你好! 在 我部分描述了我们的 MultiSIM 服务的工作 и 渠道。 如前所述,我们通过 VPN 将客户端连接到网络,今天我将向您详细介绍一下 VPN 以及我们在这一部分中的功能。
首先值得一提的是,我们作为电信运营商,拥有自己庞大的MPLS网络,对于固网客户来说,它分为两个主要部分,一个是直接用于访问互联网的部分,一个是用于接入互联网的部分。用于创建隔离网络 — IPVPN (L3 OSI) 和 VPLAN (L2 OSI) 流量正是通过此 MPLS 段为我们的企业客户传输。
通常,客户端连接发生如下。
从最近的网络接入点(节点 MEN、RRL、BSSS、FTTB 等)铺设一条接入线路到客户办公室,并进一步通过传输网络将通道注册到相应的 PE-MPLS路由器,在该路由器上,我们将其输出到专门为 VRF 客户端创建的路由器,同时考虑客户端所需的流量配置文件(根据 ip 优先级值 0,1,3,5、XNUMX、XNUMX 选择每个访问端口的配置文件标签, XNUMX)。
如果由于某种原因我们无法为客户完全组织最后一英里,例如,客户的办公室位于商务中心,而其他提供商是优先考虑的,或者我们根本没有在附近有我们的存在点,那么以前的客户必须在不同的提供商处创建多个 IPVPN 网络(不是最具成本效益的架构),或者独立解决通过 Internet 组织对 VRF 的访问的问题。
许多人通过安装 IPVPN 互联网网关来做到这一点 - 他们安装了边界路由器(硬件或某些基于 Linux 的解决方案),用一个端口将 IPVPN 通道连接到它,用另一个端口连接到互联网通道,在其上启动 VPN 服务器并连接用户通过自己的 VPN 网关。 当然,这样的计划也会带来负担:必须建造这样的基础设施,而且最不方便的是运营和开发。
为了让我们的客户生活更轻松,我们安装了集中式 VPN 中心,并组织了对使用 IPSec 的互联网连接的支持,也就是说,现在客户只需配置其路由器即可通过任何公共互联网上的 IPSec 隧道与我们的 VPN 中心配合使用,我们将这个客户端的流量释放到它的 VRF。
谁需要
- 对于那些已经拥有大型 IPVPN 网络并需要在短时间内建立新连接的用户。
- 任何人出于某种原因想要将部分流量从公共互联网转移到 IPVPN,但之前遇到过与多个服务提供商相关的技术限制。
- 对于那些目前在不同电信运营商拥有多个不同 VPN 网络的人。 有客户已经成功从 Beeline、Megafon、Rostelecom 等组织了 IPVPN。 为了更简单,您可以只使用我们的单一 VPN,将其他运营商的所有其他通道切换到互联网,然后通过 IPSec 和这些运营商的互联网连接到 Beeline IPVPN。
- 对于那些已经在互联网上覆盖 IPVPN 网络的人。
如果您与我们一起部署一切,那么客户将获得全面的 VPN 支持、严格的基础设施冗余以及可在他们习惯的任何路由器上运行的标准设置(无论是 Cisco,甚至 Mikrotik,最主要的是它可以正确支持采用标准化身份验证方法的 IPSec/IKEv2)。 顺便说一句,关于 IPSec - 目前我们只支持它,但我们计划推出 OpenVPN 和 Wireguard 的全面运营,以便客户端可以不依赖该协议,并且更容易将所有内容传输给我们,我们还希望开始连接来自计算机和移动设备的客户端(操作系统内置的解决方案、Cisco AnyConnect 和 StrongSwan 等)。 通过这种方式,基础设施的实际建设可以安全地移交给运营商,只留下CPE或主机的配置。
IPSec 模式的连接过程如何工作:
- 客户端向其经理提出请求,其中指明隧道所需的连接速度、流量配置文件和 IP 寻址参数(默认情况下,具有 /30 掩码的子网)以及路由类型(静态或 BGP)。 要将路由传输到所连接办公室中的客户端本地网络,可通过客户端路由器上的适当设置使用 IPSec 协议阶段的 IKEv2 机制,或者通过 MPLS 中的 BGP 从客户端应用程序中指定的私有 BGP AS 进行通告。 这样,客户端网络的路由信息完全由客户端通过客户端路由器的设置来控制。
- 作为经理的回应,客户收到会计数据,并将其包含在其 VRF 中,格式如下:
- VPN-HUB IP地址
- Логин
- 认证密码
- 配置CPE,下面以两个基本配置选项为例:
思科的选项:
加密 ikev2 密钥环 BeelineIPsec_keyring
对等直线_VPNHub
地址62.141.99.183 –VPN 中心 Beeline
pre-shared-key <认证密码>
!
对于静态路由选项,可以在 IKEv2 配置中指定可通过 Vpn-hub 访问的网络的路由,并且它们将自动在 CE 路由表中显示为静态路由。 也可以使用设置静态路由的标准方法进行这些设置(见下文)。加密 ikev2 授权策略 FlexClient-author
路由到 CE 路由器后面的网络 – CE 和 PE 之间静态路由的强制设置。 路由数据到PE的传递是在IKEv2交互建立隧道时自动进行的。
路由设置远程 ipv4 10.1.1.0 255.255.255.0 –办公室本地网络
!
加密 ikev2 配置文件 BeelineIPSec_profile
身份本地<登录>
认证本地预共享
认证远程预共享
密钥环本地 BeelineIPsec_keyring
AAA 授权组 psk 列表 组作者列表 FlexClient-作者
!
加密 ikev2 客户端 flexvpn BeelineIPsec_flex
对等 1 Beeline_VPNHub
客户端连接隧道1
!
加密 ipsec 变换集 TRANSFORM1 esp-aes 256 esp-sha256-hmac
模式隧道
!
加密 ipsec 配置文件默认值
设置变换集 TRANSFORM1
设置 ikev2-profile BeelineIPSec_profile
!
接口隧道1
IP地址10.20.1.2 255.255.255.252 –隧道地址
隧道源GigabitEthernet0/2 – 互联网接入接口
隧道模式 ipsec ipv4
隧道目的地动态
隧道保护 ipsec 配置文件默认
!
可以静态设置可通过 Beeline VPN 集中器访问的客户端专用网络的路由。ip 路由 172.16.0.0 255.255.0.0 隧道 1
ip 路由 192.168.0.0 255.255.255.0 隧道 1华为 (ar160/120) 选项:
ike 本地名称 <登录>
#
ACL 名称 ipsec 3999
规则 1 允许 ip 源 10.1.1.0 0.0.0.255 –办公室本地网络
#
AAA
服务方案 IPSEC
路由设置 ACL 3999
#
ipsec 提议 ipsec
esp 身份验证算法 sha2-256
esp 加密算法 aes-256
#
ike 提案默认值
加密算法 aes-256
DH组2
身份验证算法 sha2-256
预共享身份验证方法
完整性算法 hmac-sha2-256
prf hmac-sha2-256
#
ike 对等 ipsec
pre-shared-key simple <认证密码>
本地 ID 类型 FQDN
远程 id 类型 ip
远程地址 62.141.99.183 –VPN 中心 Beeline
服务方案 IPSEC
配置交换请求
配置交换集接受
配置交换设置发送
#
ipsec 配置文件 ipsecprof
ike 对等 ipsec
提议 ipsec
#
接口隧道0/0/0
IP地址10.20.1.2 255.255.255.252 –隧道地址
隧道协议 ipsec
源GigabitEthernet0/0/1 – 互联网接入接口
ipsec 配置文件 ipsecprof
#
可以静态设置可通过 Beeline VPN 集中器访问的客户端专用网络的路由ip 路由静态 192.168.0.0 255.255.255.0 隧道0/0/0
ip 路由静态 172.16.0.0 255.255.0.0 隧道0/0/0
生成的通信图如下所示:
如果客户没有一些基本配置的示例,那么我们通常会帮助其形成并将其提供给其他人。
剩下的就是将 CPE 连接到互联网,对 VPN 隧道的响应部分和 VPN 内的任何主机执行 ping 操作,就这样,我们可以假设连接已经建立。
在下一篇文章中,我们将告诉您如何使用华为CPE将该方案与IPSec和MultiSIM Redundancy结合起来:我们为客户端安装华为CPE,它不仅可以使用有线互联网通道,还可以使用2张不同的SIM卡,并且CPE通过有线 WAN 或无线电 (LTE#1/LTE#2) 自动重建 IPSec 隧道,从而实现最终服务的高容错能力。
特别感谢我们的 RnD 同事准备这篇文章(事实上,还要感谢这些技术解决方案的作者)!
来源: habr.com