Slav! LI
Hêjayî gotinê ye ku em, wekî operatorek telekomê, tora xweya MPLS ya mezin heye, ku ji bo xerîdarên xeta sabît li du beşên sereke têne dabeş kirin - ya ku rasterast ji bo gihîştina Înternetê tê bikar anîn, û ya ku ji bo afirandina torên veqetandî têne bikar anîn - û bi vê beşa MPLS ve ye ku IPVPN (L3 OSI) û VPLAN (L2 OSI) ji bo xerîdarên me yên pargîdanî diherike.
Bi gelemperî, pêwendiyek xerîdar wekî jêrîn pêk tê.
Xetek gihîştinê ji niqteya Hebûna torê ya herî nêzîk (node MEN, RRL, BSSS, FTTB, hwd.) ji nivîsgeha xerîdar re tê danîn û bêtir, kanal bi navgîniya tora veguheztinê berbi PE-MPLS-a têkildar ve tê tomar kirin. router, ku em li ser wê derdixînin ku bi taybetî ji bo xerîdar VRF hatî afirandin, profîla seyrûseferê ya ku muwekîlê hewce dike dihesibîne (etîketên profîlê ji bo her porta gihîştinê têne hilbijartin, li ser bingeha nirxên pêşîn ên ip-ê 0,1,3,5, XNUMX).
Ger ji ber hin sedeman em nekarin mîliya paşîn ji bo xerîdar bi tevahî organîze bikin, mînakî, ofîsa xerîdar li navendek karsaziyê ye, ku li wir peydakerek din pêşînek e, an jî em bi tenê xala hebûna xwe li nêzik nînin, wê hingê xerîdarên berê neçar bû ku çend torên IPVPN li pêşkêşkerên cihêreng biafirîne (ne mîmariya herî lêçûn) an jî bi serbixwe pirsgirêkên bi rêxistinkirina gihîştina VRF-ya xwe li ser Înternetê çareser bike.
Piran ev yek bi sazkirina dergehek Internetnternetê IPVPN-ê kir - wan rêwerek sînor saz kirin (hardware an hin çareseriyek Linux-ê), kanalek IPVPN bi yek portê re û kanalek Înternetê bi ya din ve girêda, servera xwe ya VPN li ser wê dan destpêkirin û girêdan. bikarhêner bi riya deriyê VPN-a xwe. Bi xwezayî, nexşeyek wusa barê çê dibe: Divê binesaziyek wusa were avakirin û, bi piranî, xebitandin û pêşve xistin.
Ji bo ku jiyan ji xerîdarên xwe re hêsantir bike, me navendek VPN-ya navendî saz kir û ji bo girêdanên li ser Înternetê bi karanîna IPSec-ê piştgirî organîze kir, ango, naha xerîdar tenê hewce ne ku routerê xwe mîheng bikin da ku bi navgîniya meya VPN-ê re bi navgînek tunelek IPSec-ê li ser her Internetnternetê gelemperî bixebitin. , û em dihêlin em vê seyrûsefera muwekîlê xwe ji VRF-ê xwe berdidin.
Kî dê hewce bike
- Ji bo kesên ku berê xwe didin torê IPVPN-ê mezin û hewceyê têkiliyên nû di demek kurt de.
- Her kesê ku, ji ber hin sedeman, dixwaze beşek ji seyrûsefera ji Internetnterneta giştî veguhezîne IPVPN, lê berê rastî tixûbên teknîkî yên ku bi gelek pêşkêşkerên karûbarê ve girêdayî ne.
- Ji bo kesên ku niha di nav operatorên telekomê yên cihêreng de çend torên VPN yên cihêreng hene. Xerîdarên ku bi serfirazî IPVPN ji Beeline, Megafon, Rostelecom, hwd organîze kirine hene. Ji bo ku hûn hêsantir bikin, hûn dikarin tenê li ser VPN-ya meya yekane bimînin, hemî kanalên din ên operatorên din biguhezînin Înternetê, û dûv re bi rêya IPSec û Înternetê ji van operatoran bi Beeline IPVPN-ê ve girêbidin.
- Ji bo kesên ku berê xwedan torgilokek IPVPN-ya ku li ser Înternetê hatî dorpêç kirin.
Ger hûn her tiştî bi me re bicîh bikin, wê hingê xerîdar piştgirîya VPN ya bêkêmasî, zêdebûnek binesaziya ciddî, û mîhengên standard ên ku dê li ser her routerê ku ew jê re bikar bînin bixebitin (Cisco be, tewra Mikrotik be jî, ya sereke ev e ku ew dikare bi rêkûpêk piştgirî bike IPSec / IKEv2 bi rêbazên pejirandina standardkirî). Bi awayê, di derbarê IPSec de - naha em tenê wê piştgirî dikin, lê em plan dikin ku hem OpenVPN û hem jî Wireguard dest bi operasyona bêkêmasî bikin, da ku xerîdar nikaribin bi protokolê ve girêdayî bin û hîn hêsantir e ku meriv her tiştî ji me re bigire û veguhezîne, û em her weha dixwazin dest bi girêdana xerîdaran ji komputer û cîhazên mobîl bikin (çareseriyên ku di OS-ê de hatine çêkirin, Cisco AnyConnect û strongSwan û yên wekî wan). Bi vê nêzîkbûnê re, avakirina de facto ya binesaziyê dikare bi ewlehî radestî operatorê were kirin, tenê veavakirina CPE an mêvandar bimîne.
Pêvajoya girêdanê ji bo moda IPSec çawa dixebite:
- Xerîdar daxwazek ji rêveberê xwe re dihêle ku tê de ew leza pêwendiyê, profîla seyrûseferê û pîvanên navnîşana IP-yê ji bo tunelê (bi xwerû, jêrtorek bi maskek /30) û celebê rêvekirinê (statîk an BGP) destnîşan dike. Ji bo veguheztina rêwiyan li torên herêmî yên xerîdar li nivîsgeha girêdayî, mekanîzmayên IKEv2 yên qonaxa protokola IPSec bi karanîna mîhengên guncan ên li ser routerê xerîdar têne bikar anîn, an jî ew bi BGP-ê di MPLS-ê de ji BGP AS-ya taybet a ku di serîlêdana xerîdar de hatî destnîşan kirin têne reklam kirin. . Bi vî rengî, di derheqê rêgezên tora muwekîlê de bi tevahî ji hêla mişterî ve tê kontrolkirin bi navgîniya mîhengên routerê xerîdar.
- Di bersiva ji rêveberê xwe de, xerîdar daneyên hesabê ji bo tevlêbûnê di forma VRF ya wî de digire:
- Navnîşana IP-ya VPN-HUB
- Login
- Şîfreya erêkirinê
- Mînakî, du vebijarkên veavakirina bingehîn, li jêr, CPE mîheng dike:
Vebijêrk ji bo Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
navnîşan 62.141.99.183 -VPN navenda Beeline
Pêş-Shared-Key Passwordîfreya Nasname>
!
Ji bo vebijarka rêveçûna statîk, rêyên berbi torên ku bi navgîniya Vpn-hub ve têne gihîştin dikarin di veavakirina IKEv2 de bêne diyar kirin û ew ê bixweber wekî rêyên statîk di tabloya rêveçûna CE de xuya bibin. Van mîhengan jî dikarin bi karanîna rêbaza standard a sazkirina rêçikên statîk (li jêr binêrin) bikar bînin.Siyaseta destûrnameyê ya krîpto ikev2 FlexClient-nivîskar
Rêya berbi torên li pişt routerê CE - mîhengek mecbûrî ji bo rêvekirina statîk di navbera CE û PE de. Veguheztina daneyên rêwîtiyê ji PE-ê re dema ku tunel bi navgîniya danûstendina IKEv2 bilind dibe bixweber tête kirin.
set route dûr ipv4 10.1.1.0 255.255.255.0 -Tora herêmî ya ofîsê
!
Crypto ikev2 Profile Beelineipsec_profile
nasnameya herêmî
authentication herêmî pre-parvekirina
Nasname ji dûr ve parvekirina dûr
keyring herêmî BeelineIPsec_keyring
aaa koma destûrnameyê navnîşa psk koma-nivîskar-lîsteya FlexClient-nivîskar
!
muwekîlê krîpto ikev2 flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
muwekîlê girêdana Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
tunela modê
!
Profîla Crypto IPSEC default
Transformasyona veguherîn-set set
set ikev2-profile BeelineIPSec_profile
!
navber Tunnel1
navnîşana ip 10.20.1.2 255.255.255.252 - Navnîşana tunelê
çavkaniya tunelê GigabitEthernet0/2 -Ti têkiliya gihîştina înternetê
moda tunelê ipsec ipv4
Dentation Tunnel Dynamic
parastina tunelê profîla ipsec default
!
Rêwiyên berbi torên taybet ên xerîdar ên ku bi navgîniya koncentratora Beeline VPN ve têne gihîştin dikarin bi statîkî bêne danîn.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1Vebijêrk ji bo Huawei (AR160 / 120):
wekî navê herêmî
#
navê acl ipsec 3999
qayde 1 destûrê ip source 10.1.1.0 0.0.0.255 -Tora herêmî ya ofîsê
#
aaa
xizmeta-plana IPSEC
set route acl 3999
#
ipsec pêşniyar ipsec
esp authentication-algorithm sha2-256
esp şîfrekirin-algorîtma aes-256
#
ike pêşniyara default
Enryptionêkirin-Algorithm Aes-256
dh koma2
Authentication-Algorithm Sha2-256
Nasname-Method Pêş-Share
yekitî-algorîtma hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
Passwordîfreya Passwordîfreya Simple ya Pêş-Shared-Keyandî>
herêmî-id-type fqdn
dûr-id-type ip
Navnîşana dûr 62.141.99.183 -VPN navenda Beeline
xizmeta-plana IPSEC
daxwaza config-exchange
Setpig-Exchange Set qebûl bikin
mîheng-veguhertina set şandin
#
profîla ipsec ipsecprof
ike-peer ipsec
pêşniyar ipsec
#
interface Tunnel0/0/0
navnîşana ip 10.20.1.2 255.255.255.252 - Navnîşana tunelê
tunnel-protokola ipsec
Source Gigabithernetnet0 / 0/1 -Ti têkiliya gihîştina înternetê
profîla ipsec ipsecprof
#
Rêwîtiyên ji tora taybet a xerîdar re gihîştina bi kîtekîta VPN ya Beeline re dikare bi statîkî were danînip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Diagrama pêwendiyê ya encam de tiştek weha xuya dike:
Ger xerîdar hin mînakên veavakirina bingehîn tune be, wê hingê em bi gelemperî di avakirina wan de dibin alîkar û wan ji her kesê din re peyda dikin.
Tiştê ku dimîne ev e ku CPE bi Înternetê ve girêbide, ping bi beşa bersivê ya tunela VPN û her mêvandarek di hundurê VPN-ê de ye, û ew e, em dikarin texmîn bikin ku pêwendiyek çêbûye.
Di gotara paşîn de em ê ji we re vebêjin ka me çawa vê plansaziyê bi IPSec û Redundancy MultiSIM re bi karanîna Huawei CPE re li hev kir: em Huawei CPE-ya xwe ji bo xerîdar saz dikin, ku dikarin ne tenê kanalek Internetnternetê ya têlkirî, lê di heman demê de 2 SIM-kartên cihêreng, û CPE-yê jî bikar bînin. bixweber tunela IPSec-ê an bi WAN-a têl an jî bi radyoyê (LTE#1/LTE#2) ji nû ve ava dike, û di encamê de tolerasyona xeletiya bilind a karûbarê encam dide.
Spas ji bo amadekirina vê gotarê (û, bi rastî, ji nivîskarên van çareseriyên teknîkî re spas dikim
Source: www.habr.com