Ahoj! IN
Oplatí sa začať tým, že my ako telekomunikačný operátor máme vlastnú obrovskú MPLS sieť, ktorá je pre zákazníkov pevných liniek rozdelená na dva hlavné segmenty – ten, ktorý slúži priamo na prístup do internetu, a ten, ktorý je používa na vytváranie izolovaných sietí — a práve cez tento segment MPLS prúdi prevádzka IPVPN (L3 OSI) a VPLAN (L2 OSI) pre našich firemných klientov.
Pripojenie klienta sa zvyčajne vyskytuje nasledovne.
Do kancelárie klienta je položená prístupová linka z najbližšieho bodu prítomnosti siete (uzol MEN, RRL, BSSS, FTTB atď.) a ďalej je kanál zaregistrovaný cez transportnú sieť do zodpovedajúceho PE-MPLS. router, na ktorom ho vydáme do špeciálne vytvoreného pre klienta VRF, berúc do úvahy dopravný profil, ktorý klient potrebuje (označenie profilu sa vyberá pre každý prístupový port na základe hodnôt ip priority 0,1,3,5, XNUMX).
Ak z nejakého dôvodu nemôžeme úplne zorganizovať poslednú míľu pre klienta, napríklad kancelária klienta sa nachádza v obchodnom centre, kde je prioritou iný poskytovateľ, alebo jednoducho nemáme svoje miesto prítomnosti v blízkosti, potom klienti museli vytvoriť niekoľko sietí IPVPN u rôznych poskytovateľov (nie je to nákladovo najefektívnejšia architektúra) alebo nezávisle vyriešiť problémy s organizáciou prístupu k vášmu VRF cez internet.
Mnohí to urobili tak, že si nainštalovali internetovú bránu IPVPN – nainštalovali hraničný smerovač (hardvér alebo nejaké riešenie založené na Linuxe), pripojili k nemu kanál IPVPN s jedným portom a internetový kanál s druhým, spustili na ňom svoj VPN server a pripojili sa používateľov prostredníctvom vlastnej brány VPN. Prirodzene, takáto schéma tiež vytvára záťaž: takáto infraštruktúra sa musí vybudovať a čo je najnevhodnejšie, prevádzkovať a rozvíjať.
Aby sme našim klientom uľahčili život, nainštalovali sme centralizovaný rozbočovač VPN a zorganizovali podporu pre pripojenia cez internet pomocou protokolu IPSec, to znamená, že teraz klienti musia nakonfigurovať svoj smerovač tak, aby fungoval s našim rozbočovačom VPN prostredníctvom tunela IPSec cez akýkoľvek verejný internet. , a uvoľníme návštevnosť tohto klienta do jeho VRF.
Kto bude potrebovať
- Pre tých, ktorí už majú veľkú sieť IPVPN a potrebujú nové pripojenia v krátkom čase.
- Každý, kto chce z nejakého dôvodu presunúť časť prevádzky z verejného internetu do IPVPN, no už predtým narazil na technické obmedzenia spojené s viacerými poskytovateľmi služieb.
- Pre tých, ktorí v súčasnosti majú niekoľko rôznych sietí VPN medzi rôznymi telekomunikačnými operátormi. Existujú klienti, ktorí úspešne zorganizovali IPVPN od spoločností Beeline, Megafon, Rostelecom atď. Aby ste to uľahčili, môžete zostať iba na našej jedinej VPN, prepnúť všetky ostatné kanály iných operátorov na internet a potom sa pripojiť k Beeline IPVPN cez IPSec a internet od týchto operátorov.
- Pre tých, ktorí už majú IPVPN sieť prekrytú na internete.
Ak všetko nasadíte u nás, klienti získajú plnohodnotnú podporu VPN, serióznu redundanciu infraštruktúry a štandardné nastavenia, ktoré budú fungovať na akomkoľvek routeri, na ktorý sú zvyknutí (či už je to Cisco, dokonca aj Mikrotik, hlavné je, že dokáže správne podporovať IPSec/IKEv2 so štandardizovanými metódami autentifikácie). Mimochodom, o IPSec - zatiaľ ho podporujeme iba my, ale plánujeme spustiť plnohodnotnú prevádzku OpenVPN aj Wireguardu, aby klienti neboli závislí na protokole a aby bolo ešte jednoduchšie všetko brať a prenášať k nám, a tiež chceme začať pripájať klientov z počítačov a mobilných zariadení (riešenia zabudované v OS, Cisco AnyConnect a strongSwan a podobne). S týmto prístupom môže byť de facto výstavba infraštruktúry bezpečne odovzdaná operátorovi, pričom zostane len konfigurácia CPE alebo hostiteľa.
Ako funguje proces pripojenia v režime IPSec:
- Klient zanechá svojmu manažérovi požiadavku, v ktorej uvedie požadovanú rýchlosť pripojenia, dopravný profil a parametre IP adresovania pre tunel (štandardne podsieť s maskou /30) a typ smerovania (statické alebo BGP). Na prenos trás do lokálnych sietí klienta v pripojenej kancelárii sa využívajú mechanizmy IKEv2 fázy protokolu IPSec pomocou príslušných nastavení na klientskom routeri, alebo sú inzerované cez BGP v MPLS z privátneho BGP AS špecifikovaného v klientskej aplikácii. . Informácie o trasách klientskych sietí sú teda úplne kontrolované klientom prostredníctvom nastavení klientskeho smerovača.
- V odpovedi od svojho manažéra dostane klient účtovné údaje na zahrnutie do jeho VRF vo forme:
- IP adresa VPN-HUB
- Prihlásenie
- Autentifikačné heslo
- Konfiguruje CPE, nižšie napríklad dve základné možnosti konfigurácie:
Možnosť pre Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
adresu 62.141.99.183 –VPN hub Beeline
predzdieľaný kľúč <Autentifikačné heslo>
!
Pre možnosť statického smerovania je možné v konfigurácii IKEv2 špecifikovať trasy do sietí prístupných cez Vpn-hub a automaticky sa zobrazia ako statické trasy v smerovacej tabuľke CE. Tieto nastavenia je možné vykonať aj štandardným spôsobom nastavenia statických trás (pozri nižšie).crypto ikev2 autorizačná politika FlexClient-author
Smerovať do sietí za CE routerom – povinné nastavenie pre statické smerovanie medzi CE a PE. Prenos údajov o trase do PE sa vykonáva automaticky, keď je tunel vytvorený prostredníctvom interakcie IKEv2.
nastavená trasa vzdialená ipv4 10.1.1.0 255.255.255.0 – Lokálna sieť kancelárie
!
krypto ikev2 profil BeelineIPSec_profile
lokálna identita <login>
autentifikácia lokálne pre-zdieľanie
overenie vzdialeného predzdieľania
lokálny zväzok kľúčov BeelineIPsec_keyring
aaa autorizačná skupina psk zoznam skupina-autor-zoznam FlexClient-author
!
crypto ikev2 klient flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
Tunel pripojenia klienta1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
tunel režimu
!
predvolený profil krypto ipsec
set transform-set TRANSFORM1
nastaviť ikev2-profile BeelineIPSec_profile
!
rozhranie Tunnel1
IP adresa 10.20.1.2 255.255.255.252 – adresa tunela
tunelový zdroj GigabitEthernet0/2 – Rozhranie pre prístup na internet
tunelový režim ipsec ipv4
dynamický cieľ tunela
Ochrana tunela predvolený profil ipsec
!
Trasy do privátnych sietí klienta prístupných cez koncentrátor Beeline VPN je možné nastaviť staticky.ip trasa 172.16.0.0 255.255.0.0 Tunel1
ip trasa 192.168.0.0 255.255.255.0 Tunel1Možnosť pre Huawei (ar160/120):
ike local-name <login>
#
názov acl ipsec 3999
pravidlo 1 povoľuje zdroj IP 10.1.1.0 0.0.0.255 – Lokálna sieť kancelárie
#
aaa
servisná schéma IPSEC
nastavená trasa acl 3999
#
Návrh ipsec ipsec
esp autentifikačný-algoritmus sha2-256
esp šifrovací algoritmus aes-256
#
ike predvolená ponuka
šifrovací algoritmus aes-256
dh skupina2
autentifikačný algoritmus sha2-256
autentizačná metóda predbežné zdieľanie
integritný-algoritmus hmac-sha2-256
prf hmac-sha2-256
#
ajke peer ipsec
jednoduchý predzdieľaný kľúč <Autentifikačné heslo>
local-id-type fqdn
IP typu vzdialeného ID
vzdialená adresa 62.141.99.183 –VPN hub Beeline
servisná schéma IPSEC
požiadavka na výmenu konfigurácií
config-exchange set akceptovať
config-exchange set odoslať
#
ipsec profil ipsecprof
ike-peer ipsec
návrh ipsec
#
rozhranie Tunnel0/0/0
IP adresa 10.20.1.2 255.255.255.252 – adresa tunela
tunel-protokol ipsec
zdroj GigabitEthernet0/0/1 – Rozhranie pre prístup na internet
ipsec profil ipsecprof
#
Trasy do privátnych sietí klienta prístupných cez koncentrátor Beeline VPN je možné nastaviť statickyIP route-static 192.168.0.0 255.255.255.0 Tunel0/0/0
IP route-static 172.16.0.0 255.255.0.0 Tunel0/0/0
Výsledný komunikačný diagram vyzerá asi takto:
Ak klient nemá nejaké príklady základnej konfigurácie, tak väčšinou pomôžeme s ich vytvorením a sprístupníme ich všetkým ostatným.
Zostáva len pripojiť CPE k internetu, ping na odpoveď tunela VPN a akéhokoľvek hostiteľa vo vnútri VPN, a to je všetko, môžeme predpokladať, že pripojenie bolo vytvorené.
V ďalšom článku vám povieme, ako sme túto schému skombinovali s IPSec a MultiSIM Redundancy pomocou Huawei CPE: pre klientov inštalujeme naše Huawei CPE, ktoré môžu využívať nielen káblový internetový kanál, ale aj 2 rôzne SIM karty a CPE. automaticky prebuduje IPSec-tunel buď cez káblovú WAN alebo cez rádio (LTE#1/LTE#2), pričom realizuje vysokú odolnosť voči chybám výslednej služby.
Špeciálne poďakovanie patrí našim kolegom z RnD za prípravu tohto článku (a vlastne aj autorom týchto technických riešení)!
Zdroj: hab.com