Sveiki! IN
Ir vÄrts sÄkt ar to, ka mums kÄ telekomunikÄciju operatoram ir savs milzÄ«gs MPLS tÄ«kls, kas fiksÄto lÄ«niju klientiem ir sadalÄ«ts divos galvenajos segmentos ā tajÄ, kas tiek izmantots tieÅ”i interneta piekļuvei, un tajÄ, kas ir izmanto, lai izveidotu izolÄtus tÄ«klus ā un tieÅ”i caur Å”o MPLS segmentu mÅ«su korporatÄ«vajiem klientiem plÅ«st IPVPN (L3 OSI) un VPLAN (L2 OSI) trafika.
Parasti klienta savienojums notiek Å”Ädi.
Klienta birojam tiek izveidota piekļuves lÄ«nija no tuvÄkÄ tÄ«kla klÄtbÅ«tnes punkta (mezgls MEN, RRL, BSSS, FTTB utt.) un tÄlÄk kanÄls caur transporta tÄ«klu tiek reÄ£istrÄts atbilstoÅ”ajam PE-MPLS. marÅ”rutÄtÄjs, uz kura mÄs to izvadÄm uz speciÄli VRF klientam izveidoto, Åemot vÄrÄ klientam nepiecieÅ”amo trafika profilu (katram piekļuves portam tiek atlasÄ«tas profila etiÄ·etes, pamatojoties uz IP prioritÄtes vÄrtÄ«bÄm 0,1,3,5, XNUMX).
Ja kÄdu iemeslu dÄļ nevaram pilnÄ«bÄ noorganizÄt klientam pÄdÄjo jÅ«dzi, piemÄram, klienta birojs atrodas biznesa centrÄ, kur prioritÄte ir citam pakalpojumu sniedzÄjam, vai arÄ« mums vienkÄrÅ”i nav tuvumÄ mÅ«su klÄtbÅ«tnes punkta, tad iepriekÅ” klienti bija jÄizveido vairÄki IPVPN tÄ«kli pie dažÄdiem pakalpojumu sniedzÄjiem (nav visrentablÄkÄ arhitektÅ«ra) vai patstÄvÄ«gi jÄatrisina problÄmas ar piekļuves organizÄÅ”anu jÅ«su VRF, izmantojot internetu.
Daudzi to izdarÄ«ja, instalÄjot IPVPN interneta vÄrteju - viÅi uzstÄdÄ«ja robežmarÅ”rutÄtÄju (aparatÅ«ru vai kÄdu uz Linux balstÄ«tu risinÄjumu), ar vienu portu pievienoja tam IPVPN kanÄlu un ar otru interneta kanÄlu, palaida tajÄ savu VPN serveri un izveidoja savienojumu. lietotÄjiem, izmantojot savu VPN vÄrteju. LikumsakarÄ«gi, ka Å”Äda shÄma rada arÄ« apgrÅ«tinÄjumus: Å”Äda infrastruktÅ«ra ir jÄbÅ«vÄ un, visneÄrtÄk, tÄ ekspluatÄ un jÄattÄ«sta.
Lai atvieglotu mÅ«su klientu dzÄ«vi, mÄs uzstÄdÄ«jÄm centralizÄtu VPN centrmezglu un organizÄjÄm atbalstu savienojumiem internetÄ, izmantojot IPSec, tas ir, tagad klientiem ir tikai jÄkonfigurÄ marÅ”rutÄtÄjs darbam ar mÅ«su VPN centrmezglu, izmantojot IPSec tuneli, izmantojot jebkuru publisko internetu. , un mÄs atbrÄ«vosim Ŕī klienta trafiku tÄ VRF.
Kam vajadzÄs
- Tiem, kuriem jau ir liels IPVPN tÄ«kls un ir nepiecieÅ”ami jauni savienojumi Ä«sÄ laikÄ.
- Ikviens, kurÅ” kaut kÄdu iemeslu dÄļ vÄlas pÄrsÅ«tÄ«t daļu trafika no publiskÄ interneta uz IPVPN, taÄu iepriekÅ” ir saskÄries ar tehniskiem ierobežojumiem, kas saistÄ«ti ar vairÄkiem pakalpojumu sniedzÄjiem.
- Tiem, kuriem paÅ”laik ir vairÄki atŔķirÄ«gi VPN tÄ«kli no dažÄdiem telekomunikÄciju operatoriem. Ir klienti, kuri veiksmÄ«gi organizÄjuÅ”i IPVPN no Beeline, Megafon, Rostelecom utt. Lai to atvieglotu, varat palikt tikai mÅ«su vienotajÄ VPN, pÄrslÄgt visus pÄrÄjos citu operatoru kanÄlus uz internetu un pÄc tam izveidot savienojumu ar Beeline IPVPN, izmantojot IPSec un internetu no Å”iem operatoriem.
- Tiem, kuriem jau ir IPVPN tÄ«kls, kas pÄrklÄts internetÄ.
Ja visu izvietojat pie mums, klienti saÅem pilnvÄrtÄ«gu VPN atbalstu, nopietnu infrastruktÅ«ras dublÄÅ”anu un standarta iestatÄ«jumus, kas darbosies uz jebkura marÅ”rutÄtÄja, pie kura viÅi ir pieraduÅ”i (vai tas bÅ«tu Cisco, pat Mikrotik, galvenais, lai tas varÄtu pareizi atbalstÄ«t IPSec/IKEv2 ar standartizÄtÄm autentifikÄcijas metodÄm). Starp citu, par IPSec - Å”obrÄ«d tikai atbalstÄm, bet plÄnojam uzsÄkt pilnvÄrtÄ«gu gan OpenVPN, gan Wireguard darbÄ«bu, lai klienti nevarÄtu bÅ«t atkarÄ«gi no protokola un vÄl vienkÄrÅ”Äk bÅ«tu visu paÅemt un nodot mums, un mÄs arÄ« vÄlamies sÄkt savienot klientus no datoriem un mobilajÄm ierÄ«cÄm (OS iebÅ«vÄti risinÄjumi, Cisco AnyConnect un strongSwan un tamlÄ«dzÄ«gi). Izmantojot Å”o pieeju, de facto infrastruktÅ«ras izbÅ«vi var droÅ”i nodot operatoram, atstÄjot tikai CPE vai resursdatora konfigurÄciju.
KÄ savienojuma process darbojas IPSec režīmÄ:
- Klients atstÄj pieprasÄ«jumu savam pÄrvaldniekam, kurÄ norÄda nepiecieÅ”amo savienojuma Ätrumu, trafika profilu un tuneļa IP adresÄcijas parametrus (pÄc noklusÄjuma apakÅ”tÄ«kls ar /30 masku) un marÅ”rutÄÅ”anas veidu (statiskÄ vai BGP). MarÅ”rutu pÄrsÅ«tÄ«Å”anai uz klienta lokÄlajiem tÄ«kliem pievienotajÄ birojÄ tiek izmantoti IPSec protokola fÄzes IKEv2 mehÄnismi, izmantojot atbilstoÅ”os klienta marÅ”rutÄtÄja iestatÄ«jumus, vai arÄ« tie tiek reklamÄti caur BGP MPLS formÄtÄ no klienta aplikÄcijÄ norÄdÄ«tÄs privÄtÄs BGP AS. . TÄdÄjÄdi informÄciju par klientu tÄ«klu marÅ”rutiem klients pilnÄ«bÄ kontrolÄ, izmantojot klienta marÅ”rutÄtÄja iestatÄ«jumus.
- Atbildot no sava menedžera, klients saÅem grÄmatvedÄ«bas datus iekļauÅ”anai savÄ veidlapas VRF:
- VPN-HUB IP adrese
- P> RŃRŃReRŠ
- AutentifikÄcijas parole
- KonfigurÄ CPE, piemÄram, divas pamata konfigurÄcijas opcijas:
Cisco opcija:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
adrese 62.141.99.183 - VPN centrmezgls Beeline
iepriekÅ” koplietotÄ atslÄga <AutentifikÄcijas parole>
!
StatiskÄs marÅ”rutÄÅ”anas opcijai IKEv2 konfigurÄcijÄ var norÄdÄ«t marÅ”rutus uz tÄ«kliem, kas pieejami caur Vpn-centru, un tie automÄtiski tiks parÄdÄ«ti kÄ statiski marÅ”ruti CE marÅ”rutÄÅ”anas tabulÄ. Å os iestatÄ«jumus var veikt arÄ«, izmantojot statisko marÅ”rutu iestatÄ«Å”anas standarta metodi (skatiet tÄlÄk).crypto ikev2 autorizÄcijas politika FlexClient-author
MarÅ”ruts uz tÄ«kliem aiz CE marÅ”rutÄtÄja ā obligÄts iestatÄ«jums statiskai marÅ”rutÄÅ”anai starp CE un PE. MarÅ”ruta datu pÄrsÅ«tÄ«Å”ana uz PE tiek veikta automÄtiski, kad tunelis tiek pacelts, izmantojot IKEv2 mijiedarbÄ«bu.
marÅ”ruta iestatÄ«jums attÄlais ipv4 10.1.1.0 255.255.255.0 - Biroja vietÄjais tÄ«kls
!
crypto ikev2 profils BeelineIPSec_profile
identitÄte vietÄjÄ <pieteikÅ”anÄs>
autentifikÄcija vietÄjÄ iepriekÅ”Äja koplietoÅ”ana
autentifikÄcijas attÄlÄ iepriekÅ”Äja kopÄ«goÅ”ana
atslÄgu piekariÅa vietÄjais BeelineIPsec_keyring
aaa autorizÄcijas grupa psk saraksts group-author-list FlexClient-author
!
crypto ikev2 klienta flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
klienta savienojums Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
režīma tunelis
!
kriptogrÄfijas ipsec profila noklusÄjums
set transform-set TRANSFORM1
iestatiet ikev2-profile BeelineIPSec_profile
!
interfeiss Tunnel1
IP adrese 10.20.1.2 255.255.255.252 -Tuneļa adrese
tuneļa avots GigabitEthernet0/2 - Interneta piekļuves interfeiss
tuneļa režīms ipsec ipv4
tuneļa galamÄrÄ·a dinamika
tuneļa aizsardzÄ«ba ipsec profila noklusÄjums
!
MarÅ”rutus uz klienta privÄtajiem tÄ«kliem, kas pieejami, izmantojot Beeline VPN koncentratoru, var iestatÄ«t statiski.ip marÅ”ruts 172.16.0.0 255.255.0.0 Tunelis 1
ip marŔruts 192.168.0.0 255.255.255.0 Tunelis 1Opcija Huawei (ar160/120):
piemÄram, vietÄjais nosaukums <pieteikÅ”anÄs>
#
acl nosaukums ipsec 3999
1. noteikums atļauja ip avots 10.1.1.0 0.0.0.255 - Biroja vietÄjais tÄ«kls
#
aaa
pakalpojumu shÄma IPSEC
marŔruta komplekts acl 3999
#
ipsec priekŔlikums ipsec
esp autentifikÄcijas algoritms sha2-256
esp Å”ifrÄÅ”anas algoritms aes-256
#
ike priekÅ”likuma noklusÄjuma
Å”ifrÄÅ”anas algoritms aes-256
dh grupa2
autentifikÄcijas algoritms sha2-256
autentifikÄcijas metodes iepriekÅ”Äja kopÄ«goÅ”ana
integritÄtes algoritms hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
vienkÄrÅ”a iepriekÅ” koplietota atslÄga <AutentifikÄcijas parole>
vietÄjÄ ID tipa fqdn
remote-id-type ip
attÄlÄ adrese 62.141.99.183 - VPN centrmezgls Beeline
pakalpojumu shÄma IPSEC
konfigurÄcijas apmaiÅas pieprasÄ«jums
konfigurÄcijas apmaiÅas komplekts pieÅemt
konfigurÄcijas apmaiÅas komplekta nosÅ«tÄ«Å”ana
#
ipsec profils ipsecprof
ike-peer ipsec
priekŔlikums ipsec
#
saskarne Tunnel0/0/0
IP adrese 10.20.1.2 255.255.255.252 -Tuneļa adrese
tuneļa protokols ipsec
avots GigabitEthernet0/0/1 - Interneta piekļuves interfeiss
ipsec profils ipsecprof
#
MarÅ”rutus uz klienta privÄtajiem tÄ«kliem, kas pieejami, izmantojot Beeline VPN koncentratoru, var iestatÄ«t statiskiIP marÅ”ruts-statiskais 192.168.0.0 255.255.255.0 Tunnelis0/0/0
IP marŔruts-statiskais 172.16.0.0 255.255.0.0 Tunnelis0/0/0
IegÅ«tÄ komunikÄcijas diagramma izskatÄs apmÄram Å”Ädi:
Ja klientam nav daži pamata konfigurÄcijas piemÄri, tad parasti palÄ«dzam to veidoÅ”anÄ un padarÄm pieejamus visiem pÄrÄjiem.
Atliek tikai savienot CPE ar internetu, ping uz VPN tuneļa atbildes daļu un jebkuru saimniekdatoru VPN iekÅ”ienÄ, un tas ir viss, mÄs varam pieÅemt, ka savienojums ir izveidots.
NÄkamajÄ rakstÄ mÄs jums pastÄstÄ«sim, kÄ mÄs apvienojÄm Å”o shÄmu ar IPSec un MultiSIM redundancy, izmantojot Huawei CPE: mÄs uzstÄdÄm mÅ«su Huawei CPE klientiem, kas var izmantot ne tikai vadu interneta kanÄlu, bet arÄ« 2 dažÄdas SIM kartes un CPE. automÄtiski atjauno IPSec tuneli, izmantojot vadu WAN vai radio (LTE#1/LTE#2), realizÄjot iegÅ«tÄ pakalpojuma augstu kļūdu toleranci.
ÄŖpaÅ”s paldies mÅ«su RnD kolÄÄ£iem par Ŕī raksta sagatavoÅ”anu (un patiesÄ«bÄ arÄ« Å”o tehnisko risinÄjumu autoriem)!
Avots: www.habr.com