Halo! DI
Éta patut dimimitian ku kanyataan yén kami, salaku operator telekomunikasi, gaduh jaringan MPLS anu ageung, anu pikeun konsumén garis tetep dibagi jadi dua bagéan utama - anu dianggo langsung pikeun ngaksés Internét, sareng anu sanés. dipaké pikeun nyieun jaringan terasing - sarta ngaliwatan bagéan MPLS ieu IPVPN (L3 OSI) jeung VPLAN (L2 OSI) lalulintas ngalir pikeun klien perusahaan urang.
Ilaharna, sambungan klien lumangsung saperti kieu.
Jalur aksés ditetepkeun ka kantor klien tina Titik Hadir anu pangcaketna tina jaringan (titik MEN, RRL, BSSS, FTTB, jsb) sareng salajengna, saluran kadaptar ngaliwatan jaringan angkutan ka PE-MPLS anu saluyu. router, nu urang kaluaran ka husus dijieun pikeun klien VRF, nyokot kana akun profil lalulintas anu diperlukeun klien (profil labél dipilih pikeun tiap port aksés, dumasar kana nilai precedence ip 0,1,3,5, XNUMX).
Upami kusabab sababaraha alesan urang teu tiasa pinuh ngatur mil terakhir pikeun klien, contona, kantor klien ayana di pusat bisnis, dimana panyadia anu sanés mangrupikeun prioritas, atanapi urang ngan saukur henteu gaduh titik ayana caket dieu, teras sateuacana klien kapaksa nyieun sababaraha jaringan IPVPN di panyadia béda (sanes arsitéktur paling ongkos-éféktif) atawa bebas ngabéréskeun masalah jeung ngatur aksés ka VRF anjeun ngaliwatan Internet.
Seueur anu ngalakukeun ieu ku cara masang gateway Internét IPVPN - aranjeunna masang router wates (hardware atanapi sababaraha solusi berbasis Linux), nyambungkeun saluran IPVPN kana hiji port sareng saluran Internét sareng anu sanés, ngaluncurkeun server VPN na di dinya sareng nyambungkeun. pamaké ngaliwatan gateway VPN sorangan. Alami, skéma sapertos kitu ogé nyiptakeun beban: infrastruktur sapertos kitu kedah diwangun sareng, paling henteu pikaresepeun, dioperasikeun sareng dikembangkeun.
Pikeun ngagampangkeun kahirupan pikeun klien kami, kami masang hub VPN terpusat sareng ngatur dukungan pikeun sambungan dina Internét nganggo IPSec, nyaéta, ayeuna klien ngan ukur kedah ngonpigurasikeun routerna pikeun damel sareng hub VPN kami liwat torowongan IPSec dina Internét umum. , sarta kami Hayu urang ngaleupaskeun lalulintas klien ieu VRF na.
Anu bakal butuh
- Pikeun anu parantos gaduh jaringan IPVPN ageung sareng peryogi sambungan énggal dina waktos anu singget.
- Saha waé anu, kusabab sababaraha alesan, hoyong nransferkeun bagian tina lalu lintas tina Internét umum ka IPVPN, tapi sateuacana ngalaman watesan téknis anu aya hubunganana sareng sababaraha panyadia jasa.
- Pikeun anu ayeuna gaduh sababaraha jaringan VPN anu béda-béda dina operator telekomunikasi anu béda. Aya klien anu parantos suksés ngatur IPVPN ti Beeline, Megafon, Rostelecom, jsb. Pikeun ngagampangkeun, anjeun ngan ukur tiasa cicing dina VPN tunggal kami, gentos sadaya saluran operator anu sanés ka Internét, teras sambungkeun ka Beeline IPVPN via IPSec sareng Internét tina operator ieu.
- Pikeun anu parantos gaduh jaringan IPVPN anu dilapis dina Internét.
Upami anjeun nyebarkeun sadayana sareng kami, maka klien nampi dukungan VPN anu lengkep, redundansi infrastruktur anu serius, sareng setélan standar anu bakal dianggo dina router anu biasa aranjeunna biasa (naha éta Cisco, bahkan Mikrotik, hal utama nyaéta yén éta leres tiasa ngadukung. IPSec/IKEv2 kalawan métode auténtikasi standar). Ngomong-ngomong, ngeunaan IPSec - ayeuna urang ngan ukur ngadukung, tapi urang ngarencanakeun pikeun ngaluncurkeun operasi pinuh ku OpenVPN sareng Wireguard, ku kituna para klien henteu tiasa gumantung kana protokol sareng éta langkung gampang nyandak sareng nransferkeun sadayana ka kami. sarta kami ogé rék ngamimitian nyambungkeun klien tina komputer tur alat nu bagerak (solusi diwangun kana OS, Cisco AnyConnect na strongSwan jeung kawas). Kalayan pendekatan ieu, pangwangunan de facto infrastruktur tiasa aman dipasrahkeun ka operator, ngan nyésakeun konfigurasi CPE atanapi host.
Kumaha prosés sambungan jalan pikeun mode IPSec:
- Klien ngantunkeun pamundut ka manajer na dimana anjeunna nunjukkeun laju sambungan anu diperyogikeun, profil lalu lintas sareng parameter alamat IP pikeun torowongan (sacara standar, subnet nganggo topeng /30) sareng jinis rute (statik atanapi BGP). Pikeun mindahkeun rute ka jaringan lokal klien di kantor disambungkeun, mékanisme IKEv2 fase protokol IPSec dipaké ngagunakeun setélan luyu dina router klien, atawa aranjeunna diémbarkeun via BGP di MPLS ti BGP swasta AS dieusian dina aplikasi klien. . Ku kituna, informasi ngeunaan ruteu jaringan klien sagemblengna dikawasa ku klien ngaliwatan setélan tina router klien.
- Dina respon ti manajer-Na, klien nu narima data akuntansi pikeun citakan dina VRF na formulir:
- Alamat IP VPN-HUB
- login
- Sandi auténtikasi
- Ngonpigurasikeun CPE, di handap, contona, dua pilihan konfigurasi dasar:
Pilihan pikeun Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
tara Beeline_VPNHub
alamat 62.141.99.183 - VPN hub Beeline
tos dibagikeun-konci <Sandi auténtikasi>
!
Pikeun pilihan routing statik, ruteu ka jaringan diaksés ngaliwatan Vpn-hub bisa dieusian dina konfigurasi IKEv2 sarta aranjeunna bakal otomatis muncul salaku ruteu statik dina tabel routing CE. Setélan ieu ogé tiasa dilakukeun nganggo metodeu standar pikeun netepkeun rute statik (tingali di handap).kawijakan otorisasi crypto ikev2 FlexClient-panulis
Rute ka jaringan tukangeun router CE - setelan wajib pikeun routing statik antara CE jeung PE. Mindahkeun data rute ka PE dilaksanakeun sacara otomatis nalika torowongan diangkat ngaliwatan interaksi IKEv2.
jalur set jauh IPv4 10.1.1.0 255.255.255.0 - Jaringan lokal kantor
!
crypto ikev2 profil BeelineIPSec_profile
idéntitas lokal <login>
auténtikasi lokal pre-share
auténtikasi jauh pre-share
keyring lokal BeelineIPsec_keyring
aaa grup otorisasi psk daptar grup-panulis-daftar FlexClient-panulis
!
klien crypto ikev2 flexvpn BeelineIPsec_flex
tara 1 Beeline_VPNHub
klien nyambungkeun Torowongan1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
torowongan mode
!
standar profil crypto ipsec
set transform-set TRANSFORM1
set ikev2-profil BeelineIPSec_profile
!
panganteur Torowongan1
alamat ip 10.20.1.2 255.255.255.252 – Alamat torowongan
sumber torowongan GigabitEthernet0/2 - Antarbeungeut aksés Internét
mode torowongan ipsec ipv4
tujuan torowongan dinamis
propil ipsec panyalindungan torowongan standar
!
Rute ka jaringan pribadi klien nu bisa diasupan ngaliwatan Beeline VPN concentrator bisa diatur statis.ip rute 172.16.0.0 255.255.0.0 Torowongan1
ip rute 192.168.0.0 255.255.255.0 Torowongan1Pilihan pikeun Huawei (ar160/120):
ngaran lokal <login>
#
acl ngaran ipsec 3999
aturan 1 ngidinan ip sumber 10.1.1.0 0.0.0.255 - Jaringan lokal kantor
#
aaa
jasa-skéma IPSEC
set jalur acl 3999
#
usul ipsec ipsec
esp auténtikasi-algoritma sha2-256
esp énkripsi-algoritma aes-256
#
usulna standar
énkripsi-algoritma aes-256
golongan dh 2
auténtikasi-algoritma sha2-256
auténtikasi-métode pre-share
integritas-algoritma hmac-sha2-256
prf hmac-sha2-256
#
keun peer ipsec
pre-shared-key basajan <Authentication password>
local-id-type fqdn
jarak jauh-id-tipe ip
jauh-alamat 62.141.99.183 - VPN hub Beeline
jasa-skéma IPSEC
pamundut config-tukeur
config-exchange set narima
config-exchange set ngirim
#
ipsec profil ipsecprof
ike-peer ipsec
usulan ipsec
#
panganteur Torowongan0/0/0
alamat ip 10.20.1.2 255.255.255.252 – Alamat torowongan
torowongan-protokol ipsec
sumber GigabitEthernet0/0/1 - Antarbeungeut aksés Internét
ipsec profil ipsecprof
#
Rute ka jaringan pribadi klien nu bisa diasupan ngaliwatan Beeline VPN concentrator bisa diatur statisip route-statik 192.168.0.0 255.255.255.0 Torowongan0/0/0
ip route-statik 172.16.0.0 255.255.0.0 Torowongan0/0/0
Diagram komunikasi anu dihasilkeun kasampak kawas kieu:
Mun klien nu teu boga sababaraha conto konfigurasi dasar, lajeng urang biasana mantuan formasi maranéhanana sarta nyieun sadia ka dulur sejenna.
Sadaya anu tetep nyaéta nyambungkeun CPE ka Internét, ping kana bagian réspon tina torowongan VPN sareng host mana waé anu aya di jero VPN, sareng éta, urang tiasa nganggap yén sambungan parantos dilakukeun.
Dina artikel salajengna urang bakal ngabejaan ka maneh kumaha urang ngagabungkeun skéma ieu kalawan IPSec na MultiSIM Redundancy ngagunakeun Huawei CPE: urang install Huawei CPE pikeun klien, nu bisa ngagunakeun teu ukur saluran Internet kabel, tapi ogé 2 kartu SIM béda, sarta CPE. otomatis rebuilds IPSec- torowongan boh via WAN kabel atawa via radio (LTE # 1 / LTE # 2), sadar kasabaran sesar tinggi tina jasa anu dihasilkeun.
Hatur nuhun khusus ka kolega RnD kami pikeun nyiapkeun tulisan ieu (sareng, kanyataanna, ka panulis solusi téknis ieu)!
sumber: www.habr.com