviðaofframboð og staðlaðar stillingar sem munu virka á hvaða leið sem þeir eru vanir (hvort sem það er Cisco, jafnvel Mikrotik, aðalatriðið er að það geti stutt almennilega IPSec/IKEv2 með stöðluðum auðkenningaraðferðum). Við the vegur, um IPSec - eins og er styðjum við það aðeins, en við ætlum að hefja fullgildan rekstur bæði OpenVPN og Wireguard, svo að viðskiptavinir geti ekki treyst á samskiptareglur og það er enn auðveldara að taka og flytja allt til okkar, og við viljum líka byrja að tengja viðskiptavini úr tölvum og fartækjum (lausnir innbyggðar í stýrikerfið, Cisco AnyConnect og strongSwan og þess háttar). Með þessari nálgun er hægt að afhenda rekstraraðilanum á öruggan hátt byggingu innviða í raun og veru, þannig að aðeins er eftir uppsetningu CPE eða hýsilsins.
Hvernig virkar tengingarferlið fyrir IPSec ham:
- Viðskiptavinurinn skilur eftir beiðni til yfirmanns síns þar sem hann gefur til kynna nauðsynlegan tengihraða, umferðarsnið og IP-vistunarfæribreytur fyrir göngin (sjálfgefið, undirnet með /30 grímu) og tegund leiðar (static eða BGP). Til að flytja leiðir yfir á staðarnet viðskiptavinarins á tengdri skrifstofu eru IKEv2 kerfin í IPSec samskiptafasa notaðar með því að nota viðeigandi stillingar á biðlarabeini, eða þær eru auglýstar í gegnum BGP í MPLS frá einka BGP eins og tilgreint er í umsókn viðskiptavinarins. . Þannig eru upplýsingar um leiðir viðskiptavinaneta algjörlega stjórnað af viðskiptavininum í gegnum stillingar biðlarabeins.
- Sem svar frá yfirmanni sínum fær viðskiptavinurinn bókhaldsgögn til að setja í VRF hans á eyðublaðinu:
- VPN-HUB IP tölu
- Innskráning
- Auðkenningarlykilorð
- Stillir CPE, fyrir neðan, til dæmis tvo grunnstillingarvalkosti:
Valkostur fyrir Cisco:
crypto ikev2 lyklakippa BeelineIPsec_lyklahringur
jafningi Beeline_VPNHub
heimilisfang 62.141.99.183 –VPN miðstöð Beeline
pre-shared-lykill <Authentication password>
!
Fyrir kyrrstöðu leiðarvalkostinn er hægt að tilgreina leiðir til netkerfa sem eru aðgengilegar í gegnum Vpn-miðstöðina í IKEv2 stillingunum og þær birtast sjálfkrafa sem kyrrstæðar leiðir í CE leiðartöflunni. Þessar stillingar er einnig hægt að gera með því að nota staðlaða aðferðina við að stilla fastar leiðir (sjá hér að neðan).crypto ikev2 heimildarstefna FlexClient-höfundur
Leið til netkerfa á bak við CE beininn – skyldubundin stilling fyrir kyrrstæða leið milli CE og PE. Flutningur leiðargagna til PE fer sjálfkrafa fram þegar göngin eru hækkuð með IKEv2 samskiptum.
leiðarsett fjarstýrð ipv4 10.1.1.0 255.255.255.0 -Staðbundið net skrifstofu
!
crypto ikev2 prófíl BeelineIPSec_profile
auðkenni staðbundið <innskráning>
auðkenning staðbundinna fordeilingar
auðkenning fjarstýrð fordeilingu
staðbundinn lyklakippa BeelineIPsec_lyklahringur
aaa heimildarhópur psk listi hóphöfundarlisti FlexClient-höfundur
!
crypto ikev2 viðskiptavinur flexvpn BeelineIPsec_flex
jafningi 1 Beeline_VPNHub
viðskiptavinur tengi Tunnel1
!
crypto ipsec umbreytingarsett TRANSFORM1 esp-aes 256 esp-sha256-hmac
ham göng
!
crypto ipsec prófíl sjálfgefið
setja umbreyta-setja TRANSFORM1
setja ikev2-prófíl BeelineIPSec_profile
!
viðmót Tunnel1
ip heimilisfang 10.20.1.2 255.255.255.252 – Heimilisfang jarðganga
göng uppspretta GigabitEthernet0/2 -Internetaðgangsviðmót
göng ham ipsec ipv4
göng áfangastaða dynamic
göng vernd ipsec snið sjálfgefið
!
Hægt er að stilla leiðir til einkaneta viðskiptavinarins sem eru aðgengilegar í gegnum Beeline VPN einbeitingu.ip leið 172.16.0.0 255.255.0.0 Göng1
ip leið 192.168.0.0 255.255.255.0 Göng1Valkostur fyrir Huawei (ar160/120):
eins og staðbundið nafn <innskráning>
#
acl nafn ipsec 3999
regla 1 leyfir ip heimild 10.1.1.0 0.0.0.255 -Staðbundið net skrifstofu
#
AAA
þjónustukerfi IPSEC
leiðarsett acl 3999
#
ipsec tillaga ipsec
esp auðkenningarreiknirit sha2-256
esp dulkóðunaralgrím aes-256
#
Ike tillögu sjálfgefið
dulkóðunaralgrím aes-256
dh hópur 2
auðkenningarreiknirit sha2-256
auðkenningaraðferð fyrirfram deilingu
heiðarleika-reiknirit hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
fordeilt lykill einfalt <Authentication password>
staðbundin auðkennisgerð fqdn
fjarstýrð auðkennisgerð ip
fjarvistfang 62.141.99.183 –VPN miðstöð Beeline
þjónustukerfi IPSEC
config-exchange beiðni
config-exchange sett samþykkja
config-exchange sett senda
#
ipsec prófíl ipsecprof
ike-peer ipsec
tillaga ipsec
#
tengi Tunnel0/0/0
ip heimilisfang 10.20.1.2 255.255.255.252 – Heimilisfang jarðganga
göng-samskiptareglur ipsec
uppspretta GigabitEthernet0/0/1 -Internetaðgangsviðmót
ipsec prófíl ipsecprof
#
Hægt er að stilla leiðir til einkaneta viðskiptavinarins sem eru aðgengilegar í gegnum Beeline VPN einbeitinguip leið-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip leið-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Samskiptamyndin sem myndast lítur eitthvað svona út:
Ef viðskiptavinurinn hefur ekki nokkur dæmi um grunnstillingarnar, þá aðstoðum við venjulega við myndun þeirra og gerum þau aðgengileg öllum öðrum.
Það eina sem er eftir er að tengja CPE við internetið, smella á svarhluta VPN ganganna og hvaða hýsil sem er inni í VPN, og það er það, við getum gert ráð fyrir að tengingin hafi verið gerð.
Í næstu grein munum við segja þér hvernig við sameinuðum þetta kerfi við IPSec og MultiSIM offramboð með því að nota Huawei CPE: við setjum upp Huawei CPE okkar fyrir viðskiptavini, sem geta notað ekki aðeins hlerunarbúnað, heldur einnig 2 mismunandi SIM-kort, og CPE endurbyggir sjálfkrafa IPSec-göng annaðhvort í gegnum þráðbundið WAN eða í gegnum útvarp (LTE#1/LTE#2), og gerir sér grein fyrir miklu bilunarþoli þjónustunnar sem af því leiðir.
Sérstakar þakkir til RnD samstarfsmanna okkar fyrir að undirbúa þessa grein (og í raun höfundum þessara tæknilausna)!
Heimild: www.habr.com