Zdravo! IN Delo naše storitve MultiSIM sem opisal deloma и kanalov. Kot omenjeno, odjemalce v omrežje povezujemo preko VPN-ja, danes pa vam bom v tem delu povedal nekaj več o VPN-ju in naših zmožnostih.
Začeti velja z dejstvom, da imamo kot telekomunikacijski operater lastno ogromno omrežje MPLS, ki je za uporabnike fiksne telefonije razdeljeno na dva glavna segmenta - na tistega, ki se uporablja neposredno za dostop do interneta, in tistega, ki uporablja za ustvarjanje izoliranih omrežij — in skozi ta segment MPLS teče promet IPVPN (L3 OSI) in VPLAN (L2 OSI) za naše poslovne stranke.
Običajno se odjemalska povezava pojavi na naslednji način.
Dostopna linija je položena do pisarne stranke od najbližje točke prisotnosti omrežja (vozlišče MEN, RRL, BSSS, FTTB itd.) In nadalje, kanal je registriran prek transportnega omrežja na ustrezen PE-MPLS usmerjevalnik, na katerem ga izpišemo v posebej ustvarjen za odjemalca VRF, ob upoštevanju prometnega profila, ki ga odjemalec potrebuje (oznake profila so izbrane za vsaka dostopna vrata, na podlagi vrednosti prednosti ip 0,1,3,5, XNUMX).
Če iz nekega razloga stranki ne moremo v celoti organizirati zadnjega kilometra, na primer pisarna stranke se nahaja v poslovnem centru, kjer je prednost drug ponudnik, ali preprosto nimamo svoje točke prisotnosti v bližini, potem prej stranke morali ustvariti več omrežij IPVPN pri različnih ponudnikih (stroškovno ne najbolj učinkovita arhitektura) ali samostojno rešiti težave z organizacijo dostopa do vašega VRF prek interneta.
Mnogi so to storili z namestitvijo internetnega prehoda IPVPN – namestili so mejni usmerjevalnik (strojno opremo ali kakšno drugo rešitev, ki temelji na Linux), so nanj prek enih vrat povezali kanal IPVPN in prek drugih internetni kanal, na njem zagnali svoj VPN strežnik in uporabnike povezali prek lastnega VPN prehoda. Seveda pa ta postavitev ustvarja tudi svoja bremena: takšna infrastruktura zahteva strokovno znanje pri gradnji in, kar je najbolj neprijetno, pri delovanju in razvoju.
Da bi našim strankam olajšali življenje, smo namestili centralizirano vozlišče VPN in organizirali podporo za povezave prek interneta z uporabo IPSec, torej morajo zdaj odjemalci samo konfigurirati svoj usmerjevalnik za delo z našim vozliščem VPN prek tunela IPSec prek katerega koli javnega interneta. , in sprostimo promet te stranke v njen VRF.
Kdo bo potreboval
- Za tiste, ki že imate veliko IPVPN omrežje in potrebujete nove povezave v kratkem času.
- Vsem, ki želijo iz kakršnega koli razloga del prometa iz javnega interneta prenesti na IPVPN, pa so že prej naleteli na tehnične omejitve, povezane z več ponudniki storitev.
- Za tiste, ki imajo trenutno več različnih omrežij VPN pri različnih telekomunikacijskih operaterjih. Obstajajo stranke, ki so uspešno organizirale IPVPN od Beeline, Megafon, Rostelecom itd. Da bi bilo lažje, lahko ostanete samo na našem enem VPN-ju, vse druge kanale drugih operaterjev preklopite na internet in se nato prek IPSec-a in interneta teh operaterjev povežete na Beeline IPVPN.
- Za tiste, ki že imate omrežje IPVPN prekrito na internetu.
Z uvedbo vsega pri nas stranke prejmejo popolno podporo VPN, znatno redundanco infrastrukture in standardne nastavitve, ki bodo delovale na katerem koli usmerjevalniku, ki ga poznajo (naj bo to Cisco ali Mikrotik, če le podpira IPSec/IKEv2 s standardiziranimi metodami preverjanja pristnosti). Ko govorimo o IPSec, trenutno podpiramo samo njega, vendar nameravamo kasneje uvesti polno funkcionalnost. OpenVPNIn WireguardŽelimo strankam olajšati selitev k nam, da bodo lahko protokolno agnostične in še enostavnejše. Prav tako želimo začeti povezovati stranke iz računalnikov in mobilnih naprav (rešitve, integrirane z operacijskim sistemom, Cisco AnyConnect, strongSwan in podobne rešitve). S tem pristopom lahko učinkovito predamo gradnjo infrastrukture operaterju, upravljanje pa ostane le še konfiguracija CPE ali gostitelja.
Kako poteka postopek povezave za način IPSec:
- Stranka svojemu upravitelju pusti zahtevo, v kateri navede zahtevano hitrost povezave, prometni profil in parametre IP naslavljanja za tunel (privzeto podomrežje z masko /30) in vrsto usmerjanja (statično ali BGP). Za prenos poti do odjemalčevih lokalnih omrežij v povezani pisarni se uporabljajo mehanizmi IKEv2 faze protokola IPSec z uporabo ustreznih nastavitev na odjemalskem usmerjevalniku ali pa se prek BGP v MPLS oglašujejo iz zasebnega BGP AS, določenega v odjemalčevi aplikaciji. . Tako informacije o poteh odjemalskih omrežij v celoti nadzoruje odjemalec prek nastavitev odjemalskega usmerjevalnika.
- V odgovor svojega vodje stranka prejme računovodske podatke za vključitev v svoj VRF obrazca:
- naslov IP VPN-HUB
- Prijava
- Geslo za preverjanje pristnosti
- Konfigurira CPE, spodaj, na primer, dve osnovni konfiguracijski možnosti:
Možnost za Cisco:
crypto ikev2 obesek za ključe BeelineIPsec_keyring
vrstnik Beeline_VPNHub
naslov 62.141.99.183 –VPN vozlišče Beeline
pre-shared-key <avtentikacijsko geslo>
!
Za možnost statičnega usmerjanja lahko v konfiguraciji IKEv2 določite poti do omrežij, dostopnih prek vozlišča Vpn, ki bodo samodejno prikazane kot statične poti v usmerjevalni tabeli CE. Te nastavitve lahko izvedete tudi s standardno metodo nastavljanja statičnih poti (glejte spodaj).avtorizacijski pravilnik kripto ikev2 FlexClient-author
Usmerjanje do omrežij za usmerjevalnikom CE – obvezna nastavitev za statično usmerjanje med CE in PE. Prenos podatkov o poti v PE se izvede samodejno, ko se predor dvigne prek interakcije IKEv2.
route set remote ipv4 10.1.1.0 255.255.255.0 – Pisarniško lokalno omrežje
!
kripto ikev2 profil BeelineIPSec_profile
lokalna identiteta <prijava>
avtentikacija lokalna predhodna skupna raba
oddaljeno predhodno skupno rabo za preverjanje pristnosti
lokalni obesek za ključe BeelineIPsec_keyring
aaa avtorizacijska skupina psk seznam skupina-avtor-seznam FlexClient-avtor
!
odjemalec crypto ikev2 flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
tunel za povezavo odjemalca1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
način tunel
!
privzeti profil crypto ipsec
set transform-set TRANSFORM1
nastavite ikev2-profile BeelineIPSec_profile
!
vmesnik Tunnel1
naslov IP 10.20.1.2 255.255.255.252 – Naslov tunela
izvor tunela GigabitEthernet0/2 – Vmesnik za dostop do interneta
tunelski način ipsec ipv4
cilj predora dinamičen
privzeti profil zaščite tunela ipsec
!
Poti do odjemalčevih zasebnih omrežij, dostopnih prek koncentratorja Beeline VPN, je mogoče nastaviti statično.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1Možnost za Huawei (ar160/120):
ike lokalno ime <prijava>
#
acl ime ipsec 3999
pravilo 1 dovoljuje vir ip 10.1.1.0 0.0.0.255 – Pisarniško lokalno omrežje
#
aaa
storitvena shema IPSEC
set poti acl 3999
#
ipsec predlog ipsec
algoritem za preverjanje pristnosti esp sha2-256
esp šifrirni algoritem aes-256
#
ike predlog privzeto
šifrirni algoritem aes-256
dh skupina2
algoritem za preverjanje pristnosti sha2-256
predhodna skupna raba metode preverjanja pristnosti
algoritem celovitosti hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
pre-shared-key simple <Avtentikacijsko geslo>
lokalni-id-tip fqdn
oddaljeni-id-tip ip
oddaljeni naslov 62.141.99.183 –VPN vozlišče Beeline
storitvena shema IPSEC
zahteva za izmenjavo konfiguracij
config-exchange set accept
nastavitev za izmenjavo konfiguracij pošlji
#
ipsec profil ipsecprof
ike-peer ipsec
predlog ipsec
#
vmesnik Tunnel0/0/0
naslov IP 10.20.1.2 255.255.255.252 – Naslov tunela
tunelski protokol ipsec
vir GigabitEthernet0/0/1 – Vmesnik za dostop do interneta
ipsec profil ipsecprof
#
Poti do odjemalčevih zasebnih omrežij, dostopnih prek koncentratorja Beeline VPN, je mogoče nastaviti statičnoip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Nastali komunikacijski diagram je videti nekako takole:

Če naročnik nima nekaj primerov osnovne konfiguracije, potem običajno pomagamo pri oblikovanju in jih damo na voljo vsem ostalim.
Vse, kar ostane, je povezati CPE z internetom, pingati do odzivnega dela tunela VPN in katerega koli gostitelja znotraj VPN, in to je to, lahko domnevamo, da je povezava vzpostavljena.
V naslednjem članku vam bomo povedali, kako smo združili to shemo z redundanco IPSec in MultiSIM z uporabo Huawei CPE: namestili smo naš Huawei CPE za odjemalce, ki lahko uporabljajo ne le žični internetni kanal, ampak tudi 2 različni kartici SIM in CPE samodejno obnovi predor IPSec bodisi prek žičnega omrežja WAN ali prek radia (LTE#1/LTE#2), pri čemer doseže visoko toleranco napak nastale storitve.
Posebna zahvala kolegom RnD za pripravo tega članka (in pravzaprav avtorjem teh tehničnih rešitev)!
Vir: www.habr.com
