Zdravo! IN
Začeti velja z dejstvom, da imamo kot telekomunikacijski operater lastno ogromno omrežje MPLS, ki je za uporabnike fiksne telefonije razdeljeno na dva glavna segmenta - na tistega, ki se uporablja neposredno za dostop do interneta, in tistega, ki uporablja za ustvarjanje izoliranih omrežij — in skozi ta segment MPLS teče promet IPVPN (L3 OSI) in VPLAN (L2 OSI) za naše poslovne stranke.
Običajno se odjemalska povezava pojavi na naslednji način.
Dostopna linija je položena do pisarne stranke od najbližje točke prisotnosti omrežja (vozlišče MEN, RRL, BSSS, FTTB itd.) In nadalje, kanal je registriran prek transportnega omrežja na ustrezen PE-MPLS usmerjevalnik, na katerem ga izpišemo v posebej ustvarjen za odjemalca VRF, ob upoštevanju prometnega profila, ki ga odjemalec potrebuje (oznake profila so izbrane za vsaka dostopna vrata, na podlagi vrednosti prednosti ip 0,1,3,5, XNUMX).
Če iz nekega razloga stranki ne moremo v celoti organizirati zadnjega kilometra, na primer pisarna stranke se nahaja v poslovnem centru, kjer je prednost drug ponudnik, ali preprosto nimamo svoje točke prisotnosti v bližini, potem prej stranke morali ustvariti več omrežij IPVPN pri različnih ponudnikih (stroškovno ne najbolj učinkovita arhitektura) ali samostojno rešiti težave z organizacijo dostopa do vašega VRF prek interneta.
Mnogi so to storili tako, da so namestili internetni prehod IPVPN - namestili so mejni usmerjevalnik (strojno ali kakšno rešitev, ki temelji na Linuxu), nanj z enimi vrati povezali kanal IPVPN, z drugimi pa internetni kanal, na njem zagnali svoj strežnik VPN in se povezali uporabnikov prek lastnega prehoda VPN. Seveda takšna shema ustvarja tudi bremena: takšno infrastrukturo je treba graditi in, kar je najbolj neprijetno, upravljati in razvijati.
Da bi našim strankam olajšali življenje, smo namestili centralizirano vozlišče VPN in organizirali podporo za povezave prek interneta z uporabo IPSec, torej morajo zdaj odjemalci samo konfigurirati svoj usmerjevalnik za delo z našim vozliščem VPN prek tunela IPSec prek katerega koli javnega interneta. , in sprostimo promet te stranke v njen VRF.
Kdo bo potreboval
- Za tiste, ki že imate veliko IPVPN omrežje in potrebujete nove povezave v kratkem času.
- Vsem, ki želijo iz kakršnega koli razloga del prometa iz javnega interneta prenesti na IPVPN, pa so že prej naleteli na tehnične omejitve, povezane z več ponudniki storitev.
- Za tiste, ki imajo trenutno več različnih omrežij VPN pri različnih telekomunikacijskih operaterjih. Obstajajo stranke, ki so uspešno organizirale IPVPN od Beeline, Megafon, Rostelecom itd. Da bi bilo lažje, lahko ostanete samo na našem enem VPN-ju, vse druge kanale drugih operaterjev preklopite na internet in se nato prek IPSec-a in interneta teh operaterjev povežete na Beeline IPVPN.
- Za tiste, ki že imate omrežje IPVPN prekrito na internetu.
Če vse namestite pri nas, potem odjemalci prejmejo popolno podporo za VPN, resno redundanco infrastrukture in standardne nastavitve, ki bodo delovale na katerem koli usmerjevalniku, ki so ga vajeni (pa naj bo to Cisco, tudi Mikrotik, glavno je, da lahko ustrezno podpira IPSec/IKEv2 s standardiziranimi metodami preverjanja pristnosti). Mimogrede, o IPSec - trenutno ga podpiramo samo, vendar nameravamo zagnati polnopravno delovanje tako OpenVPN kot Wireguard, tako da stranke ne morejo biti odvisne od protokola in je še lažje prevzeti in prenesti vse k nam, želimo pa tudi začeti povezovati odjemalce iz računalnikov in mobilnih naprav (rešitve vgrajene v OS, Cisco AnyConnect in strongSwan ipd.). S tem pristopom se lahko de facto konstrukcija infrastrukture varno preda operaterju, pri čemer ostane samo konfiguracija CPE ali gostitelja.
Kako poteka postopek povezave za način IPSec:
- Stranka svojemu upravitelju pusti zahtevo, v kateri navede zahtevano hitrost povezave, prometni profil in parametre IP naslavljanja za tunel (privzeto podomrežje z masko /30) in vrsto usmerjanja (statično ali BGP). Za prenos poti do odjemalčevih lokalnih omrežij v povezani pisarni se uporabljajo mehanizmi IKEv2 faze protokola IPSec z uporabo ustreznih nastavitev na odjemalskem usmerjevalniku ali pa se prek BGP v MPLS oglašujejo iz zasebnega BGP AS, določenega v odjemalčevi aplikaciji. . Tako informacije o poteh odjemalskih omrežij v celoti nadzoruje odjemalec prek nastavitev odjemalskega usmerjevalnika.
- V odgovor svojega vodje stranka prejme računovodske podatke za vključitev v svoj VRF obrazca:
- naslov IP VPN-HUB
- Prijava
- Geslo za preverjanje pristnosti
- Konfigurira CPE, spodaj, na primer, dve osnovni konfiguracijski možnosti:
Možnost za Cisco:
crypto ikev2 obesek za ključe BeelineIPsec_keyring
vrstnik Beeline_VPNHub
naslov 62.141.99.183 –VPN vozlišče Beeline
pre-shared-key <avtentikacijsko geslo>
!
Za možnost statičnega usmerjanja lahko v konfiguraciji IKEv2 določite poti do omrežij, dostopnih prek vozlišča Vpn, ki bodo samodejno prikazane kot statične poti v usmerjevalni tabeli CE. Te nastavitve lahko izvedete tudi s standardno metodo nastavljanja statičnih poti (glejte spodaj).avtorizacijski pravilnik kripto ikev2 FlexClient-author
Usmerjanje do omrežij za usmerjevalnikom CE – obvezna nastavitev za statično usmerjanje med CE in PE. Prenos podatkov o poti v PE se izvede samodejno, ko se predor dvigne prek interakcije IKEv2.
route set remote ipv4 10.1.1.0 255.255.255.0 – Pisarniško lokalno omrežje
!
kripto ikev2 profil BeelineIPSec_profile
lokalna identiteta <prijava>
avtentikacija lokalna predhodna skupna raba
oddaljeno predhodno skupno rabo za preverjanje pristnosti
lokalni obesek za ključe BeelineIPsec_keyring
aaa avtorizacijska skupina psk seznam skupina-avtor-seznam FlexClient-avtor
!
odjemalec crypto ikev2 flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
tunel za povezavo odjemalca1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
način tunel
!
privzeti profil crypto ipsec
set transform-set TRANSFORM1
nastavite ikev2-profile BeelineIPSec_profile
!
vmesnik Tunnel1
naslov IP 10.20.1.2 255.255.255.252 – Naslov tunela
izvor tunela GigabitEthernet0/2 – Vmesnik za dostop do interneta
tunelski način ipsec ipv4
cilj predora dinamičen
privzeti profil zaščite tunela ipsec
!
Poti do odjemalčevih zasebnih omrežij, dostopnih prek koncentratorja Beeline VPN, je mogoče nastaviti statično.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1Možnost za Huawei (ar160/120):
ike lokalno ime <prijava>
#
acl ime ipsec 3999
pravilo 1 dovoljuje vir ip 10.1.1.0 0.0.0.255 – Pisarniško lokalno omrežje
#
aaa
storitvena shema IPSEC
set poti acl 3999
#
ipsec predlog ipsec
algoritem za preverjanje pristnosti esp sha2-256
esp šifrirni algoritem aes-256
#
ike predlog privzeto
šifrirni algoritem aes-256
dh skupina2
algoritem za preverjanje pristnosti sha2-256
predhodna skupna raba metode preverjanja pristnosti
algoritem celovitosti hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
pre-shared-key simple <Avtentikacijsko geslo>
lokalni-id-tip fqdn
oddaljeni-id-tip ip
oddaljeni naslov 62.141.99.183 –VPN vozlišče Beeline
storitvena shema IPSEC
zahteva za izmenjavo konfiguracij
config-exchange set accept
nastavitev za izmenjavo konfiguracij pošlji
#
ipsec profil ipsecprof
ike-peer ipsec
predlog ipsec
#
vmesnik Tunnel0/0/0
naslov IP 10.20.1.2 255.255.255.252 – Naslov tunela
tunelski protokol ipsec
vir GigabitEthernet0/0/1 – Vmesnik za dostop do interneta
ipsec profil ipsecprof
#
Poti do odjemalčevih zasebnih omrežij, dostopnih prek koncentratorja Beeline VPN, je mogoče nastaviti statičnoip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Nastali komunikacijski diagram je videti nekako takole:
Če naročnik nima nekaj primerov osnovne konfiguracije, potem običajno pomagamo pri oblikovanju in jih damo na voljo vsem ostalim.
Vse, kar ostane, je povezati CPE z internetom, pingati do odzivnega dela tunela VPN in katerega koli gostitelja znotraj VPN, in to je to, lahko domnevamo, da je povezava vzpostavljena.
V naslednjem članku vam bomo povedali, kako smo združili to shemo z redundanco IPSec in MultiSIM z uporabo Huawei CPE: namestili smo naš Huawei CPE za odjemalce, ki lahko uporabljajo ne le žični internetni kanal, ampak tudi 2 različni kartici SIM in CPE samodejno obnovi predor IPSec bodisi prek žičnega omrežja WAN ali prek radia (LTE#1/LTE#2), pri čemer doseže visoko toleranco napak nastale storitve.
Posebna zahvala kolegom RnD za pripravo tega članka (in pravzaprav avtorjem teh tehničnih rešitev)!
Vir: www.habr.com