איך מגיעים ל-Beeline IPVPN דרך IPSec. חלק 1

שלום! IN פוסט קודם תיארתי את העבודה של שירות ה-MultiSIM שלנו בחלקו הסתייגויות и מְאַזֵן ערוצים. כאמור, אנו מחברים לקוחות לרשת באמצעות VPN, והיום אספר לכם קצת יותר על VPN והיכולות שלנו בחלק זה.

כדאי להתחיל בעובדה שיש לנו, כמפעילי טלקום, רשת MPLS ענקית משלנו, שעבור לקוחות קוויים מחולקת לשני סגמנטים עיקריים - זה שמשמש ישירות לגישה לאינטרנט, וזה שהוא משמש ליצירת רשתות מבודדות - ובאמצעות מקטע MPLS זה עוברת תעבורת IPVPN (L3 OSI) ו- VPLAN (L2 OSI) עבור הלקוחות הארגוניים שלנו.

בדרך כלל, חיבור לקוח מתרחש באופן הבא.

קו גישה מונח למשרד הלקוח מנקודת הנוכחות הקרובה ביותר של הרשת (צומת MEN, RRL, BSSS, FTTB וכו') ובהמשך, הערוץ נרשם דרך רשת התחבורה ל-PE-MPLS המקביל נתב, עליו אנו מפלט אותו ללקוח שנוצר במיוחד עבור לקוח VRF, תוך התחשבות בפרופיל התעבורה שהלקוח צריך (תוויות פרופיל נבחרות עבור כל יציאת גישה, בהתבסס על ערכי קדימות ip 0,1,3,5, XNUMX).

אם מסיבה כלשהי איננו יכולים לארגן באופן מלא את המייל האחרון עבור הלקוח, למשל, משרדו של הלקוח ממוקם במרכז עסקים, שבו ספק אחר נמצא בראש סדר העדיפויות, או שפשוט אין לנו את נקודת הנוכחות שלנו בקרבת מקום, אז בעבר לקוחות היה צריך ליצור מספר רשתות IPVPN אצל ספקים שונים (לא הארכיטקטורה המשתלמת ביותר) או לפתור באופן עצמאי בעיות עם ארגון הגישה ל-VRF שלך דרך האינטרנט.

רבים עשו זאת על ידי התקנת שער אינטרנט IPVPN - הם התקינו נתב גבול (חומרה או פתרון מבוסס לינוקס כלשהו), חיברו אליו ערוץ IPVPN עם יציאה אחת וערוץ אינטרנט עם השני, השיקו בו את שרת ה-VPN שלהם והתחברו. משתמשים דרך שער VPN משלהם. מטבע הדברים, תכנית כזו גם יוצרת עומסים: יש לבנות תשתית כזו, ובאופן לא נוח ביותר, לתפעל ולפתח.

כדי להקל על הלקוחות שלנו, התקנו רכזת VPN מרכזית וארגנו תמיכה בחיבורים דרך האינטרנט באמצעות IPSec, כלומר, כעת לקוחות צריכים רק להגדיר את הנתב שלהם כך שיעבוד עם רכזת ה-VPN שלנו דרך מנהרת IPSec בכל אינטרנט ציבורי. , ובואו נשחרר את התעבורה של הלקוח הזה ל-VRF שלו.

מי יצטרך

• למי שכבר יש לו רשת IPVPN גדולה וצריך חיבורים חדשים תוך זמן קצר.
• כל מי שרוצה מסיבה כלשהי להעביר חלק מהתעבורה מהאינטרנט הציבורי ל-IPVPN, אך נתקל בעבר במגבלות טכניות הקשורות למספר ספקי שירות.
• למי שיש להם כרגע כמה רשתות VPN שונות בין מפעילי טלקום שונים. ישנם לקוחות שארגנו בהצלחה IPVPN מ-Beeline, Megafon, Rostelecom וכו'. כדי להקל, אתה יכול להישאר רק ב-VPN הבודד שלנו, להעביר את כל שאר הערוצים של מפעילים אחרים לאינטרנט, ואז להתחבר ל-Beeline IPVPN דרך IPSec והאינטרנט ממפעילים אלה.
• למי שכבר יש לו רשת IPVPN על גבי האינטרנט.

אם אתה פורס הכל אצלנו, הלקוחות מקבלים תמיכת VPN מלאה, יתירות רצינית בתשתית והגדרות סטנדרטיות שיעבדו על כל נתב שהם רגילים אליו (בין אם זה סיסקו, אפילו מיקרוטיק, העיקר שהוא יכול לתמוך כראוי IPSec/IKEv2 עם שיטות אימות סטנדרטיות). אגב, לגבי IPSec - כרגע אנחנו רק תומכים בזה, אבל אנחנו מתכננים להשיק הפעלה מלאה של OpenVPN ושל Wireguard, כך שלקוחות לא יוכלו לסמוך על הפרוטוקול וזה אפילו יותר קל לקחת ולהעביר הכל אלינו, ואנחנו גם רוצים להתחיל לחבר לקוחות ממחשבים ומכשירים ניידים (פתרונות מובנים במערכת ההפעלה, Cisco AnyConnect ו-strongSwan וכדומה). עם גישה זו, ניתן להעביר בבטחה את בניית התשתית בפועל למפעיל, ולהשאיר רק את התצורה של ה-CPE או המארח.

כיצד עובד תהליך החיבור עבור מצב IPSec:

1. הלקוח משאיר בקשה למנהל שלו בה הוא מציין את מהירות החיבור הנדרשת, פרופיל התעבורה ופרמטרי כתובת ה-IP עבור המנהרה (כברירת מחדל, רשת משנה עם מסיכת /30) ואת סוג הניתוב (סטטי או BGP). כדי להעביר מסלולים לרשתות המקומיות של הלקוח במשרד המחובר, נעשה שימוש במנגנוני IKEv2 של שלב פרוטוקול IPSec תוך שימוש בהגדרות המתאימות בנתב הלקוח, או שהם מפורסמים באמצעות BGP ב-MPLS מה-BGP AS הפרטי שצוין באפליקציה של הלקוח. . לפיכך, מידע על המסלולים של רשתות הלקוח נשלט לחלוטין על ידי הלקוח באמצעות ההגדרות של נתב הלקוח.
2. בתגובה מהמנהל שלו, הלקוח מקבל נתונים חשבונאיים להכללה ב-VRF שלו של הטופס:
   • כתובת IP של VPN-HUB
   • כניסה
   • סיסמת אימות
3. מגדיר CPE, להלן, לדוגמה, שתי אפשרויות תצורה בסיסיות:

   אפשרות עבור סיסקו:
   מחזיק מפתחות crypto ikev2 BeelineIPsec_keyring
   עמית Beeline_VPNHub
   כתובת 62.141.99.183 – רכזת VPN Beeline
   מפתח משותף מראש <סיסמת אימות>
   !
   עבור אפשרות הניתוב הסטטי, ניתן לציין מסלולים לרשתות הנגישות דרך ה-Vpn-hub בתצורת IKEv2 והם יופיעו אוטומטית כמסלולים סטטיים בטבלת הניתוב CE. ניתן לבצע הגדרות אלו גם באמצעות השיטה הסטנדרטית של הגדרת מסלולים סטטיים (ראה להלן).

   מדיניות הרשאות crypto ikev2 FlexClient-author

   ניתוב לרשתות מאחורי נתב CE – הגדרת חובה לניתוב סטטי בין CE ל-PE. העברת נתוני המסלול ל-PE מתבצעת באופן אוטומטי כאשר מעלים את המנהרה באמצעות אינטראקציה IKEv2.

   ערכת מסלול מרחוק ipv4 10.1.1.0 255.255.255.0 -רשת מקומית משרדית
   !
   קריפטו ikev2 profile BeelineIPSec_profile
   זהות מקומית <login>
   שיתוף מקומי של אימות מקומי
   שיתוף מוקדם של אימות מרחוק
   מחזיק מפתחות מקומי BeelineIPsec_keyring
   aaa קבוצת הרשאות psk list group-author-list FlexClient-author
   !
   crypto ikev2 client flexvpn BeelineIPsec_flex
   peer 1 Beeline_VPNHub
   חיבור לקוח Tunnel1
   !
   crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
   מנהרת מצב
   !
   ברירת המחדל של פרופיל crypto ipsec
   set transform-set TRANSFORM1
   set ikev2-profile BeelineIPSec_profile
   !
   ממשק Tunnel1
   כתובת ip 10.20.1.2 255.255.255.252 -כתובת המנהרה
   מקור המנהרה GigabitEthernet0/2 -ממשק גישה לאינטרנט
   מצב מנהרה ipsec ipv4
   דינמיקה של יעד המנהרה
   הגנת מנהרה ברירת המחדל של פרופיל ipsec
   !
   ניתן להגדיר באופן סטטי מסלולים לרשתות הפרטיות של הלקוח הנגישות דרך רכז ה-VPN של Beeline.

   מסלול ip 172.16.0.0 255.255.0.0 Tunnel1
   מסלול ip 192.168.0.0 255.255.255.0 Tunnel1

   אפשרות עבור Huawei (ar160/120):
   ike local-name <login>
   #
   שם acl ipsec 3999
   כלל 1 היתר ip מקור 10.1.1.0 0.0.0.255 -רשת מקומית משרדית
   #
   aaa
   תוכנית שירות IPSEC
   סט מסלול acl 3999
   #
   הצעת ipsec ipsec
   esp אימות-אלגוריתם sha2-256
   אלגוריתם הצפנה esp aes-256
   #
   ברירת המחדל של הצעת ike
   אלגוריתם הצפנה aes-256
   קבוצת dh2
   אלגוריתם אימות sha2-256
   שיתוף מראש בשיטת אימות
   שלמות-אלגוריתם hmac-sha2-256
   prf hmac-sha2-256
   #
   ike peer ipsec
   מפתח משותף מראש פשוט <סיסמת אימות>
   fqdn מסוג local-ID
   ip-מזהה מרחוק
   כתובת מרחוק 62.141.99.183 – רכזת VPN Beeline
   תוכנית שירות IPSEC
   בקשה ל-config-exchange
   config-exchange set accept
   config-exchange set send
   #
   פרופיל ipsec ipsecprof
   ike-peer ipsec
   הצעה ipsec
   #
   ממשק Tunnel0/0/0
   כתובת ip 10.20.1.2 255.255.255.252 -כתובת המנהרה
   פרוטוקול מנהרה ipsec
   מקור GigabitEthernet0/0/1 -ממשק גישה לאינטרנט
   פרופיל ipsec ipsecprof
   #
   ניתן להגדיר באופן סטטי מסלולים לרשתות הפרטיות של הלקוח הנגישות דרך רכז ה-VPN של Beeline

   ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
   ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

דיאגרמת התקשורת שהתקבלה נראית בערך כך:

אם ללקוח אין כמה דוגמאות לתצורה הבסיסית, אז אנחנו בדרך כלל עוזרים ביצירתם ומעמידים אותם לזמינים לכל השאר.

כל מה שנותר הוא לחבר את ה-CPE לאינטרנט, פינג לחלק התגובה של מנהרת ה-VPN ולכל מארח בתוך ה-VPN, וזהו, אנחנו יכולים להניח שהחיבור נעשה.

במאמר הבא נספר לכם כיצד שילבנו את הסכימה הזו עם IPSec ו-MultiSIM Redundancy באמצעות Huawei CPE: אנו מתקינים את ה-Huawei CPE שלנו עבור לקוחות, שיכולים להשתמש לא רק בערוץ אינטרנט קווי, אלא גם בשני כרטיסי SIM שונים, וב-CPE בונה מחדש אוטומטית את מנהרת IPSec באמצעות WAN קווי או באמצעות רדיו (LTE#2/LTE#1), תוך מימוש סובלנות תקלות גבוהה של השירות המתקבל.

תודה מיוחדת לעמיתינו RnD על הכנת מאמר זה (ולמעשה, למחברי הפתרונות הטכניים הללו)!

מקור: www.habr.com