IPSec 経由で Beeline IPVPN にアクセスする方法。 パート1

こんにちは！ で 前の投稿 MultiSIMサービスの仕組みの一部を説明しました 予約 и バランスを取る チャンネル。 前述したように、当社ではクライアントを VPN 経由でネットワークに接続していますが、今日はこの部分で VPN と当社の機能についてもう少し詳しく説明します。

まず、通信事業者として、当社が独自の巨大な MPLS ネットワークを持っているという事実から始める価値があります。このネットワークは、固定回線の顧客にとって 3 つの主要なセグメントに分かれています。2 つはインターネットに直接アクセスするために使用され、もう XNUMX つはインターネットにアクセスするために使用されます。分離されたネットワークを作成するために使用されます。この MPLS セグメントを通じて、企業クライアント向けの IPVPN (LXNUMX OSI) および VPLAN (LXNUMX OSI) トラフィックが流れます。

通常、クライアント接続は次のように発生します。

ネットワークの最も近いPoint of Presence（ノードMEN、RRL、BSSS、FTTBなど）からクライアントのオフィスまでアクセス回線を敷設し、さらにトランスポートネットワークを介して対応するPE-MPLSにチャネルを登録します。ルーター。クライアントが必要とするトラフィック プロファイルを考慮して、VRF クライアント用に特別に作成されたルーターに出力します (プロファイル ラベルは、ip precedence 値 0,1,3,5、XNUMX、XNUMX、に基づいて、アクセス ポートごとに選択されます) XNUMX)。

何らかの理由で、クライアントのラストワンマイルを完全に整理できない場合、たとえば、クライアントのオフィスがビジネスセンターにあり、そこでは別のプロバイダーが優先されている場合、または単に当社の拠点が近くにない場合、以前はクライアントさまざまなプロバイダー（最もコスト効率の高いアーキテクチャではない）で複数の IPVPN ネットワークを作成するか、インターネット経由で VRF へのアクセスを組織する際の問題を個別に解決する必要がありました。

多くは、IPVPN インターネット ゲートウェイをインストールすることでこれを実現しました。ボーダー ルーター (ハードウェアまたは Linux ベースのソリューション) を設置し、一方のポートで IPVPN チャネルをそれに接続し、もう一方のポートでインターネット チャネルを接続し、その上で VPN サーバーを起動して接続しました。ユーザーは独自の VPN ゲートウェイを介してアクセスできます。 当然のことながら、そのような計画は負担も生じます。そのようなインフラを構築し、最も不便なことに、その運用と開発を行わなければなりません。

お客様の作業を容易にするために、集中型 VPN ハブを設置し、IPSec を使用したインターネット経由の接続サポートを組織化しました。つまり、クライアントは、パブリック インターネット上の IPSec トンネルを介して、VPN ハブと連携するようにルーターを設定するだけで済みます。で、このクライアントのトラフィックを VRF に解放しましょう。

誰が必要とするか

• すでに大規模な IPVPN ネットワークがあり、短期間で新しい接続が必要な場合。
• 何らかの理由で、トラフィックの一部を公共のインターネットから IPVPN に転送したいと考えているが、以前にいくつかのサービス プロバイダーに関連する技術的な制限に遭遇したことがある人。
• 現在、さまざまな通信事業者間で複数の異なる VPN ネットワークを使用しているユーザー向け。 Beeline、Megafon、Rostelecom などから IPVPN の構築に成功したクライアントがいます。 これを簡単にするために、単一の VPN のみを使用し、他の通信事業者の他のすべてのチャネルをインターネットに切り替えて、これらの通信事業者から IPSec とインターネットを介して Beeline IPVPN に接続することができます。
• すでにインターネット上に IPVPN ネットワークをオーバーレイしている場合。

すべてを当社と一緒に導入すると、クライアントは本格的な VPN サポート、本格的なインフラ冗長性、使い慣れたどのルーター (Cisco であっても、Mikrotik であっても) で動作する標準設定を受け取ることができます。重要なのは、適切にサポートできることです。標準化された認証方法を使用した IPSec/IKEv2)。 ちなみに、IPSec については、現時点ではサポートのみですが、OpenVPN と Wireguard の両方の本格的な運用を開始する予定です。これにより、クライアントはプロトコルに依存できなくなり、すべてを取得して転送することがさらに簡単になります。また、コンピュータやモバイル デバイス（OS、Cisco AnyConnect、strongSwan などに組み込まれたソリューション）からクライアントに接続することも開始したいと考えています。 このアプローチを使用すると、インフラストラクチャの事実上の構築をオペレータに安全に引き継ぎ、CPE またはホストの構成だけを残すことができます。

IPSec モードの接続プロセスはどのように機能しますか?

1. クライアントは、必要な接続速度、トラフィック プロファイル、トンネルの IP アドレス指定パラメーター (デフォルトでは /30 マスクを持つサブネット)、およびルーティングの種類 (静的または BGP) を示すリクエストをマネージャーに残します。 接続されているオフィス内のクライアントのローカル ネットワークにルートを転送するには、クライアント ルータの適切な設定を使用して IPSec プロトコル フェーズの IKEv2 メカニズムが使用されるか、クライアントのアプリケーションで指定されたプライベート BGP AS から MPLS の BGP 経由でアドバタイズされます。 。 したがって、クライアント ネットワークのルートに関する情報は、クライアント ルーターの設定を通じてクライアントによって完全に制御されます。
2. マネージャーからの応答として、クライアントは次の形式の VRF に含める会計データを受け取ります。
   • VPN-HUBのIPアドレス
   • ログイン
   • 認証パスワード
3. CPE を構成します。たとえば、次の XNUMX つの基本構成オプションがあります。

   シスコのオプション:
   暗号 ikev2 キーリング BeelineIPsec_keyring
   ピア Beeline_VPNHub
   アドレス62.141.99.183 –VPN ハブ ビーライン
   事前共有キー <認証パスワード>
   !
   スタティック ルーティング オプションの場合、VPN ハブを介してアクセスできるネットワークへのルートを IKEv2 設定で指定でき、それらは CE ルーティング テーブルにスタティック ルートとして自動的に表示されます。 これらの設定は、静的ルートを設定する標準的な方法を使用して行うこともできます (下記を参照)。

   crypto ikev2 認可ポリシー FlexClient-author

   CE ルーターの背後にあるネットワークへのルート – CE と PE 間の静的ルーティングの必須設定。 PE へのルート データの転送は、IKEv2 インタラクションを通じてトンネルが確立されると自動的に実行されます。

   ルート設定リモート IPv4 10.1.1.0 255.255.255.0 –オフィスのローカルネットワーク
   !
   暗号 ikev2 プロファイル BeelineIPSec_profile
   アイデンティティローカル <ログイン>
   認証ローカル事前共有
   認証リモート事前共有
   キーリングローカル BeelineIPsec_keyring
   aaa 認可グループ psk リスト group-author-list FlexClient-author
   !
   暗号 ikev2 クライアント flexvpn BeelineIPsec_flex
   ピア 1 Beeline_VPNHub
   クライアント接続トンネル1
   !
   暗号 ipsec トランスフォーム セット TRANSFORM1 esp-aes 256 esp-sha256-hmac
   モードトンネル
   !
   暗号化 IPsec プロファイルのデフォルト
   トランスフォームセット TRANSFORM1 を設定します
   ikev2 プロファイルを設定する BeelineIPSec_profile
   !
   インターフェース トンネル1
   IPアドレス10.20.1.2 –トンネルアドレス
   トンネルソース GigabitEthernet0/2 –インターネットアクセスインターフェース
   トンネルモード ipsec ipv4
   動的トンネル宛先
   トンネル保護 ipsec プロファイルのデフォルト
   !
   Beeline VPN コンセントレーターを介してアクセスできるクライアントのプライベート ネットワークへのルートは静的に設定できます。

   ip ルート 172.16.0.0 255.255.0.0 トンネル 1
   ip ルート 192.168.0.0 255.255.255.0 トンネル 1

   Huawei 用オプション (ar160/120):
   ike ローカル名 <ログイン>
   #
   ACL 名 ipsec 3999
   ルール 1 許可 IP ソース 10.1.1.0 0.0.0.255 –オフィスのローカルネットワーク
   #
   単4
   サービススキーム IPSEC
   ルートセットACL 3999
   #
   ipsec プロポーザル ipsec
   ESP 認証アルゴリズム sha2-256
   ESP 暗号化アルゴリズム aes-256
   #
   IKE プロポーザルのデフォルト
   暗号化アルゴリズム aes-256
   dhグループ2
   認証アルゴリズム sha2-256
   認証方式の事前共有
   整合性アルゴリズム hmac-sha2-256
   PRF hmac-sha2-256
   #
   イケピアipsec
   事前共有鍵簡易 <認証パスワード>
   ローカル ID タイプの FQDN
   リモート ID タイプ IP
   リモートアドレス 62.141.99.183 –VPN ハブ ビーライン
   サービススキーム IPSEC
   構成交換リクエスト
   構成交換セットの受け入れ
   設定交換セット送信
   #
   ipsec プロファイル ipsecprof
   イケピアipsec
   提案ipsec
   #
   インターフェイス トンネル0/0/0
   IPアドレス10.20.1.2 –トンネルアドレス
   トンネルプロトコル ipsec
   ソースギガビットイーサネット0/0/1 –インターネットアクセスインターフェース
   ipsec プロファイル ipsecprof
   #
   Beeline VPN コンセントレーターを介してアクセスできるクライアントのプライベート ネットワークへのルートは静的に設定できます

   ip ルート静的 192.168.0.0 255.255.255.0 トンネル 0/0/0
   ip ルート静的 172.16.0.0 255.255.0.0 トンネル 0/0/0

結果として得られる通信図は次のようになります。

クライアントが基本構成の例をいくつか持っていない場合は、通常、私たちがその作成を支援し、他の人が利用できるようにします。

残っているのは、CPE をインターネットに接続し、VPN トンネルの応答部分と VPN 内の任意のホストに ping を送信することだけです。これで、接続が確立されたとみなすことができます。

次の記事では、ファーウェイ CPE を使用して、このスキームを IPSec およびマルチSIM 冗長性とどのように組み合わせたかを説明します。クライアント用にファーウェイ CPE をインストールします。これは、有線インターネット チャネルだけでなく、2 つの異なる SIM カードと CPE も使用できます。有線 WAN または無線 (LTE#1/LTE#2) 経由で IPSec トンネルを自動的に再構築し、結果として生じるサービスの高い耐障害性を実現します。

この記事を準備してくれた RnD の同僚 (実際、これらの技術ソリューションの作成者) に感謝します。

出所： habr.com