Sveiki! IN
Verta pradėti nuo to, kad mes, kaip telekomunikacijų operatorius, turime savo didžiulį MPLS tinklą, kuris fiksuoto ryšio klientams yra padalintas į du pagrindinius segmentus – tą, kuris naudojamas tiesiogiai prisijungti prie interneto, ir tą, kuris yra naudojami izoliuotiems tinklams kurti – būtent per šį MPLS segmentą IPVPN (L3 OSI) ir VPLAN (L2 OSI) srautas perduodamas mūsų verslo klientams.
Paprastai kliento ryšys vyksta taip.
Prie kliento biuro nutiesiama prieigos linija iš artimiausio tinklo buvimo vietos (mazgas MEN, RRL, BSSS, FTTB ir kt.), o toliau kanalas per transporto tinklą registruojamas į atitinkamą PE-MPLS. maršrutizatorius, kuriame jį išvedame į specialiai sukurtą VRF klientui, atsižvelgdami į klientui reikalingą srauto profilį (profilio etiketės parenkamos kiekvienam prieigos prievadui, remiantis IP pirmumo reikšmėmis 0,1,3,5, XNUMX).
Jei dėl kokių nors priežasčių negalime iki galo suorganizuoti paskutinės mylios klientui, pavyzdžiui, kliento biuras yra verslo centre, kur prioritetas yra kitam tiekėjui, arba mes tiesiog neturime savo buvimo vietos šalia, tai anksčiau klientai turėjo sukurti kelis IPVPN tinklus pas skirtingus tiekėjus (ne pati ekonomiškiausia architektūra) arba savarankiškai išspręsti problemas, susijusias su prieigos prie jūsų VRF internetu organizavimu.
Daugelis tai padarė įdiegę IPVPN interneto šliuzą – įdiegė pasienio maršrutizatorių (aparatinę įrangą ar kokį nors Linux pagrindu sukurtą sprendimą), su vienu prievadu prie jo prijungė IPVPN kanalą, o su kitu – interneto kanalą, paleido jame savo VPN serverį ir prisijungė. vartotojai per savo VPN šliuzą. Natūralu, kad tokia schema taip pat sukuria naštą: tokia infrastruktūra turi būti pastatyta ir, kas neparankiausia, eksploatuojama ir vystoma.
Siekdami palengvinti savo klientų gyvenimą, įdiegėme centralizuotą VPN šakotuvą ir organizavome ryšių palaikymą internetu naudojant IPSec, tai yra, dabar klientams tereikia sukonfigūruoti maršruto parinktuvą, kad jis veiktų su mūsų VPN šakotuvu per IPSec tunelį per bet kurį viešąjį internetą. , ir išleisime šio kliento srautą į jo VRF.
Kam tai bus naudinga?
- Tiems, kurie jau turi didelį IPVPN tinklą ir kuriems reikia naujų jungčių per trumpą laiką.
- Kiekvienas, kuris dėl kokių nors priežasčių nori perkelti dalį srauto iš viešojo interneto į IPVPN, tačiau anksčiau susidūrė su techniniais apribojimais, susijusiais su keliais paslaugų teikėjais.
- Tiems, kurie šiuo metu turi kelis skirtingus VPN tinklus tarp skirtingų telekomunikacijų operatorių. Yra klientų, kurie sėkmingai organizavo IPVPN iš „Beeline“, „Megafon“, „Rostelecom“ ir kt. Kad būtų lengviau, galite likti tik prie mūsų vieno VPN, perjungti visus kitus kitų operatorių kanalus į internetą ir prisijungti prie „Beeline IPVPN“ per IPSec ir internetą iš šių operatorių.
- Tiems, kurie jau turi IPVPN tinklą internete.
Jei viską įdiegsite pas mus, klientai gaus visavertį VPN palaikymą, rimtą infrastruktūros perteklių ir standartinius nustatymus, kurie veiks bet kuriame maršrutizatoriuje, prie kurio jie įpratę (ar tai būtų Cisco, net Mikrotik, svarbiausia, kad jis galėtų tinkamai palaikyti IPSec/IKEv2 su standartizuotais autentifikavimo metodais). Beje, apie IPSec – šiuo metu tik palaikome, bet planuojame pradėti visavertį ir OpenVPN, ir Wireguard veikimą, kad klientai negalėtų priklausyti nuo protokolo ir būtų dar paprasčiau viską paimti ir perduoti mums, taip pat norime pradėti jungti klientus iš kompiuterių ir mobiliųjų įrenginių (į OS įmontuoti sprendimai, Cisco AnyConnect ir strongSwan ir panašiai). Taikant šį metodą, de facto infrastruktūros statyba gali būti saugiai perduota operatoriui, paliekant tik CPE arba pagrindinio kompiuterio konfigūraciją.
Kaip prisijungimo procesas veikia naudojant IPSec režimą:
- Klientas palieka savo vadovui užklausą, kurioje nurodo reikiamą ryšio greitį, srauto profilį ir tunelio IP adresavimo parametrus (pagal numatytuosius nustatymus potinklis su /30 kauke) ir maršruto tipą (statinis arba BGP). Norėdami perkelti maršrutus į kliento vietinius tinklus prijungtame biure, naudojant atitinkamus kliento maršrutizatoriaus nustatymus, naudojami IPSec protokolo fazės IKEv2 mechanizmai arba jie reklamuojami per BGP MPLS iš privataus BGP AS, nurodyto kliento programoje. . Taigi informaciją apie klientų tinklų maršrutus klientas visiškai valdo per kliento maršrutizatoriaus nustatymus.
- Atsakydamas iš savo vadovo, klientas gauna apskaitos duomenis, kad jie būtų įtraukti į savo formos VRF:
- VPN-HUB IP adresas
- Vartotojas
- Autentifikavimo slaptažodis
- Konfigūruoja CPE, pvz., dvi pagrindines konfigūracijos parinktis:
„Cisco“ parinktis:
crypto ikev2 raktų žiedas BeelineIPsec_keyring
Peer Beeline_VPNHub
adresas 62.141.99.183 – VPN centras „Beeline“.
pre-shared-key <Autentifikavimo slaptažodis>
!
Naudojant statinio maršruto parinktį, IKEv2 konfigūracijoje gali būti nurodyti maršrutai į tinklus, pasiekiamus per Vpn-hub, ir jie automatiškai bus rodomi kaip statiniai maršrutai CE maršruto lentelėje. Šiuos nustatymus taip pat galima atlikti naudojant standartinį statinių maršrutų nustatymo metodą (žr. toliau).crypto ikev2 autorizacijos politika FlexClient-author
Maršrutas į tinklus už CE maršrutizatoriaus – privalomas statinio maršruto tarp CE ir PE nustatymas. Maršruto duomenų perkėlimas į PE atliekamas automatiškai, kai tunelis pakeliamas per IKEv2 sąveiką.
maršruto rinkinys nuotolinis ipv4 10.1.1.0 255.255.255.0 – Biuro vietinis tinklas
!
crypto ikev2 profilis BeelineIPSec_profile
tapatybė vietinė <prisijungti>
autentifikavimas vietinis išankstinis bendrinimas
autentifikavimo nuotolinis išankstinis bendrinimas
raktų pakabukas vietinis BeelineIPsec_keyring
aaa autorizacijos grupė psk sąrašas group-author-list FlexClient-author
!
crypto ikev2 klientas flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
kliento prisijungimo tunelis1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
režimo tunelis
!
crypto ipsec profilis numatytasis
rinkinys transform-set TRANSFORM1
nustatyti ikev2 profilį BeelineIPSec_profile
!
sąsaja Tunnel1
IP adresas 10.20.1.2 255.255.255.252 – Tunelio adresas
tunelio šaltinis GigabitEthernet0/2 - Interneto prieigos sąsaja
tunelio režimas ipsec ipv4
tunelio paskirties dinamika
tunelio apsauga numatytasis ipsec profilis
!
Maršrutus į kliento privačius tinklus, pasiekiamus per „Beeline VPN“ koncentratorių, galima nustatyti statiškai.ip maršrutas 172.16.0.0 255.255.0.0 Tunelis 1
ip maršrutas 192.168.0.0 255.255.255.0 Tunelis 1„Huawei“ (ar160/120) parinktis:
kaip vietinis vardas <prisijungti>
#
acl pavadinimas ipsec 3999
1 taisyklė leidimas ip šaltinis 10.1.1.0 0.0.0.255 – Biuro vietinis tinklas
#
aaa
paslaugų schema IPSEC
maršruto rinkinys acl 3999
#
ipsec pasiūlymas ipsec
esp autentifikavimo algoritmas sha2-256
esp šifravimo algoritmas aes-256
#
ike pasiūlymas pagal nutylėjimą
šifravimo algoritmas aes-256
dh grupė2
autentifikavimo algoritmas sha2-256
autentifikavimo metodas, išankstinis bendrinimas
vientisumas-algoritmas hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
paprastas iš anksto bendrinamas raktas <Autentifikavimo slaptažodis>
vietinio ID tipo fqdn
nuotolinio ID tipo ip
nuotolinis adresas 62.141.99.183 – VPN centras „Beeline“.
paslaugų schema IPSEC
konfigūracijos keitimo užklausa
Config-Exchange rinkinys priimti
config-exchange set siųsti
#
ipsec profilis ipsecprof
ike-peer ipsec
pasiūlymas ipsec
#
sąsaja Tunnel0/0/0
IP adresas 10.20.1.2 255.255.255.252 – Tunelio adresas
tunelio protokolas ipsec
šaltinis GigabitEthernet0/0/1 - Interneto prieigos sąsaja
ipsec profilis ipsecprof
#
Maršrutus į kliento privačius tinklus, pasiekiamus per „Beeline VPN“ koncentratorių, galima nustatyti statiškaiip maršrutas-statinis 192.168.0.0 255.255.255.0 Tunelis0/0/0
ip maršrutas-statinis 172.16.0.0 255.255.0.0 Tunelis0/0/0
Gauta komunikacijos schema atrodo maždaug taip:
Jei klientas neturi kai kurių pagrindinės konfigūracijos pavyzdžių, dažniausiai padedame juos suformuoti ir padarome prieinamus visiems kitiems.
Belieka tik prijungti CPE prie interneto, ping į VPN tunelio atsako dalį ir bet kurį VPN viduje esantį pagrindinį kompiuterį, ir viskas, galime manyti, kad ryšys buvo užmegztas.
Kitame straipsnyje papasakosime, kaip šią schemą derinome su IPSec ir MultiSIM redundancy naudojant Huawei CPE: klientams įdiegiame savo Huawei CPE, kuris gali naudoti ne tik laidinį interneto kanalą, bet ir 2 skirtingas SIM korteles bei CPE. automatiškai atkuria IPSec tunelį per laidinį WAN arba radiją (LTE#1/LTE#2), realizuodamas aukštą gaunamos paslaugos atsparumą gedimams.
Ypatingas ačiū mūsų RnD kolegoms už šio straipsnio parengimą (ir, tiesą sakant, šių techninių sprendimų autoriams)!
Šaltinis: www.habr.com