ວິທີການໄປຫາ Beeline IPVPN ຜ່ານ IPSec. ພາກທີ 1

ສະບາຍດີ! IN ຕອບຜ່ານມາ ຂ້າພະເຈົ້າໄດ້ອະທິບາຍການເຮັດວຽກຂອງການບໍລິການ MultiSIM ຂອງພວກເຮົາໃນບາງສ່ວນ ການຈອງ и ການດຸ່ນດ່ຽງ ຊ່ອງ. ດັ່ງທີ່ໄດ້ກ່າວມາ, ພວກເຮົາເຊື່ອມຕໍ່ລູກຄ້າກັບເຄືອຂ່າຍຜ່ານ VPN, ແລະໃນມື້ນີ້ຂ້າພະເຈົ້າຈະບອກທ່ານຕື່ມອີກເລັກນ້ອຍກ່ຽວກັບ VPN ແລະຄວາມສາມາດຂອງພວກເຮົາໃນສ່ວນນີ້.

ມັນເປັນມູນຄ່າທີ່ເລີ່ມຕົ້ນຈາກຄວາມຈິງທີ່ວ່າພວກເຮົາ, ໃນຖານະເປັນຜູ້ປະກອບການໂທລະຄົມນາຄົມ, ມີເຄືອຂ່າຍ MPLS ຂອງຕົນເອງຂະຫນາດໃຫຍ່, ເຊິ່ງສໍາລັບລູກຄ້າຄົງທີ່ແບ່ງອອກເປັນສອງພາກສ່ວນຕົ້ນຕໍ - ຫນຶ່ງທີ່ຖືກນໍາໃຊ້ໂດຍກົງໃນການເຂົ້າເຖິງອິນເຕີເນັດ, ແລະຫນຶ່ງທີ່ເປັນ. ໃຊ້ເພື່ອສ້າງເຄືອຂ່າຍທີ່ໂດດດ່ຽວ - ແລະມັນແມ່ນຜ່ານພາກສ່ວນ MPLS ນີ້ທີ່ IPVPN (L3 OSI) ແລະ VPLAN (L2 OSI) ໄຫຼເຂົ້າສໍາລັບລູກຄ້າຂອງບໍລິສັດຂອງພວກເຮົາ.

ໂດຍປົກກະຕິ, ການເຊື່ອມຕໍ່ລູກຄ້າເກີດຂຶ້ນດັ່ງຕໍ່ໄປນີ້.

ເສັ້ນການເຂົ້າເຖິງແມ່ນວາງໄວ້ກັບຫ້ອງການຂອງລູກຄ້າຈາກຈຸດທີ່ໃກ້ທີ່ສຸດຂອງເຄືອຂ່າຍ (node ​​​​MEN, RRL, BSSS, FTTB, ແລະອື່ນໆ) ແລະຕໍ່ໄປ, ຊ່ອງທາງການລົງທະບຽນຜ່ານເຄືອຂ່າຍການຂົນສົ່ງໄປຍັງ PE-MPLS ທີ່ສອດຄ້ອງກັນ. router, ທີ່ພວກເຮົາສົ່ງມັນອອກໃຫ້ກັບລູກຄ້າ VRF ທີ່ຖືກສ້າງຂື້ນໂດຍສະເພາະ, ໂດຍຄໍານຶງເຖິງ profile ການຈະລາຈອນທີ່ລູກຄ້າຕ້ອງການ (ປ້າຍຊື່ profile ຖືກເລືອກສໍາລັບແຕ່ລະພອດການເຂົ້າເຖິງ, ອີງຕາມຄ່າ ip precedents 0,1,3,5, XNUMX).

ຖ້າສໍາລັບເຫດຜົນບາງຢ່າງທີ່ພວກເຮົາບໍ່ສາມາດຈັດລະບຽບໄມສຸດທ້າຍສໍາລັບລູກຄ້າ, ຕົວຢ່າງ, ຫ້ອງການຂອງລູກຄ້າຕັ້ງຢູ່ໃນສູນທຸລະກິດ, ບ່ອນທີ່ຜູ້ໃຫ້ບໍລິການອື່ນເປັນບູລິມະສິດ, ຫຼືພວກເຮົາພຽງແຕ່ບໍ່ມີຈຸດຢືນຂອງພວກເຮົາຢູ່ໃກ້ໆ, ຫຼັງຈາກນັ້ນລູກຄ້າກ່ອນຫນ້ານີ້. ຕ້ອງສ້າງເຄືອຂ່າຍ IPVPN ຫຼາຍໆເຄືອຂ່າຍຢູ່ໃນຜູ້ໃຫ້ບໍລິການທີ່ແຕກຕ່າງກັນ (ບໍ່ແມ່ນສະຖາປັດຕະຍະກໍາທີ່ມີປະສິດທິພາບທີ່ສຸດ) ຫຼືແກ້ໄຂບັນຫາທີ່ມີການຈັດຕັ້ງການເຂົ້າເຖິງ VRF ຂອງທ່ານຜ່ານອິນເຕີເນັດ.

ຫຼາຍຄົນໄດ້ເຮັດສິ່ງນີ້ໂດຍການຕິດຕັ້ງປະຕູອິນເຕີເນັດ IPVPN - ພວກເຂົາຕິດຕັ້ງ router ຊາຍແດນ (ຮາດແວຫຼືບາງການແກ້ໄຂທີ່ໃຊ້ Linux), ເຊື່ອມຕໍ່ຊ່ອງ IPVPN ກັບມັນດ້ວຍພອດຫນຶ່ງແລະຊ່ອງອິນເຕີເນັດກັບອີກຊ່ອງຫນຶ່ງ, ເປີດເຄື່ອງແມ່ຂ່າຍ VPN ຂອງເຂົາເຈົ້າຢູ່ໃນມັນແລະເຊື່ອມຕໍ່. ຜູ້ໃຊ້ຜ່ານປະຕູ VPN ຂອງຕົນເອງ. ຕາມທຳມະຊາດແລ້ວ, ໂຄງການດັ່ງກ່າວຍັງສ້າງພາລະໜັກໜ່ວງຄື: ໂຄງລ່າງພື້ນຖານດັ່ງກ່າວຕ້ອງສ້າງ ແລະ ດຳເນີນງານ ແລະ ພັດທະນາບໍ່ສະດວກທີ່ສຸດ.

ເພື່ອເຮັດໃຫ້ຊີວິດງ່າຍຂຶ້ນສໍາລັບລູກຄ້າຂອງພວກເຮົາ, ພວກເຮົາໄດ້ຕິດຕັ້ງສູນ VPN hub ແລະຈັດຕັ້ງສະຫນັບສະຫນູນການເຊື່ອມຕໍ່ຜ່ານອິນເຕີເນັດໂດຍໃຊ້ IPSec, ນັ້ນແມ່ນ, ໃນປັດຈຸບັນລູກຄ້າພຽງແຕ່ຕ້ອງການ configure router ຂອງເຂົາເຈົ້າເພື່ອເຮັດວຽກກັບ VPN hub ຂອງພວກເຮົາໂດຍຜ່ານ tunnel IPSec ຜ່ານອິນເຕີເນັດສາທາລະນະໃດໆ. , ແລະພວກເຮົາຂໍໃຫ້ປ່ອຍການຈະລາຈອນຂອງລູກຄ້ານີ້ໄປຫາ VRF ຂອງມັນ.

ໃຜຈະເຫັນວ່າມັນເປັນປະໂຫຍດ?

• ສໍາລັບຜູ້ທີ່ມີເຄືອຂ່າຍ IPVPN ຂະຫນາດໃຫຍ່ແລ້ວແລະຕ້ອງການການເຊື່ອມຕໍ່ໃຫມ່ໃນເວລາສັ້ນໆ.
• ໃຜກໍ່ຕາມ, ສໍາລັບເຫດຜົນບາງຢ່າງ, ຕ້ອງການໂອນສ່ວນຫນຶ່ງຂອງການຈະລາຈອນຈາກອິນເຕີເນັດສາທາລະນະໄປຫາ IPVPN, ແຕ່ກ່ອນຫນ້ານີ້ໄດ້ພົບກັບຂໍ້ຈໍາກັດດ້ານວິຊາການທີ່ກ່ຽວຂ້ອງກັບຜູ້ໃຫ້ບໍລິການຈໍານວນຫນຶ່ງ.
• ສໍາລັບຜູ້ທີ່ປະຈຸບັນມີເຄືອຂ່າຍ VPN ທີ່ແຕກຕ່າງກັນຫຼາຍໃນທົ່ວຜູ້ປະກອບການໂທລະຄົມນາຄົມທີ່ແຕກຕ່າງກັນ. ມີລູກຄ້າທີ່ປະສົບຜົນສໍາເລັດໃນການຈັດຕັ້ງ IPVPN ຈາກ Beeline, Megafon, Rostelecom, ແລະອື່ນໆ. ເພື່ອເຮັດໃຫ້ມັນງ່າຍຂຶ້ນ, ທ່ານສາມາດຢູ່ໃນ VPN ດຽວຂອງພວກເຮົາ, ປ່ຽນທຸກຊ່ອງທາງອື່ນໆຂອງຜູ້ໃຫ້ບໍລິການອື່ນໄປຫາອິນເຕີເນັດ, ແລະຫຼັງຈາກນັ້ນເຊື່ອມຕໍ່ກັບ Beeline IPVPN ຜ່ານ IPSec ແລະອິນເຕີເນັດຈາກຜູ້ປະກອບການເຫຼົ່ານີ້.
• ສໍາລັບຜູ້ທີ່ມີເຄືອຂ່າຍ IPVPN ຢູ່ໃນອິນເຕີເນັດແລ້ວ.

ຖ້າທ່ານໃຊ້ທຸກຢ່າງກັບພວກເຮົາ, ລູກຄ້າໄດ້ຮັບການສະຫນັບສະຫນູນ VPN ເຕັມຮູບແບບ, ຄວາມຊ້ໍາກັນຂອງໂຄງສ້າງພື້ນຖານທີ່ຮ້າຍແຮງ, ແລະການຕັ້ງຄ່າມາດຕະຖານທີ່ຈະເຮັດວຽກຢູ່ໃນ router ໃດໆທີ່ພວກເຂົາເຄີຍໃຊ້ (ບໍ່ວ່າຈະເປັນ Cisco, ເຖິງແມ່ນວ່າ Mikrotik, ສິ່ງທີ່ສໍາຄັນແມ່ນມັນສາມາດສະຫນັບສະຫນູນໄດ້ຢ່າງຖືກຕ້ອງ. IPSec/IKEv2 ດ້ວຍວິທີການກວດສອບມາດຕະຖານ). ໂດຍວິທີທາງການ, ກ່ຽວກັບ IPSec - ໃນປັດຈຸບັນພວກເຮົາພຽງແຕ່ສະຫນັບສະຫນູນມັນ, ແຕ່ພວກເຮົາວາງແຜນທີ່ຈະເປີດຕົວການດໍາເນີນງານຢ່າງເຕັມທີ່ຂອງທັງ OpenVPN ແລະ Wireguard, ດັ່ງນັ້ນລູກຄ້າບໍ່ສາມາດຂຶ້ນກັບໂປໂຕຄອນແລະມັນກໍ່ງ່າຍຂຶ້ນທີ່ຈະເອົາແລະໂອນທຸກສິ່ງທຸກຢ່າງໃຫ້ພວກເຮົາ, ແລະພວກເຮົາຍັງຕ້ອງການເລີ່ມຕົ້ນການເຊື່ອມຕໍ່ລູກຄ້າຈາກຄອມພິວເຕີແລະອຸປະກອນມືຖື (ການແກ້ໄຂທີ່ສ້າງຂຶ້ນໃນ OS, Cisco AnyConnect ແລະ strongSwan ແລະອື່ນໆ). ດ້ວຍວິທີການນີ້, ການກໍ່ສ້າງພື້ນຖານໂຄງລ່າງ de facto ສາມາດຖືກມອບໃຫ້ຜູ້ປະຕິບັດການຢ່າງປອດໄພ, ປ່ອຍໃຫ້ພຽງແຕ່ການຕັ້ງຄ່າຂອງ CPE ຫຼືເຈົ້າພາບ.

ຂະບວນການເຊື່ອມຕໍ່ເຮັດວຽກແນວໃດສຳລັບໂໝດ IPSec:

1. ລູກຄ້າອອກຄໍາຮ້ອງຂໍໃຫ້ຜູ້ຈັດການຂອງລາວທີ່ລາວຊີ້ບອກຄວາມໄວການເຊື່ອມຕໍ່ທີ່ຕ້ອງການ, ຂໍ້ມູນການຈະລາຈອນແລະຕົວກໍານົດການທີ່ຢູ່ IP ສໍາລັບອຸໂມງ (ໂດຍຄ່າເລີ່ມຕົ້ນ, ເຄືອຂ່າຍຍ່ອຍທີ່ມີຫນ້າກາກ / 30) ແລະປະເພດຂອງເສັ້ນທາງ (ສະຖິດຫຼື BGP). ເພື່ອໂອນເສັ້ນທາງໄປສູ່ເຄືອຂ່າຍທ້ອງຖິ່ນຂອງລູກຄ້າໃນຫ້ອງການທີ່ເຊື່ອມຕໍ່, ກົນໄກ IKEv2 ຂອງໄລຍະໂປໂຕຄອນ IPSec ຖືກໃຊ້ໂດຍໃຊ້ການຕັ້ງຄ່າທີ່ເຫມາະສົມໃນ router ຂອງລູກຄ້າ, ຫຼືພວກມັນຖືກໂຄສະນາຜ່ານ BGP ໃນ MPLS ຈາກ BGP AS ສ່ວນຕົວທີ່ລະບຸໄວ້ໃນຄໍາຮ້ອງສະຫມັກຂອງລູກຄ້າ. . ດັ່ງນັ້ນ, ຂໍ້ມູນກ່ຽວກັບເສັ້ນທາງຂອງເຄືອຂ່າຍລູກຄ້າຖືກຄວບຄຸມຢ່າງສົມບູນໂດຍລູກຄ້າໂດຍຜ່ານການຕັ້ງຄ່າຂອງ router ລູກຄ້າ.
2. ໃນການຕອບສະຫນອງຈາກຜູ້ຈັດການຂອງລາວ, ລູກຄ້າໄດ້ຮັບຂໍ້ມູນບັນຊີສໍາລັບການລວມຢູ່ໃນ VRF ຂອງລາວໃນແບບຟອມ:
   • ທີ່ຢູ່ IP VPN-HUB
   • ເຂົ້າ​ສູ່​ລະ​ບົບ
   • ລະຫັດຢືນຢັນ
3. ຕັ້ງຄ່າ CPE, ຂ້າງລຸ່ມນີ້, ຕົວຢ່າງ, ສອງຕົວເລືອກການຕັ້ງຄ່າພື້ນຖານ:

   ທາງ​ເລືອກ​ສໍາ​ລັບ Cisco​:
   ກະແຈ crypto ikev2 BeelineIPsec_keyring
   ເພື່ອນ Beeline_VPNHub
   ທີ່ຢູ່ 62.141.99.183 -VPN ສູນ Beeline
   pre-shared-key <ການຢືນຢັນລະຫັດຜ່ານ>
   !
   ສໍາລັບທາງເລືອກ static routing, ເສັ້ນທາງໄປຫາເຄືອຂ່າຍທີ່ສາມາດເຂົ້າເຖິງໄດ້ໂດຍຜ່ານ Vpn-hub ສາມາດຖືກລະບຸໄວ້ໃນການຕັ້ງຄ່າ IKEv2 ແລະພວກມັນຈະປາກົດໂດຍອັດຕະໂນມັດເປັນເສັ້ນທາງຄົງທີ່ໃນຕາຕະລາງ CE routing. ການຕັ້ງຄ່າເຫຼົ່ານີ້ຍັງສາມາດເຮັດໄດ້ໂດຍໃຊ້ວິທີການມາດຕະຖານຂອງການຕັ້ງຄ່າເສັ້ນທາງຄົງທີ່ (ເບິ່ງຂ້າງລຸ່ມນີ້).

   ນະໂຍບາຍການອະນຸຍາດ crypto ikev2 FlexClient-author

   ເສັ້ນທາງໄປຫາເຄືອຂ່າຍທີ່ຢູ່ເບື້ອງຫຼັງເຣົາເຕີ CE - ການຕັ້ງຄ່າບັງຄັບສໍາລັບເສັ້ນທາງສະຖິດລະຫວ່າງ CE ແລະ PE. ການໂອນຂໍ້ມູນເສັ້ນທາງໄປຫາ PE ແມ່ນດໍາເນີນໂດຍອັດຕະໂນມັດເມື່ອອຸໂມງຖືກຍົກຂຶ້ນມາໂດຍຜ່ານການໂຕ້ຕອບ IKEv2.

   ກຳນົດເສັ້ນທາງໄລຍະໄກ ipv4 10.1.1.0 255.255.255.0 - ສໍາ​ນັກ​ງານ​ເຄືອ​ຂ່າຍ​ທ້ອງ​ຖິ່ນ​
   !
   ໂປຣໄຟລ໌ crypto ikev2 BeelineIPSec_profile
   ຕົວຕົນຂອງທ້ອງຖິ່ນ <login>
   ການພິສູດຢືນຢັນສ່ວນແບ່ງທ້ອງຖິ່ນລ່ວງໜ້າ
   ແບ່ງປັນທາງໄກການພິສູດຢືນຢັນລ່ວງໜ້າ
   keyring ທ້ອງຖິ່ນ BeelineIPsec_keyring
   aaa authorization group psk list group-author-list FlexClient-author
   !
   crypto ikev2 ລູກຄ້າ flexvpn BeelineIPsec_flex
   peer 1 Beeline_VPNHub
   ລູກ​ຄ້າ​ເຊື່ອມ​ຕໍ່ Tunnel1
   !
   crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
   ອຸ​ໂມງ​ຮູບ​ແບບ​
   !
   crypto ipsec profile ເລີ່ມຕົ້ນ
   set transform-set TRANSFORM1
   ຕັ້ງ ikev2-profile BeelineIPSec_profile
   !
   ອິນເຕີເຟດ Tunnel1
   ທີ່ຢູ່ ip 10.20.1.2 255.255.255.252 - ທີ່​ຢູ່​ອຸ​ໂມງ​
   ແຫຼ່ງອຸໂມງ GigabitEthernet0/2 - ການ​ໂຕ້​ຕອບ​ການ​ເຂົ້າ​ເຖິງ​ອິນ​ເຕີ​ເນັດ​
   ໂໝດອຸໂມງ ipsec ipv4
   ອຸໂມງປາຍທາງແບບເຄື່ອນໄຫວ
   ການປົກປ້ອງອຸໂມງ ipsec profile default
   !
   ເສັ້ນທາງໄປຫາເຄືອຂ່າຍສ່ວນຕົວຂອງລູກຄ້າທີ່ເຂົ້າເຖິງໄດ້ຜ່ານຕົວຍຶດໝັ້ນຂອງ Beeline VPN ສາມາດຖືກຕັ້ງໄດ້ຢ່າງສະຖິດ.

   ip route 172.16.0.0 255.255.0.0 Tunnel1
   ip route 192.168.0.0 255.255.255.0 Tunnel1

   ທາງເລືອກສໍາລັບ Huawei (ar160/120):
   ike local-name <login>
   #
   acl ຊື່ ipsec 3999
   rule 1 permit ip source 10.1.1.0 0.0.0.255 - ສໍາ​ນັກ​ງານ​ເຄືອ​ຂ່າຍ​ທ້ອງ​ຖິ່ນ​
   #
   aaa
   ໂຄງການບໍລິການ IPSEC
   ເສັ້ນທາງທີ່ກໍານົດໄວ້ acl 3999
   #
   ipsec ການສະເຫນີ ipsec
   esp authentication-algorithm sha2-256
   esp encryption-algorithm aes-256
   #
   ike ສະເຫນີເລີ່ມຕົ້ນ
   encryption-algorithm aes-256
   ກຸ່ມ dh2
   authentication-algorithm sha2-256
   authentication-method ແບ່ງປັນລ່ວງໜ້າ
   integrity-algorithm hmac-sha2-256
   prf hmac-sha2-256
   #
   ike peer ipsec
   pre-shared-key ງ່າຍດາຍ <ການຢືນຢັນລະຫັດຜ່ານ>
   local-id-type fqdn
   remote-id-type ip
   ທີ່ຢູ່ຫ່າງໄກສອກຫຼີກ 62.141.99.183 -VPN ສູນ Beeline
   ໂຄງການບໍລິການ IPSEC
   config-exchange ຄໍາຮ້ອງຂໍ
   config-exchange ຊຸດຍອມຮັບ
   config-exchange set ສົ່ງ
   #
   ipsec profile ipsecprof
   ike-peer ipsec
   ຂໍ້ສະເໜີ ipsec
   #
   ອິນເຕີເຟດ Tunnel0/0/0
   ທີ່ຢູ່ ip 10.20.1.2 255.255.255.252 - ທີ່​ຢູ່​ອຸ​ໂມງ​
   tunnel-protocol ipsec
   ແຫຼ່ງ GigabitEthernet0/0/1 - ການ​ໂຕ້​ຕອບ​ການ​ເຂົ້າ​ເຖິງ​ອິນ​ເຕີ​ເນັດ​
   ipsec profile ipsecprof
   #
   ເສັ້ນທາງໄປຫາເຄືອຂ່າຍສ່ວນຕົວຂອງລູກຄ້າທີ່ເຂົ້າເຖິງໄດ້ຜ່ານຕົວຍຶດໝັ້ນຂອງ Beeline VPN ສາມາດຕັ້ງໄດ້ຢ່າງສະຖິດ.

   ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
   ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

ແຜນວາດການສື່ສານຜົນໄດ້ຮັບເບິ່ງຄືດັ່ງນີ້:

ຖ້າລູກຄ້າບໍ່ມີບາງຕົວຢ່າງຂອງການຕັ້ງຄ່າພື້ນຖານ, ຫຼັງຈາກນັ້ນພວກເຮົາມັກຈະຊ່ວຍໃນການສ້າງຂອງພວກເຂົາແລະເຮັດໃຫ້ພວກມັນສາມາດໃຊ້ໄດ້ກັບທຸກໆຄົນ.

ສິ່ງທີ່ຍັງເຫຼືອແມ່ນການເຊື່ອມຕໍ່ CPE ກັບອິນເຕີເນັດ, ping ກັບສ່ວນຕອບສະຫນອງຂອງອຸໂມງ VPN ແລະເຈົ້າພາບໃດໆພາຍໃນ VPN, ແລະນັ້ນແມ່ນມັນ, ພວກເຮົາສາມາດສົມມຸດວ່າການເຊື່ອມຕໍ່ໄດ້ຖືກເຮັດແລ້ວ.

ໃນບົດຄວາມຕໍ່ໄປພວກເຮົາຈະບອກທ່ານວິທີທີ່ພວກເຮົາລວມໂຄງການນີ້ກັບ IPSec ແລະ MultiSIM Redundancy ໂດຍໃຊ້ Huawei CPE: ພວກເຮົາຕິດຕັ້ງ Huawei CPE ຂອງພວກເຮົາສໍາລັບລູກຄ້າ, ເຊິ່ງສາມາດນໍາໃຊ້ບໍ່ພຽງແຕ່ຊ່ອງອິນເຕີເນັດແບບມີສາຍ, ແຕ່ຍັງ 2 ຊິມກາດທີ່ແຕກຕ່າງກັນ, ແລະ CPE. ກໍ່ສ້າງອຸໂມງ IPSec-tunnel ຄືນໃໝ່ໂດຍອັດຕະໂນມັດຜ່ານ WAN ແບບມີສາຍ ຫຼື ຜ່ານວິທະຍຸ (LTE#1/LTE#2), ຮັບຮູ້ຄວາມອົດທົນສູງຂອງການບໍລິການທີ່ເປັນຜົນ.

ຂໍຂອບໃຈເປັນພິເສດກັບເພື່ອນຮ່ວມງານ RnD ຂອງພວກເຮົາສໍາລັບການກະກຽມບົດຄວາມນີ້ (ແລະ, ໃນຄວາມເປັນຈິງ, ກັບຜູ້ຂຽນຂອງວິທີແກ້ໄຂດ້ານວິຊາການເຫຼົ່ານີ້)!

ແຫຼ່ງຂໍ້ມູນ: www.habr.com