Bongu! IN
Ta 'min nibdew mill-fatt li aħna, bħala operatur tat-telekomunikazzjoni, għandna n-netwerk MPLS enormi tagħna stess, li għall-klijenti tal-linja fissa huwa maqsum f'żewġ segmenti ewlenin - dak li jintuża direttament biex jaċċessa l-Internet, u dak li huwa użati biex jinħolqu netwerks iżolati - u huwa permezz ta 'dan is-segment MPLS li IPVPN (L3 OSI) u VPLAN (L2 OSI) flussi tat-traffiku għall-klijenti korporattivi tagħna.
Tipikament, konnessjoni tal-klijent isseħħ kif ġej.
Linja ta' aċċess titqiegħed għall-uffiċċju tal-klijent mill-eqreb Punt ta 'Preżenza tan-netwerk (node MEN, RRL, BSSS, FTTB, eċċ.) U barra minn hekk, il-kanal huwa rreġistrat permezz tan-netwerk tat-trasport għall-PE-MPLS korrispondenti router, li fuqu noħorġuh lil klijent maħluq apposta għall-klijent VRF, b'kont meħud tal-profil tat-traffiku li jeħtieġ il-klijent (it-tikketti tal-profil jintgħażlu għal kull port ta 'aċċess, ibbażati fuq il-valuri ta' preċedenza ip 0,1,3,5, XNUMX).
Jekk għal xi raġuni ma nistgħux norganizzaw bis-sħiħ l-aħħar mil għall-klijent, pereżempju, l-uffiċċju tal-klijent jinsab f'ċentru tan-negozju, fejn fornitur ieħor huwa prijorità, jew sempliċement ma jkollniex il-punt ta 'preżenza tagħna fil-qrib, allura qabel klijenti kellha toħloq diversi netwerks IPVPN fi fornituri differenti (mhux l-aktar arkitettura kosteffettiva) jew issolvi kwistjonijiet b'mod indipendenti bl-organizzazzjoni tal-aċċess għall-VRF tiegħek fuq l-Internet.
Ħafna għamlu dan billi installaw portal tal-Internet IPVPN - installaw router tal-fruntiera (ħardwer jew xi soluzzjoni bbażata fuq Linux), qabbdu kanal IPVPN miegħu b'port wieħed u kanal tal-Internet mal-ieħor, nedew is-server VPN tagħhom fuqu u konnessi miegħu. utenti permezz tal-portal VPN tagħhom stess. Naturalment, skema bħal din toħloq ukoll piżijiet: infrastruttura bħal din trid tinbena u, l-aktar inkonvenjenti, titħaddem u tiġi żviluppata.
Biex nagħmlu l-ħajja eħfef għall-klijenti tagħna, installajna ċentru VPN ċentralizzat u organizzajna appoġġ għal konnessjonijiet fuq l-Internet bl-użu ta’ IPSec, jiġifieri, issa l-klijenti jridu biss jikkonfiguraw ir-router tagħhom biex jaħdmu ma’ hub VPN tagħna permezz ta’ mina IPSec fuq kwalunkwe Internet pubbliku. , u aħna Ejja nirrilaxxaw it-traffiku ta 'dan il-klijent lill-VRF tiegħu.
Min se jkollu bżonn
- Għal dawk li diġà għandhom netwerk IPVPN kbir u jeħtieġu konnessjonijiet ġodda fi żmien qasir.
- Kull min, għal xi raġuni, irid jittrasferixxi parti mit-traffiku mill-Internet pubbliku għall-IPVPN, iżda qabel iltaqa’ ma’ limitazzjonijiet tekniċi assoċjati ma’ diversi fornituri tas-servizz.
- Għal dawk li bħalissa għandhom diversi netwerks VPN differenti madwar operaturi tat-telekomunikazzjoni differenti. Hemm klijenti li organizzaw b'suċċess IPVPN minn Beeline, Megafon, Rostelecom, eċċ. Biex tagħmilha aktar faċli, tista 'toqgħod biss fuq il-VPN uniku tagħna, taqleb il-kanali l-oħra kollha ta' operaturi oħra għall-Internet, u mbagħad tikkonnettja ma 'Beeline IPVPN permezz tal-IPSec u l-Internet minn dawn l-operaturi.
- Għal dawk li diġà għandhom netwerk IPVPN overlaid fuq l-Internet.
Jekk tuża kollox magħna, allura l-klijenti jirċievu appoġġ sħiħ għal VPN, redundancy serja tal-infrastruttura, u settings standard li jaħdmu fuq kwalunkwe router li jkunu mdorrijin bih (kemm jekk ikun Cisco, anke Mikrotik, il-ħaġa prinċipali hija li tista 'tappoġġja sew). IPSec/IKEv2 b’metodi ta’ awtentikazzjoni standardizzati). Mill-mod, dwar IPSec - bħalissa aħna nappoġġjawha biss, iżda qed nippjanaw li nniedu operazzjoni sħiħa kemm ta 'OpenVPN kif ukoll ta' Wireguard, sabiex il-klijenti ma jkunux jistgħu jiddependu fuq il-protokoll u huwa saħansitra aktar faċli li tieħu u tittrasferixxi kollox lilna, u rridu wkoll nibdew nikkonnettjaw klijenti minn kompjuters u apparat mobbli (soluzzjonijiet mibnija fis-OS, Cisco AnyConnect u strongSwan u simili). B'dan l-approċċ, il-kostruzzjoni de facto tal-infrastruttura tista 'tiġi mgħoddija b'mod sikur lill-operatur, u tħalli biss il-konfigurazzjoni tas-CPE jew tal-host.
Kif jaħdem il-proċess ta' konnessjoni għall-modalità IPSec:
- Il-klijent iħalli talba lill-maniġer tiegħu li fiha jindika l-veloċità tal-konnessjoni meħtieġa, il-profil tat-traffiku u l-parametri tal-indirizzar tal-IP għall-mina (b'mod awtomatiku, subnet b'maskra /30) u t-tip ta 'routing (statiku jew BGP). Biex tittrasferixxi r-rotot għan-netwerks lokali tal-klijent fl-uffiċċju konness, il-mekkaniżmi IKEv2 tal-fażi tal-protokoll IPSec jintużaw bl-użu tas-settings xierqa fuq ir-router tal-klijent, jew jiġu reklamati permezz tal-BGP f'MPLS mill-BGP privat AS speċifikat fl-applikazzjoni tal-klijent . Għalhekk, l-informazzjoni dwar ir-rotot tan-netwerks tal-klijenti hija kompletament ikkontrollata mill-klijent permezz tas-settings tar-router tal-klijent.
- Bi tweġiba mill-maniġer tiegħu, il-klijent jirċievi data tal-kontabilità għall-inklużjoni fil-VRF tiegħu tal-formola:
- Indirizz IP VPN-HUB
- Login
- Password tal-awtentikazzjoni
- Jikkonfigura CPE, hawn taħt, pereżempju, żewġ għażliet bażiċi ta 'konfigurazzjoni:
Għażla għal Cisco:
kripto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
indirizz 62.141.99.183 –VPN hub Beeline
pre-shared-key <Password tal-awtentikazzjoni>
!
Għall-għażla tar-rotot statiku, rotot għal netwerks aċċessibbli permezz tal-Vpn-hub jistgħu jiġu speċifikati fil-konfigurazzjoni IKEv2 u awtomatikament jidhru bħala rotot statiċi fit-tabella tar-rotot CE. Dawn is-settings jistgħu jsiru wkoll bl-użu tal-metodu standard ta’ kif jiġu stabbiliti rotot statiċi (ara hawn taħt).kripto ikev2 awtorizzazzjoni politika FlexClient-awtur
Rotta lejn netwerks wara r-router CE – issettjar obbligatorju għal routing statiku bejn CE u PE. It-trasferiment tad-dejta tar-rotta lejn il-PE jitwettaq awtomatikament meta l-mina tittella' permezz tal-interazzjoni IKEv2.
sett tar-rotta remot ipv4 10.1.1.0 255.255.255.0 -Netwerk lokali tal-uffiċċju
!
crypto ikev2 profil BeelineIPSec_profile
identità lokali <login>
awtentikazzjoni pre-share lokali
awtentikazzjoni remota pre-share
keyring lokali BeelineIPsec_keyring
aaa grupp ta' awtorizzazzjoni psk lista grupp-awtur-lista FlexClient-awtur
!
kripto ikev2 klijent flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
klijent jgħaqqad Tunnel1
!
kripto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
mina tal-modalità
!
kripto ipsec profil default
sett transform-sett TRANSFORM1
issettja ikev2-profile BeelineIPSec_profile
!
interface Tunnel1
indirizz IP 10.20.1.2 255.255.255.252 –L-indirizz tal-mina
sors tal-mina GigabitEthernet0/2 – Interfaċċja għall-aċċess għall-Internet
modalità mina ipsec ipv4
dinamika tad-destinazzjoni tal-mina
protezzjoni tal-mina profil ipsec default
!
Ir-rotot għan-netwerks privati tal-klijent aċċessibbli permezz tal-konċentratur Beeline VPN jistgħu jiġu stabbiliti b'mod statiku.ip rotta 172.16.0.0 255.255.0.0 Tunnel1
ip rotta 192.168.0.0 255.255.255.0 Tunnel1Għażla għal Huawei (ar160/120):
ike local-name <login>
#
isem acl ipsec 3999
regola 1 permess ip sors 10.1.1.0 0.0.0.255 -Netwerk lokali tal-uffiċċju
#
aaa
skema ta' servizz IPSEC
sett tar-rotta acl 3999
#
ipsec proposta ipsec
esp awtentikazzjoni-algoritmu sha2-256
esp encryption-algoritmu aes-256
#
ike proposta default
encryption-algoritmu aes-256
dh grupp2
awtentikazzjoni-algoritmu sha2-256
awtentikazzjoni-metodu pre-share
integrità-algoritmu hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
pre-shared-key sempliċi <Password ta' awtentikazzjoni>
lokali-id-tip fqdn
remote-id-tip ip
indirizz remot 62.141.99.183 –VPN hub Beeline
skema ta' servizz IPSEC
talba ta' skambju ta' konfigurazzjoni
konfig-skambju sett jaċċetta
konfig-skambju sett ibgħat
#
profil ipsec ipsecprof
ike-peer ipsec
proposta ipsec
#
interface Tunnel0/0/0
indirizz IP 10.20.1.2 255.255.255.252 –L-indirizz tal-mina
mina-protokoll ipsec
sors GigabitEthernet0/0/1 – Interfaċċja għall-aċċess għall-Internet
profil ipsec ipsecprof
#
Ir-rotot għan-netwerks privati tal-klijent aċċessibbli permezz tal-konċentratur Beeline VPN jistgħu jiġu stabbiliti b'mod statikuip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Id-dijagramma tal-komunikazzjoni li tirriżulta tidher xi ħaġa bħal din:
Jekk il-klijent ma jkollux xi eżempji tal-konfigurazzjoni bażika, allura aħna ġeneralment ngħinu fil-formazzjoni tagħhom u nagħmluhom disponibbli għal kulħadd.
Dak kollu li jibqa 'huwa li tikkonnettja s-CPE mal-Internet, ping mal-parti tar-rispons tal-mina VPN u kwalunkwe host ġewwa l-VPN, u dak hu, nistgħu nassumu li l-konnessjoni saret.
Fl-artiklu li jmiss se ngħidulek kif għaqqadna din l-iskema ma 'IPSec u MultiSIM Redundancy bl-użu ta' Huawei CPE: aħna ninstallaw Huawei CPE tagħna għall-klijenti, li jistgħu jużaw mhux biss kanal tal-Internet bil-fili, iżda wkoll 2 SIM cards differenti, u s-CPE awtomatikament jibni mill-ġdid l-IPSec-tunnel jew permezz tal-WAN bil-fili jew permezz tar-radju (LTE#1/LTE#2), billi tirrealizza tolleranza għolja għall-ħsarat tas-servizz li jirriżulta.
Grazzi speċjali lill-kollegi tagħna RnD talli ppreparaw dan l-artikolu (u, fil-fatt, lill-awturi ta 'dawn is-soluzzjonijiet tekniċi)!
Sors: www.habr.com