你好! 在
首先值得一提的是,我們作為電信營運商,擁有自己龐大的MPLS網絡,對於固網客戶來說,它分為兩個主要部分,一個是直接用於訪問互聯網的部分,一個是用於接進入網際網路的部分。用於建立隔離網路 — IPVPN (L3 OSI) 和 VPLAN (L2 OSI) 流量正是透過此 MPLS 段為我們的企業客戶傳輸。
從最近的網路存取點(節點 MEN、RRL、BSSS、FTTB 等)鋪設一條接入線路到客戶辦公室,並進一步透過傳輸網路將通道註冊到相應的 PE-MPLS路由器,在該路由器上,我們將其輸出至專為VRF 用戶端建立的路由器,同時考慮客戶端所需的流量設定檔(根據ip 優先值0,1,3,5、XNUMX、XNUMX 選擇每個存取連接埠的設定檔標籤, XNUMX)。
如果由於某種原因我們無法為客戶完全組織最後一英里,例如,客戶的辦公室位於商務中心,而其他提供者是優先考慮的,或者我們根本沒有在附近有我們的存在點,那麼以前的客戶必須在不同的供應商處建立多個IPVPN 網路(不是最具成本效益的架構),或獨立解決透過Internet 組織對VRF 的存取的問題。
許多人透過安裝IPVPN 互聯網網關來做到這一點- 他們安裝了邊界路由器(硬體或某些基於Linux 的解決方案),用一個端口將IPVPN 通道連接到它,用另一個端口連接到互聯網通道,在其上啟動VPN 伺服器並連接使用者透過自己的 VPN 網關。 當然,這樣的計畫也會帶來負擔:必須建造這樣的基礎設施,最不方便的是營運和開發。
為了讓我們的客戶生活更輕鬆,我們安裝了集中式VPN 中心,並組織了對使用IPSec 的互聯網連接的支持,也就是說,現在客戶只需配置其路由器即可通過任何公共互聯網上的IPSec 隧道與我們的VPN 中心搭配使用,我們將這個客戶端的流量釋放到它的 VRF。
誰需要
- 對於那些已經擁有大型 IPVPN 網路並需要在短時間內建立新連線的用戶。
- 任何人出於某種原因想要將部分流量從公共互聯網轉移到 IPVPN,但之前遇到與多個服務提供者相關的技術限制。
- 對於目前在不同電信業者擁有多個不同 VPN 網路的人。 有客戶已經成功從 Beeline、Megafon、Rostelecom 等組織了 IPVPN。 為了更簡單,您可以只使用我們的單一 VPN,將其他運營商的所有其他通道切換到互聯網,然後透過 IPSec 和這些運營商的互聯網連接到 Beeline IPVPN。
- 對於那些已經在互聯網上覆蓋 IPVPN 網路的人。
如果您與我們一起部署一切,那麼客戶將獲得全面的VPN 支援、嚴格的基礎設施冗餘以及可在他們習慣的任何路由器上運行的標準設定(無論是Cisco,甚至Mikrotik,最主要的是它可以正確支援採用標準化身份驗證方法的 IPSec/IKEv2)。 順便說一句,關於 IPSec - 目前我們只支援它,但我們計劃推出 OpenVPN 和 Wireguard 的全面運營,以便客戶端可以不依賴該協議,並且更容易將所有內容傳輸給我們,我們還希望開始連接來自計算機和行動裝置的用戶端(作業系統內建的解決方案、Cisco AnyConnect 和StrongSwan 等)。 透過這種方式,基礎設施的實際建設可以安全地移交給營運商,只留下CPE或主機的配置。
IPSec 模式的連線過程如何運作:
- 用戶端向其經理提出請求,其中指明隧道所需的連線速度、流量設定檔和 IP 位址參數(預設情況下,具有 /30 遮罩的子網路)以及路由類型(靜態或 BGP)。 若要將路由傳輸到所連接辦公室中的客戶端本機網絡,可透過用戶端路由器上的適當設定使用IPSec 協定階段的IKEv2 機制,或透過MPLS 中的BGP 從客戶端應用程式中指定的專用BGP AS 進行通告。 這樣,客戶端網路的路由資訊完全由客戶端透過客戶端路由器的設定來控制。
- 作為經理的回應,客戶收到會計數據,並將其包含在其 VRF 中,格式如下:
- VPN-HUB IP位址
- 登錄
- 認證密碼
- 配置CPE,以下以兩個基本配置選項為例:
思科的選項:
加密 ikev2 金鑰環 BeelineIPsec_keyring
對等直線_VPNHub
地址62.141.99.183 –VPN 中心 Beeline
pre-shared-key <認證密碼>
!
對於靜態路由選項,可以在 IKEv2 配置中指定可透過 Vpn-hub 存取的網路的路由,並且它們將自動在 CE 路由表中顯示為靜態路由。 也可以使用設定靜態路由的標準方法進行這些設定(見下文)。加密 ikev2 授權政策 FlexClient-author
路由到 CE 路由器後面的網路 – CE 和 PE 之間靜態路由的強制設定。 路由資料到PE的傳遞是在IKEv2互動建立隧道時自動進行的。
路由設定遠端 ipv4 10.1.1.0 255.255.255.0 –辦公室本地網絡
!
加密 ikev2 設定檔 BeelineIPSec_profile
身分本地<登入>
認證本地預共享
認證遠端預共享
密鑰環本地 BeelineIPsec_keyring
AAA 授權群組 psk 清單 群組作者清單 FlexClient-作者
!
加密 ikev2 用戶端 flexvpn BeelineIPsec_flex
對等 1 Beeline_VPNHub
用戶端連接隧道1
!
加密 ipsec 變換集 TRANSFORM1 esp-aes 256 esp-sha256-hmac
模式隧道
!
加密 ipsec 設定檔預設值
設定變換集 TRANSFORM1
設定 ikev2-profile BeelineIPSec_profile
!
介面隧道1
IP地址10.20.1.2 255.255.255.252 –隧道位址
隧道源GigabitEthernet0/2 – 網際網路接取介面
隧道模式 ipsec ipv4
隧道目的地動態
隧道保護 ipsec 設定檔預設
!
可靜態設定可透過 Beeline VPN 集中器存取的用戶端專用網路的路由。ip 路由 172.16.0.0 255.255.0.0 隧道 1
ip 路由 192.168.0.0 255.255.255.0 隧道 1華為 (ar160/120) 選項:
ike 本機名稱 <登入>
#
ACL 名稱 ipsec 3999
規則 1 允許 ip 來源 10.1.1.0 0.0.0.255 –辦公室本地網絡
#
AAA
服務方案 IPSEC
路由設定 ACL 3999
#
ipsec 提議 ipsec
esp 驗證演算法 sha2-256
esp 加密演算法 aes-256
#
ike 提案預設值
加密演算法 aes-256
DH組2
身份驗證演算法 sha2-256
預共享身份驗證方法
完整性演算法 hmac-sha2-256
prf hmac-sha2-256
#
ike 對等 ipsec
pre-shared-key simple <認證密碼>
本地 ID 類型 FQDN
遠端 id 類型 ip
遠端位址 62.141.99.183 –VPN 中心 Beeline
服務方案 IPSEC
配置交換請求
配置交換集接受
配置交換設定發送
#
ipsec 設定檔 ipsecprof
ike 對等 ipsec
提議 ipsec
#
介面隧道0/0/0
IP地址10.20.1.2 255.255.255.252 –隧道位址
隧道協定 ipsec
來源GigabitEthernet0/0/1 – 網際網路接取介面
ipsec 設定檔 ipsecprof
#
可靜態設定可透過 Beeline VPN 集中器存取的用戶端專用網路的路由ip 路由靜態 192.168.0.0 255.255.255.0 隧道0/0/0
ip 路由靜態 172.16.0.0 255.255.0.0 隧道0/0/0
產生的通訊圖如下所示:
如果客戶沒有一些基本配置的範例,那麼我們通常會幫助其形成並將其提供給其他人。
剩下的就是將 CPE 連接到互聯網,對 VPN 隧道的回應部分和 VPN 內的任何主機執行 ping 操作,就這樣,我們可以假設連接已經建立。
在下一篇文章中,我們將告訴您如何使用華為CPE將該方案與IPSec和MultiSIM Redundancy結合:我們為客戶端安裝我們的華為CPE,它不僅可以使用有線互聯網通道,還可以使用2張不同的SIM卡,且CPE透過有線 WAN 或無線電 (LTE#1/LTE#2) 自動重建 IPSec 隧道,從而實現最終服務的高容錯能力。
特別感謝我們的 RnD 同事準備這篇文章(事實上,也要感謝這些技術解決方案的作者)!
來源: www.habr.com