Buna ziua! ÎN
Merită să începem cu faptul că noi, în calitate de operator de telecomunicații, avem propria noastră rețea uriașă MPLS, care pentru clienții de linie fixă este împărțită în două segmente principale - cel care este utilizat direct pentru a accesa Internetul și cel care este folosit pentru a crea rețele izolate - și prin acest segment MPLS circulă traficul IPVPN (L3 OSI) și VPLAN (L2 OSI) pentru clienții noștri corporativi.
De obicei, o conexiune client are loc după cum urmează.
O linie de acces este așezată la biroul clientului din cel mai apropiat punct de prezență al rețelei (nodul MEN, RRL, BSSS, FTTB etc.) și, în continuare, canalul este înregistrat prin rețeaua de transport la PE-MPLS corespunzător. router, pe care îl trimitem către un client special creat pentru clientul VRF, ținând cont de profilul de trafic de care are nevoie clientul (etichetele de profil sunt selectate pentru fiecare port de acces, pe baza valorilor de precedență ip 0,1,3,5, XNUMX).
Dacă din anumite motive nu putem organiza pe deplin ultimul kilometru pentru client, de exemplu, biroul clientului este situat într-un centru de afaceri, unde un alt furnizor este prioritar, sau pur și simplu nu avem punctul nostru de prezență în apropiere, atunci anterior clienții a trebuit să creeze mai multe rețele IPVPN la diferiți furnizori (nu cea mai rentabilă arhitectură) sau să rezolve în mod independent problemele legate de organizarea accesului la VRF prin Internet.
Mulți au făcut acest lucru instalând un gateway de internet IPVPN - au instalat un router de frontieră (hardware sau o soluție bazată pe Linux), au conectat un canal IPVPN cu un port și un canal de Internet cu celălalt, și-au lansat serverul VPN pe el și s-au conectat. utilizatorii prin propriul gateway VPN. Desigur, o astfel de schemă creează și poveri: o astfel de infrastructură trebuie construită și, cel mai incomod, operată și dezvoltată.
Pentru a face viața mai ușoară clienților noștri, am instalat un hub VPN centralizat și am organizat suport pentru conexiunile prin Internet folosind IPSec, adică acum clienții trebuie doar să-și configureze routerul pentru a funcționa cu hub-ul nostru VPN printr-un tunel IPSec pe orice internet public. , iar noi Să eliberăm traficul acestui client către VRF-ul său.
Cui îi va fi util?
- Pentru cei care au deja o rețea IPVPN mare și au nevoie de conexiuni noi într-un timp scurt.
- Oricine, dintr-un motiv oarecare, dorește să transfere o parte din traficul de pe Internetul public la IPVPN, dar s-a confruntat anterior cu limitări tehnice asociate cu mai mulți furnizori de servicii.
- Pentru cei care au în prezent mai multe rețele VPN disparate la diferiți operatori de telecomunicații. Sunt clienți care au organizat cu succes IPVPN de la Beeline, Megafon, Rostelecom etc. Pentru a fi mai ușor, puteți rămâne doar pe unicul nostru VPN, puteți comuta pe internet toate celelalte canale ale altor operatori și apoi vă puteți conecta la Beeline IPVPN prin IPSec și pe internet de la acești operatori.
- Pentru cei care au deja o rețea IPVPN suprapusă pe Internet.
Dacă implementați totul cu noi, atunci clienții primesc asistență VPN completă, redundanță serioasă a infrastructurii și setări standard care vor funcționa pe orice router cu care sunt obișnuiți (fie Cisco, chiar și Mikrotik, principalul lucru este că poate suporta în mod corespunzător IPSec/IKEv2 cu metode de autentificare standardizate). Apropo, despre IPSec - acum doar îl susținem, dar intenționăm să lansăm operarea cu drepturi depline atât a OpenVPN, cât și a Wireguard, astfel încât clienții să nu poată depinde de protocol și să fie și mai ușor să luăm și să ne transferăm totul, și vrem, de asemenea, să începem conectarea clienților de pe computere și dispozitive mobile (soluții încorporate în sistemul de operare, Cisco AnyConnect și strongSwan și altele asemenea). Cu această abordare, construcția de facto a infrastructurii poate fi predată în siguranță operatorului, lăsând doar configurația CPE-ului sau gazdei.
Cum funcționează procesul de conectare pentru modul IPSec:
- Clientul lasă managerului său o solicitare în care indică viteza de conectare necesară, profilul de trafic și parametrii de adresare IP pentru tunel (implicit, o subrețea cu mască /30) și tipul de rutare (static sau BGP). Pentru a transfera rute către rețelele locale ale clientului din biroul conectat, mecanismele IKEv2 ale fazei de protocol IPSec sunt utilizate folosind setările corespunzătoare de pe routerul clientului sau sunt anunțate prin BGP în MPLS din AS BGP privat specificat în aplicația clientului . Astfel, informațiile despre rutele rețelelor client sunt complet controlate de client prin setările routerului client.
- Ca răspuns de la managerul său, clientul primește date contabile pentru a le include în VRF-ul său formularul:
- Adresă IP VPN-HUB
- Login
- Parola de autentificare
- Configura CPE, mai jos, de exemplu, două opțiuni de configurare de bază:
Opțiune pentru Cisco:
inel de chei cripto ikev2 BeelineIPsec_keyring
peer Beeline_VPNHub
adresa 62.141.99.183 – Hub VPN Beeline
pre-shared-key <parolă de autentificare>
!
Pentru opțiunea de rutare statică, rutele către rețelele accesibile prin Vpn-hub pot fi specificate în configurația IKEv2 și vor apărea automat ca rute statice în tabelul de rutare CE. Aceste setări pot fi făcute și folosind metoda standard de setare a rutelor statice (vezi mai jos).politica de autorizare cripto ikev2 FlexClient-author
Rută către rețelele din spatele routerului CE – o setare obligatorie pentru rutarea statică între CE și PE. Transferul datelor de rută către PE se realizează automat atunci când tunelul este ridicat prin interacțiunea IKEv2.
set de rută la distanță ipv4 10.1.1.0 255.255.255.0 – Rețea locală de birou
!
crypto ikev2 profile BeelineIPSec_profile
identitate locală <login>
autentificare local pre-share
pre-partajare de la distanță de autentificare
keyring local BeelineIPsec_keyring
aaa grup de autorizare psk list group-author-list FlexClient-author
!
crypto ikev2 client flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
Conexiune client Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
mod tunel
!
profil cripto ipsec implicit
set transform-set TRANSFORM1
setați ikev2-profile BeelineIPSec_profile
!
interfață Tunnel1
adresa IP 10.20.1.2 255.255.255.252 – Adresa tunelului
sursa tunel GigabitEthernet0/2 – Interfață de acces la internet
modul tunel ipsec ipv4
dinamica destinației tunelului
protecția tunelului profil ipsec implicit
!
Rutele către rețelele private ale clientului accesibile prin concentratorul VPN Beeline pot fi setate static.ruta IP 172.16.0.0 255.255.0.0 Tunnel1
ruta IP 192.168.0.0 255.255.255.0 Tunnel1Opțiune pentru Huawei (ar160/120):
cum ar fi numele-local <login>
#
nume acl ipsec 3999
regula 1 permite sursa ip 10.1.1.0 0.0.0.255 – Rețea locală de birou
#
aaa
schema de servicii IPSEC
set de rute acl 3999
#
ipsec propunere ipsec
algoritmul de autentificare esp sha2-256
în special algoritmul de criptare aes-256
#
ca propunerea implicită
algoritmul de criptare aes-256
dh grupa 2
algoritm-autentificare sha2-256
pre-share a metodei de autentificare
algoritmul de integritate hmac-sha2-256
prf hmac-sha2-256
#
ca peer ipsec
pre-shared-key simple <parolă de autentificare>
local-id-type fqdn
ip de tip ID-ul de la distanță
adresa de la distanță 62.141.99.183 – Hub VPN Beeline
schema de servicii IPSEC
cerere de schimb de configurare
config-exchange set accept
config-exchange set trimite
#
profil ipsec ipsecprof
ike-peer ipsec
propunere ipsec
#
interfață Tunnel0/0/0
adresa IP 10.20.1.2 255.255.255.252 – Adresa tunelului
tunel-protocol ipsec
sursă GigabitEthernet0/0/1 – Interfață de acces la internet
profil ipsec ipsecprof
#
Rutele către rețelele private ale clientului accesibile prin concentratorul VPN Beeline pot fi setate staticip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Diagrama de comunicare rezultată arată cam așa:
Dacă clientul nu are câteva exemple de configurație de bază, atunci de obicei ajutăm la formarea lor și le punem la dispoziție tuturor celorlalți.
Tot ce rămâne este să conectați CPE-ul la Internet, să faceți ping către partea de răspuns a tunelului VPN și orice gazdă din interiorul VPN-ului și gata, putem presupune că conexiunea a fost făcută.
În următorul articol vă vom spune cum am combinat această schemă cu IPSec și MultiSIM Redundancy folosind Huawei CPE: instalăm Huawei CPE-ul nostru pentru clienți, care poate folosi nu numai un canal de Internet prin cablu, ci și 2 cartele SIM diferite și CPE reconstruiește automat tunelul IPSec fie prin WAN cu fir, fie prin radio (LTE#1/LTE#2), realizând o toleranță ridicată la erori a serviciului rezultat.
Mulțumiri speciale colegilor noștri din RnD pentru pregătirea acestui articol (și, de fapt, autorilor acestor soluții tehnice)!
Sursa: www.habr.com