ሀሎ! ውስጥ
እኛ የቴሌኮም ኦፕሬተር እንደመሆናችን መጠን የራሳችን ግዙፍ MPLS አውታረ መረብ አለን ፣ ይህም ለቋሚ መስመር ደንበኞች በሁለት ዋና ዋና ክፍሎች የተከፈለ ነው - በቀጥታ ወደ በይነመረብ ለመግባት ጥቅም ላይ የሚውለው እና ያለው። ገለልተኛ አውታረ መረቦችን ለመፍጠር ያገለግል ነበር - እና በዚህ MPLS ክፍል ነው IPVPN (L3 OSI) እና VPLAN (L2 OSI) ለድርጅት ደንበኞቻችን የትራፊክ ፍሰት።
በተለምዶ የደንበኛ ግንኙነት እንደሚከተለው ይከሰታል።
የመዳረሻ መስመር ወደ ደንበኛው ቢሮ በአቅራቢያው ካለው የአውታረ መረብ መገኛ ቦታ (መስቀለኛ መንገድ MEN, RRL, BSSS, FTTB, ወዘተ) ተዘርግቷል እና ተጨማሪ, ሰርጡ በትራንስፖርት አውታረመረብ በኩል ወደ ተጓዳኝ PE-MPLS ይመዘገባል. ራውተር ፣ ደንበኛው የሚፈልገውን የትራፊክ መገለጫ ከግምት ውስጥ በማስገባት ለቪአርኤፍ ደንበኛ በልዩ ወደተፈጠረው እናወጣዋለን (የመገለጫ መለያዎች ለእያንዳንዱ የመድረሻ ወደብ ተመርጠዋል ፣ በአይፒ ቀዳሚ ዋጋዎች 0,1,3,5 ፣ XNUMX)
በሆነ ምክንያት ለደንበኛው የመጨረሻውን ማይል ሙሉ በሙሉ ማደራጀት ካልቻልን ፣ ለምሳሌ ፣ የደንበኛው ቢሮ በቢዝነስ ማእከል ውስጥ ይገኛል ፣ ሌላ አቅራቢ ቅድሚያ በሚሰጥበት ቦታ ፣ ወይም በቀላሉ በአቅራቢያችን የሚገኝበት ቦታ ከሌለን ፣ ከዚያ ቀደም ደንበኞች በተለያዩ አቅራቢዎች (በጣም ወጪ ቆጣቢው የሕንፃ ጥበብ ሳይሆን) በርካታ የአይፒፒኤን ኔትወርኮች መፍጠር ወይም የእርስዎን ቪአርኤፍ በበይነ መረብ ማደራጀት ላይ ችግሮችን መፍታት ነበረበት።
ብዙዎች ይህንን ያደረጉት IPVPN የኢንተርኔት ጌትዌይን በመጫን ነው - የድንበር ራውተር (ሃርድዌር ወይም አንዳንድ ሊኑክስ ላይ የተመሰረተ መፍትሄ) ጫኑ፣ የአይፒፒኤን ቻናልን ከአንድ ወደብ እና የኢንተርኔት ቻናል ከሌላው ጋር በማገናኘት የቪፒኤን ሰርቨርን በላዩ ላይ አስጀምረዋል እና ተገናኙ። ተጠቃሚዎች በራሳቸው የ VPN መግቢያ. በተፈጥሮ, እንዲህ ዓይነቱ እቅድ ሸክሞችን ይፈጥራል-እንዲህ ዓይነቱ መሠረተ ልማት መገንባት እና, በጣም በማይመች ሁኔታ, መስራት እና ማዳበር አለበት.
ለደንበኞቻችን ህይወትን ቀላል ለማድረግ የተማከለ የቪፒኤን ማዕከልን ጭነን እና IPSecን በመጠቀም በበይነ መረብ ላይ ለሚደረጉ ግንኙነቶች ድጋፍ አደራጅተናል፣ ያም ማለት አሁን ደንበኞቻችን ራውተርን ማዋቀር የሚያስፈልጋቸው ከVPN መገናኛችን ጋር በማንኛውም የህዝብ በይነመረብ ላይ በIPSec ዋሻ በኩል እንዲሰራ ብቻ ነው። እና የዚህን ደንበኛ ትራፊክ ወደ ቪአርኤፍ እንልቀቀው።
ማን ያስፈልገዋል
- ቀደም ሲል ትልቅ የአይፒፒፒኤን አውታረ መረብ ላላቸው እና በአጭር ጊዜ ውስጥ አዲስ ግንኙነት ለሚያስፈልጋቸው።
- ማንኛውም ሰው በሆነ ምክንያት የትራፊክን የተወሰነ ክፍል ከህዝብ በይነመረብ ወደ IPVPN ማስተላለፍ የሚፈልግ ነገር ግን ከዚህ ቀደም ከበርካታ አገልግሎት ሰጪዎች ጋር የተገናኙ ቴክኒካዊ ገደቦች አጋጥመውታል።
- በአሁኑ ጊዜ በተለያዩ የቴሌኮም ኦፕሬተሮች ላይ የተለያዩ የቪፒኤን ኔትወርኮች ላላቸው። በተሳካ ሁኔታ IPVPNን ከ Beeline, Megafon, Rostelecom, ወዘተ ያደራጁ ደንበኞች አሉ. ቀላል ለማድረግ በእኛ ነጠላ ቪፒኤን ላይ ብቻ መቆየት፣ የሌሎች ኦፕሬተሮችን ቻናሎች በሙሉ ወደ ኢንተርኔት መቀየር እና በመቀጠል ከቢላይን IPVPN ጋር በ IPSec እና ከእነዚህ ኦፕሬተሮች በይነመረብ መገናኘት ይችላሉ።
- በበይነመረቡ ላይ አስቀድሞ የአይፒፒኤን አውታረ መረብ ላላቸው።
ሁሉንም ነገር ከኛ ጋር ካሰማሩ ደንበኞቻቸው በለመዱት ራውተር ላይ የሚሰሩ ሙሉ የቪፒኤን ድጋፍ፣ ከባድ የመሠረተ ልማት ድጋፎች እና መደበኛ መቼቶች ይቀበላሉ (ሲስኮ፣ ሚክሮቲክም ቢሆን፣ ዋናው ነገር በትክክል መደገፍ መቻሉ ነው። IPSec/IKEv2 ከመደበኛ የማረጋገጫ ዘዴዎች ጋር)። በነገራችን ላይ ስለ IPSec - አሁን የምንደግፈው ብቻ ነው, ነገር ግን የሁለቱም የ OpenVPN እና Wireguard ሙሉ ስራ ለመጀመር አቅደናል, ስለዚህም ደንበኞች በፕሮቶኮሉ ላይ ጥገኛ እንዳይሆኑ እና ሁሉንም ነገር ወደ እኛ ለመውሰድ እና ለማስተላለፍ እንኳን ቀላል ነው. እና ደንበኞችን ከኮምፒዩተር እና ተንቀሳቃሽ መሳሪያዎች (በ OS, Cisco AnyConnect እና strongSwan እና የመሳሰሉት ውስጥ የተሰሩ መፍትሄዎች) ማገናኘት መጀመር እንፈልጋለን. በዚህ አቀራረብ የመሠረተ ልማት አውታሮች ግንባታ ደህንነቱ በተጠበቀ ሁኔታ ለኦፕሬተሩ ሊሰጥ ይችላል, የሲፒኢ ወይም አስተናጋጅ ውቅር ብቻ ይቀራል.
የግንኙነት ሂደት ለአይፒሴክ ሁነታ እንዴት እንደሚሰራ
- ደንበኛው ጥያቄውን ለአስተዳዳሪው ይተወዋል ይህም የሚፈለገውን የግንኙነት ፍጥነት፣ የትራፊክ መገለጫ እና የአይፒ አድራሻ መለኪያዎችን ለዋሻው (በነባሪ ፣ ንዑስ መረብ ከ / 30 ጭንብል ጋር) እና የማዞሪያ አይነት (ስታቲክ ወይም ቢጂፒ)። በተገናኘው ቢሮ ውስጥ ወደ ደንበኛው አካባቢያዊ አውታረመረቦች መንገዶችን ለማስተላለፍ የ IPSec ፕሮቶኮል ደረጃ የ IKEv2 ስልቶች በደንበኛው ራውተር ላይ ተገቢውን መቼቶች በመጠቀም ጥቅም ላይ ይውላሉ ወይም በደንበኛው መተግበሪያ ውስጥ ከተገለጸው የግል BGP AS በ MPLS ውስጥ በ BGP በኩል ማስታወቂያ ይሰጣሉ ። . ስለዚህ ስለ ደንበኛ አውታረ መረቦች መንገዶች መረጃ በደንበኛው ራውተር ቅንጅቶች በኩል በደንበኛው ሙሉ በሙሉ ቁጥጥር ይደረግበታል።
- ከአስተዳዳሪው ምላሽ ለመስጠት ደንበኛው በቅጹ VRF ውስጥ እንዲካተት የሂሳብ መረጃ ይቀበላል።
- ቪፒኤን-HUB አይፒ አድራሻ
- መግቢያ
- የማረጋገጫ ይለፍ ቃል
- CPEን ያዋቅራል፣ ከታች፣ ለምሳሌ፣ ሁለት መሰረታዊ የማዋቀር አማራጮች፡
ለሲስኮ አማራጭ፡-
crypto ikev2 የ BeelineIPsec_keyring
አቻ Beeline_VPNHub
አድራሻ 62.141.99.183 - VPN hub Beeline
ቅድመ-የተጋራ ቁልፍ <የማረጋገጫ ይለፍ ቃል>
!
ለስታቲክ ማዞሪያ አማራጭ፣ በVpn-hub በኩል ወደ ኔትወርኮች የሚወስዱ መንገዶች በ IKEv2 ውቅረት ውስጥ ሊገለጹ ይችላሉ እና በ CE የማዞሪያ ሠንጠረዥ ውስጥ እንደ ቋሚ መስመሮች ሆነው ይታያሉ። እነዚህ መቼቶች መደበኛውን የቋሚ መንገዶችን የማቀናበር ዘዴ በመጠቀም ሊደረጉ ይችላሉ (ከዚህ በታች ይመልከቱ)።crypto ikev2 የፍቃድ ፖሊሲ FlexClient-ደራሲ
ከ CE ራውተር ጀርባ ወደ ኔትወርኮች መሄጃ መንገድ - በ CE እና PE መካከል የማይለዋወጥ ማዘዋወር አስገዳጅ ቅንብር። የመንገዱን ውሂብ ወደ PE ማስተላለፍ ቦይው በ IKEv2 መስተጋብር ሲነሳ በራስ-ሰር ይከናወናል።
መንገድ አዘጋጅ የርቀት IPv4 10.1.1.0 255.255.255.0 - የቢሮ አካባቢያዊ አውታረመረብ
!
crypto ikev2 መገለጫ BeelineIPec_profile
ማንነት አካባቢያዊ <login>
ማረጋገጥ የአካባቢ ቅድመ-ማጋራት።
ማረጋገጫ የርቀት ቅድመ-ማጋራት
አካባቢያዊ BeelineIPsec_keyring
aaa ፈቃድ ቡድን psk ዝርዝር ቡድን-ደራሲ-ዝርዝር FlexClient-ደራሲ
!
crypto ikev2 ደንበኛ flexvpn BeelineIPsec_flex
አቻ 1 Beeline_VPNHub
ደንበኛ አገናኝ Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
ሁነታ ዋሻ
!
crypto ipsec መገለጫ ነባሪ
ትራንስፎርም አዘጋጅ ትራንስፎርም1
የ ikev2-መገለጫ BeelineIPec_profile አዘጋጅ
!
በይነገጽ Tunnel1
አይ ፒ አድራሻ 10.20.1.2 255.255.255.252 - የመተላለፊያ አድራሻ
ዋሻ ምንጭ GigabitEthernet0/2 - የበይነመረብ መዳረሻ በይነገጽ
መሿለኪያ ሁነታ ipsec ipv4
የመሿለኪያ መድረሻ ተለዋዋጭ
የዋሻ ጥበቃ ipsec መገለጫ ነባሪ
!
በ Beeline VPN concentrator በኩል ወደ ደንበኛ የግል አውታረ መረቦች የሚወስዱ መንገዶች በስታቲስቲክስ ሊዘጋጁ ይችላሉ።የአይ ፒ መንገድ 172.16.0.0 255.255.0.0 Tunnel1
የአይ ፒ መንገድ 192.168.0.0 255.255.255.0 Tunnel1አማራጭ ለ Huawei (ar160/120):
ike የአካባቢ ስም <login>
#
አክል ስም ipsec 3999
ደንብ 1 ፍቃድ ip ምንጭ 10.1.1.0 0.0.0.255 - የቢሮ አካባቢያዊ አውታረመረብ
#
AAA
የአገልግሎት-መርሃግብር IPSEC
መንገድ አዘጋጅ acl 3999
#
ipsec ፕሮፖዛል ipsec
esp ማረጋገጫ-አልጎሪዝም sha2-256
esp ምስጠራ-አልጎሪዝም aes-256
#
ike ፕሮፖዛል ነባሪ
ምስጠራ-አልጎሪዝም aes-256
dh ቡድን2
ማረጋገጫ-አልጎሪዝም sha2-256
የማረጋገጫ ዘዴ ቅድመ-ማጋራት
ታማኝነት-አልጎሪዝም hmac-sha2-256
prf hmac-sha2-256
#
ike እኩያ ipsec
ቅድመ-የተጋራ-ቁልፍ ቀላል <የማረጋገጫ ይለፍ ቃል>
አካባቢያዊ-መታወቂያ-አይነት fqdn
የርቀት-መታወቂያ አይነት ip
የርቀት አድራሻ 62.141.99.183 - VPN hub Beeline
የአገልግሎት-መርሃግብር IPSEC
የማዋቀር-ልውውጥ ጥያቄ
config-exchange ስብስብ መቀበል
ውቅር-ልውውጥ ስብስብ መላክ
#
ipsec መገለጫ ipsecprof
ike-peer ipsec
ፕሮፖዛል ipsec
#
በይነገጽ Tunnel0/0/0
አይ ፒ አድራሻ 10.20.1.2 255.255.255.252 - የመተላለፊያ አድራሻ
ዋሻ-ፕሮቶኮል ipsec
ምንጭ GigabitEthernet0/0/1 - የበይነመረብ መዳረሻ በይነገጽ
ipsec መገለጫ ipsecprof
#
በ Beeline VPN concentrator በኩል ወደ ደንበኛው የግል አውታረ መረቦች የሚወስዱ መንገዶች በስታቲስቲክስ ሊዘጋጁ ይችላሉ።ip ራውት-ስታቲክ 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip ራውት-ስታቲክ 172.16.0.0 255.255.0.0 Tunnel0/0/0
የተገኘው የግንኙነት ንድፍ ይህን ይመስላል።
ደንበኛው የመሠረታዊ ውቅር አንዳንድ ምሳሌዎች ከሌሉት እኛ ብዙውን ጊዜ በአፈጣጠራቸው እናግዛቸዋለን እና ለሁሉም ሰው እንዲደርሱ እናደርጋለን።
የሚቀረው ሲፒኢን ከበይነመረቡ ጋር ማገናኘት፣ ፒንግ ወደ የቪፒኤን ዋሻው ምላሽ ክፍል እና በቪፒኤን ውስጥ ያለ ማንኛውም አስተናጋጅ ማገናኘት ብቻ ነው፣ እና ያ ነው፣ ግንኙነቱ እንደተሰራ መገመት እንችላለን።
በሚቀጥለው ርዕስ ውስጥ እኛ Huawei CPE በመጠቀም ይህንን እቅድ ከ IPSec እና MultiSIM Redundancy ጋር እንዳጣመርን እንነግርዎታለን-የኛን Huawei CPE ን ለደንበኞች እንጭናለን, ይህም ባለገመድ የበይነመረብ ቻናል ብቻ ሳይሆን 2 የተለያዩ ሲም ካርዶችን እና CPEን መጠቀም ይችላል. በባለገመድ WAN ወይም በራዲዮ (LTE#1/LTE#2) በኩል IPSec- tunnelን በራስ ሰር መልሶ ይገነባል፣ ይህም የተገኘውን አገልግሎት ከፍተኛ ጥፋት መቻቻልን ይገነዘባል።
ይህንን ጽሑፍ ስላዘጋጁ (እና በእውነቱ ለእነዚህ ቴክኒካዊ መፍትሄዎች ደራሲዎች) ልዩ ምስጋና ለ RnD ባልደረቦቻችን!
ምንጭ: hab.com