ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > IPSec ಮೂಲಕ Beeline IPVPN ಗೆ ಹೇಗೆ ಹೋಗುವುದು. ಭಾಗ 1

IPSec ಮೂಲಕ Beeline IPVPN ಗೆ ಹೇಗೆ ಹೋಗುವುದು. ಭಾಗ 1

ನಮಸ್ಕಾರ! IN ಹಿಂದಿನ ಪೋಸ್ಟ್ ನಾನು ನಮ್ಮ ಮಲ್ಟಿಸಿಮ್ ಸೇವೆಯ ಕೆಲಸವನ್ನು ಭಾಗಶಃ ವಿವರಿಸಿದೆ ಮೀಸಲಾತಿಗಳು и ಸಮತೋಲನ ವಾಹಿನಿಗಳು. ಹೇಳಿದಂತೆ, ನಾವು ಕ್ಲೈಂಟ್‌ಗಳನ್ನು VPN ಮೂಲಕ ನೆಟ್‌ವರ್ಕ್‌ಗೆ ಸಂಪರ್ಕಿಸುತ್ತೇವೆ ಮತ್ತು ಇಂದು ನಾನು VPN ಮತ್ತು ಈ ಭಾಗದಲ್ಲಿ ನಮ್ಮ ಸಾಮರ್ಥ್ಯಗಳ ಬಗ್ಗೆ ಸ್ವಲ್ಪ ಹೆಚ್ಚು ಹೇಳುತ್ತೇನೆ.

ನಾವು, ಟೆಲಿಕಾಂ ಆಪರೇಟರ್ ಆಗಿ, ನಮ್ಮದೇ ಆದ ಬೃಹತ್ MPLS ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಹೊಂದಿದ್ದೇವೆ ಎಂಬ ಅಂಶದಿಂದ ಪ್ರಾರಂಭಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ, ಇದನ್ನು ಸ್ಥಿರ-ಸಾಲಿನ ಗ್ರಾಹಕರಿಗೆ ಎರಡು ಮುಖ್ಯ ವಿಭಾಗಗಳಾಗಿ ವಿಂಗಡಿಸಲಾಗಿದೆ - ಇಂಟರ್ನೆಟ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ನೇರವಾಗಿ ಬಳಸುವ ಒಂದು, ಮತ್ತು ಅದು ಪ್ರತ್ಯೇಕ ನೆಟ್‌ವರ್ಕ್‌ಗಳನ್ನು ರಚಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ - ಮತ್ತು ಈ MPLS ವಿಭಾಗದ ಮೂಲಕ IPVPN (L3 OSI) ಮತ್ತು VPLAN (L2 OSI) ಟ್ರಾಫಿಕ್ ನಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ಕ್ಲೈಂಟ್‌ಗಳಿಗೆ ಹರಿಯುತ್ತದೆ.

IPSec ಮೂಲಕ Beeline IPVPN ಗೆ ಹೇಗೆ ಹೋಗುವುದು. ಭಾಗ 1
ವಿಶಿಷ್ಟವಾಗಿ, ಕ್ಲೈಂಟ್ ಸಂಪರ್ಕವು ಈ ಕೆಳಗಿನಂತೆ ಸಂಭವಿಸುತ್ತದೆ.

ನೆಟ್‌ವರ್ಕ್‌ನ ಹತ್ತಿರದ ಪಾಯಿಂಟ್‌ನಿಂದ ಕ್ಲೈಂಟ್‌ನ ಕಚೇರಿಗೆ ಪ್ರವೇಶ ರೇಖೆಯನ್ನು ಹಾಕಲಾಗುತ್ತದೆ (ನೋಡ್ ಮೆನ್, ಆರ್‌ಆರ್‌ಎಲ್, ಬಿಎಸ್‌ಎಸ್‌ಎಸ್, ಎಫ್‌ಟಿಟಿಬಿ, ಇತ್ಯಾದಿ.) ಮತ್ತು ನಂತರ, ಚಾನಲ್ ಅನ್ನು ಸಾರಿಗೆ ನೆಟ್‌ವರ್ಕ್ ಮೂಲಕ ಅನುಗುಣವಾದ ಪಿಇ-ಎಂಪಿಎಲ್‌ಎಸ್‌ಗೆ ನೋಂದಾಯಿಸಲಾಗಿದೆ ರೂಟರ್, ಕ್ಲೈಂಟ್‌ಗೆ ಅಗತ್ಯವಿರುವ ಟ್ರಾಫಿಕ್ ಪ್ರೊಫೈಲ್ ಅನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು ವಿಆರ್‌ಎಫ್ ಕ್ಲೈಂಟ್‌ಗಾಗಿ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ರೂಟರ್‌ಗೆ ನಾವು ಅದನ್ನು ಔಟ್‌ಪುಟ್ ಮಾಡುತ್ತೇವೆ (ಐಪಿ ಆದ್ಯತೆಯ ಮೌಲ್ಯಗಳ ಆಧಾರದ ಮೇಲೆ ಪ್ರತಿ ಪ್ರವೇಶ ಪೋರ್ಟ್‌ಗೆ ಪ್ರೊಫೈಲ್ ಲೇಬಲ್‌ಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಲಾಗುತ್ತದೆ 0,1,3,5, XNUMX)

ಕೆಲವು ಕಾರಣಗಳಿಗಾಗಿ ನಾವು ಕ್ಲೈಂಟ್‌ಗಾಗಿ ಕೊನೆಯ ಮೈಲಿಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಸಂಘಟಿಸಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ಉದಾಹರಣೆಗೆ, ಕ್ಲೈಂಟ್‌ನ ಕಛೇರಿಯು ವ್ಯಾಪಾರ ಕೇಂದ್ರದಲ್ಲಿದೆ, ಅಲ್ಲಿ ಇನ್ನೊಬ್ಬ ಪೂರೈಕೆದಾರರು ಆದ್ಯತೆಯಾಗಿದ್ದರೆ ಅಥವಾ ನಾವು ಹತ್ತಿರದಲ್ಲಿ ನಮ್ಮ ಉಪಸ್ಥಿತಿಯನ್ನು ಹೊಂದಿಲ್ಲದಿದ್ದರೆ, ಹಿಂದೆ ಗ್ರಾಹಕರು ವಿವಿಧ ಪೂರೈಕೆದಾರರಲ್ಲಿ ಹಲವಾರು IPVPN ನೆಟ್‌ವರ್ಕ್‌ಗಳನ್ನು ರಚಿಸಬೇಕಾಗಿತ್ತು (ಅತ್ಯಂತ ವೆಚ್ಚ-ಪರಿಣಾಮಕಾರಿ ಆರ್ಕಿಟೆಕ್ಚರ್ ಅಲ್ಲ) ಅಥವಾ ಇಂಟರ್ನೆಟ್ ಮೂಲಕ ನಿಮ್ಮ VRF ಗೆ ಪ್ರವೇಶವನ್ನು ಸಂಘಟಿಸುವಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಸ್ವತಂತ್ರವಾಗಿ ಪರಿಹರಿಸಬೇಕು.

IPVPN ಇಂಟರ್ನೆಟ್ ಗೇಟ್‌ವೇ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಮೂಲಕ ಅನೇಕರು ಇದನ್ನು ಮಾಡಿದರು - ಅವರು ಗಡಿ ರೂಟರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದರು (ಹಾರ್ಡ್‌ವೇರ್ ಅಥವಾ ಕೆಲವು ಲಿನಕ್ಸ್-ಆಧಾರಿತ ಪರಿಹಾರ), IPVPN ಚಾನಲ್ ಅನ್ನು ಒಂದು ಪೋರ್ಟ್ ಮತ್ತು ಇಂಟರ್ನೆಟ್ ಚಾನಲ್ ಅನ್ನು ಇನ್ನೊಂದಕ್ಕೆ ಸಂಪರ್ಕಿಸಿದರು, ಅದರ ಮೇಲೆ ತಮ್ಮ VPN ಸರ್ವರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದರು ಮತ್ತು ಸಂಪರ್ಕಿಸಿದರು ಬಳಕೆದಾರರು ತಮ್ಮದೇ ಆದ VPN ಗೇಟ್‌ವೇ ಮೂಲಕ. ಸ್ವಾಭಾವಿಕವಾಗಿ, ಅಂತಹ ಯೋಜನೆಯು ಸಹ ಹೊರೆಗಳನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ: ಅಂತಹ ಮೂಲಸೌಕರ್ಯವನ್ನು ನಿರ್ಮಿಸಬೇಕು ಮತ್ತು ಅತ್ಯಂತ ಅನನುಕೂಲಕರವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಬೇಕು ಮತ್ತು ಅಭಿವೃದ್ಧಿಪಡಿಸಬೇಕು.

ನಮ್ಮ ಕ್ಲೈಂಟ್‌ಗಳಿಗೆ ಜೀವನವನ್ನು ಸುಲಭಗೊಳಿಸಲು, ನಾವು ಕೇಂದ್ರೀಕೃತ VPN ಹಬ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ್ದೇವೆ ಮತ್ತು IPSec ಬಳಸಿಕೊಂಡು ಇಂಟರ್ನೆಟ್‌ನಲ್ಲಿ ಸಂಪರ್ಕಗಳಿಗೆ ಸಂಘಟಿತ ಬೆಂಬಲವನ್ನು ಹೊಂದಿದ್ದೇವೆ, ಅಂದರೆ, ಯಾವುದೇ ಸಾರ್ವಜನಿಕ ಇಂಟರ್ನೆಟ್‌ನಲ್ಲಿ IPSec ಸುರಂಗದ ಮೂಲಕ ನಮ್ಮ VPN ಹಬ್‌ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಕ್ಲೈಂಟ್‌ಗಳು ತಮ್ಮ ರೂಟರ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ. , ಮತ್ತು ನಾವು ಈ ಕ್ಲೈಂಟ್‌ನ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಅದರ VRF ಗೆ ಬಿಡುಗಡೆ ಮಾಡೋಣ.

ಯಾರು ಅದನ್ನು ಉಪಯುಕ್ತವೆಂದು ಕಂಡುಕೊಳ್ಳುತ್ತಾರೆ?

  • ಈಗಾಗಲೇ ದೊಡ್ಡ IPVPN ನೆಟ್‌ವರ್ಕ್ ಹೊಂದಿರುವವರಿಗೆ ಮತ್ತು ಕಡಿಮೆ ಸಮಯದಲ್ಲಿ ಹೊಸ ಸಂಪರ್ಕಗಳ ಅಗತ್ಯವಿರುವವರಿಗೆ.
  • ಕೆಲವು ಕಾರಣಗಳಿಗಾಗಿ, ಸಾರ್ವಜನಿಕ ಇಂಟರ್ನೆಟ್‌ನಿಂದ IPVPN ಗೆ ಟ್ರಾಫಿಕ್‌ನ ಭಾಗವನ್ನು ವರ್ಗಾಯಿಸಲು ಬಯಸುವ ಯಾರಾದರೂ, ಆದರೆ ಹಿಂದೆ ಹಲವಾರು ಸೇವಾ ಪೂರೈಕೆದಾರರೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ತಾಂತ್ರಿಕ ಮಿತಿಗಳನ್ನು ಎದುರಿಸಿದ್ದಾರೆ.
  • ಪ್ರಸ್ತುತ ವಿವಿಧ ಟೆಲಿಕಾಂ ಆಪರೇಟರ್‌ಗಳಿಂದ ಹಲವಾರು ವಿಭಿನ್ನ VPN ನೆಟ್‌ವರ್ಕ್‌ಗಳನ್ನು ಹೊಂದಿರುವವರಿಗೆ. Beeline, Megafon, Rostelecom, ಇತ್ಯಾದಿಗಳಿಂದ IPVPN ಅನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಸಂಘಟಿಸಿದ ಗ್ರಾಹಕರು ಇದ್ದಾರೆ. ಅದನ್ನು ಸುಲಭಗೊಳಿಸಲು, ನೀವು ನಮ್ಮ ಏಕೈಕ VPN ನಲ್ಲಿ ಮಾತ್ರ ಉಳಿಯಬಹುದು, ಇತರ ಆಪರೇಟರ್‌ಗಳ ಎಲ್ಲಾ ಇತರ ಚಾನಲ್‌ಗಳನ್ನು ಇಂಟರ್ನೆಟ್‌ಗೆ ಬದಲಾಯಿಸಬಹುದು ಮತ್ತು ನಂತರ ಈ ಆಪರೇಟರ್‌ಗಳಿಂದ IPSec ಮತ್ತು ಇಂಟರ್ನೆಟ್ ಮೂಲಕ Beeline IPVPN ಗೆ ಸಂಪರ್ಕಪಡಿಸಬಹುದು.
  • ಈಗಾಗಲೇ ಇಂಟರ್ನೆಟ್‌ನಲ್ಲಿ IPVPN ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಹೊಂದಿರುವವರಿಗೆ.

ನೀವು ನಮ್ಮೊಂದಿಗೆ ಎಲ್ಲವನ್ನೂ ನಿಯೋಜಿಸಿದರೆ, ಗ್ರಾಹಕರು ಪೂರ್ಣ ಪ್ರಮಾಣದ VPN ಬೆಂಬಲ, ಗಂಭೀರ ಮೂಲಸೌಕರ್ಯ ಪುನರಾವರ್ತನೆ ಮತ್ತು ಅವರು ಬಳಸಿದ ಯಾವುದೇ ರೂಟರ್‌ನಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಪ್ರಮಾಣಿತ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ (ಅದು Cisco ಆಗಿರಬಹುದು, Mikrotik ಆಗಿರಬಹುದು, ಮುಖ್ಯ ವಿಷಯವೆಂದರೆ ಅದು ಸರಿಯಾಗಿ ಬೆಂಬಲಿಸುತ್ತದೆ ಪ್ರಮಾಣೀಕೃತ ದೃಢೀಕರಣ ವಿಧಾನಗಳೊಂದಿಗೆ IPSec/IKEv2). ಅಂದಹಾಗೆ, IPSec ಬಗ್ಗೆ - ಇದೀಗ ನಾವು ಅದನ್ನು ಮಾತ್ರ ಬೆಂಬಲಿಸುತ್ತೇವೆ, ಆದರೆ OpenVPN ಮತ್ತು Wireguard ಎರಡರ ಪೂರ್ಣ ಪ್ರಮಾಣದ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲು ನಾವು ಯೋಜಿಸುತ್ತೇವೆ, ಇದರಿಂದಾಗಿ ಗ್ರಾಹಕರು ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಅವಲಂಬಿಸಲಾಗುವುದಿಲ್ಲ ಮತ್ತು ಎಲ್ಲವನ್ನೂ ನಮಗೆ ತೆಗೆದುಕೊಳ್ಳಲು ಮತ್ತು ವರ್ಗಾಯಿಸಲು ಇನ್ನೂ ಸುಲಭವಾಗಿದೆ, ಮತ್ತು ನಾವು ಕಂಪ್ಯೂಟರ್‌ಗಳು ಮತ್ತು ಮೊಬೈಲ್ ಸಾಧನಗಳಿಂದ ಕ್ಲೈಂಟ್‌ಗಳನ್ನು ಸಂಪರ್ಕಿಸಲು ಪ್ರಾರಂಭಿಸಲು ಬಯಸುತ್ತೇವೆ (OS, Cisco AnyConnect ಮತ್ತು ಸ್ಟ್ರಾಂಗ್‌ಸ್ವಾನ್ ಮತ್ತು ಮುಂತಾದವುಗಳಲ್ಲಿ ನಿರ್ಮಿಸಲಾದ ಪರಿಹಾರಗಳು). ಈ ವಿಧಾನದೊಂದಿಗೆ, ಮೂಲಸೌಕರ್ಯದ ವಾಸ್ತವಿಕ ನಿರ್ಮಾಣವನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ಆಪರೇಟರ್‌ಗೆ ಹಸ್ತಾಂತರಿಸಬಹುದು, ಇದು CPE ಅಥವಾ ಹೋಸ್ಟ್‌ನ ಸಂರಚನೆಯನ್ನು ಮಾತ್ರ ಬಿಟ್ಟುಬಿಡುತ್ತದೆ.

IPSec ಮೋಡ್‌ಗಾಗಿ ಸಂಪರ್ಕ ಪ್ರಕ್ರಿಯೆಯು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ:

  1. ಕ್ಲೈಂಟ್ ತನ್ನ ಮ್ಯಾನೇಜರ್‌ಗೆ ವಿನಂತಿಯನ್ನು ಬಿಡುತ್ತಾನೆ, ಅದರಲ್ಲಿ ಅವನು ಸುರಂಗಕ್ಕೆ ಅಗತ್ಯವಿರುವ ಸಂಪರ್ಕ ವೇಗ, ಟ್ರಾಫಿಕ್ ಪ್ರೊಫೈಲ್ ಮತ್ತು IP ವಿಳಾಸ ನಿಯತಾಂಕಗಳನ್ನು ಸೂಚಿಸುತ್ತಾನೆ (ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, /30 ಮುಖವಾಡದೊಂದಿಗೆ ಸಬ್‌ನೆಟ್) ಮತ್ತು ರೂಟಿಂಗ್ ಪ್ರಕಾರ (ಸ್ಥಿರ ಅಥವಾ BGP). ಸಂಪರ್ಕಿತ ಕಚೇರಿಯಲ್ಲಿ ಕ್ಲೈಂಟ್‌ನ ಸ್ಥಳೀಯ ನೆಟ್‌ವರ್ಕ್‌ಗಳಿಗೆ ಮಾರ್ಗಗಳನ್ನು ವರ್ಗಾಯಿಸಲು, ಕ್ಲೈಂಟ್ ರೂಟರ್‌ನಲ್ಲಿ ಸೂಕ್ತವಾದ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು IPSec ಪ್ರೋಟೋಕಾಲ್ ಹಂತದ IKEv2 ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ ಅಥವಾ ಕ್ಲೈಂಟ್‌ನ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಖಾಸಗಿ BGP AS ನಿಂದ MPLS ನಲ್ಲಿ BGP ಮೂಲಕ ಜಾಹೀರಾತು ಮಾಡಲಾಗುತ್ತದೆ. . ಹೀಗಾಗಿ, ಕ್ಲೈಂಟ್ ರೂಟರ್ನ ಸೆಟ್ಟಿಂಗ್ಗಳ ಮೂಲಕ ಕ್ಲೈಂಟ್ ನೆಟ್ವರ್ಕ್ಗಳ ಮಾರ್ಗಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಕ್ಲೈಂಟ್ ಸಂಪೂರ್ಣವಾಗಿ ನಿಯಂತ್ರಿಸುತ್ತದೆ.
  2. ಅವನ ಮ್ಯಾನೇಜರ್‌ನಿಂದ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಕ್ಲೈಂಟ್ ತನ್ನ ವಿಆರ್‌ಎಫ್ ಫಾರ್ಮ್‌ನಲ್ಲಿ ಸೇರ್ಪಡೆಗಾಗಿ ಲೆಕ್ಕಪತ್ರ ಡೇಟಾವನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾನೆ:
    • VPN-HUB IP ವಿಳಾಸ
    • ಲಾಗಿನ್
    • ದೃಢೀಕರಣ ಪಾಸ್ವರ್ಡ್
  3. ಕೆಳಗೆ CPE ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತದೆ, ಉದಾಹರಣೆಗೆ, ಎರಡು ಮೂಲಭೂತ ಸಂರಚನಾ ಆಯ್ಕೆಗಳು:

    ಸಿಸ್ಕೋಗೆ ಆಯ್ಕೆ:
    ಕ್ರಿಪ್ಟೋ ikev2 ಕೀರಿಂಗ್ BeelineIPsec_keyring
    ಪೀರ್ Beeline_VPNHub
    ವಿಳಾಸ 62.141.99.183 -ವಿಪಿಎನ್ ಹಬ್ ಬೀಲೈನ್
    ಪೂರ್ವ-ಹಂಚಿಕೆ-ಕೀ <ದೃಢೀಕರಣ ಪಾಸ್ವರ್ಡ್>
    !
    ಸ್ಥಿರ ರೂಟಿಂಗ್ ಆಯ್ಕೆಗಾಗಿ, Vpn-ಹಬ್ ಮೂಲಕ ಪ್ರವೇಶಿಸಬಹುದಾದ ನೆಟ್‌ವರ್ಕ್‌ಗಳಿಗೆ ಮಾರ್ಗಗಳನ್ನು IKEv2 ಕಾನ್ಫಿಗರೇಶನ್‌ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು ಮತ್ತು ಅವು ಸ್ವಯಂಚಾಲಿತವಾಗಿ CE ರೂಟಿಂಗ್ ಕೋಷ್ಟಕದಲ್ಲಿ ಸ್ಥಿರ ಮಾರ್ಗಗಳಾಗಿ ಗೋಚರಿಸುತ್ತವೆ. ಸ್ಥಿರ ಮಾರ್ಗಗಳನ್ನು ಹೊಂದಿಸುವ ಪ್ರಮಾಣಿತ ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಈ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸಹ ಮಾಡಬಹುದು (ಕೆಳಗೆ ನೋಡಿ).

    ಕ್ರಿಪ್ಟೋ ikev2 ಅಧಿಕಾರ ನೀತಿ FlexClient-author

    CE ರೂಟರ್ ಹಿಂದೆ ನೆಟ್‌ವರ್ಕ್‌ಗಳಿಗೆ ಮಾರ್ಗ - CE ಮತ್ತು PE ನಡುವಿನ ಸ್ಥಿರ ರೂಟಿಂಗ್‌ಗೆ ಕಡ್ಡಾಯ ಸೆಟ್ಟಿಂಗ್. IKEv2 ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ಮೂಲಕ ಸುರಂಗವನ್ನು ಎತ್ತಿದಾಗ PE ಗೆ ಮಾರ್ಗದ ಡೇಟಾದ ವರ್ಗಾವಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ.

    ಮಾರ್ಗ ಸೆಟ್ ರಿಮೋಟ್ ipv4 10.1.1.0 255.255.255.0 - ಕಚೇರಿ ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್
    !
    ಕ್ರಿಪ್ಟೋ ikev2 ಪ್ರೊಫೈಲ್ BeelineIPSec_profile
    ಗುರುತು ಸ್ಥಳೀಯ <login>
    ದೃಢೀಕರಣ ಸ್ಥಳೀಯ ಪೂರ್ವ-ಹಂಚಿಕೆ
    ದೃಢೀಕರಣ ರಿಮೋಟ್ ಪೂರ್ವ-ಹಂಚಿಕೆ
    ಕೀರಿಂಗ್ ಸ್ಥಳೀಯ BeelineIPsec_keyring
    aaa ಅಧಿಕಾರ ಗುಂಪು psk ಪಟ್ಟಿ ಗುಂಪು-ಲೇಖಕ-ಪಟ್ಟಿ FlexClient-ಲೇಖಕ
    !
    ಕ್ರಿಪ್ಟೋ ikev2 ಕ್ಲೈಂಟ್ flexvpn BeelineIPsec_flex
    ಪೀರ್ 1 Beeline_VPNHub
    ಕ್ಲೈಂಟ್ ಸಂಪರ್ಕ ಸುರಂಗ 1
    !
    ಕ್ರಿಪ್ಟೋ ipsec ರೂಪಾಂತರ-ಸೆಟ್ TRANSFORM1 esp-aes 256 esp-sha256-hmac
    ಮೋಡ್ ಸುರಂಗ
    !
    ಕ್ರಿಪ್ಟೋ ipsec ಪ್ರೊಫೈಲ್ ಡೀಫಾಲ್ಟ್
    ರೂಪಾಂತರ-ಸೆಟ್ TRANSFORM1 ಅನ್ನು ಹೊಂದಿಸಿ
    ikev2-profile BeelineIPSec_profile ಅನ್ನು ಹೊಂದಿಸಿ
    !
    ಇಂಟರ್ಫೇಸ್ ಟನಲ್1
    ಐಪಿ ವಿಳಾಸ 10.20.1.2 255.255.255.252 -ಸುರಂಗ ವಿಳಾಸ
    ಸುರಂಗ ಮೂಲ GigabitEthernet0/2 - ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶ ಇಂಟರ್ಫೇಸ್
    ಸುರಂಗ ಮೋಡ್ ipsec ipv4
    ಸುರಂಗ ಗಮ್ಯಸ್ಥಾನ ಡೈನಾಮಿಕ್
    ಸುರಂಗ ರಕ್ಷಣೆ ipsec ಪ್ರೊಫೈಲ್ ಡೀಫಾಲ್ಟ್
    !
    ಬೀಲೈನ್ ವಿಪಿಎನ್ ಕೇಂದ್ರೀಕರಣದ ಮೂಲಕ ಪ್ರವೇಶಿಸಬಹುದಾದ ಕ್ಲೈಂಟ್‌ನ ಖಾಸಗಿ ನೆಟ್‌ವರ್ಕ್‌ಗಳಿಗೆ ಮಾರ್ಗಗಳನ್ನು ಸ್ಥಿರವಾಗಿ ಹೊಂದಿಸಬಹುದು.

    ip ಮಾರ್ಗ 172.16.0.0 255.255.0.0 ಸುರಂಗ1
    ip ಮಾರ್ಗ 192.168.0.0 255.255.255.0 ಸುರಂಗ1

    Huawei ಗಾಗಿ ಆಯ್ಕೆ (ar160/120):
    ಸ್ಥಳೀಯ-ಹೆಸರು <login>
    #
    ಎಸಿಎಲ್ ಹೆಸರು ipsec 3999
    ನಿಯಮ 1 ಅನುಮತಿ IP ಮೂಲ 10.1.1.0 0.0.0.255 - ಕಚೇರಿ ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್
    #
    ಎಎಎ
    ಸೇವಾ ಯೋಜನೆ IPSEC
    ಮಾರ್ಗ ಸೆಟ್ ಎಸಿಎಲ್ 3999
    #
    ipsec ಪ್ರಸ್ತಾವನೆ ipsec
    esp ದೃಢೀಕರಣ-ಅಲ್ಗಾರಿದಮ್ sha2-256
    esp ಎನ್‌ಕ್ರಿಪ್ಶನ್-ಅಲ್ಗಾರಿದಮ್ aes-256
    #
    ಪ್ರಸ್ತಾವನೆ ಡೀಫಾಲ್ಟ್ ಆಗಿದೆ
    ಗೂಢಲಿಪೀಕರಣ-ಅಲ್ಗಾರಿದಮ್ aes-256
    dh ಗುಂಪು 2
    ದೃಢೀಕರಣ-ಅಲ್ಗಾರಿದಮ್ sha2-256
    ದೃಢೀಕರಣ-ವಿಧಾನ ಪೂರ್ವ-ಹಂಚಿಕೆ
    ಸಮಗ್ರತೆ-ಅಲ್ಗಾರಿದಮ್ hmac-sha2-256
    prf hmac-sha2-256
    #
    ಇಕ್ ಪೀರ್ ipsec
    ಪೂರ್ವ-ಹಂಚಿಕೆ-ಕೀ ಸರಳ <ದೃಢೀಕರಣ ಗುಪ್ತಪದ>
    ಸ್ಥಳೀಯ-ಐಡಿ-ರೀತಿಯ fqdn
    ರಿಮೋಟ್-ಐಡಿ-ಟೈಪ್ ಐಪಿ
    ರಿಮೋಟ್-ವಿಳಾಸ 62.141.99.183 -ವಿಪಿಎನ್ ಹಬ್ ಬೀಲೈನ್
    ಸೇವಾ ಯೋಜನೆ IPSEC
    config-exchange ವಿನಂತಿ
    config-exchange ಸೆಟ್ ಸ್ವೀಕರಿಸಿ
    config-exchange ಸೆಟ್ ಕಳುಹಿಸಲು
    #
    ipsec ಪ್ರೊಫೈಲ್ ipsecprof
    ike-peer ipsec
    ಪ್ರಸ್ತಾವನೆ ipsec
    #
    ಇಂಟರ್ಫೇಸ್ ಟನಲ್0/0/0
    ಐಪಿ ವಿಳಾಸ 10.20.1.2 255.255.255.252 -ಸುರಂಗ ವಿಳಾಸ
    ಸುರಂಗ-ಪ್ರೋಟೋಕಾಲ್ ipsec
    ಮೂಲ GigabitEthernet0/0/1 - ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶ ಇಂಟರ್ಫೇಸ್
    ipsec ಪ್ರೊಫೈಲ್ ipsecprof
    #
    ಬೀಲೈನ್ VPN ಕೇಂದ್ರೀಕರಣದ ಮೂಲಕ ಪ್ರವೇಶಿಸಬಹುದಾದ ಕ್ಲೈಂಟ್‌ನ ಖಾಸಗಿ ನೆಟ್‌ವರ್ಕ್‌ಗಳಿಗೆ ಮಾರ್ಗಗಳನ್ನು ಸ್ಥಿರವಾಗಿ ಹೊಂದಿಸಬಹುದು

    ip ಮಾರ್ಗ-ಸ್ಥಿರ 192.168.0.0 255.255.255.0 ಸುರಂಗ0/0/0
    ip ಮಾರ್ಗ-ಸ್ಥಿರ 172.16.0.0 255.255.0.0 ಸುರಂಗ0/0/0

ಪರಿಣಾಮವಾಗಿ ಸಂವಹನ ರೇಖಾಚಿತ್ರವು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:

IPSec ಮೂಲಕ Beeline IPVPN ಗೆ ಹೇಗೆ ಹೋಗುವುದು. ಭಾಗ 1

ಕ್ಲೈಂಟ್ ಮೂಲ ಕಾನ್ಫಿಗರೇಶನ್‌ನ ಕೆಲವು ಉದಾಹರಣೆಗಳನ್ನು ಹೊಂದಿಲ್ಲದಿದ್ದರೆ, ನಾವು ಸಾಮಾನ್ಯವಾಗಿ ಅವರ ರಚನೆಗೆ ಸಹಾಯ ಮಾಡುತ್ತೇವೆ ಮತ್ತು ಅವುಗಳನ್ನು ಎಲ್ಲರಿಗೂ ಲಭ್ಯವಾಗುವಂತೆ ಮಾಡುತ್ತೇವೆ.

CPE ಅನ್ನು ಇಂಟರ್ನೆಟ್‌ಗೆ ಸಂಪರ್ಕಿಸುವುದು, VPN ಸುರಂಗದ ಪ್ರತಿಕ್ರಿಯೆ ಭಾಗಕ್ಕೆ ಮತ್ತು VPN ಒಳಗೆ ಯಾವುದೇ ಹೋಸ್ಟ್‌ಗೆ ಪಿಂಗ್ ಮಾಡುವುದು ಮಾತ್ರ ಉಳಿದಿದೆ, ಮತ್ತು ಅದು ಇಲ್ಲಿದೆ, ಸಂಪರ್ಕವನ್ನು ಮಾಡಲಾಗಿದೆ ಎಂದು ನಾವು ಊಹಿಸಬಹುದು.

ಮುಂದಿನ ಲೇಖನದಲ್ಲಿ ನಾವು Huawei CPE ಬಳಸಿಕೊಂಡು IPSec ಮತ್ತು MultiSIM ಪುನರುಜ್ಜೀವನದೊಂದಿಗೆ ಈ ಸ್ಕೀಮ್ ಅನ್ನು ಹೇಗೆ ಸಂಯೋಜಿಸಿದ್ದೇವೆ ಎಂದು ನಾವು ನಿಮಗೆ ತಿಳಿಸುತ್ತೇವೆ: ನಾವು ನಮ್ಮ Huawei CPE ಅನ್ನು ಕ್ಲೈಂಟ್‌ಗಳಿಗಾಗಿ ಸ್ಥಾಪಿಸುತ್ತೇವೆ, ಇದು ವೈರ್ಡ್ ಇಂಟರ್ನೆಟ್ ಚಾನಲ್ ಅನ್ನು ಮಾತ್ರವಲ್ಲದೆ 2 ವಿಭಿನ್ನ SIM ಕಾರ್ಡ್‌ಗಳು ಮತ್ತು CPE ಅನ್ನು ಸಹ ಬಳಸಬಹುದು. ವೈರ್ಡ್ WAN ಮೂಲಕ ಅಥವಾ ರೇಡಿಯೋ (LTE#1/LTE#2) ಮೂಲಕ IPSec-ಸುರಂಗವನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಮರುನಿರ್ಮಾಣ ಮಾಡುತ್ತದೆ, ಪರಿಣಾಮವಾಗಿ ಸೇವೆಯ ಹೆಚ್ಚಿನ ದೋಷ ಸಹಿಷ್ಣುತೆಯನ್ನು ಅರಿತುಕೊಳ್ಳುತ್ತದೆ.

ಈ ಲೇಖನವನ್ನು ಸಿದ್ಧಪಡಿಸಿದ್ದಕ್ಕಾಗಿ ನಮ್ಮ RnD ಸಹೋದ್ಯೋಗಿಗಳಿಗೆ ವಿಶೇಷ ಧನ್ಯವಾದಗಳು (ಮತ್ತು, ವಾಸ್ತವವಾಗಿ, ಈ ತಾಂತ್ರಿಕ ಪರಿಹಾರಗಳ ಲೇಖಕರಿಗೆ)!

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ