Салам! IN
Биз, байланыш оператору катары, туруктуу байланыш кардарлары үчүн эки негизги сегментке - Интернетке кирүү үчүн түздөн-түз пайдаланылуучу жана эң негизги сегментке бөлүнгөн өзүбүздүн чоң MPLS тармагына ээ экендигибизден баштоо керек. обочолонгон тармактарды түзүү үчүн колдонулат — жана дал ушул MPLS сегменти аркылуу IPVPN (L3 OSI) жана VPLAN (L2 OSI) трафиги биздин корпоративдик кардарларыбыз үчүн өтөт.
Эреже катары, кардар байланышы төмөнкүдөй пайда болот.
Кардардын кеңсесине жетүү линиясы тармактын эң жакын жайгашкан пунктунан (MEN, RRL, BSSS, FTTB ж. роутер, биз аны VRF кардары үчүн атайын түзүлгөн, кардарга керек болгон трафик профилин эске алуу менен чыгарабыз (профиль этикеткалары ар бир кирүү порту үчүн тандалып алынат, IP артыкчылыктарынын 0,1,3,5 маанилеринин негизинде, XNUMX).
Эгерде кандайдыр бир себептерден улам биз кардар үчүн акыркы миляны толугу менен уюштура албасак, мисалы, кардардын кеңсеси бизнес-борбордо жайгашкан, ал жерде башка провайдер приоритеттүү болуп саналат, же бизде жакын жерде биздин катышуу пунктубуз жок болсо, анда мурда кардарлар ар кандай провайдерлерде (эң үнөмдүү архитектура эмес) бир нече IPVPN тармактарын түзүүгө же Интернет аркылуу VRF'ге кирүү мүмкүнчүлүгүн уюштуруу маселелерин өз алдынча чечүүгө туура келди.
Көптөр муну IPVPN Интернет шлюзун орнотуу менен жасашты - алар чек ара роутерин (аппараттык же кандайдыр бир Linux негизиндеги чечим) орнотушту, ага IPVPN каналын бир порт менен, ал эми экинчиси менен Интернет каналын туташтырышты, ага VPN серверин ишке киргизишти жана туташты. өз VPN шлюз аркылуу колдонуучулар. Албетте, мындай схема да оорчулуктарды жаратат: мындай инфраструктураны куруп, эң ыңгайсызы иштетип, өнүктүрүү керек.
Кардарларыбыздын жашоосун жеңилдетүү үчүн биз борборлоштурулган VPN хабын орноттук жана IPSec аркылуу Интернет аркылуу туташууну уюштурдук, башкача айтканда, эми кардарларга роутерин каалаган коомдук Интернет аркылуу IPSec туннели аркылуу биздин VPN хабыбыз менен иштөө үчүн конфигурациялоо гана керек. , жана биз бул кардардын трафигин анын VRF'ине чыгаралы.
Кимге керек болот
- Буга чейин эле чоң IPVPN тармагына ээ жана кыска убакыттын ичинде жаңы байланыштарды талап кылгандар үчүн.
- Ким кандайдыр бир себептерден улам трафиктин бир бөлүгүн коомдук Интернеттен IPVPNге өткөргүсү келсе, бирок буга чейин бир нече кызмат көрсөтүүчүлөр менен байланышкан техникалык чектөөлөргө туш болгон.
- Учурда ар кандай байланыш операторлору боюнча бир нече айырмаланган VPN тармактары барлар үчүн. Beeline, Megafon, Rostelecom ж.б.дан IPVPNди ийгиликтүү уюштурган кардарлар бар. Аны жеңилдетүү үчүн сиз биздин жалгыз VPNде гана калып, башка операторлордун бардык башка каналдарын Интернетке которсоңуз болот, андан кийин IPSec жана бул операторлордон Интернет аркылуу Beeline IPVPN'ге кошула аласыз.
- Интернетте IPVPN тармагы барлар үчүн.
Эгер сиз бардыгын биз менен колдонсоңуз, анда кардарлар толук кандуу VPN колдоосун, олуттуу инфраструктураны жана стандарттуу орнотууларды алышат, алар көнүп калган ар кандай роутерде (мейли Cisco, атүгүл Mikrotik болсун, эң негизгиси ал туура колдоо көрсөтө алат) IPSec/IKEv2 стандартташтырылган аутентификация ыкмалары менен). Айтмакчы, IPSec жөнүндө - азыр биз аны колдойбуз, бирок биз OpenVPN жана Wireguard экөөнүн тең толук кандуу иштешин баштоону пландап жатабыз, ошентип кардарлар протоколдон көз каранды болбошу үчүн жана бардыгын бизге өткөрүп берүү оңой, жана биз ошондой эле кардарларды компьютерлерден жана мобилдик түзүлүштөрдөн (OS, Cisco AnyConnect жана strongSwan жана ушуга окшогондорго орнотулган чечимдер) туташтырууну каалайбыз. Бул ыкма менен, инфраструктуранын де-факто курулушун операторго аман-эсен өткөрүп берүүгө болот, ал эми CPE же хосттун конфигурациясын гана калтырса болот.
IPSec режими үчүн туташуу процесси кантип иштейт:
- Кардар өзүнүн менеджерине суроо-талапты калтырат, анда ал талап кылынган туташуунун ылдамдыгын, трафик профилин жана туннель үчүн IP дарегинин параметрлерин (демейки боюнча, /30 маскасы бар субнет) жана маршрутташтыруунун түрүн (статикалык же BGP) көрсөтөт. Маршруттарды туташкан кеңседе кардардын локалдык тармактарына өткөрүү үчүн IPSec протоколунун фазасынын IKEv2 механизмдери кардар роутериндеги тиешелүү орнотууларды колдонуу менен колдонулат же алар кардардын арызында көрсөтүлгөн жеке BGP ASтен MPLSте BGP аркылуу жарнамаланат. . Ошентип, кардар тармактарынын маршруттары жөнүндө маалымат толугу менен кардар роутер орнотуулары аркылуу кардар тарабынан көзөмөлдөнөт.
- Менеджеринен жооп катары кардар өзүнүн VRF формасына киргизүү үчүн эсепке алуу маалыматтарды алат:
- VPN-HUB IP дареги
- Кирүү
- Аутентификация сырсөзү
- Төмөндө CPE конфигурациялайт, мисалы, эки негизги конфигурация опциясы:
Cisco үчүн опция:
крипто ikev2 ачкыч BeelineIPsec_keyring
теңдеш Beeline_VPNHub
дареги 62.141.99.183 – Beeline VPN хабы
алдын ала бөлүшүлгөн ачкыч <Аутентификация сырсөз>
!
Статикалык багыттоо опциясы үчүн Vpn-хабы аркылуу жеткиликтүү болгон тармактарга каттамдар IKEv2 конфигурациясында көрсөтүлүшү мүмкүн жана алар автоматтык түрдө CE багыттоо таблицасында статикалык маршруттар катары пайда болот. Бул орнотууларды статикалык маршруттарды орнотуунун стандарттык ыкмасы менен да жасоого болот (төмөндө караңыз).крипто ikev2 авторизация саясаты FlexClient-автор
CE роутердин артындагы тармактарга маршрут – CE жана PE ортосундагы статикалык маршрутташтыруу үчүн милдеттүү жөндөө. IKEv2 өз ара аракеттенүүсү аркылуу туннель көтөрүлгөндө PEге маршруттук маалыматтарды берүү автоматтык түрдө ишке ашырылат.
маршрутту орнотуу алыстан IPv4 10.1.1.0 255.255.255.0 – Офистин локалдык тармагы
!
крипто ikev2 профили BeelineIPSec_profile
жергиликтүү идентификация <логин>
аныктыгын текшерүү жергиликтүү алдын ала бөлүшүү
аутентификацияны алыстан алдын ала бөлүшүү
жергиликтүү BeelineIPsec_keyring keyring
aaa авторизация тобу psk тизмеси тобу-автор-тизмеси FlexClient-автор
!
крипто ikev2 кардары flexvpn BeelineIPsec_flex
теңдеш 1 Beeline_VPNHub
кардар Tunnel1 туташтыруу
!
крипто ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
режим туннели
!
крипто ipsec профили демейки
TRANSFORM1
ikev2-профилин BeelineIPSec_profile орнотуңуз
!
интерфейс туннели1
ip дареги 10.20.1.2 255.255.255.252 – Туннелдин дареги
туннель булагы GigabitEthernet0/2 – Интернетке кирүү интерфейси
туннель режими ipsec ipv4
туннелдин көздөгөн динамикасы
туннелди коргоо ipsec профилинин демейки
!
Beeline VPN концентратору аркылуу жеткиликтүү кардардын жеке тармактарына маршруттар статикалык түрдө коюлушу мүмкүн.ip маршруту 172.16.0.0 255.255.0.0 Tunnel1
ip маршруту 192.168.0.0 255.255.255.0 Tunnel1Huawei үчүн опция (ar160/120):
жергиликтүү аты <логин>
#
acl аты ipsec 3999
эреже 1 уруксат IP булагы 10.1.1.0 0.0.0.255 – Офистин локалдык тармагы
#
ааа
IPSEC кызмат схемасы
маршруттун топтому acl 3999
#
ipsec сунушу ipsec
esp аутентификация-алгоритм sha2-256
esp шифрлөө-алгоритм aes-256
#
ike сунуш демейки
шифрлөө-алгоритм aes-256
dh group2
аутентификация-алгоритм sha2-256
аутентификация ыкмасы алдын ала бөлүшүү
бүтүндүк-алгоритм hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
алдын ала бөлүшүлгөн ачкыч жөнөкөй <Аутентификация сырсөзү>
жергиликтүү id-түрдөгү fqdn
алыскы ID түрүндөгү IP
алыскы дарек 62.141.99.183 – Beeline VPN хабы
IPSEC кызмат схемасы
конфигурация алмашуу өтүнүчү
config-алмашуу топтомун кабыл алуу
config-алмашуу топтомун жөнөтүү
#
ipsec профили ipsecprof
ike-peer ipsec
сунуш ipsec
#
интерфейс Tunnel0/0/0
ip дареги 10.20.1.2 255.255.255.252 – Туннелдин дареги
туннель-протокол ipsec
GigabitEthernet0/0/1 булагы – Интернетке кирүү интерфейси
ipsec профили ipsecprof
#
Beeline VPN концентратору аркылуу жеткиликтүү кардардын жеке тармактарына маршруттар статикалык түрдө орнотулушу мүмкүнip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Натыйжада байланыш диаграммасы төмөнкүдөй көрүнөт:
Эгерде кардарда негизги конфигурациянын кээ бир мисалдары жок болсо, анда биз адатта аларды түзүүгө жардам беребиз жана аларды башкаларга жеткиликтүү кылабыз.
Болгону CPEди Интернетке туташтыруу, VPN туннелинин жооп бөлүгүнө жана VPN ичиндеги каалаган хостко пинг жүргүзүү, ушуну менен биз байланыш түзүлдү деп ойлойбуз.
Кийинки макалада биз Huawei CPE аркылуу бул схеманы IPSec жана MultiSIM Redundancy менен кантип айкалыштырганыбызды айтып беребиз: биз кардарлар үчүн Huawei CPE орнотобуз, ал зымдуу интернет каналын гана эмес, ошондой эле 2 түрдүү SIM картаны жана CPEди колдоно алат. IPSec туннелин зымдуу WAN аркылуу же радио аркылуу (LTE#1/LTE#2) автоматтык түрдө калыбына келтирет, натыйжада пайда болгон кызматтын каталарына жогорку толеранттуулукту ишке ашырат.
Бул макаланы даярдаган RnD кесиптештерибизге (жана чындыгында бул техникалык чечимдердин авторлоруна) өзгөчө ыраазычылык билдиребиз!
Source: www.habr.com