Kamusta! SA Inilarawan ko ang gawain ng aming serbisyo ng MultiSIM sa bahagi ΠΈ mga channel. Tulad ng nabanggit, ikinonekta namin ang mga kliyente sa network sa pamamagitan ng VPN, at ngayon sasabihin ko sa iyo ang higit pa tungkol sa VPN at ang aming mga kakayahan sa bahaging ito.
Ito ay nagkakahalaga ng pagsisimula sa katotohanan na kami, bilang isang telecom operator, ay may sariling malaking network ng MPLS, na para sa mga fixed-line na customer ay nahahati sa dalawang pangunahing mga segment - ang isa na direktang ginagamit upang ma-access ang Internet, at ang isa na ginamit upang lumikha ng mga nakahiwalay na network β at sa pamamagitan ng segment na ito ng MPLS na dumadaloy ang trapiko ng IPVPN (L3 OSI) at VPLAN (L2 OSI) para sa aming mga kliyenteng pangkorporasyon.
Karaniwan, ang isang koneksyon ng kliyente ay nangyayari tulad ng sumusunod.
Ang isang linya ng pag-access ay inilalagay sa opisina ng kliyente mula sa pinakamalapit na Point of Presence ng network (node ββββMEN, RRL, BSSS, FTTB, atbp.) At higit pa, ang channel ay nakarehistro sa pamamagitan ng transport network sa kaukulang PE-MPLS router, kung saan inilalabas namin ito sa isang espesyal na nilikha para sa VRF client, na isinasaalang-alang ang profile ng trapiko na kailangan ng kliyente (mga profile label ay pinili para sa bawat access port, batay sa mga halaga ng ip precedence 0,1,3,5, XNUMX).
Kung sa ilang kadahilanan ay hindi namin ganap na maisaayos ang huling milya para sa kliyente, halimbawa, ang opisina ng kliyente ay matatagpuan sa isang business center, kung saan ang isa pang provider ay isang priyoridad, o wala kaming malapit na punto ng presensya, pagkatapos ay mga kliyente noon. kailangang gumawa ng ilang IPVPN network sa iba't ibang provider (hindi ang pinaka-cost-effective na arkitektura) o independiyenteng lutasin ang mga isyu sa pag-aayos ng access sa iyong VRF sa Internet.
Marami ang gumawa nito sa pamamagitan ng pag-install ng IPVPN Internet gateway - nag-install sila ng border router (hardware o ilang Linux-based solution), ikinonekta ang isang IPVPN channel dito gamit ang isang port at isang Internet channel sa isa pa, inilunsad ang kanilang VPN server dito at nakakonekta mga gumagamit sa pamamagitan ng kanilang sariling VPN gateway. Naturally, ang gayong pamamaraan ay lumilikha din ng mga pasanin: ang naturang imprastraktura ay dapat na itayo at, pinaka-inconvenient, pinatatakbo at binuo.
Upang gawing mas madali ang buhay para sa aming mga kliyente, nag-install kami ng isang sentralisadong VPN hub at nag-organisa ng suporta para sa mga koneksyon sa Internet gamit ang IPSec, ibig sabihin, kailangan lang ngayon ng mga kliyente na i-configure ang kanilang router upang gumana sa aming VPN hub sa pamamagitan ng isang IPSec tunnel sa anumang pampublikong Internet , at ilabas natin ang trapiko ng kliyenteng ito sa VRF nito.
Sino ang mangangailangan
- Para sa mga mayroon nang malaking network ng IPVPN at nangangailangan ng mga bagong koneksyon sa maikling panahon.
- Sinuman na, sa ilang kadahilanan, ay gustong ilipat ang bahagi ng trapiko mula sa pampublikong Internet patungo sa IPVPN, ngunit dati ay nakatagpo ng mga teknikal na limitasyon na nauugnay sa ilang mga service provider.
- Para sa mga kasalukuyang mayroong ilang magkakaibang mga network ng VPN sa iba't ibang mga operator ng telecom. Mayroong mga kliyente na matagumpay na nag-organisa ng IPVPN mula sa Beeline, Megafon, Rostelecom, atbp. Upang gawing mas madali, maaari kang manatili lamang sa aming nag-iisang VPN, ilipat ang lahat ng iba pang mga channel ng iba pang mga operator sa Internet, at pagkatapos ay kumonekta sa Beeline IPVPN sa pamamagitan ng IPSec at sa Internet mula sa mga operator na ito.
- Para sa mga mayroon nang IPVPN network na naka-overlay sa Internet.
Kung i-deploy mo ang lahat sa amin, kung gayon ang mga kliyente ay makakatanggap ng ganap na suporta sa VPN, seryosong kalabisan sa imprastraktura, at mga karaniwang setting na gagana sa anumang router na nakasanayan nila (maging Cisco, kahit Mikrotik, ang pangunahing bagay ay maaari itong maayos na suportahan IPSec/IKEv2 na may mga pamantayang pamamaraan ng pagpapatunay). Sa pamamagitan ng paraan, tungkol sa IPSec - sa ngayon ay sinusuportahan lamang namin ito, ngunit plano naming ilunsad ang ganap na operasyon ng parehong OpenVPN at Wireguard, upang ang mga kliyente ay hindi umasa sa protocol at mas madaling kunin at ilipat ang lahat sa amin, at gusto rin naming simulan ang pagkonekta ng mga kliyente mula sa mga computer at mobile device (mga solusyon na binuo sa OS, Cisco AnyConnect at strongSwan at mga katulad nito). Sa pamamaraang ito, ang de facto na konstruksyon ng imprastraktura ay maaaring ligtas na ibigay sa operator, na iiwan lamang ang configuration ng CPE o host.
Paano gumagana ang proseso ng koneksyon para sa IPSec mode:
- Ang kliyente ay nag-iiwan ng kahilingan sa kanyang manager kung saan ipinapahiwatig niya ang kinakailangang bilis ng koneksyon, profile ng trapiko at mga parameter ng IP addressing para sa tunnel (bilang default, isang subnet na may /30 mask) at ang uri ng pagruruta (static o BGP). Upang maglipat ng mga ruta sa mga lokal na network ng kliyente sa konektadong opisina, ang mga mekanismo ng IKEv2 ng IPSec protocol phase ay ginagamit gamit ang naaangkop na mga setting sa client router, o ang mga ito ay ina-advertise sa pamamagitan ng BGP sa MPLS mula sa pribadong BGP AS na tinukoy sa aplikasyon ng kliyente . Kaya, ang impormasyon tungkol sa mga ruta ng mga network ng kliyente ay ganap na kinokontrol ng kliyente sa pamamagitan ng mga setting ng router ng kliyente.
- Bilang tugon mula sa kanyang manager, ang kliyente ay tumatanggap ng data ng accounting para isama sa kanyang VRF ng form:
- VPN-HUB IP address
- Login
- Password sa pagpapatunay
- Kino-configure ang CPE, sa ibaba, halimbawa, ng dalawang pangunahing opsyon sa pagsasaayos:
Pagpipilian para sa Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
address 62.141.99.183 βVPN hub Beeline
pre-shared-key <Authentication password>
!
Para sa opsyong static na pagruruta, ang mga ruta sa mga network na naa-access sa pamamagitan ng Vpn-hub ay maaaring tukuyin sa configuration ng IKEv2 at awtomatikong lalabas ang mga ito bilang mga static na ruta sa CE routing table. Ang mga setting na ito ay maaari ding gawin gamit ang karaniwang paraan ng pagtatakda ng mga static na ruta (tingnan sa ibaba).patakaran sa awtorisasyon ng crypto ikev2 FlexClient-author
Ruta sa mga network sa likod ng CE router β isang mandatoryong setting para sa static na pagruruta sa pagitan ng CE at PE. Ang paglipat ng data ng ruta sa PE ay awtomatikong isinasagawa kapag ang tunnel ay itinaas sa pamamagitan ng pakikipag-ugnayan ng IKEv2.
set ng ruta remote IPv4 10.1.1.0 255.255.255.0 β Lokal na network ng opisina
!
crypto ikev2 profile BeelineIPSec_profile
lokal na pagkakakilanlan <login>
pagpapatunay ng lokal na pre-share
paunang pagbabahagi ng malayuang pagpapatunay
keyring lokal na BeelineIPsec_keyring
aaa authorization group psk list group-author-list FlexClient-author
!
crypto ikev2 client flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
ikinonekta ng kliyente ang Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
mode tunnel
!
default na profile ng crypto ipsec
itakda ang transform-set TRANSFORM1
itakda ang ikev2-profile BeelineIPSec_profile
!
interface Tunnel1
ip address 10.20.1.2 βTunnel address
tunnel source GigabitEthernet0/2 -Internet access interface
tunnel mode ipsec ipv4
dynamic na patutunguhan ng lagusan
proteksyon ng tunnel ipsec profile default
!
Ang mga ruta patungo sa mga pribadong network ng kliyente na naa-access sa pamamagitan ng Beeline VPN concentrator ay maaaring itakda nang statically.ruta ng ip 172.16.0.0 255.255.0.0 Tunnel1
ruta ng ip 192.168.0.0 255.255.255.0 Tunnel1Opsyon para sa Huawei (ar160/120):
tulad ng lokal na pangalan <login>
#
acl name ipsec 3999
panuntunan 1 permit ip source 10.1.1.0 0.0.0.255 β Lokal na network ng opisina
#
aaa
service-scheme IPSEC
itinakda ng ruta acl 3999
#
ipsec proposal ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
default na panukala
encryption-algorithm aes-256
dh pangkat2
authentication-algorithm sha2-256
paunang pagbabahagi ng pamamaraan ng pagpapatunay
integridad-algorithm hmac-sha2-256
prf hmac-sha2-256
#
tulad ng peer ipsec
pre-shared-key simpleng <Pasword sa pagpapatunay>
local-id-type na fqdn
remote-id-type na ip
remote-address 62.141.99.183 βVPN hub Beeline
service-scheme IPSEC
config-exchange na kahilingan
config-exchange set tanggapin
config-exchange set na ipadala
#
ipsec profile ipsecprof
ike-peer ipsec
panukala ipsec
#
interface Tunnel0/0/0
ip address 10.20.1.2 βTunnel address
tunnel-protocol ipsec
pinagmulan GigabitEthernet0/0/1 -Internet access interface
ipsec profile ipsecprof
#
Ang mga ruta patungo sa mga pribadong network ng kliyente na naa-access sa pamamagitan ng Beeline VPN concentrator ay maaaring itakda nang staticallyip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Ang nagresultang diagram ng komunikasyon ay mukhang ganito:
Kung ang kliyente ay walang ilang halimbawa ng pangunahing pagsasaayos, kadalasan ay tumutulong kami sa kanilang pagbuo at ginagawa silang available sa lahat.
Ang natitira na lang ay ikonekta ang CPE sa Internet, mag-ping sa bahagi ng tugon ng VPN tunnel at anumang host sa loob ng VPN, at iyon lang, maaari nating ipagpalagay na ang koneksyon ay nagawa na.
Sa susunod na artikulo sasabihin namin sa iyo kung paano namin pinagsama ang scheme na ito sa IPSec at MultiSIM Redundancy gamit ang Huawei CPE: ini-install namin ang aming Huawei CPE para sa mga kliyente, na maaaring gumamit hindi lamang ng wired na Internet channel, kundi pati na rin ng 2 magkaibang SIM card, at ang CPE awtomatikong muling itinatayo ang IPSec-tunnel alinman sa pamamagitan ng wired WAN o sa pamamagitan ng radyo (LTE#1/LTE#2), na napagtatanto ang mataas na fault tolerance ng resultang serbisyo.
Espesyal na salamat sa aming mga kasamahan sa RnD para sa paghahanda ng artikulong ito (at, sa katunayan, sa mga may-akda ng mga teknikal na solusyon na ito)!
Pinagmulan: www.habr.com