Salom! IN
Biz aloqa operatori sifatida o'zimizning ulkan MPLS tarmog'iga ega ekanligimizdan boshlash arziydi, u statsionar mijozlar uchun ikkita asosiy segmentga bo'lingan - to'g'ridan-to'g'ri Internetga kirish uchun foydalaniladigan va boshqasi. izolyatsiyalangan tarmoqlarni yaratish uchun foydalaniladi - va korporativ mijozlarimiz uchun IPVPN (L3 OSI) va VPLAN (L2 OSI) trafik oqimlari aynan shu MPLS segmenti orqali amalga oshiriladi.
Odatda, mijoz ulanishi quyidagicha sodir bo'ladi.
Mijozning ofisiga tarmoqning eng yaqin mavjud nuqtasidan (tugun MEN, RRL, BSSS, FTTB va boshqalar) kirish liniyasi yotqiziladi va keyinchalik kanal transport tarmog'i orqali tegishli PE-MPLS ga ro'yxatga olinadi. Router, biz uni VRF mijozi uchun maxsus yaratilgan, mijozga kerak bo'lgan trafik profilini hisobga olgan holda chiqaramiz (profil teglari har bir kirish porti uchun IP ustuvorlik qiymatlari 0,1,3,5 asosida tanlanadi, XNUMX).
Agar biron sababga ko'ra biz mijoz uchun so'nggi milni to'liq tashkil qila olmasak, masalan, mijozning ofisi boshqa provayder ustuvor bo'lgan biznes markazida joylashgan bo'lsa yoki bizning yaqin joyda bizning bo'lish nuqtamiz bo'lmasa, avval mijozlar Turli provayderlarda bir nechta IPVPN tarmoqlarini yaratish (eng tejamkor arxitektura emas) yoki Internet orqali VRF-ga kirishni tashkil qilish bilan bog'liq muammolarni mustaqil ravishda hal qilish kerak edi.
Ko'pchilik buni IPVPN Internet shlyuzini o'rnatish orqali amalga oshirdi - ular chegara marshrutizatorini (apparat yoki ba'zi Linux-ga asoslangan yechim) o'rnatdilar, unga bir port bilan IPVPN kanalini, ikkinchisi bilan Internet-kanalni uladilar, unga VPN serverini ishga tushirdilar va ulandilar. foydalanuvchilar o'zlarining VPN shlyuzlari orqali. Tabiiyki, bunday sxema ham yuklarni keltirib chiqaradi: bunday infratuzilmani qurish va eng noqulay holda, foydalanish va rivojlantirish kerak.
Mijozlarimiz hayotini osonlashtirish uchun biz markazlashtirilgan VPN markazini o'rnatdik va IPSec-dan foydalangan holda Internet orqali ulanishni qo'llab-quvvatlashni tashkil etdik, ya'ni endi mijozlar har qanday umumiy Internet orqali IPSec tunnel orqali bizning VPN xabimiz bilan ishlash uchun o'z yo'riqnomasini sozlashlari kerak. , va biz ushbu mijozning trafigini uning VRF-ga chiqaraylik.
Kimga kerak bo'ladi
- Katta IPVPN tarmog'iga ega bo'lgan va qisqa vaqt ichida yangi ulanishlarga muhtoj bo'lganlar uchun.
- Ba'zi sabablarga ko'ra trafikning bir qismini umumiy Internetdan IPVPN-ga o'tkazmoqchi bo'lgan, lekin ilgari bir nechta xizmat ko'rsatuvchi provayderlar bilan bog'liq texnik cheklovlarga duch kelgan har bir kishi.
- Hozirda turli aloqa operatorlaridan bir nechta bir-biridan farq qiluvchi VPN tarmoqlariga ega bo'lganlar uchun. Beeline, Megafon, Rostelecom va boshqalardan IPVPN-ni muvaffaqiyatli tashkil etgan mijozlar bor. Buni osonlashtirish uchun siz faqat bizning yagona VPN-da qolishingiz, boshqa operatorlarning barcha boshqa kanallarini Internetga almashtirishingiz va keyin IPSec va ushbu operatorlardan Internet orqali Beeline IPVPN-ga ulanishingiz mumkin.
- Internetda allaqachon IPVPN tarmog'iga ega bo'lganlar uchun.
Agar siz hamma narsani biz bilan ishlatsangiz, mijozlar to'liq VPN qo'llab-quvvatlashini, jiddiy infratuzilmani zaxiralashni va o'zlari uchun odatiy bo'lgan har qanday routerda ishlaydigan standart sozlamalarni oladilar (u Cisco, hatto Mikrotik ham, asosiysi, u to'g'ri qo'llab-quvvatlashi mumkin. IPSec/IKEv2 standartlashtirilgan autentifikatsiya usullari bilan). Aytgancha, IPSec haqida - hozir biz faqat uni qo'llab-quvvatlaymiz, lekin biz OpenVPN va Wireguard-ning to'liq huquqli ishlashini yo'lga qo'yishni rejalashtirmoqdamiz, shunda mijozlar protokolga bog'liq bo'lmaydilar va hamma narsani olish va bizga o'tkazish osonroq bo'ladi, va biz mijozlarni kompyuterlar va mobil qurilmalardan ulashni boshlamoqchimiz (OS, Cisco AnyConnect va strongSwan va shunga o'xshashlarga o'rnatilgan echimlar). Ushbu yondashuv bilan infratuzilmaning de-fakto qurilishi operatorga xavfsiz tarzda topshirilishi mumkin, faqat CPE yoki xost konfiguratsiyasi qoladi.
IPSec rejimida ulanish jarayoni qanday ishlaydi:
- Mijoz o'z menejeriga so'rov qo'yadi, unda u tunnel uchun kerakli ulanish tezligini, trafik profilini va IP-manzil parametrlarini (sukut bo'yicha, /30 niqobli pastki tarmoq) va marshrutlash turini (statik yoki BGP) ko'rsatadi. Ulangan ofisda mijozning mahalliy tarmoqlariga marshrutlarni o'tkazish uchun IPSec protokoli bosqichining IKEv2 mexanizmlari mijoz routerida tegishli sozlamalar yordamida qo'llaniladi yoki ular mijozning ilovasida ko'rsatilgan shaxsiy BGP AS dan MPLS da BGP orqali e'lon qilinadi. . Shunday qilib, mijoz tarmoqlarining marshrutlari haqidagi ma'lumotlar mijoz tomonidan mijoz routerining sozlamalari orqali to'liq nazorat qilinadi.
- O'z menejeridan javoban mijoz o'zining VRF shakliga kiritish uchun buxgalteriya ma'lumotlarini oladi:
- VPN-HUB IP manzili
- Kirish
- Autentifikatsiya paroli
- Quyida CPE ni sozlaydi, masalan, ikkita asosiy konfiguratsiya opsiyasi:
Cisco uchun variant:
kripto ikev2 kalitlari BeelineIPsec_keyring
tengdosh Beeline_VPNHub
62.141.99.183 manzili β Beeline VPN markazi
oldindan taqsimlangan kalit <Autentifikatsiya paroli>
!
Statik marshrutlash opsiyasi uchun Vpn-hub orqali kirish mumkin bo'lgan tarmoqlarga marshrutlar IKEv2 konfiguratsiyasida belgilanishi mumkin va ular avtomatik ravishda Idoralar marshrutlash jadvalida statik marshrutlar sifatida paydo bo'ladi. Ushbu sozlamalar statik marshrutlarni o'rnatishning standart usuli yordamida ham amalga oshirilishi mumkin (pastga qarang).kripto ikev2 avtorizatsiya siyosati FlexClient-muallif
Idoralar marshrutizatorining orqasidagi tarmoqlarga marshrut - Idoralar va PE o'rtasidagi statik marshrutlash uchun majburiy sozlama. IKEv2 shovqini orqali tunnel ko'tarilganda marshrut ma'lumotlarini PEga o'tkazish avtomatik ravishda amalga oshiriladi.
marshrutni sozlash masofaviy ipv4 10.1.1.0 255.255.255.0 - Ofisning mahalliy tarmog'i
!
kripto ikev2 profili BeelineIPSec_profile
mahalliy identifikatsiya <login>
autentifikatsiya mahalliy oldindan almashish
autentifikatsiya masofaviy oldindan almashish
Keyring mahalliy BeelineIPsec_keyring
aaa avtorizatsiya guruhi psk ro'yxati guruhi-muallif-ro'yxati FlexClient-muallif
!
kripto ikev2 mijoz flexvpn BeelineIPsec_flex
tengdosh 1 Beeline_VPNHub
mijoz ulanishi Tunnel1
!
kripto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
rejim tunnel
!
kripto ipsec profili sukut bo'yicha
TRANSFORM1-ni o'zgartiring
ikev2-profil BeelineIPSec_profile o'rnating
!
Tunnel 1 interfeysi
ip manzili 10.20.1.2 255.255.255.252 - Tunnel manzili
tunnel manbai GigabitEthernet0/2 - Internetga kirish interfeysi
tunnel rejimi ipsec ipv4
tunnel manzilining dinamikasi
tunnel himoyasi ipsec profili standart
!
Beeline VPN kontsentratori orqali kirish mumkin bo'lgan mijozning shaxsiy tarmoqlariga marshrutlar statik tarzda o'rnatilishi mumkin.ip marshruti 172.16.0.0 255.255.0.0 Tunnel1
ip marshruti 192.168.0.0 255.255.255.0 Tunnel1Huawei uchun variant (ar160/120):
ike mahalliy nomi <login>
#
acl nomi ipsec 3999
qoida 1 ruxsat IP manba 10.1.1.0 0.0.0.255 - Ofisning mahalliy tarmog'i
#
aaa
IPSEC xizmat ko'rsatish sxemasi
Marshrut to'plami acl 3999
#
ipsec taklifi ipsec
esp autentifikatsiya algoritmi sha2-256
esp shifrlash-algoritmi aes-256
#
ike taklifi sukut bo'yicha
shifrlash-algoritmi aes-256
dh guruhi2
autentifikatsiya algoritmi sha2-256
autentifikatsiya usuli oldindan almashish
yaxlitlik-algoritmi hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
oldindan umumiy kalit oddiy <Autentifikatsiya paroli>
mahalliy identifikator turi fqdn
masofaviy identifikator turi IP
masofaviy manzil 62.141.99.183 β Beeline VPN markazi
IPSEC xizmat ko'rsatish sxemasi
konfiguratsiya almashinuvi so'rovi
config-exchange to'plami qabul qilinadi
config-exchange majmuini yuborish
#
ipsec profili ipsecprof
ike-peer ipsec
taklif ipsec
#
Tunnel0/0/0 interfeysi
ip manzili 10.20.1.2 255.255.255.252 - Tunnel manzili
tunnel protokoli ipsec
manba GigabitEthernet0/0/1 - Internetga kirish interfeysi
ipsec profili ipsecprof
#
Beeline VPN kontsentratori orqali kirish mumkin bo'lgan mijozning shaxsiy tarmoqlariga yo'nalishlar statik tarzda o'rnatilishi mumkin.ip route-statik 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-statik 172.16.0.0 255.255.0.0 Tunnel0/0/0
Olingan aloqa diagrammasi quyidagicha ko'rinadi:
Agar mijozda asosiy konfiguratsiyaning ba'zi misollari bo'lmasa, biz odatda ularni shakllantirishda yordam beramiz va ularni hamma uchun ochiq qilamiz.
Faqat CPE-ni Internetga ulash, VPN tunnelining javob qismiga va VPN ichidagi har qanday xostga ping yuborish qoladi va shu bilan biz ulanish amalga oshirilgan deb taxmin qilishimiz mumkin.
Keyingi maqolada biz Huawei CPE-dan foydalangan holda ushbu sxemani IPSec va MultiSIM Redundancy bilan qanday birlashtirganimizni aytib beramiz: biz mijozlar uchun Huawei CPE-ni o'rnatamiz, ular nafaqat simli Internet-kanal, balki 2 xil SIM-karta va CPE-dan ham foydalanishi mumkin. IPSec-tunnelni simli WAN orqali yoki radio (LTE#1/LTE#2) orqali avtomatik ravishda qayta quradi, natijada paydo bo'lgan xizmatning yuqori nosozliklarga chidamliligini amalga oshiradi.
Ushbu maqolani tayyorlash uchun RnD hamkasblarimizga (va, aslida, ushbu texnik echimlar mualliflariga) alohida rahmat!
Manba: www.habr.com