hello! DALAM Saya menerangkan sebahagian daripada kerja perkhidmatan MultiSIM kami ΠΈ saluran. Seperti yang dinyatakan, kami menghubungkan pelanggan ke rangkaian melalui VPN, dan hari ini saya akan memberitahu anda lebih lanjut tentang VPN dan keupayaan kami dalam bahagian ini.
Perlu dimulakan dengan fakta bahawa kami, sebagai pengendali telekomunikasi, mempunyai rangkaian MPLS kami yang besar, yang untuk pelanggan talian tetap dibahagikan kepada dua segmen utama - yang digunakan secara langsung untuk mengakses Internet, dan yang digunakan untuk mencipta rangkaian terpencil β dan melalui segmen MPLS inilah trafik IPVPN (L3 OSI) dan VPLAN (L2 OSI) bergerak untuk pelanggan korporat kami.
Biasanya, sambungan pelanggan berlaku seperti berikut.
Talian akses diletakkan ke pejabat pelanggan dari Tempat Kehadiran rangkaian terdekat (nod MEN, RRL, BSSS, FTTB, dll.) dan seterusnya, saluran itu didaftarkan melalui rangkaian pengangkutan ke PE-MPLS yang sepadan penghala, di mana kami mengeluarkannya ke yang dicipta khas untuk klien VRF, dengan mengambil kira profil trafik yang diperlukan oleh pelanggan (label profil dipilih untuk setiap port akses, berdasarkan nilai keutamaan ip 0,1,3,5, XNUMX).
Jika atas sebab tertentu kami tidak dapat mengatur sepenuhnya langkah terakhir untuk pelanggan, sebagai contoh, pejabat pelanggan terletak di pusat perniagaan, di mana pembekal lain menjadi keutamaan, atau kami tidak mempunyai tempat kehadiran kami berdekatan, maka sebelum ini pelanggan terpaksa mencipta beberapa rangkaian IPVPN di pembekal yang berbeza (bukan seni bina yang paling kos efektif) atau menyelesaikan masalah secara bebas dengan mengatur akses kepada VRF anda melalui Internet.
Ramai yang melakukan ini dengan memasang gerbang Internet IPVPN - mereka memasang penghala sempadan (perkakasan atau beberapa penyelesaian berasaskan Linux), menyambungkan saluran IPVPN kepadanya dengan satu port dan saluran Internet dengan yang lain, melancarkan pelayan VPN mereka padanya dan menyambung pengguna melalui gerbang VPN mereka sendiri. Sememangnya, skim sedemikian juga menimbulkan beban: infrastruktur sedemikian mesti dibina dan, paling tidak selesa, dikendalikan dan dibangunkan.
Untuk menjadikan kehidupan lebih mudah untuk pelanggan kami, kami memasang hab VPN berpusat dan sokongan teratur untuk sambungan melalui Internet menggunakan IPSec, iaitu, kini pelanggan hanya perlu mengkonfigurasi penghala mereka untuk berfungsi dengan hab VPN kami melalui terowong IPSec melalui mana-mana Internet awam , dan kami Mari lepaskan trafik pelanggan ini ke VRFnya.
Siapa yang akan memerlukan
- Bagi mereka yang sudah mempunyai rangkaian IPVPN yang besar dan memerlukan sambungan baharu dalam masa yang singkat.
- Sesiapa sahaja yang, atas sebab tertentu, ingin memindahkan sebahagian daripada trafik daripada Internet awam kepada IPVPN, tetapi sebelum ini telah menghadapi had teknikal yang dikaitkan dengan beberapa pembekal perkhidmatan.
- Bagi mereka yang pada masa ini mempunyai beberapa rangkaian VPN yang berbeza merentasi pengendali telekomunikasi yang berbeza. Terdapat pelanggan yang telah berjaya mengatur IPVPN dari Beeline, Megafon, Rostelecom, dll. Untuk memudahkannya, anda hanya boleh menggunakan VPN tunggal kami, menukar semua saluran lain operator lain ke Internet, dan kemudian menyambung ke Beeline IPVPN melalui IPSec dan Internet daripada operator ini.
- Bagi mereka yang sudah mempunyai rangkaian IPVPN bertindih di Internet.
Jika anda menggunakan segala-galanya dengan kami, maka pelanggan menerima sokongan VPN sepenuhnya, lebihan infrastruktur yang serius, dan tetapan standard yang akan berfungsi pada mana-mana penghala yang mereka gunakan (sama ada Cisco, malah Mikrotik, perkara utama ialah ia boleh menyokong dengan betul IPSec/IKEv2 dengan kaedah pengesahan piawai). Ngomong-ngomong, mengenai IPSec - sekarang kami hanya menyokongnya, tetapi kami merancang untuk melancarkan operasi penuh OpenVPN dan Wireguard, supaya pelanggan tidak boleh bergantung pada protokol dan lebih mudah untuk mengambil dan memindahkan segala-galanya kepada kami, dan kami juga mahu mula menyambungkan pelanggan daripada komputer dan peranti mudah alih (penyelesaian terbina dalam OS, Cisco AnyConnect dan strongSwan dan seumpamanya). Dengan pendekatan ini, pembinaan de facto infrastruktur boleh diserahkan dengan selamat kepada pengendali, hanya meninggalkan konfigurasi CPE atau hos.
Bagaimanakah proses sambungan berfungsi untuk mod IPSec:
- Pelanggan meninggalkan permintaan kepada pengurusnya di mana dia menunjukkan kelajuan sambungan yang diperlukan, profil trafik dan parameter pengalamatan IP untuk terowong (secara lalai, subnet dengan topeng /30) dan jenis penghalaan (statik atau BGP). Untuk memindahkan laluan ke rangkaian tempatan pelanggan di pejabat yang disambungkan, mekanisme IKEv2 fasa protokol IPSec digunakan menggunakan tetapan yang sesuai pada penghala klien, atau ia diiklankan melalui BGP dalam MPLS daripada BGP peribadi AS yang dinyatakan dalam aplikasi pelanggan. . Oleh itu, maklumat tentang laluan rangkaian pelanggan dikawal sepenuhnya oleh pelanggan melalui tetapan penghala pelanggan.
- Sebagai tindak balas daripada pengurusnya, pelanggan menerima data perakaunan untuk dimasukkan ke dalam borang VRFnya:
- Alamat IP VPN-HUB
- login
- Kata laluan pengesahan
- Mengkonfigurasikan CPE, di bawah, sebagai contoh, dua pilihan konfigurasi asas:
Pilihan untuk Cisco:
kripto ikev2 keyring BeelineIPsec_keyring
rakan sebaya Beeline_VPNHub
alamat 62.141.99.183 βHab VPN Beeline
pra-kongsi-kunci <Kata laluan pengesahan>
!
Untuk pilihan penghalaan statik, laluan ke rangkaian yang boleh diakses melalui hab Vpn boleh ditentukan dalam konfigurasi IKEv2 dan laluan tersebut akan muncul secara automatik sebagai laluan statik dalam jadual penghalaan CE. Tetapan ini juga boleh dibuat menggunakan kaedah standard menetapkan laluan statik (lihat di bawah).dasar kebenaran crypto ikev2 FlexClient-author
Laluan ke rangkaian di belakang penghala CE β tetapan wajib untuk penghalaan statik antara CE dan PE. Pemindahan data laluan ke PE dilakukan secara automatik apabila terowong dinaikkan melalui interaksi IKEv2.
set laluan ipv4 jauh 10.1.1.0 255.255.255.0 βRangkaian tempatan pejabat
!
profil crypto ikev2 BeelineIPSec_profile
identiti setempat <log masuk>
pra-perkongsian tempatan pengesahan
pra-kongsi jauh pengesahan
keyring tempatan BeelineIPsec_keyring
aaa kumpulan kebenaran psk senarai kumpulan-pengarang-senarai FlexClient-pengarang
!
pelanggan crypto ikev2 flexvpn BeelineIPsec_flex
rakan sebaya 1 Beeline_VPNHub
pelanggan menyambung Terowong1
!
set-transformasi crypto ipsec TRANSFORM1 esp-aes 256 esp-sha256-hmac
terowong mod
!
lalai profil crypto ipsec
set transform-set TRANSFORM1
tetapkan profil-ikev2 BeelineIPSec_profile
!
antara muka Tunnel1
alamat ip 10.20.1.2 255.255.255.252 βAlamat terowong
sumber terowong GigabitEthernet0/2 βAntara muka akses Internet
mod terowong ipsec ipv4
dinamik destinasi terowong
perlindungan terowong lalai profil ipsec
!
Laluan ke rangkaian peribadi pelanggan yang boleh diakses melalui penumpuan VPN Beeline boleh ditetapkan secara statik.laluan ip 172.16.0.0 255.255.0.0 Terowong1
laluan ip 192.168.0.0 255.255.255.0 Terowong1Pilihan untuk Huawei (ar160/120):
seperti nama tempatan <log masuk>
#
nama acl ipsec 3999
peraturan 1 permit sumber ip 10.1.1.0 0.0.0.255 βRangkaian tempatan pejabat
#
aaa
IPSEC skim perkhidmatan
set laluan acl 3999
#
cadangan ipsec ipsec
esp algoritma pengesahan sha2-256
esp penyulitan-algoritma aes-256
#
cadangan ike lalai
penyulitan-algoritma aes-256
kumpulan dh2
algoritma-pengesahan sha2-256
pra-perkongsian kaedah pengesahan
integriti-algoritma hmac-sha2-256
prf hmac-sha2-256
#
ike rakan sebaya ipsec
pra-kongsi-kunci mudah <Kata laluan pengesahan>
local-id-type fqdn
ip jenis id jauh
alamat jauh 62.141.99.183 βHab VPN Beeline
IPSEC skim perkhidmatan
permintaan pertukaran konfigurasi
set config-exchange terima
config-exchange set hantar
#
profil ipsec ipsecprof
ike-peer ipsec
cadangan ipsec
#
antara muka Terowong0/0/0
alamat ip 10.20.1.2 255.255.255.252 βAlamat terowong
terowong-protokol ipsec
sumber GigabitEthernet0/0/1 βAntara muka akses Internet
profil ipsec ipsecprof
#
Laluan ke rangkaian peribadi pelanggan yang boleh diakses melalui penumpuan VPN Beeline boleh ditetapkan secara statiklaluan ip-statik 192.168.0.0 255.255.255.0 Terowong0/0/0
laluan ip-statik 172.16.0.0 255.255.0.0 Terowong0/0/0
Gambar rajah komunikasi yang terhasil kelihatan seperti ini:
Jika pelanggan tidak mempunyai beberapa contoh konfigurasi asas, maka kami biasanya membantu dengan pembentukan mereka dan menyediakannya kepada orang lain.
Yang tinggal hanyalah menyambungkan CPE ke Internet, ping ke bahagian tindak balas terowong VPN dan mana-mana hos di dalam VPN, dan itu sahaja, kita boleh menganggap bahawa sambungan telah dibuat.
Dalam artikel seterusnya kami akan memberitahu anda bagaimana kami menggabungkan skim ini dengan IPSec dan MultiSIM Redundansi menggunakan Huawei CPE: kami memasang Huawei CPE kami untuk pelanggan, yang boleh menggunakan bukan sahaja saluran Internet berwayar, tetapi juga 2 kad SIM berbeza, dan CPE membina semula terowong IPSec- secara automatik sama ada melalui WAN berwayar atau melalui radio (LTE#1/LTE#2), merealisasikan toleransi kesalahan yang tinggi terhadap perkhidmatan yang terhasil.
Terima kasih khas kepada rakan RnD kami kerana menyediakan artikel ini (dan, sebenarnya, kepada pengarang penyelesaian teknikal ini)!
Sumber: www.habr.com