Hallo! IN Ik heb de werkzaamheden van onze MultiSIM-dienst gedeeltelijk beschreven и kanalen. Zoals gezegd verbinden we clients via VPN met het netwerk, en vandaag vertel ik je in dit deel wat meer over VPN en onze mogelijkheden.
Het is de moeite waard om te beginnen met het feit dat wij als telecomoperator ons eigen enorme MPLS-netwerk hebben, dat voor vastelijnklanten in twee hoofdsegmenten is verdeeld: het segment dat rechtstreeks wordt gebruikt voor toegang tot internet, en het segment dat rechtstreeks wordt gebruikt voor toegang tot internet. gebruikt om geïsoleerde netwerken te creëren – en via dit MPLS-segment stroomt IPVPN (L3 OSI) en VPLAN (L2 OSI) verkeer voor onze zakelijke klanten.
Normaal gesproken vindt een clientverbinding als volgt plaats.
Er wordt een toegangslijn aangelegd naar het kantoor van de klant vanaf het dichtstbijzijnde Point of Presence van het netwerk (knooppunt MEN, RRL, BSSS, FTTB, enz.) en verder wordt het kanaal via het transportnetwerk geregistreerd bij de overeenkomstige PE-MPLS router, waarop we deze uitvoeren naar een speciaal voor de VRF-client gemaakte, rekening houdend met het verkeersprofiel dat de client nodig heeft (profiellabels worden geselecteerd voor elke toegangspoort, gebaseerd op de ip-voorrangswaarden 0,1,3,5, XNUMX).
Als we om wat voor reden dan ook de last mile voor de klant niet volledig kunnen organiseren, bijvoorbeeld omdat het kantoor van de klant zich in een zakencentrum bevindt, waar een andere provider prioriteit heeft, of als we simpelweg niet ons aanspreekpunt in de buurt hebben, dan kunnen voorheen klanten moest verschillende IPVPN-netwerken bij verschillende providers opzetten (niet de meest kosteneffectieve architectuur) of zelfstandig problemen oplossen met het organiseren van de toegang tot uw VRF via internet.
Velen deden dit door een IPVPN-internetgateway te installeren - ze installeerden een grensrouter (hardware of een op Linux gebaseerde oplossing), verbonden er een IPVPN-kanaal op aan met de ene poort en een internetkanaal met de andere, lanceerden hun VPN-server erop en maakten verbinding gebruikers via hun eigen VPN-gateway. Uiteraard brengt een dergelijk plan ook lasten met zich mee: een dergelijke infrastructuur moet worden gebouwd en, wat het lastigst is, worden geëxploiteerd en ontwikkeld.
Om het leven voor onze klanten gemakkelijker te maken, hebben we een gecentraliseerde VPN-hub geïnstalleerd en ondersteuning georganiseerd voor verbindingen via internet met behulp van IPSec. Dat betekent dat klanten nu alleen hun router hoeven te configureren om met onze VPN-hub te werken via een IPSec-tunnel via elk openbaar internet. , en we laten het verkeer van deze klant vrijgeven aan zijn VRF.
Wie zal nodig hebben
- Voor degenen die al een groot IPVPN-netwerk hebben en in korte tijd nieuwe verbindingen nodig hebben.
- Iedereen die om wat voor reden dan ook een deel van het verkeer van het openbare internet naar IPVPN wil overbrengen, maar eerder technische beperkingen is tegengekomen die bij verschillende serviceproviders horen.
- Voor degenen die momenteel verschillende ongelijksoortige VPN-netwerken hebben bij verschillende telecomoperatoren. Er zijn klanten die met succes IPVPN hebben georganiseerd van Beeline, Megafon, Rostelecom, enz. Om het gemakkelijker te maken, kunt u alleen op onze enkele VPN blijven, alle andere kanalen van andere operators naar internet overschakelen en vervolgens via IPSec en internet verbinding maken met Beeline IPVPN van deze operators.
- Voor degenen die al een IPVPN-netwerk op internet hebben.
Als je alles bij ons implementeert, krijgen klanten volwaardige VPN-ondersteuning, serieuze infrastructuurredundantie en standaardinstellingen die werken op elke router die ze gewend zijn (of het nu Cisco is, zelfs Mikrotik, het belangrijkste is dat het goed kan ondersteunen IPSec/IKEv2 met gestandaardiseerde authenticatiemethoden). Trouwens, over IPSec - op dit moment ondersteunen we het alleen, maar we zijn van plan een volwaardige werking van zowel OpenVPN als Wireguard te lanceren, zodat klanten niet afhankelijk kunnen zijn van het protocol en het nog gemakkelijker is om alles naar ons over te nemen en over te dragen, en we willen ook beginnen met het verbinden van clients vanaf computers en mobiele apparaten (oplossingen ingebouwd in het besturingssysteem, Cisco AnyConnect en strongSwan en dergelijke). Met deze aanpak kan de feitelijke aanleg van de infrastructuur veilig worden overgedragen aan de exploitant, waarbij alleen de configuratie van de CPE of host overblijft.
Hoe werkt het verbindingsproces voor de IPSec-modus:
- De klant laat een verzoek achter bij zijn manager waarin hij de vereiste verbindingssnelheid, verkeersprofiel en IP-adresparameters voor de tunnel (standaard een subnet met een /30-masker) en het type routering (statisch of BGP) aangeeft. Om routes over te dragen naar de lokale netwerken van de klant in het aangesloten kantoor, worden de IKEv2-mechanismen van de IPSec-protocolfase gebruikt met behulp van de juiste instellingen op de clientrouter, of worden ze geadverteerd via BGP in MPLS vanuit de privé BGP AS die is gespecificeerd in de applicatie van de klant . Informatie over de routes van clientnetwerken wordt dus volledig beheerd door de client via de instellingen van de clientrouter.
- Als reactie van zijn manager ontvangt de klant boekhoudgegevens voor opname in zijn VRF van het formulier:
- VPN-HUB IP-adres
- login
- Authenticatiewachtwoord
- Configureert CPE hieronder bijvoorbeeld twee basisconfiguratieopties:
Optie voor Cisco:
crypto ikev2 sleutelhanger BeelineIPsec_keyring
peer Beeline_VPNHub
adres 62.141.99.183 –VPN-hub Beeline
pre-shared-key <Authenticatiewachtwoord>
!
Voor de statische routeringsoptie kunnen routes naar netwerken die toegankelijk zijn via de VPN-hub worden opgegeven in de IKEv2-configuratie en deze verschijnen automatisch als statische routes in de CE-routeringstabel. Deze instellingen kunnen ook worden gemaakt met behulp van de standaardmethode voor het instellen van statische routes (zie hieronder).crypto ikev2 autorisatiebeleid FlexClient-auteur
Route naar netwerken achter de CE-router – een verplichte instelling voor statische routering tussen CE en PE. De overdracht van routegegevens naar de PE wordt automatisch uitgevoerd wanneer de tunnel wordt geopend via IKEv2-interactie.
route ingesteld op afstand ipv4 10.1.1.0 255.255.255.0 – Lokaal kantoornetwerk
!
crypto ikev2-profiel BeelineIPSec_profile
identiteit lokaal <login>
authenticatie lokale pre-share
authenticatie op afstand vooraf delen
sleutelhanger lokale BeelineIPsec_keyring
aaa autorisatiegroep psk-lijst groep-auteur-lijst FlexClient-auteur
!
crypto ikev2-client flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
client connect Tunnel1
!
crypto ipsec transformatieset TRANSFORM1 esp-aes 256 esp-sha256-hmac
tunnelmodus
!
standaard crypto ipsec-profiel
set transformatie-set TRANSFORM1
stel ikev2-profiel BeelineIPSec_profile in
!
interfaceTunnel1
IP-adres 10.20.1.2 255.255.255.252 –Tunneladres
tunnelbron GigabitEthernet0/2 –Internettoegangsinterface
tunnelmodus ipsec ipv4
tunnelbestemming dynamisch
standaard tunnelbescherming ipsec-profiel
!
Routes naar de privénetwerken van de klant die toegankelijk zijn via de Beeline VPN-concentrator kunnen statisch worden ingesteld.ip-route 172.16.0.0 255.255.0.0 Tunnel1
ip-route 192.168.0.0 255.255.255.0 Tunnel1Optie voor Huawei (ar160/120):
ike lokale naam <login>
#
acl-naam ipsec 3999
regel 1 staat IP-bron 10.1.1.0 0.0.0.255 toe – Lokaal kantoornetwerk
#
aaa
serviceschema IPSEC
routeset acl 3999
#
ipsec voorstel ipsec
esp authenticatie-algoritme sha2-256
esp encryptie-algoritme aes-256
#
ike voorstel standaard
encryptie-algoritme aes-256
dh groep2
authenticatie-algoritme sha2-256
authenticatiemethode vooraf delen
integriteitsalgoritme hmac-sha2-256
prf hmac-sha2-256
#
zoals peer ipsec
pre-shared-key simple <Authenticatiewachtwoord>
lokaal-id-type fqdn
extern ID-type IP
extern adres 62.141.99.183 –VPN-hub Beeline
serviceschema IPSEC
config-exchange-verzoek
config-exchange set accepteren
config-exchange set verzenden
#
ipsec-profiel ipsecprof
ike-peer ipsec
voorstel ipsec
#
interfaceTunnel0/0/0
IP-adres 10.20.1.2 255.255.255.252 –Tunneladres
tunnelprotocol ipsec
bron GigabitEthernet0/0/1 –Internettoegangsinterface
ipsec-profiel ipsecprof
#
Routes naar de privénetwerken van de klant die toegankelijk zijn via de Beeline VPN-concentrator kunnen statisch worden ingesteldip route-statisch 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-statisch 172.16.0.0 255.255.0.0 Tunnel0/0/0
Het resulterende communicatiediagram ziet er ongeveer zo uit:
Als de klant niet over enkele voorbeelden van de basisconfiguratie beschikt, helpen we meestal bij het opstellen ervan en stellen we ze voor iedereen beschikbaar.
Het enige dat overblijft is om de CPE met internet te verbinden, te pingen naar het responsgedeelte van de VPN-tunnel en naar een willekeurige host binnen de VPN, en dat is alles, we kunnen ervan uitgaan dat de verbinding tot stand is gebracht.
In het volgende artikel vertellen we u hoe we dit schema combineerden met IPSec en MultiSIM Redundantie met behulp van Huawei CPE: we installeren onze Huawei CPE voor klanten, die niet alleen een bekabeld internetkanaal kunnen gebruiken, maar ook 2 verschillende simkaarten, en de CPE bouwt automatisch de IPSec-tunnel opnieuw op, hetzij via bekabeld WAN, hetzij via radio (LTE#1/LTE#2), waardoor een hoge fouttolerantie van de resulterende service wordt gerealiseerd.
Speciale dank aan onze RnD-collega's voor het voorbereiden van dit artikel (en in feite aan de auteurs van deze technische oplossingen)!
Bron: www.habr.com