Ciao! IN
Vale la pena iniziare dal fatto che noi, come operatore di telecomunicazioni, disponiamo della nostra enorme rete MPLS, che per i clienti di rete fissa è divisa in due segmenti principali: quello utilizzato direttamente per accedere a Internet e quello che è utilizzato per creare reti isolate ed è attraverso questo segmento MPLS che scorre il traffico IPVPN (L3 OSI) e VPLAN (L2 OSI) per i nostri clienti aziendali.
In genere, una connessione client avviene come segue.
Viene posata una linea di accesso all'ufficio del cliente dal punto di presenza più vicino della rete (nodo MEN, RRL, BSSS, FTTB, ecc.) e inoltre il canale viene registrato attraverso la rete di trasporto al corrispondente PE-MPLS router, sul quale lo inviamo su un client creato appositamente per il client VRF, tenendo conto del profilo di traffico di cui il client ha bisogno (le etichette del profilo vengono selezionate per ciascuna porta di accesso, in base ai valori di precedenza ip 0,1,3,5, XNUMX).
Se per qualche motivo non possiamo organizzare completamente l'ultimo miglio per il cliente, ad esempio, l'ufficio del cliente si trova in un centro commerciale, dove un altro fornitore è una priorità, o semplicemente non abbiamo il nostro punto di presenza nelle vicinanze, allora i clienti in precedenza ho dovuto creare diverse reti IPVPN presso diversi provider (non l'architettura più conveniente) o risolvere in modo indipendente i problemi con l'organizzazione dell'accesso al tuo VRF su Internet.
Molti lo hanno fatto installando un gateway Internet IPVPN: hanno installato un router di confine (hardware o qualche soluzione basata su Linux), hanno collegato ad esso un canale IPVPN con una porta e un canale Internet con l'altra, hanno lanciato il loro server VPN su di esso e si sono connessi utenti tramite il proprio gateway VPN. Naturalmente, un simile schema crea anche degli oneri: tali infrastrutture devono essere costruite e, cosa ancora più scomoda, gestite e sviluppate.
Per semplificare la vita ai nostri clienti, abbiamo installato un hub VPN centralizzato e organizzato il supporto per le connessioni Internet utilizzando IPSec, ovvero ora i clienti devono solo configurare il proprio router per funzionare con il nostro hub VPN tramite un tunnel IPSec su qualsiasi Internet pubblica e rilasciamo il traffico di questo client nel suo VRF.
Chi avrà bisogno
- Per chi possiede già una grande rete IPVPN e necessita di nuove connessioni in breve tempo.
- Chiunque, per qualche motivo, desidera trasferire parte del traffico dall'Internet pubblica all'IPVPN, ma in precedenza ha riscontrato limitazioni tecniche legate a diversi fornitori di servizi.
- Per coloro che attualmente dispongono di diverse reti VPN tra diversi operatori di telecomunicazioni. Ci sono clienti che hanno organizzato con successo IPVPN da Beeline, Megafon, Rostelecom, ecc. Per semplificare, puoi rimanere solo sulla nostra singola VPN, cambiare tutti gli altri canali di altri operatori su Internet e quindi connetterti a Beeline IPVPN tramite IPSec e Internet da questi operatori.
- Per coloro che hanno già una rete IPVPN sovrapposta su Internet.
Se distribuisci tutto con noi, i clienti riceveranno un supporto VPN completo, una seria ridondanza dell'infrastruttura e impostazioni standard che funzioneranno su qualsiasi router a cui sono abituati (che sia Cisco, anche Mikrotik, l'importante è che possa supportare adeguatamente IPSec/IKEv2 con metodi di autenticazione standardizzati). A proposito, per quanto riguarda IPSec, al momento lo supportiamo solo, ma prevediamo di avviare il funzionamento completo sia di OpenVPN che di Wireguard, in modo che i clienti non possano dipendere dal protocollo ed è ancora più facile prendere e trasferire tutto a noi, e vogliamo anche iniziare a connettere client da computer e dispositivi mobili (soluzioni integrate nel sistema operativo, Cisco AnyConnect e strongSwan e simili). Con questo approccio la realizzazione di fatto dell'infrastruttura può essere tranquillamente affidata all'operatore, lasciando solo la configurazione del CPE o dell'host.
Come funziona il processo di connessione per la modalità IPSec:
- Il cliente lascia una richiesta al suo manager in cui indica la velocità di connessione richiesta, il profilo di traffico e i parametri di indirizzamento IP per il tunnel (per impostazione predefinita, una sottorete con maschera /30) e il tipo di routing (statico o BGP). Per trasferire i percorsi alle reti locali del cliente nell'ufficio connesso, vengono utilizzati i meccanismi IKEv2 della fase del protocollo IPSec utilizzando le impostazioni appropriate sul router del cliente, oppure vengono annunciati tramite BGP in MPLS dall'AS BGP privato specificato nell'applicazione del cliente . Pertanto, le informazioni sui percorsi delle reti client sono completamente controllate dal client tramite le impostazioni del router client.
- In risposta al suo responsabile, il cliente riceve i dati contabili da inserire nel suo VRF del modulo:
- Indirizzo IP dell'HUB VPN
- accesso
- Password di autenticazione
- Configura CPE, di seguito, ad esempio, due opzioni di configurazione di base:
Opzione per Cisco:
portachiavi cripto ikev2 BeelineIPsec_keyring
peer Beeline_VPNHub
indirizzo 62.141.99.183 –Hub VPN Beeline
chiave precondivisa <password di autenticazione>
!
Per l'opzione di routing statico, i percorsi verso le reti accessibili tramite l'hub VPN possono essere specificati nella configurazione IKEv2 e appariranno automaticamente come percorsi statici nella tabella di routing CE. Queste impostazioni possono essere effettuate anche utilizzando il metodo standard di impostazione dei percorsi statici (vedere di seguito).policy di autorizzazione crypto ikev2 FlexClient-author
Instradamento alle reti dietro il router CE: un'impostazione obbligatoria per l'instradamento statico tra CE e PE. Il trasferimento dei dati del percorso al PE viene effettuato automaticamente quando il tunnel viene aperto tramite l'interazione IKEv2.
percorso impostato IPv4 remoto 10.1.1.0 255.255.255.0 –Rete locale dell'ufficio
!
profilo ikev2 crittografico BeelineIPSec_profile
identità locale <login>
autenticazione pre-condivisione locale
autenticazione pre-condivisione remota
portachiavi locale BeelineIPsec_keyring
aaa gruppo di autorizzazione elenco psk gruppo-elenco-autori FlexClient-autore
!
client crittografico ikev2 flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
il client connette Tunnel1
!
set di trasformazione crypto ipsec TRANSFORM1 esp-aes 256 esp-sha256-hmac
modalità tunnel
!
impostazione predefinita del profilo Crypto IPsec
imposta trasformazione-imposta TRANSFORM1
imposta il profilo ikev2 BeelineIPSec_profile
!
interfaccia Tunnel1
indirizzo IP 10.20.1.2 255.255.255.252 –Indirizzo del tunnel
sorgente tunnel GigabitEthernet0/2 –Interfaccia di accesso a Internet
modalità tunnel ipsec ipv4
dinamica della destinazione del tunnel
Impostazione predefinita del profilo IPSec di protezione del tunnel
!
I percorsi verso le reti private del cliente accessibili tramite il concentratore VPN Beeline possono essere impostati staticamente.percorso ip 172.16.0.0 255.255.0.0 Tunnel1
percorso ip 192.168.0.0 255.255.255.0 Tunnel1Opzione per Huawei (ar160/120):
ike nome-locale <login>
#
nome acl ipsec 3999
regola 1 permesso sorgente ip 10.1.1.0 0.0.0.255 –Rete locale dell'ufficio
#
aaa
IPSEC dello schema di servizi
percorso impostato acl 3999
#
proposta ipsec ipsec
algoritmo di autenticazione esp sha2-256
esp algoritmo di crittografia aes-256
#
come proposta predefinita
algoritmo di crittografia aes-256
gruppo dh2
algoritmo di autenticazione sha2-256
pre-condivisione del metodo di autenticazione
algoritmo di integrità hmac-sha2-256
prf hmac-sha2-256
#
come peer ipsec
<Password di autenticazione> semplice con chiave precondivisa
fqdn di tipo ID locale
ip di tipo ID remoto
indirizzo remoto 62.141.99.183 –Hub VPN Beeline
IPSEC dello schema di servizi
richiesta di scambio di configurazione
il set di scambio di configurazione accetta
invio set scambio-config
#
profilo ipsec ipsecprof
ike-peer ipsec
proposta ipsec
#
interfaccia Tunnel0/0/0
indirizzo IP 10.20.1.2 255.255.255.252 –Indirizzo del tunnel
protocollo tunnel ipsec
sorgente GigabitEthernet0/0/1 –Interfaccia di accesso a Internet
profilo ipsec ipsecprof
#
I percorsi verso le reti private del cliente accessibili tramite il concentratore VPN Beeline possono essere impostati staticamenteip route-statico 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-statico 172.16.0.0 255.255.0.0 Tunnel0/0/0
Il diagramma di comunicazione risultante è simile al seguente:
Se il cliente non ha alcuni esempi della configurazione di base, di solito li aiutiamo nella loro formazione e li rendiamo disponibili a tutti gli altri.
Non resta che connettere il CPE a Internet, eseguire il ping sulla parte di risposta del tunnel VPN e su qualsiasi host all'interno della VPN, e il gioco è fatto, possiamo supporre che la connessione sia stata stabilita.
Nel prossimo articolo vi racconteremo come abbiamo combinato questo schema con IPSec e Ridondanza MultiSIM utilizzando Huawei CPE: installiamo il nostro Huawei CPE per client, che può utilizzare non solo un canale Internet cablato, ma anche 2 SIM diverse, e il CPE ricostruisce automaticamente il tunnel IPSec tramite WAN cablata o via radio (LTE#1/LTE#2), realizzando un'elevata tolleranza agli errori del servizio risultante.
Un ringraziamento speciale ai nostri colleghi RnD per aver preparato questo articolo (e, di fatto, agli autori di queste soluzioni tecniche)!
Fonte: habr.com