Olá! EM Descrevi parcialmente o trabalho do nosso serviço MultiSIM и canais. Conforme mencionado, conectamos clientes à rede via VPN, e hoje contarei a vocês um pouco mais sobre VPN e nossas capacidades nesta parte.
Vale a pena começar pelo fato de que nós, como operadora de telecomunicações, possuímos uma enorme rede MPLS própria, que para clientes de telefonia fixa é dividida em dois segmentos principais - aquele que é usado diretamente para acessar a Internet, e aquele que é usado para criar redes isoladas — e é através deste segmento MPLS que flui o tráfego IPVPN (L3 OSI) e VPLAN (L2 OSI) para nossos clientes corporativos.
Normalmente, uma conexão de cliente ocorre da seguinte maneira.
É instalada uma linha de acesso ao escritório do cliente a partir do Ponto de Presença da rede mais próximo (nó MEN, RRL, BSSS, FTTB, etc.) e posteriormente, o canal é registado através da rede de transporte para o PE-MPLS correspondente roteador, no qual o enviamos para um especialmente criado para o cliente VRF, levando em consideração o perfil de tráfego que o cliente necessita (os rótulos dos perfis são selecionados para cada porta de acesso, com base nos valores de precedência de ip 0,1,3,5, XNUMX).
Se por algum motivo não conseguirmos organizar totalmente a última milha para o cliente, por exemplo, o escritório do cliente está localizado em um centro de negócios, onde outro fornecedor é prioritário, ou simplesmente não temos nosso ponto de presença próximo, então anteriormente os clientes tive que criar várias redes IPVPN em diferentes provedores (não a arquitetura mais econômica) ou resolver de forma independente problemas com a organização do acesso ao seu VRF pela Internet.
Muitos fizeram isso instalando um gateway de Internet IPVPN - instalaram um roteador de borda (hardware ou alguma solução baseada em Linux), conectaram um canal IPVPN a ele com uma porta e um canal de Internet com a outra, iniciaram seu servidor VPN nele e conectaram-se usuários através de seu próprio gateway VPN. Naturalmente, um tal esquema também cria encargos: essas infra-estruturas devem ser construídas e, o que é mais inconveniente, operadas e desenvolvidas.
Para facilitar a vida dos nossos clientes, instalamos um hub VPN centralizado e organizamos o suporte para conexões pela Internet utilizando IPSec, ou seja, agora os clientes só precisam configurar seu roteador para funcionar com nosso hub VPN através de um túnel IPSec em qualquer Internet pública , e vamos liberar o tráfego desse cliente para seu VRF.
Quem vai precisar
- Para quem já possui uma grande rede IPVPN e precisa de novas conexões em pouco tempo.
- Qualquer pessoa que, por algum motivo, queira transferir parte do tráfego da Internet pública para IPVPN, mas já se deparou com limitações técnicas associadas a vários prestadores de serviços.
- Para aqueles que atualmente possuem diversas redes VPN diferentes em diferentes operadoras de telecomunicações. Existem clientes que organizaram IPVPN com sucesso da Beeline, Megafon, Rostelecom, etc. Para facilitar, você pode ficar apenas em nossa VPN única, mudar todos os outros canais de outras operadoras para a Internet e, em seguida, conectar-se ao Beeline IPVPN via IPSec e à Internet dessas operadoras.
- Para quem já possui uma rede IPVPN sobreposta na Internet.
Se você implantar tudo conosco, os clientes receberão suporte VPN completo, redundância de infraestrutura séria e configurações padrão que funcionarão em qualquer roteador com o qual estão acostumados (seja Cisco, até mesmo Mikrotik, o principal é que ele pode suportar adequadamente IPSec/IKEv2 com métodos de autenticação padronizados). A propósito, sobre IPSec - no momento só oferecemos suporte, mas planejamos lançar o funcionamento completo do OpenVPN e do Wireguard, para que os clientes não possam depender do protocolo e seja ainda mais fácil pegar e transferir tudo para nós, e também queremos começar a conectar clientes de computadores e dispositivos móveis (soluções integradas ao sistema operacional, Cisco AnyConnect e strongSwan e similares). Com esta abordagem, a construção de facto da infraestrutura pode ser entregue com segurança ao operador, restando apenas a configuração do CPE ou host.
Como funciona o processo de conexão no modo IPSec:
- O cliente deixa uma solicitação ao seu gerente na qual indica a velocidade de conexão necessária, o perfil de tráfego e os parâmetros de endereçamento IP do túnel (por padrão, uma sub-rede com máscara /30) e o tipo de roteamento (estático ou BGP). Para transferir rotas para as redes locais do cliente no escritório conectado, os mecanismos IKEv2 da fase do protocolo IPSec são usados usando as configurações apropriadas no roteador do cliente, ou são anunciados via BGP em MPLS do BGP AS privado especificado na aplicação do cliente . Assim, as informações sobre as rotas das redes clientes são totalmente controladas pelo cliente através das configurações do roteador cliente.
- Em resposta de seu gestor, o cliente recebe dados contábeis para inclusão em seu VRF no formato:
- Endereço IP do VPN-HUB
- login
- Senha de autenticação
- Configura o CPE, abaixo, por exemplo, duas opções básicas de configuração:
Opção para Cisco:
chaveiro criptográfico ikev2 BeelineIPsec_keyring
ponto Beeline_VPNHub
endereço 62.141.99.183 –Hub VPN Beeline
chave pré-compartilhada <senha de autenticação>
!
Para a opção de roteamento estático, as rotas para redes acessíveis através do VPN-hub podem ser especificadas na configuração IKEv2 e aparecerão automaticamente como rotas estáticas na tabela de roteamento CE. Essas configurações também podem ser feitas usando o método padrão de configuração de rotas estáticas (veja abaixo).política de autorização crypto ikev2 FlexClient-author
Rotear para redes atrás do roteador CE – uma configuração obrigatória para roteamento estático entre CE e PE. A transferência dos dados da rota para o PE é realizada automaticamente quando o túnel é gerado através da interação IKEv2.
conjunto de rotas ipv4 remoto 10.1.1.0 255.255.255.0 –Rede local do escritório
!
perfil criptográfico ikev2 BeelineIPSec_profile
identidade local <login>
autenticação local pré-compartilhamento
pré-compartilhamento remoto de autenticação
chaveiro local BeelineIPsec_keyring
grupo de autorização aaa lista psk grupo-autor-lista FlexClient-autor
!
cliente cripto ikev2 flexvpn BeelineIPsec_flex
ponto 1 Beeline_VPNHub
cliente conecta Tunnel1
!
conjunto de transformação cripto ipsec TRANSFORM1 esp-aes 256 esp-sha256-hmac
modo de túnel
!
padrão do perfil cripto ipsec
definir conjunto de transformação TRANSFORM1
definir perfil ikev2 BeelineIPSec_profile
!
interface Túnel1
endereço IP 10.20.1.2 255.255.255.252 –Endereço do túnel
fonte de túnel GigabitEthernet0/2 –Interface de acesso à Internet
modo túnel ipsec ipv4
destino do túnel dinâmico
perfil ipsec de proteção de túnel padrão
!
As rotas para as redes privadas do cliente acessíveis através do concentrador VPN Beeline podem ser definidas estaticamente.rota ip 172.16.0.0 255.255.0.0 Túnel1
rota ip 192.168.0.0 255.255.255.0 Túnel1Opção para Huawei (ar160/120):
ike nome local <login>
#
nome da acl ipsec 3999
regra 1 permitir fonte ip 10.1.1.0 0.0.0.255 –Rede local do escritório
#
aaa
esquema de serviço IPSEC
conjunto de rotas acl 3999
#
proposta ipsec ipsec
algoritmo de autenticação esp sha2-256
algoritmo de criptografia esp aes-256
#
padrão da proposta ike
algoritmo de criptografia aes-256
dh grupo2
algoritmo de autenticação sha2-256
pré-compartilhamento do método de autenticação
algoritmo de integridade hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
chave pré-compartilhada simples <senha de autenticação>
tipo de identificação local fqdn
IP do tipo ID remoto
endereço remoto 62.141.99.183 –Hub VPN Beeline
esquema de serviço IPSEC
solicitação de troca de configuração
conjunto de troca de configuração aceitar
conjunto de troca de configuração enviar
#
perfil ipsec ipsecprof
ike-peer ipsec
proposta ipsec
#
interface Túnel0/0/0
endereço IP 10.20.1.2 255.255.255.252 –Endereço do túnel
protocolo de túnel ipsec
fonte GigabitEthernet0/0/1 –Interface de acesso à Internet
perfil ipsec ipsecprof
#
As rotas para as redes privadas do cliente acessíveis através do concentrador VPN Beeline podem ser definidas estaticamenteip rota-estática 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip rota-estática 172.16.0.0 255.255.0.0 Tunnel0/0/0
O diagrama de comunicação resultante é mais ou menos assim:
Caso o cliente não possua alguns exemplos da configuração básica, normalmente ajudamos na sua formação e os disponibilizamos para todos os demais.
Resta conectar o CPE à Internet, fazer ping na parte de resposta do túnel VPN e em qualquer host dentro da VPN, e pronto, podemos assumir que a conexão foi feita.
No próximo artigo contaremos como combinamos este esquema com redundância IPSec e MultiSIM usando Huawei CPE: instalamos nosso Huawei CPE para clientes, que podem usar não apenas um canal de Internet com fio, mas também 2 cartões SIM diferentes, e o CPE reconstrói automaticamente o túnel IPSec via WAN com fio ou via rádio (LTE#1/LTE#2), obtendo alta tolerância a falhas do serviço resultante.
Agradecimentos especiais aos nossos colegas RnD pela preparação deste artigo (e, de fato, aos autores destas soluções técnicas)!
Fonte: habr.com