Hallo! IN
Et ass derwäert mat der Tatsaach unzefänken datt mir als Telekomoperateur eisen eegene riesegen MPLS-Netz hunn, dee fir Festnetzclienten an zwee Haaptsegmenter opgedeelt ass - deen deen direkt benotzt gëtt fir den Internet ze kréien, an deen deen ass benotzt fir isoléiert Netzwierker ze kreéieren - an et ass duerch dëst MPLS Segment datt IPVPN (L3 OSI) an VPLAN (L2 OSI) Traffic fir eis Firmeclienten fléisst.
Typesch geschitt eng Clientverbindung wéi follegt.
Eng Zougankslinn gëtt an de Clientsbüro vum nooste Point of Presence vum Netz geluecht (Node MEN, RRL, BSSS, FTTB, etc.) Router, op deem mir et op e speziell erstallt fir de VRF Client ausginn, andeems de Verkéiersprofil berücksichtegt deen de Client brauch (Profiletiketten gi fir all Zougangsport ausgewielt, baséiert op den IP Virrangswäerter 0,1,3,5, XNUMX).
Wa mir aus irgendege Grënn déi lescht Meile fir de Client net ganz organiséieren, zum Beispill, de Clientsbüro ass an engem Geschäftszentrum, wou en anere Fournisseur eng Prioritéit ass, oder mir hunn einfach net eise Punkt vun der Präsenz an der Géigend, da fréier Clienten hu missen e puer IPVPN Netzwierker bei verschiddene Fournisseuren erstellen (net déi kosteneffektivst Architektur) oder onofhängeg Problemer léisen mat der Organisatioun vum Zougang zu Ärem VRF iwwer Internet.
Vill hunn dëst gemaach andeems se en IPVPN Internet Gateway installéiert hunn - si hunn e Grenzrouter installéiert (Hardware oder eng Linux-baséiert Léisung), en IPVPN Kanal mat engem Hafen an en Internet Kanal mat deem aneren verbonnen, hiren VPN Server drop lancéiert a verbonnen Benotzer duerch hiren eegene VPN Paart. Esou e Schema schaaft natierlech och Laascht: esou Infrastrukture musse gebaut an am meeschten onbequem bedriwwen an entwéckelt ginn.
Fir d'Liewen fir eise Clienten méi einfach ze maachen, hu mir en zentraliséierte VPN Hub installéiert an organiséiert Ënnerstëtzung fir Verbindungen iwwer den Internet mat IPSec, dat heescht, elo mussen d'Clienten nëmmen hire Router konfiguréieren fir mat eisem VPN Hub iwwer en IPSec Tunnel iwwer all ëffentlechen Internet ze schaffen , a mir Loosst eis dëse Client Traffic op seng VRF fräiginn.
Wien wäert et nëtzlech fannen?
- Fir déi, déi schonn e grousst IPVPN Netz hunn an nei Verbindungen a kuerzer Zäit brauchen.
- Jiddereen deen aus irgendege Grënn en Deel vum Traffic vum ëffentlechen Internet op IPVPN wëll transferéieren, awer virdrun op technesch Aschränkungen mat verschiddene Serviceprovider stoungen.
- Fir déi, déi de Moment verschidde verschidde VPN Netzwierker iwwer verschidden Telekomoperateuren hunn. Et gi Clienten déi erfollegräich IPVPN vu Beeline, Megafon, Rostelecom, etc. Fir et méi einfach ze maachen, kënnt Dir nëmmen op eisem eenzege VPN bleiwen, all aner Kanäl vun anere Betreiber op den Internet wiesselen, an dann mat Beeline IPVPN iwwer IPSec an den Internet vun dësen Betreiber verbannen.
- Fir déi, déi schonn en IPVPN Netz um Internet iwwerlagert hunn.
Wann Dir alles mat eis ofsetzt, da kréien d'Clientë vollwäerteg VPN-Ënnerstëtzung, sérieux Infrastruktur-Redundanz, a Standardastellungen, déi op all Router funktionnéieren dee se gewinnt sinn (sief et Cisco, souguer Mikrotik, den Haapt Saach ass datt et richteg ënnerstëtzen kann) IPSec/IKEv2 mat standardiséierte Authentifikatiounsmethoden). Iwwregens, iwwer IPSec - de Moment ënnerstëtzen mir et nëmmen, awer mir plangen eng vollwäerteg Operatioun vu béiden OpenVPN a Wireguard ze starten, sou datt d'Clienten net vum Protokoll hänke kënnen an et ass nach méi einfach alles un eis ze huelen an ze transferéieren, a mir wëllen och ufänken Clienten aus Computeren a mobilen Apparater ze konnektéieren (Léisungen an der OS gebaut, Cisco AnyConnect an strongSwan an dergläiche). Mat dëser Approche kann d'de facto Konstruktioun vun der Infrastruktur sécher dem Bedreiwer iwwerginn ginn, sou datt nëmmen d'Konfiguratioun vun der CPE oder Host léisst.
Wéi funktionnéiert de Verbindungsprozess fir IPSec Modus:
- De Client léisst eng Ufro un säi Manager, an där hien déi erfuerderlech Verbindungsgeschwindegkeet, Trafficprofil an IP Adresséierungsparameter fir den Tunnel uginn (par défaut en Subnet mat enger /30 Mask) an d'Art vu Routing (statesch oder BGP). Fir Strecken op d'lokal Netzwierker vum Client am verbonne Büro ze transferéieren, ginn d'IKEv2 Mechanismen vun der IPSec Protokollphase benotzt mat de passenden Astellungen um Client Router, oder se ginn iwwer BGP an MPLS vun der privater BGP AS an der Applikatioun vum Client ugekënnegt. . Sou gëtt d'Informatioun iwwer d'Strecke vu Clientnetzwierker komplett vum Client iwwer d'Astellunge vum Client Router kontrolléiert.
- Als Äntwert vu sengem Manager kritt de Client Comptablesdaten fir Aféierung a sengem VRF vun der Form:
- VPN-HUB IP Adress
- Login
- Authentifikatioun Passwuert
- Configuréiert CPE, ënnert, zum Beispill, zwou Basiskonfiguratiounsoptiounen:
Optioun fir Cisco:
crypto ikev2 Keyring BeelineIPsec_keyring
peer Beeline_VPNHub
Adress 62.141.99.183 -VPN Hub Beeline
Pre-gedeelt-Schlëssel <Authentifikatioun Passwuert>
!
Fir déi statesch Routingoptioun kënnen d'Strecken op Netzwierker zougänglech iwwer de Vpn-Hub an der IKEv2 Konfiguratioun spezifizéiert ginn a si wäerten automatesch als statesch Routen an der CE Routing-Tabelle erschéngen. Dës Astellunge kënnen och mat der Standardmethod gemaach ginn fir statesch routes ze setzen (kuckt hei ënnen).crypto ikev2 Autorisatiounspolitik FlexClient-Auteur
Route op Netzwierker hannert dem CE Router - eng obligatoresch Astellung fir statesch Routing tëscht CE an PE. Den Transfert vu Streckdaten op d'PE gëtt automatesch duerchgefouert wann den Tunnel duerch IKEv2 Interaktioun erhéicht gëtt.
Route Set Fernbedienung IPv4 10.1.1.0 255.255.255.0 - Büro lokal Netzwierk
!
crypto ikev2 Profil BeelineIPSec_profile
lokal Identitéit <Login>
Authentifikatioun lokal Pre-deelen
Authentifikatioun Remote Pre-Share
keyring lokal BeelineIPsec_keyring
aaa Autorisatiounsgrupp psk Lëscht Grupp-Auteur-Lëscht FlexClient-Auteur
!
crypto ikev2 Client flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
Client Connect Tunnel1
!
crypto ipsec Transform-Set TRANSFORM1 esp-aes 256 esp-sha256-hmac
Modus Tunnel
!
Krypto ipsec Profil Standard
set transform-set TRANSFORM1
set ikev2-Profil BeelineIPSec_profile
!
Interface Tunnel1
IP Adress: 10.20.1.2 255.255.255.252 - Tunnel Adress
Tunnel Quell GigabitEthernet0/2 -Internet Zougang Interface
Tunnelmodus ipsec ipv4
Tunnel Destinatioun dynamesch
Tunnelschutz ipsec Profil Standard
!
Routen op de Client seng privat Netzwierker zougänglech iwwer de Beeline VPN Konzentrator kënne statesch gesat ginn.IP route 172.16.0.0 255.255.0.0 Tunnel1
IP route 192.168.0.0 255.255.255.0 Tunnel1Optioun fir Huawei (ar160/120):
also lokal Numm <Login>
#
acl Numm ipsec 3999
Regel 1 Erlaabnis IP Quell 10.1.1.0 0.0.0.255 - Büro lokal Netzwierk
#
AAA
Service Schema IPSEC
Route Set acl 3999
#
ipsec Propositioun ipsec
esp Authentifikatioun-Algorithmus sha2-256
esp Verschlësselungsalgorithmus aes-256
#
ike Propositioun Standard
Verschlësselungsalgorithmus aes-256
dh Grupp 2
Authentifikatioun-Algorithmus sha2-256
Authentifikatioun-Methode Pre-deelen
Integritéit-Algorithmus hmac-sha2-256
prf hmac-sha2-256
#
ech peer ipsec
Pre-gedeelt-Schlëssel einfach <Authentifikatioun Passwuert>
lokal-ID-Typ fqdn
Remote-ID-Typ ip
Fern-Adress 62.141.99.183 -VPN Hub Beeline
Service Schema IPSEC
config-austausch Ufro
config-exchange Set akzeptéieren
config-exchange set send
#
ipsec Profil ipsecprof
ike-peer ipsec
Propositioun ipsec
#
Interface Tunnel0/0/0
IP Adress: 10.20.1.2 255.255.255.252 - Tunnel Adress
Tunnel-Protokoll ipsec
Quell GigabitEthernet0/0/1 -Internet Zougang Interface
ipsec Profil ipsecprof
#
Routen op de Client seng privat Netzwierker zougänglech iwwer de Beeline VPN Konzentrator kënne statesch gesat ginnIP route-statesch 192.168.0.0 255.255.255.0 Tunnel0/0/0
IP route-statesch 172.16.0.0 255.255.0.0 Tunnel0/0/0
Dat resultéierend Kommunikatiounsdiagramm gesäit esou aus:
Wann de Client net e puer Beispiller vun der Basiskonfiguratioun huet, da hëllefe mir normalerweis mat hirer Formatioun a maachen se fir all aner verfügbar.
Alles wat bleift ass den CPE mam Internet ze verbannen, Ping un den Äntwertdeel vum VPN Tunnel an all Host am VPN, an dat ass et, mir kënnen unhuelen datt d'Verbindung gemaach gouf.
Am nächsten Artikel wäerte mir Iech soen wéi mir dëst Schema mat IPSec a MultiSIM Redundanz mat Huawei CPE kombinéiert hunn: Mir installéieren eis Huawei CPE fir Clienten, déi net nëmmen e kabellosen Internetkanal benotzen, awer och 2 verschidde SIM Kaarten, an de CPE baut automatesch IPSec- Tunnel entweder iwwer kabelt WAN oder iwwer Radio (LTE # 1 / LTE # 2), realiséiert héich Feeler Toleranz vun der doraus resultéierend Service.
Besonnesch Merci un eis RnD Kollegen fir dësen Artikel virzebereeden (an tatsächlech un d'Auteuren vun dësen technesche Léisungen)!
Source: will.com