Halò! ANNS
Is fhiach tòiseachadh leis gu bheil an lìonra MPLS mòr againn fhèin mar ghnìomhaiche cian-chonaltraidh, a tha airson luchd-ceannach loidhne stèidhichte air a roinn ann an dà phrìomh roinn - am fear a thathas a’ cleachdadh gu dìreach airson faighinn chun eadar-lìn, agus am fear a tha air a chleachdadh gus lìonraidhean iomallach a chruthachadh - agus is ann tron roinn MPLS seo a bhios trafaic IPVPN (L3 OSI) agus VPLAN (L2 OSI) a’ sruthadh airson ar teachdaichean corporra.
Mar as trice, bidh ceangal teachdaiche a’ tachairt mar a leanas.
Tha loidhne ruigsinneachd air a chuir gu oifis an neach-dèiligidh bhon phuing làthaireachd as fhaisge air an lìonra (node MEN, RRL, BSSS, FTTB, msaa) agus nas fhaide air adhart, tha an sianal clàraichte tron lìonra còmhdhail chun PE-MPLS co-fhreagarrach. router, air am bi sinn ga chuir a-mach gu inneal a chaidh a chruthachadh gu sònraichte airson an neach-dèiligidh VRF, a ’toirt aire don phròifil trafaic a dh’ fheumas an neach-dèiligidh (tha bileagan pròifil air an taghadh airson gach port ruigsinneachd, stèidhichte air luachan prìomhachas ip 0,1,3,5, XNUMX).
Mura h-urrainn dhuinn airson adhbhar air choireigin am mìle mu dheireadh a chuir air dòigh don neach-dèiligidh, mar eisimpleir, tha oifis an neach-dèiligidh suidhichte ann an ionad gnìomhachais, far a bheil solaraiche eile na phrìomhachas, no dìreach nach eil ar làthaireachd faisg air làimh, an uairsin teachdaichean roimhe bha agam ri grunn lìonraidhean IPVPN a chruthachadh aig diofar sholaraichean (chan e an ailtireachd as èifeachdaiche a thaobh cosgais) no fuasgladh fhaighinn air cùisean gu neo-eisimeileach le bhith a’ cur air dòigh ruigsinneachd don VRF agad thairis air an eadar-lìn.
Rinn mòran seo le bhith a’ stàladh geata eadar-lìn IPVPN - chuir iad a-steach router crìche (bathar-cruaidh no fuasgladh stèidhichte air Linux), cheangail iad seanal IPVPN ris le aon phort agus seanail eadar-lìn leis an fhear eile, chuir iad am frithealaiche VPN air bhog air agus cheangail iad e. luchd-cleachdaidh tron gheata VPN aca fhèin. Gu nàdarra, tha an leithid de sgeama cuideachd a 'cruthachadh uallaichean: feumar a leithid de bhun-structair a thogail agus, gu mì-ghoireasach, obrachadh agus leasachadh.
Gus beatha a dhèanamh nas fhasa don luchd-dèiligidh againn, chuir sinn a-steach meadhan VPN meadhanaichte agus chuir sinn taic air dòigh airson ceanglaichean thairis air an eadar-lìn a’ cleachdadh IPSec, is e sin, a-nis chan fheum teachdaichean ach an router aca a rèiteachadh gus obrachadh leis an ionad VPN againn tro thunail IPSec thairis air eadar-lìn poblach sam bith. , agus leigidh sinn a-mach trafaic an neach-dèiligidh seo chun VRF aige.
Cò a bhios a dhìth
- Dhaibhsan aig a bheil lìonra mòr IPVPN mu thràth agus a dh’ fheumas ceanglaichean ùra ann an ùine ghoirid.
- Duine sam bith a tha, airson adhbhar air choireigin, ag iarraidh pàirt den trafaic a ghluasad bhon eadar-lìn poblach gu IPVPN, ach a tha air coinneachadh ri crìochan teicnigeach co-cheangailte ri grunn sholaraichean seirbheis roimhe seo.
- Dhaibhsan aig a bheil grunn lìonraidhean VPN eadar-dhealaichte bho dhiofar ghnìomhaichean cian-chonaltraidh. Tha teachdaichean ann a tha air IPVPN a chuir air dòigh gu soirbheachail bho Beeline, Megafon, Rostelecom, msaa. Gus a dhèanamh nas fhasa, chan urrainn dhut fuireach ach air an aon VPN againn, atharraich a h-uile seanal eile de ghnìomhaichean eile chun eadar-lìn, agus an uairsin ceangal ri Beeline IPVPN tro IPSec agus an eadar-lìn bho na gnìomhaichean sin.
- Dhaibhsan aig a bheil lìonra IPVPN mu thràth air a chòmhdach air an eadar-lìn.
Ma chleachdas tu a h-uile càil còmhla rinn, an uairsin gheibh teachdaichean taic VPN làn-chuimseach, fìor dhroch obair bun-structair, agus suidheachaidhean àbhaisteach a dh’ obraicheas air router sam bith air a bheil iad cleachdte (biodh e Cisco, eadhon Mikrotik, is e am prìomh rud gun urrainn dha taic cheart a thoirt dha. IPSec/IKEv2 le modhan dearbhaidh àbhaisteach). Co-dhiù, mu IPSec - an-dràsta chan eil sinn a ’toirt taic ach dha, ach tha sinn an dùil gnìomhachd làn-chuimseach an dà chuid OpenVPN agus Wireguard a chuir air bhog, gus nach urrainn do luchd-dèiligidh a bhith an urra ris a’ phròtacal agus tha e eadhon nas fhasa a h-uile càil a ghabhail agus a ghluasad thugainn, agus tha sinn cuideachd airson tòiseachadh air teachdaichean a cheangal bho choimpiutairean agus innealan gluasadach (fuasglaidhean air an togail a-steach don OS, Cisco AnyConnect agus strongSwan agus an leithid). Leis an dòigh-obrach seo, faodar togail de facto a’ bhun-structair a thoirt seachad gu sàbhailte don ghnìomhaiche, a ’fàgail dìreach rèiteachadh an CPE no an aoigh.
Mar a tha am pròiseas ceangail ag obair airson modh IPSec:
- Bidh an neach-dèiligidh a’ fàgail iarrtas chun mhanaidsear aige anns am bi e a’ comharrachadh an astar ceangail a tha a dhìth, ìomhaigh trafaic agus paramadairean seòladh IP airson an tunail (gu gnàthach, subnet le masg /30) agus an seòrsa slighe (statach no BGP). Gus slighean a ghluasad gu lìonraidhean ionadail an neach-dèiligidh san oifis ceangailte, thathas a’ cleachdadh na h-innealan IKEv2 aig ìre protocol IPSec a’ cleachdadh nan roghainnean iomchaidh air router an neach-dèiligidh, no tha iad air an sanasachadh tro BGP ann am MPLS bhon BGP AS prìobhaideach a tha air a shònrachadh ann an tagradh an neach-dèiligidh. . Mar sin, tha fiosrachadh mu shlighean lìonraidhean teachdaiche gu tur fo smachd an neach-dèiligidh tro shuidheachaidhean an router teachdaiche.
- Mar fhreagairt bhon mhanaidsear aige, gheibh an neach-dèiligidh dàta cunntasachd airson a thoirt a-steach don VRF aige den fhoirm:
- Seòladh IP VPN-HUB
- login
- Facal-faire dearbhaidh
- A’ rèiteachadh CPE, gu h-ìosal, mar eisimpleir, dà roghainn rèiteachaidh bunaiteach:
Roghainn airson Cisco:
meur-chlàr crypto ikev2 BeelineIPsec_keyring
co-aoisean Beeline_VPNHub
seòladh 62.141.99.183 - Ionad VPN Beeline
pre-shared-key <Facal-faire dearbhaidh>
!
Airson an roghainn slighe statach, faodar slighean gu lìonraidhean a gheibhear tron ionad Vpn a shònrachadh ann an rèiteachadh IKEv2 agus nochdaidh iad gu fèin-ghluasadach mar shlighean statach ann an clàr slighe CE. Faodar na roghainnean sin a dhèanamh cuideachd a’ cleachdadh an dòigh àbhaisteach airson slighean statach a shuidheachadh (faic gu h-ìosal).poileasaidh ùghdarrachaidh crypto ikev2 FlexClient-ùghdar
Slighe gu lìonraidhean air cùl an router CE - suidheachadh èigneachail airson slighe statach eadar CE agus PE. Bidh gluasad dàta slighe gu PE air a dhèanamh gu fèin-ghluasadach nuair a thèid an tunail a thogail tro eadar-obrachadh IKEv2.
slighe air a shuidheachadh iomallach ipv4 10.1.1.0 255.255.255.0 - lìonra ionadail oifis
!
pròifil crypto ikev2 BeelineIPSec_profile
dearbh-aithne ionadail <login>
ro-roinn ionadail dearbhaidh
ro-roinn dearbhaidh iomallach
keyring ionadail BeelineIPsec_keyring
buidheann ùghdarrachaidh aaa liosta psk buidheann-ùghdar-liosta FlexClient-author
!
neach-dèiligidh crypto ikev2 flexvpn BeelineIPsec_flex
co-aoisean 1 Beeline_VPNHub
ceangal cleachdaiche Tunnel1
!
crypto ipsec cruth-atharrachadh TRANSFORM1 esp-aes 256 esp-sha256-hmac
tunail modh
!
pròifil crypto ipsec bunaiteach
suidhich cruth-atharrachadh-set TRANSFORM1
suidhich ìomhaigh ikev2 BeelineIPSec_profile
!
Tunail eadar-aghaidh1
seòladh ip 10.20.1.2 255.255.255.252 - seòladh tunail
stòr tunail GigabitEthernet0/2 - Eadar-aghaidh ruigsinneachd eadar-lìn
modh tunail ipsec ipv4
ceann-uidhe tunail fiùghantach
dìon tunail pròifil ipsec bunaiteach
!
Faodar slighean gu lìonraidhean prìobhaideach an neach-dèiligidh a tha ruigsinneach tro inneal-cruinneachaidh Beeline VPN a shuidheachadh gu statach.slighe ip 172.16.0.0 255.255.0.0 Tunail 1
slighe ip 192.168.0.0 255.255.255.0 Tunail 1Roghainn airson Huawei (ar160/120):
ike ainm ionadail <log a-steach>
#
acl ainm ipsec 3999
riaghailt 1 cead stòr ip 10.1.1.0 0.0.0.255 - lìonra ionadail oifis
#
AAA
sgeama seirbheis IPSEC
slighe seata acl 3999
#
moladh ipsec ipsec
esp dearbhadh-algorithm sha2-256
esp crioptachadh-algorithm aes-256
#
ike moladh bunaiteach
crioptachadh-algorithm aes-256
dh buidheann2
dearbhadh-algorithm sha2-256
modh dearbhaidh - ro-roinn
ionracas-algorithm hmac-sha2-256
prf hmac-sha2-256
#
coltach ri co-aoisean ipsec
pre-shared-key sìmplidh <Facal-faire dearbhaidh>
ionadail-id-seòrsa fqdn
seòrsa ip iomallach-id
seòladh iomallach 62.141.99.183 - Ionad VPN Beeline
sgeama seirbheis IPSEC
iarrtas config-iomlaid
gabh ri seata config-exchange
config-exchange seata cuir
#
pròifil ipsec ipsecprof
ike-peer ipsec
moladh ipsec
#
eadar-aghaidh Tunail 0/0/0
seòladh ip 10.20.1.2 255.255.255.252 - seòladh tunail
tunail-pròtacal ipsec
stòr GigabitEthernet0/0/1 - Eadar-aghaidh ruigsinneachd eadar-lìn
pròifil ipsec ipsecprof
#
Faodar slighean gu lìonraidhean prìobhaideach an neach-dèiligidh a tha ruigsinneach tro inneal-cruinneachaidh Beeline VPN a shuidheachadh gu statachslighe ip-statach 192.168.0.0 255.255.255.0 Tunail0/0/0
slighe ip-statach 172.16.0.0 255.255.0.0 Tunail0/0/0
Tha an diagram conaltraidh a thig às a’ coimhead rudeigin mar seo:
Mura h-eil eisimpleirean aig an neach-dèiligidh den rèiteachadh bunaiteach, mar as trice bidh sinn a’ cuideachadh le bhith gan cruthachadh agus gan dèanamh rim faighinn don h-uile duine eile.
Chan eil air fhàgail ach an CPE a cheangal ris an eadar-lìn, ping ris a’ phàirt freagairt den tunail VPN agus aoigheachd sam bith taobh a-staigh an VPN, agus sin agad e, is urrainn dhuinn gabhail ris gun deach an ceangal a dhèanamh.
Anns an ath artaigil innsidh sinn dhut mar a chuir sinn an sgeama seo còmhla ri IPSec agus MultiSIM Iomarcachd a’ cleachdadh Huawei CPE: bidh sinn a ’stàladh ar Huawei CPE airson teachdaichean, a dh’ fhaodas chan e a-mhàin seanal eadar-lìn le sreang a chleachdadh, ach cuideachd 2 chairt SIM eadar-dhealaichte, agus an CPE ag ath-thogail gu fèin-ghluasadach tunail IPSec an dàrna cuid tro WAN uèirleas no tro rèidio (LTE # 1 / LTE # 2), a’ toirt a-mach fulangas àrd locht air an t-seirbheis a thig às.
Taing shònraichte dha ar co-obraichean RnD airson an artaigil seo ullachadh (agus, gu dearbh, dha ùghdaran nam fuasglaidhean teicnigeach sin)!
Source: www.habr.com