Hello! SA Gihulagway nako ang trabaho sa among serbisyo sa MultiSIM sa bahin и mga kanal. Sama sa nahisgutan, among gikonektar ang mga kliyente sa network pinaagi sa VPN, ug karon isulti ko kanimo ang labi pa bahin sa VPN ug ang among mga kapabilidad niini nga bahin.
Angayan nga magsugod sa kamatuoran nga kami, ingon usa ka operator sa telecom, adunay among kaugalingon nga dako nga network sa MPLS, nga alang sa mga kostumer sa fixed-line gibahin sa duha ka punoan nga mga bahin - ang usa nga gigamit direkta sa pag-access sa Internet, ug ang usa nga gigamit sa paghimo sa nahilit nga mga network - ug pinaagi niining bahin sa MPLS nga ang IPVPN (L3 OSI) ug VPLAN (L2 OSI) nga trapiko nag-agay alang sa among mga kliyente sa korporasyon.
Kasagaran, ang koneksyon sa kliyente mahitabo sama sa mosunod.
Ang usa ka linya sa pag-access gibutang sa opisina sa kliyente gikan sa labing duol nga Point of Presence sa network (node MEN, RRL, BSSS, FTTB, ug uban pa) ug dugang pa, ang channel narehistro pinaagi sa transport network sa katugbang nga PE-MPLS router, diin among gi-output kini sa usa ka espesyal nga gihimo alang sa VRF nga kliyente, nga gikonsiderar ang profile sa trapiko nga gikinahanglan sa kliyente (profile label gipili alang sa matag access port, base sa ip precedence values 0,1,3,5, XNUMX).
Kung tungod sa pipila ka rason dili namo hingpit nga maorganisar ang katapusang milya alang sa kliyente, pananglitan, ang opisina sa kliyente nahimutang sa usa ka sentro sa negosyo, diin ang laing provider usa ka prayoridad, o wala kami sa among punto sa presensya sa duol, unya kaniadto mga kliyente kinahanglang maghimo ug daghang IPVPN network sa lain-laing mga providers (dili ang pinakabarato nga arkitektura) o independente nga pagsulbad sa mga isyu sa pag-organisar sa access sa imong VRF sa Internet.
Daghan ang nagbuhat niini pinaagi sa pag-instalar sa IPVPN Internet gateway - nag-instalar sila og border router (hardware o pipila ka solusyon nga nakabase sa Linux), nagkonektar sa usa ka IPVPN channel niini sa usa ka port ug usa ka Internet channel sa lain, naglansad sa ilang VPN server niini ug konektado. tiggamit pinaagi sa ilang kaugalingong VPN gateway. Natural, ang ingon nga laraw nagmugna usab og mga palas-anon: ang ingon nga imprastraktura kinahanglan nga tukuron ug, labing dili kombenyente, gipadagan ug gipalambo.
Aron mapadali ang kinabuhi sa among mga kliyente, nag-install kami usa ka sentralisado nga VPN hub ug organisado nga suporta alang sa mga koneksyon sa Internet gamit ang IPSec, nga mao, karon ang mga kliyente kinahanglan ra nga i-configure ang ilang router aron magtrabaho sa among VPN hub pinaagi sa usa ka tunel sa IPSec sa bisan unsang publiko nga Internet. , ug atong Ipagawas ang trapiko niini nga kliyente ngadto sa VRF niini.
Kinsa ang makakaplag niini nga mapuslanon?
- Alang sa mga adunay usa ka dako nga network sa IPVPN ug nanginahanglan mga bag-ong koneksyon sa mubo nga panahon.
- Bisan kinsa nga, sa usa ka hinungdan, gusto nga ibalhin ang bahin sa trapiko gikan sa publiko nga Internet ngadto sa IPVPN, apan kaniadto nakasugat sa teknikal nga mga limitasyon nga may kalabutan sa daghang mga service provider.
- Alang sa mga karon adunay daghang lainlaing mga network sa VPN sa lainlaing mga operator sa telecom. Adunay mga kliyente nga malampuson nga nag-organisar sa IPVPN gikan sa Beeline, Megafon, Rostelecom, ug uban pa. Aron mahimo kini nga mas sayon, mahimo ka nga magpabilin lamang sa among usa ka VPN, ibalhin ang tanan nga uban pang mga channel sa ubang mga operator sa Internet, ug dayon magkonektar sa Beeline IPVPN pinaagi sa IPSec ug sa Internet gikan niini nga mga operator.
- Alang niadtong aduna nay IPVPN network nga gisapawan sa Internet.
Kung imong i-deploy ang tanan uban kanamo, nan ang mga kliyente makadawat sa bug-os nga suporta sa VPN, seryoso nga pag-uswag sa imprastraktura, ug mga standard nga mga setting nga magamit sa bisan unsang router nga ilang gigamit (bisan Cisco, bisan ang Mikrotik, ang panguna nga butang mao nga kini makasuporta sa husto. IPSec/IKEv2 nga adunay standardized authentication method). Pinaagi sa dalan, bahin sa IPSec - karon gisuportahan ra namon kini, apan nagplano kami nga ilunsad ang hingpit nga operasyon sa OpenVPN ug Wireguard, aron ang mga kliyente dili makasalig sa protocol ug mas dali nga makuha ug ibalhin ang tanan kanamo, ug gusto usab namon nga magsugod sa pagkonektar sa mga kliyente gikan sa mga kompyuter ug mga mobile device (mga solusyon nga gitukod sa OS, Cisco AnyConnect ug strongSwan ug uban pa). Uban niini nga pamaagi, ang de facto nga pagtukod sa imprastraktura mahimong luwas nga itugyan ngadto sa operator, magbilin lamang sa configuration sa CPE o host.
Giunsa pagtrabaho ang proseso sa koneksyon alang sa IPSec mode:
- Ang kliyente nagbilin usa ka hangyo sa iyang manager diin iyang gipaila ang gikinahanglan nga katulin sa koneksyon, profile sa trapiko ug mga parameter sa IP addressing alang sa tunel (sa default, usa ka subnet nga adunay maskara nga /30) ug ang tipo sa ruta (static o BGP). Aron mabalhin ang mga ruta sa mga lokal nga network sa kliyente sa konektado nga opisina, ang mga mekanismo sa IKEv2 sa yugto sa IPSec protocol gigamit gamit ang angay nga mga setting sa router sa kliyente, o kini gi-anunsyo pinaagi sa BGP sa MPLS gikan sa pribadong BGP AS nga gitakda sa aplikasyon sa kliyente. . Sa ingon, ang kasayuran bahin sa mga ruta sa mga network sa kliyente hingpit nga kontrolado sa kliyente pinaagi sa mga setting sa router sa kliyente.
- Agig tubag gikan sa iyang manedyer, ang kliyente makadawat sa datos sa accounting alang sa paglakip sa iyang VRF sa porma:
- VPN-HUB IP address
- Login
- Panghimatuud nga password
- Gi-configure ang CPE, sa ubos, pananglitan, duha ka sukaranan nga kapilian sa pag-configure:
Opsyon alang sa Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
kauban Beeline_VPNHub
adto sa 62.141.99.183 -VPN hub nga Beeline
pre-shared-key <Authentication password>
!
Alang sa opsyon sa static nga ruta, ang mga ruta sa mga network nga ma-access pinaagi sa Vpn-hub mahimong matino sa IKEv2 configuration ug kini awtomatiko nga makita ingon mga static nga ruta sa CE routing table. Mahimo usab kini nga mga setting gamit ang standard nga pamaagi sa pagpahimutang sa mga static nga ruta (tan-awa sa ubos).polisiya sa pagtugot sa crypto ikev2 FlexClient-author
Ruta sa mga network luyo sa CE router – usa ka mandatory setting para sa static nga routing tali sa CE ug PE. Ang pagbalhin sa data sa ruta ngadto sa PE awtomatiko nga gihimo kung ang tunel gipataas pinaagi sa interaksyon sa IKEv2.
rota set remote IPv4 10.1.1.0 255.255.255.0 – Opisina sa lokal nga network
!
crypto ikev2 profile BeelineIPSec_profile
identidad lokal <login>
panghimatuud sa lokal nga pre-share
authentication hilit nga pre-share
keyring lokal nga BeelineIPsec_keyring
aaa authorization group psk list group-author-list FlexClient-author
!
crypto ikev2 kliyente flexvpn BeelineIPsec_flex
kauban 1 Beeline_VPNHub
kliyente nagkonektar Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
mode tunnel
!
default nga profile sa crypto ipsec
set transform-set TRANSFORM1
ibutang ang ikev2-profile nga BeelineIPSec_profile
!
interface Tunnel1
ip adres 10.20.1.2 – Address sa tunel
tinubdan sa tunel nga GigabitEthernet0/2 - Interface sa pag-access sa Internet
tunnel mode ipsec ipv4
dinamikong destinasyon sa tunel
Tunnel protection ipsec profile default
!
Ang mga ruta sa mga pribadong network sa kliyente nga ma-access pinaagi sa Beeline VPN concentrator mahimong itakda sa statically.ip ruta 172.16.0.0 255.255.0.0 Tunnel1
ip ruta 192.168.0.0 255.255.255.0 Tunnel1Opsyon alang sa Huawei (ar160/120):
sama sa lokal nga ngalan <login>
#
acl ngalan ipsec 3999
lagda 1 permiso ip tinubdan 10.1.1.0 0.0.0.255 – Opisina sa lokal nga network
#
AAA
serbisyo-scheme IPSEC
rota set acl 3999
#
ipsec proposal ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
default nga proposal
encryption-algorithm aes-256
dh grupo2
authentication-algorithm sha2-256
authentication-pamaagi sa pre-share
integridad-algorithm hmac-sha2-256
prf hmac-sha2-256
#
sama sa peer ipsec
pre-shared-key simple <Authentication password>
local-id-type nga fqdn
remote-id-type nga ip
hilit nga adres 62.141.99.183 -VPN hub nga Beeline
serbisyo-scheme IPSEC
config-exchange nga hangyo
config-exchange set dawaton
config-exchange set ipadala
#
ipsec profile ipsecprof
ike-peer ipsec
proposal ipsec
#
interface Tunnel0/0/0
ip adres 10.20.1.2 – Address sa tunel
tunnel-protocol ipsec
tinubdan GigabitEthernet0/0/1 - Interface sa pag-access sa Internet
ipsec profile ipsecprof
#
Ang mga ruta sa mga pribadong network sa kliyente nga ma-access pinaagi sa Beeline VPN concentrator mahimong itakda sa staticallyip ruta-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip ruta-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Ang resulta nga diagram sa komunikasyon ingon niini:
Kung ang kliyente wala’y pipila ka mga pananglitan sa sukaranan nga pag-configure, nan kasagaran kami nagtabang sa ilang pagporma ug gihimo kini nga magamit sa tanan.
Ang nahabilin mao ang pagkonektar sa CPE sa Internet, pag-ping sa tubag nga bahin sa tunel sa VPN ug bisan unsang host sa sulod sa VPN, ug kana, mahimo naton hunahunaon nga nahimo na ang koneksyon.
Sa sunod nga artikulo among isulti kanimo kung giunsa namon gihiusa kini nga laraw sa IPSec ug MultiSIM Redundancy gamit ang Huawei CPE: among gi-install ang among Huawei CPE alang sa mga kliyente, nga magamit dili lamang usa ka wired nga channel sa Internet, apan usab 2 lainlaing mga SIM card, ug ang CPE awtomatik nga nagtukod pag-usab sa IPSec-tunnel pinaagi sa wired WAN o pinaagi sa radyo (LTE#1/LTE#2), nga nakaamgo sa taas nga fault tolerance sa resulta nga serbisyo.
Espesyal nga pasalamat sa among mga kauban sa RnD sa pag-andam niini nga artikulo (ug, sa tinuud, sa mga tagsulat niining mga teknikal nga solusyon)!
Source: www.habr.com