🥇របៀបទៅកាន់ Beeline IPVPN តាមរយៈ IPSec។ ភាគ១

សួស្តី! IN ប្រកាសមុន។ ខ្ញុំបានពិពណ៌នាការងារនៃសេវាកម្ម MultiSIM របស់យើងជាផ្នែក ការកក់ទុក и តុល្យភាព ឆានែល។ ដូចដែលបានរៀបរាប់រួច យើងភ្ជាប់អតិថិជនទៅបណ្តាញតាមរយៈ VPN ហើយថ្ងៃនេះខ្ញុំនឹងប្រាប់អ្នកបន្តិចបន្ថែមទៀតអំពី VPN និងសមត្ថភាពរបស់យើងនៅក្នុងផ្នែកនេះ។

វាមានតម្លៃចាប់ផ្តើមជាមួយនឹងការពិតដែលថាយើងក្នុងនាមជាប្រតិបត្តិករទូរគមនាគមន៍មានបណ្តាញ MPLS ដ៏ធំផ្ទាល់ខ្លួនរបស់យើងដែលសម្រាប់អតិថិជនបណ្តាញថេរត្រូវបានបែងចែកជាពីរផ្នែកសំខាន់ - មួយដែលត្រូវបានប្រើដោយផ្ទាល់ដើម្បីចូលប្រើអ៊ីនធឺណិតនិងមួយដែលជា។ ប្រើដើម្បីបង្កើតបណ្តាញដាច់ស្រយាល — ហើយវាគឺតាមរយៈផ្នែក MPLS នេះដែលចរាចរ IPVPN (L3 OSI) និង VPLAN (L2 OSI) ហូរសម្រាប់អតិថិជនសាជីវកម្មរបស់យើង។

ជាធម្មតា ការភ្ជាប់ម៉ាស៊ីនភ្ញៀវកើតឡើងដូចខាងក្រោម។

ខ្សែបន្ទាត់ចូលប្រើត្រូវបានដាក់ទៅការិយាល័យរបស់អតិថិជនពីចំណុចដែលនៅជិតបំផុតនៃវត្តមានបណ្តាញ (ថ្នាំង MEN, RRL, BSSS, FTTB ។ រ៉ោតទ័រ ដែលយើងបញ្ជូនវាទៅបង្កើតជាពិសេសសម្រាប់ម៉ាស៊ីនភ្ញៀវ VRF ដោយគិតគូរពីទម្រង់ចរាចរណ៍ដែលអតិថិជនត្រូវការ (ស្លាកទម្រង់ត្រូវបានជ្រើសរើសសម្រាប់ច្រកចូលដំណើរការនីមួយៗ ដោយផ្អែកលើតម្លៃ ip អាទិភាព 0,1,3,5, ៥).

ប្រសិនបើសម្រាប់ហេតុផលមួយចំនួន យើងមិនអាចរៀបចំម៉ាយល៍ចុងក្រោយសម្រាប់អតិថិជនបានពេញលេញទេ ឧទាហរណ៍ ការិយាល័យរបស់អតិថិជនមានទីតាំងនៅក្នុងមជ្ឈមណ្ឌលពាណិជ្ជកម្ម ដែលអ្នកផ្តល់សេវាផ្សេងទៀតជាអាទិភាព ឬយើងគ្រាន់តែមិនមានចំណុចវត្តមានរបស់យើងនៅក្បែរនោះ អតិថិជនពីមុន ត្រូវតែបង្កើតបណ្តាញ IPVPN ជាច្រើននៅតាមអ្នកផ្តល់សេវាផ្សេងៗគ្នា (មិនមែនជាស្ថាបត្យកម្មដែលមានប្រសិទ្ធភាពបំផុត) ឬដោះស្រាយបញ្ហាដោយឯករាជ្យជាមួយនឹងការរៀបចំការចូលប្រើ VRF របស់អ្នកតាមអ៊ីនធឺណិត។

មនុស្សជាច្រើនបានធ្វើដូច្នេះដោយដំឡើងច្រកផ្លូវអ៊ីនធឺណិត IPVPN - ពួកគេបានដំឡើងរ៉ោតទ័រព្រំដែន (ផ្នែករឹង ឬដំណោះស្រាយដែលមានមូលដ្ឋានលើលីនុចមួយចំនួន) បានភ្ជាប់បណ្តាញ IPVPN ទៅវាជាមួយនឹងច្រកមួយ និងបណ្តាញអ៊ីនធឺណែតជាមួយមួយទៀត បើកដំណើរការម៉ាស៊ីនមេ VPN របស់ពួកគេនៅលើវា ហើយភ្ជាប់ អ្នកប្រើប្រាស់តាមរយៈច្រកទ្វារ VPN ផ្ទាល់ខ្លួនរបស់ពួកគេ។ ជាធម្មតា គ្រោងការណ៍បែបនេះក៏បង្កើតបន្ទុកផងដែរ៖ ហេដ្ឋារចនាសម្ព័ន្ធបែបនេះត្រូវតែត្រូវបានសាងសង់ ហើយភាគច្រើនមានការរអាក់រអួល ដំណើរការ និងអភិវឌ្ឍ។

ដើម្បីធ្វើឱ្យជីវិតកាន់តែងាយស្រួលសម្រាប់អតិថិជនរបស់យើង យើងបានដំឡើងមជ្ឈមណ្ឌល VPN hub និងរៀបចំការគាំទ្រសម្រាប់ការតភ្ជាប់តាមអ៊ីនធឺណិតដោយប្រើ IPSec ពោលគឺឥឡូវនេះអតិថិជនគ្រាន់តែត្រូវកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័ររបស់ពួកគេដើម្បីធ្វើការជាមួយមជ្ឈមណ្ឌល VPN របស់យើងតាមរយៈផ្លូវរូងក្រោមដី IPSec លើអ៊ីនធឺណិតសាធារណៈណាមួយ។ ហើយយើងសូមបញ្ចេញចរាចររបស់អតិថិជននេះទៅកាន់ VRF របស់វា។

តើអ្នកណានឹងត្រូវការ

សម្រាប់អ្នកដែលមានបណ្តាញ IPVPN ធំហើយត្រូវការការតភ្ជាប់ថ្មីក្នុងរយៈពេលដ៏ខ្លី។
នរណាម្នាក់ដែលចង់ផ្ទេរផ្នែកមួយនៃចរាចរណ៍ពីអ៊ីនធឺណិតសាធារណៈទៅ IPVPN ប៉ុន្តែពីមុនបានជួបប្រទះដែនកំណត់បច្ចេកទេសដែលទាក់ទងនឹងអ្នកផ្តល់សេវាមួយចំនួន។
សម្រាប់អ្នកដែលបច្ចុប្បន្នមានបណ្តាញ VPN ផ្សេងគ្នាជាច្រើននៅទូទាំងប្រតិបត្តិករទូរគមនាគមន៍ផ្សេងៗគ្នា។ មានអតិថិជនដែលបានរៀបចំ IPVPN ដោយជោគជ័យពី Beeline, Megafon, Rostelecom ជាដើម។ ដើម្បីធ្វើឱ្យវាកាន់តែងាយស្រួល អ្នកអាចស្នាក់នៅលើ VPN តែមួយរបស់យើង ប្តូរបណ្តាញផ្សេងទៀតទាំងអស់នៃប្រតិបត្តិករផ្សេងទៀតទៅអ៊ីនធឺណិត ហើយបន្ទាប់មកភ្ជាប់ទៅ Beeline IPPVN តាមរយៈ IPSec និងអ៊ីនធឺណិតពីប្រតិបត្តិករទាំងនេះ។
សម្រាប់អ្នកដែលមានបណ្តាញ IPVPN រួចហើយត្រួតលើអ៊ីនធឺណិត។

ប្រសិនបើអ្នកដាក់ពង្រាយអ្វីៗគ្រប់យ៉ាងជាមួយយើង នោះអតិថិជននឹងទទួលបានការគាំទ្រ VPN ពេញលេញ ភាពមិនដូចគ្នានៃហេដ្ឋារចនាសម្ព័ន្ធធ្ងន់ធ្ងរ និងការកំណត់ស្តង់ដារដែលនឹងដំណើរការលើរ៉ោតទ័រណាមួយដែលពួកគេធ្លាប់ប្រើ (មិនថា Cisco សូម្បីតែ Mikrotik រឿងសំខាន់គឺថាវាអាចគាំទ្របានត្រឹមត្រូវ។ IPSec/IKEv2 ជាមួយនឹងវិធីសាស្ត្រផ្ទៀងផ្ទាត់ស្តង់ដារ)។ និយាយអីញ្ចឹង អំពី IPSec - ឥឡូវនេះ យើងគ្រាន់តែគាំទ្រវាប៉ុណ្ណោះ ប៉ុន្តែយើងគ្រោងនឹងចាប់ផ្តើមប្រតិបត្តិការពេញលេញទាំង OpenVPN និង Wireguard ដូច្នេះអតិថិជនមិនអាចពឹងផ្អែកលើពិធីការបានទេ ហើយវាកាន់តែងាយស្រួលក្នុងការទទួលយក និងផ្ទេរអ្វីៗគ្រប់យ៉ាងមកឱ្យយើង។ ហើយយើងក៏ចង់ចាប់ផ្តើមភ្ជាប់អតិថិជនពីកុំព្យូទ័រ និងឧបករណ៍ចល័តផងដែរ (ដំណោះស្រាយដែលបានបង្កើតឡើងនៅក្នុង OS, Cisco AnyConnect និង strongSwan និងផ្សេងទៀត)។ ជាមួយនឹងវិធីសាស្រ្តនេះ ការសាងសង់ហេដ្ឋារចនាសម្ព័ន្ធជាក់ស្តែងអាចត្រូវបានប្រគល់ទៅឱ្យប្រតិបត្តិករដោយសុវត្ថិភាព ដោយបន្សល់ទុកតែការកំណត់រចនាសម្ព័ន្ធ CPE ឬម៉ាស៊ីនប៉ុណ្ណោះ។

តើដំណើរការតភ្ជាប់ដំណើរការយ៉ាងដូចម្តេចសម្រាប់របៀប IPSec៖

អតិថិជនទុកសំណើទៅអ្នកគ្រប់គ្រងរបស់គាត់ ដែលគាត់បង្ហាញពីល្បឿននៃការតភ្ជាប់ ទម្រង់ចរាចរណ៍ និងប៉ារ៉ាម៉ែត្រអាសយដ្ឋាន IP សម្រាប់ផ្លូវរូងក្រោមដី (តាមលំនាំដើម បណ្តាញរងដែលមានរបាំង /30) និងប្រភេទផ្លូវ (ឋិតិវន្ត ឬ BGP) ។ ដើម្បីផ្ទេរផ្លូវទៅកាន់បណ្តាញមូលដ្ឋានរបស់អតិថិជននៅក្នុងការិយាល័យដែលបានតភ្ជាប់ យន្តការ IKEv2 នៃដំណាក់កាលពិធីការ IPSec ត្រូវបានប្រើដោយប្រើការកំណត់សមស្របនៅលើរ៉ោតទ័រម៉ាស៊ីនភ្ញៀវ ឬពួកគេត្រូវបានផ្សព្វផ្សាយតាមរយៈ BGP នៅក្នុង MPLS ពី BGP ឯកជន AS ដែលបានបញ្ជាក់នៅក្នុងកម្មវិធីរបស់អតិថិជន។ . ដូច្នេះព័ត៌មានអំពីផ្លូវនៃបណ្តាញអតិថិជនត្រូវបានគ្រប់គ្រងទាំងស្រុងដោយអតិថិជនតាមរយៈការកំណត់នៃរ៉ោតទ័រម៉ាស៊ីនភ្ញៀវ។
ជាការឆ្លើយតបពីអ្នកគ្រប់គ្រងរបស់គាត់ អតិថិជនទទួលបានទិន្នន័យគណនេយ្យសម្រាប់ការដាក់បញ្ចូលក្នុងទម្រង់ VRF របស់គាត់៖
- អាសយដ្ឋាន IP VPN-HUB
- ចូល
- ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់
កំណត់រចនាសម្ព័ន្ធ CPE ខាងក្រោម ជាឧទាហរណ៍ ជម្រើសកំណត់រចនាសម្ព័ន្ធមូលដ្ឋានពីរ៖
ជម្រើសសម្រាប់ស៊ីស្កូ៖
crypto ikev2 keyring BeelineIPsec_keyring
មិត្តភ័ក្តិ Beeline_VPNHub
អាសយដ្ឋាន 62.141.99.183 - មជ្ឈមណ្ឌល VPN របស់ Beeline
pre-shared-key <ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់>
!
សម្រាប់ជម្រើសផ្លូវឋិតិវន្ត ផ្លូវទៅកាន់បណ្តាញដែលអាចចូលប្រើបានតាមរយៈ Vpn-hub អាចត្រូវបានបញ្ជាក់នៅក្នុងការកំណត់រចនាសម្ព័ន្ធ IKEv2 ហើយពួកវានឹងបង្ហាញដោយស្វ័យប្រវត្តិជាផ្លូវឋិតិវន្តនៅក្នុងតារាងកំណត់ផ្លូវ CE ។ ការកំណត់ទាំងនេះក៏អាចត្រូវបានធ្វើឡើងដោយប្រើវិធីសាស្ត្រស្តង់ដារនៃការកំណត់ផ្លូវឋិតិវន្ត (សូមមើលខាងក្រោម)។

គោលការណ៍អនុញ្ញាត crypto ikev2 FlexClient-author

ផ្លូវទៅកាន់បណ្តាញនៅពីក្រោយរ៉ោតទ័រ CE - ការកំណត់ចាំបាច់សម្រាប់ការកំណត់ផ្លូវឋិតិវន្តរវាង CE និង PE ។ ការផ្ទេរទិន្នន័យផ្លូវទៅកាន់ PE ត្រូវបានអនុវត្តដោយស្វ័យប្រវត្តិ នៅពេលដែលផ្លូវរូងក្រោមដីត្រូវបានលើកឡើងតាមរយៈអន្តរកម្ម IKEv2 ។

កំណត់ផ្លូវពីចម្ងាយ ipv4 10.1.1.0 255.255.255.0 - បណ្តាញមូលដ្ឋានការិយាល័យ
!
ទម្រង់ crypto ikev2 BeelineIPSec_profile
អត្តសញ្ញាណមូលដ្ឋាន <ចូល>
ការផ្ទៀងផ្ទាត់ការចែករំលែកជាមុនក្នុងតំបន់
ការផ្ទៀងផ្ទាត់ការចែករំលែកជាមុនពីចម្ងាយ
កូនសោមូលដ្ឋាន BeelineIPsec_keyring
ក្រុមផ្តល់សិទ្ធិ aaa psk បញ្ជីក្រុម-អ្នកនិពន្ធ-បញ្ជី FlexClient-author
!
ម៉ាស៊ីនភ្ញៀវ crypto ikev2 flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
អតិថិជនភ្ជាប់ផ្លូវរូងក្រោមដី 1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
របៀបផ្លូវរូងក្រោមដី
!
ទម្រង់ crypto ipsec លំនាំដើម
កំណត់ការផ្លាស់ប្តូរ - សំណុំ TRANSFORM1
កំណត់ ikev2-profile BeelineIPSec_profile
!
ចំណុចប្រទាក់ Tunnel1
អាសយដ្ឋាន ip ១ ១ - អាសយដ្ឋានផ្លូវរូងក្រោមដី
ប្រភពផ្លូវរូងក្រោមដី GigabitEthernet0/2 - ចំណុចប្រទាក់ចូលប្រើអ៊ីនធឺណិត
របៀបផ្លូវរូងក្រោមដី ipsec ipv4
ទិសដៅផ្លូវរូងក្រោមដីថាមវន្ត
ការការពារផ្លូវរូងក្រោមដី ipsec ទម្រង់លំនាំដើម
!
ផ្លូវទៅកាន់បណ្តាញឯកជនរបស់អតិថិជនដែលអាចចូលប្រើបានតាមរយៈឧបករណ៍ចាប់សញ្ញា Beeline VPN អាចត្រូវបានកំណត់ជាស្ថាពរ។

ip route 172.16.0.0 255.255.0.0 ផ្លូវរូងក្រោមដី1
ip route 192.168.0.0 255.255.255.0 ផ្លូវរូងក្រោមដី1

ជម្រើសសម្រាប់ក្រុមហ៊ុន Huawei (ar160/120):
ike local-name <login>
#
ឈ្មោះ acl ipsec 3999
ច្បាប់ទី 1 អនុញ្ញាតប្រភព ip 10.1.1.0 0.0.0.255 - បណ្តាញមូលដ្ឋានការិយាល័យ
#
AAA
គ្រោងការណ៍សេវាកម្ម IPSEC
ផ្លូវកំណត់ acl 3999
#
សំណើ ipsec ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
សំណើ ike លំនាំដើម
ក្បួនដោះស្រាយការអ៊ិនគ្រីប aes-256
ក្រុម dh2
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ-ក្បួនដោះស្រាយ sha2-256
វិធីសាស្រ្តផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ចែករំលែកជាមុន
ភាពសុចរិត-ក្បួនដោះស្រាយ hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
pre-shared-key សាមញ្ញ <ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់>
local-id-type fqdn
ពីចម្ងាយ id-type ip
អាសយដ្ឋានពីចម្ងាយ 62.141.99.183 - មជ្ឈមណ្ឌល VPN របស់ Beeline
គ្រោងការណ៍សេវាកម្ម IPSEC
សំណើផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ
config-exchange set ទទួលយក
config-exchange set ផ្ញើ
#
ទម្រង់ ipsec ipsecprof
ike-peer ipsec
សំណើ ipsec
#
ចំណុចប្រទាក់ Tunnel0/0/0
អាសយដ្ឋាន ip ១ ១ - អាសយដ្ឋានផ្លូវរូងក្រោមដី
ផ្លូវរូងក្រោមដី-ពិធីការ ipsec
ប្រភព GigabitEthernet0/0/1 - ចំណុចប្រទាក់ចូលប្រើអ៊ីនធឺណិត
ទម្រង់ ipsec ipsecprof
#
ផ្លូវទៅកាន់បណ្តាញឯកជនរបស់អតិថិជនដែលអាចចូលប្រើបានតាមរយៈឧបករណ៍ប្រមូលផ្តុំ Beeline VPN អាចត្រូវបានកំណត់ជាស្ថាពរ

ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

ដ្យាក្រាមទំនាក់ទំនងលទ្ធផលមើលទៅដូចនេះ៖

ប្រសិនបើម៉ាស៊ីនភ្ញៀវមិនមានឧទាហរណ៍មួយចំនួននៃការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋានទេ នោះជាធម្មតាយើងជួយក្នុងការបង្កើតរបស់ពួកគេ និងធ្វើឱ្យពួកវាអាចប្រើបានសម្រាប់មនុស្សគ្រប់គ្នា។

អ្វីដែលនៅសេសសល់គឺត្រូវភ្ជាប់ CPE ទៅអ៊ីនធឺណិត ដោយ ping ទៅផ្នែកឆ្លើយតបនៃផ្លូវរូងក្រោមដី VPN និងម៉ាស៊ីនណាមួយនៅខាងក្នុង VPN ហើយនោះហើយជាវា យើងអាចសន្មត់ថាការតភ្ជាប់ត្រូវបានធ្វើឡើង។

នៅក្នុងអត្ថបទបន្ទាប់ យើងនឹងប្រាប់អ្នកពីរបៀបដែលយើងរួមបញ្ចូលគ្នានូវគ្រោងការណ៍នេះជាមួយ IPSec និង MultiSIM Redundancy ដោយប្រើ Huawei CPE៖ យើងដំឡើង Huawei CPE របស់យើងសម្រាប់អតិថិជន ដែលអាចប្រើមិនត្រឹមតែបណ្តាញអ៊ីនធឺណិតមានខ្សែប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងស៊ីមកាត 2 ផ្សេងគ្នា និង CPE ផងដែរ។ ស្ថាបនាឡើងវិញដោយស្វ័យប្រវត្តិ IPSec- tunnel ទាំងតាមរយៈ WAN ដែលមានខ្សែ ឬតាមរយៈវិទ្យុ (LTE#1/LTE#2) ដោយដឹងពីការអត់ធ្មត់ខ្ពស់នៃសេវាកម្មលទ្ធផល។

សូមអរគុណជាពិសេសចំពោះសហការី RnD របស់យើងសម្រាប់ការរៀបចំអត្ថបទនេះ (ហើយជាការពិតចំពោះអ្នកនិពន្ធនៃដំណោះស្រាយបច្ចេកទេសទាំងនេះ)!

ប្រភព: www.habr.com

របៀបទៅកាន់ Beeline IPVPN តាមរយៈ IPSec។ ផ្នែកទី 1

តើអ្នកណានឹងត្រូវការ

បន្ថែមមតិយោបល់ ответОтменить