Salve! IN'
Incipiendum pretium est ab eo quod nos, ut telecomes vocant, habemus retiaculum maximum MPLS, quod pro clientibus fixis in duo segmenta principalia dividitur - unum quod directe ad interreti accedere et illud est. retia solitaria creare solebant — et per hoc MPLS segmentum est quod IPVPN (L3 OSI) et VPLAN (L2 OSI) negotiatio pro clientibus nostris corporatis fluit.
De more clientis nexus sic occurrit.
Accessus lineae ad huius officium e proximo Praesentiae retis (nodi MEN, RRL, BSSS, FTTB, etc.) posita est atque insuper canalis retis onerariis ad PE-MPLS respondentem relatus est. iter itineris, in quo nos outputamus ad specialiter creatum pro cliente VRF, habita ratione negotiationis profile quod client indiget (profile pittacia seliguntur ad unumquemque portum accessum, innixum in valoribus ip praecedentibus 0,1,3,5; XNUMX).
Si aliqua de causa non possumus ultimum miliarium pro cliente plene instituere, exempli gratia, munus huius in centro negotiorum est, ubi alius provisor prioritas est, vel simpliciter punctum praesentiae nostrae prope non habemus, tum antea clientes. plures reticulas IPVPN creare debebant diversis provisoribus (non architecturae maxime efficax) vel independenter a solvendis quaestionibus cum accessu ad VRF per Internet ordinandis.
Multi hoc fecerunt, insertis portae interretiali IPVPN - iter itineris confinium (hardware vel solutione alicuius Linux-fundatae), connexum ei alveum IPVPN cum uno portu et canali interretiali cum altero, suum VPN ministratorem in ea immiserunt et connexum. utentes sua porta VPN. Naturaliter talis ratio etiam onera gignit: talis infrastructura fabricari debet et, incommodissime, operari et enucleari.
Ad vitam nostram faciliorem clientibus nostris, VPN centrum medium constituimus et subsidia constituimus nexuum super Internet utendo IPSec, id est, nunc clientes solum opus suum iter configurare ad operandum cum nostro VPN hub per an IPSec cuniculum super aliquo publico Interreti. , atque hunc clientis commercium ad VRF remittemus.
Quis eget?
- Illi qui iam magnam retiaculum IPVPN habent et novas nexus brevi tempore egent.
- Quisquis, aliqua de causa, partem negotiationis e publico Internet ad IPVPN transferre vult, sed ante limites technicas cum pluribus servitiis provisoribus coniungitur.
- Pro his qui nunc habent plures retiacula disparata VPN per diversorum operariorum telecomium. Sunt clientes qui IPVPN ex Beeline, Megafon, Rostelecom, etc. Ut facilius, solum in uno nostro VPN manere potes, omnes alios aliorum operatorum vias ad Interreti flecte, et ad Beeline IPVPN per IPSec et per Internet ab his operariis coniunge.
- Pro iis qui iam IPVPN reticulum obductum in interreti habent.
Si omnia nobiscum explicas, clientes suscipiunt fulcrum VPN firmamentum, graves infrastructurae redundantiae, ac normae quae in quolibet itinere operantur (sive Cisco, etiam Mikrotik, summa res est ut recte sustentare possit. IPSec/IKEv2 cum methodis authenticas normatis). Obiter circa IPSec - nunc tantum eam sustinemus, sed consilium plenae actionis flexae utriusque OpenVPN et Wireguard mittere cogitamus, ut clientes a protocollo pendere non possint et facilius etiam omnia ad nos capere et transferre; et etiam volumus ut clientes a computatoribus et machinis mobilibus coniungentes incipias (solutiones in OS, Cisco AnyConnect et strongSwan et similia). Hoc aditu, de facto constructio infrastructurae operanti tuto tradi potest, solum CPE vel hospitis figurationem relinquens.
Quomodo nexus processus opus IPSec modus:
- Cliens petitionem procuratori relinquit in quo indicat nexum debitam celeritatem, profile commercii et IP parametri ad cuniculum (per defaltam, subnet cum /30 larva) et specie fuso (static vel BGP). Ut itinera transferre ad retiacula localia in officio connexo, machinationes IKEv2 protocollo IPSec adhibitae adhibentur congruis fundis in itineris clientis, vel per BGP in MPLS a privatis BGP, sicut in huius applicationis determinatis proscripti sunt. . Sic, informationes de retiacula clientium viarum per clientem per occasus itineris clientis omnino regitur.
- Cliens ab procuratori suo respondens, accipit rationem datam inclusionis in VRF formae:
- VPN-HUB IP oratio
- Login
- authenticas password
- Configurat CPE, infra, exempli gratia, duas optiones fundamentales conformationis;
Option for Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
pervideas Beeline_VPNHub
oratio 62.141.99.183 -VPN Beeline centrum
pre-communis clavis <Autentio password>
!
Ad optionem staticem evertere, itinera ad reticulas per Vpn-hub pervias in configuratione IKEv2 specificari possunt et sponte apparent sicut itinera stabilia in mensa e CE fusa. Hae unctiones etiam fieri possunt utendo norma methodi viarum staticarum constituendi (vide infra).crypto ikev2 auctoritas policy FlexClient-author
Iter ad reticulas post iter CE - occasus nuncius ad stabilis inter CE et PE excitandas. Transitus itineris ad PE notitia statim exercetur cum cuniculum per commercium IKEv2 elevatur.
iter remotum ipv4 10.1.1.0 255.255.255.0 -Office loci network
!
crypto ikev2 profile BeelineIPSec_profile
identitatem loci <logo>
authenticas loci pre-participes
remota parte pre- authenticas
keyring loci BeelineIPsec_keyring
aaa licentia group psk list group-author-list FlexClient-author
!
crypto ikev2 client flexvpn BeelineIPsec_flex
pervideas 1 Beeline_VPNHub
clientis connect Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
modus cuniculi
!
crypto ipsec profile default
set transform-set TRANSFORM1
set ikev2-profile BeelineIPSec_profile
!
interface Tunnel1
IP oratio 10.20.1.2 255.255.255.252 -Tunnel oratio
cuniculum source GigabitEthernet0/2 -Internet accessum interface
cuniculi modus ipsec ipv4
cuniculum destination dynamic
ipsec profile default cuniculum praesidium
!
Itinera ad retiacula privata huius per Beeline VPN concentrator pervia pervia stabiliri possunt.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1Option pro Huawei (ar160/120)
icet loci-nomen <login>
#
acl nomen ipsec 3999
rege 1 permit ip source 10.1.1.0 0.0.0.255 -Office loci network
#
aaa
religio-size IPEC
iter pone acl 3999'
#
ipsec rogatio ipsec
esp authenticas-algorithmus sha2-256
esp encryption-algorithm aes-256
#
icet rogationem default
encryption-algorithmus aes-256
h group2
authenticas-algorithmus sha2-256
authenticas modum pre- partem
integritas-algorithmus hmac-sha2-256
prf hmac-sha2-256
#
icet pari ipsec
pre-communis clavis simplex <Autentio password>
loci-id-genus fqdn
remotis-id-genus ip-
remota-electronica 62.141.99.183 -VPN Beeline centrum
religio-size IPEC
aboutconfig-commutatio petitionem
set commutationem aboutconfig-accipere
set commutationem aboutconfig-mitto
#
ipsec profile ipsecprof
icet-par ipsec
rogationem ipsec
#
interface Tunnel0/0/0
IP oratio 10.20.1.2 255.255.255.252 -Tunnel oratio
cuniculum-protocol ipsec
source GigabitEthernet0/0/1 -Internet accessum interface
ipsec profile ipsecprof
#
Itinera ad retiacula privata huius per Beeline VPN concentrator pervia erigi possuntip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Communicatio inde per figuram spectat aliquid simile hoc:
Si hic exempla quaedam fundamentalis configurationis non habet, tunc plerumque adiuvamus formationem earumque omnibus aliis praesto facimus.
Reliquum est, ut CPE interreti coniungeret, ping ad responsionis partem VPN cuniculi et cuiuslibet exercitus intra VPN, et id est, nexum factum assumere possumus.
In proximo articulo narrabimus tibi quomodo hoc schema cum IPSec et MultiSIM redundantia Huawei CPE coniunximus: instituimus clientes nostros Huawei CPE, quibus non solum canalem interretialem uti potest, sed etiam 2 diversos schedulas SIM et CPE IPSec- cuniculum automatice reaedificat vel per WAN vel per radiophonicum (LTE#1/LTE#2), altam culpam tolerantiae servitii consequentis intellegens.
Speciales gratias nostris RnD collegis parandum hunc articulum (et re vera auctoribus harum solutionum technicarum)!
Source: www.habr.com