Salama! IN Nolazaiko tamin'ny ampahany ny asan'ny serivisy MultiSIM и fantsona. Araka ny voalaza dia mampifandray ny mpanjifa amin'ny tambajotra amin'ny alàlan'ny VPN izahay, ary anio dia hilaza aminao bebe kokoa momba ny VPN sy ny fahaizantsika amin'ity ampahany ity aho.
Tsara ny manomboka amin'ny hoe izahay, amin'ny maha-operateur telecom azy, dia manana tambazotran'ny MPLS lehibe, izay mizara ho fizarana roa lehibe ho an'ny mpanjifa raikitra - ny iray ampiasaina mivantana amin'ny fidirana amin'ny Internet, ary ny iray izay nampiasaina hamorona tambajotra mitoka-monina - ary amin'ny alalan'ity fizarana MPLS ity no ivoahan'ny fifamoivoizana IPVPN (L3 OSI) sy VPLAN (L2 OSI) ho an'ny mpanjifanay.
Amin'ny ankapobeny, ny fifandraisana amin'ny mpanjifa dia mitranga toy izao manaraka izao.
Ny tsipika fidirana dia apetraka amin'ny biraon'ny mpanjifa avy amin'ny Point of Presence akaiky indrindra amin'ny tambajotra (node MEN, RRL, BSSS, FTTB, sns.) ny router, izay avoakanay ho an'ny mpanjifa VRF manokana, amin'ny fiheverana ny mombamomba ny fifamoivoizana izay ilain'ny mpanjifa (ny etikety profil dia nofantenana ho an'ny seranana fidirana tsirairay, mifototra amin'ny sanda ip precedence 0,1,3,5, XNUMX).
Raha noho ny antony tsy afaka mandamina tanteraka ny kilaometatra farany ho an'ny mpanjifa, ohatra, ny biraon'ny mpanjifa dia hita ao amin'ny foibe fandraharahana, izay misy mpamatsy hafa ho laharam-pahamehana, na tsy manana toerana misy anay eo akaiky eo izahay, dia ny mpanjifa teo aloha. dia tsy maintsy namorona tambajotra IPVPN maromaro amin'ny mpamatsy samihafa (fa tsy ny maritrano lafo vidy indrindra) na mamaha ny olana amin'ny fandaminana ny fidirana amin'ny VRF anao amin'ny Internet.
Maro no nanao izany tamin'ny fametrahana vavahadin'ny Internet IPVPN - nametraka router sisintany (fitaovana na vahaolana mifototra amin'ny Linux izy ireo), mampifandray fantsona IPVPN amin'izany amin'ny seranana iray ary fantsona Internet amin'ny iray hafa, nametraka ny mpizara VPN azy ireo ary mifandray. mpampiasa amin'ny alàlan'ny vavahadin-dry zareo VPN manokana. Mazava ho azy fa miteraka enta-mavesatra ihany koa ny rafitra toy izany: tsy maintsy amboarina ny fotodrafitrasa toy izany ary, ny tena mahasosotra, dia miasa sy mivoatra.
Mba hanamora ny fiainana ho an'ny mpanjifanay dia nametraka foibe VPN afovoany izahay ary nandamina fanohanana ny fifandraisana amin'ny Internet amin'ny fampiasana IPSec, izany hoe ny mpanjifa ankehitriny dia mila manamboatra ny router-ny hiasa miaraka amin'ny hub VPN amin'ny alàlan'ny tonelina IPSec amin'ny Internet ho an'ny daholobe. , ary andeha isika hamoaka ny fifamoivoizana an'ity mpanjifa ity amin'ny VRF-ny.
Iza no mila
- Ho an'ireo izay efa manana tambajotra IPVPN lehibe ary mila fifandraisana vaovao ao anatin'ny fotoana fohy.
- Na iza na iza, noho ny antony, dia te hamindra ampahany amin'ny fifamoivoizana avy amin'ny Internet ho an'ny daholobe mankany amin'ny IPVPN, saingy efa nisedra fetra ara-teknika mifandraika amin'ny mpanome tolotra maromaro.
- Ho an'ireo izay manana tambajotra VPN samihafa amin'izao fotoana izao avy amin'ny mpandraharaha telecom samihafa. Misy mpanjifa nahavita nandamina tsara ny IPVPN avy amin'ny Beeline, Megafon, Rostelecom, sns. Mba hanamorana izany dia afaka mijanona ao amin'ny VPN tokana ihany ianao, ampidiro amin'ny Internet ny fantsona hafa rehetra an'ny mpandraharaha hafa, ary avy eo mifandray amin'ny Beeline IPVPN amin'ny IPSec sy ny Internet avy amin'ireo mpandraharaha ireo.
- Ho an'ireo izay efa manana tambajotra IPVPN voapetaka amin'ny Internet.
Raha apetrakao miaraka aminay ny zava-drehetra, dia mahazo fanohanana VPN feno ny mpanjifa, fampidinana fotodrafitrasa matotra, ary filaharana manara-penitra izay hiasa amin'ny router efa nahazatra azy ireo (na Cisco, na Mikrotik aza, ny zava-dehibe dia ny maha-azo itokiana azy tsara. IPSec/IKEv2 miaraka amin'ny fomba fanamarinana manara-penitra). Raha ny tokony ho izy, momba ny IPSec - amin'izao fotoana izao dia manohana azy ihany izahay, fa mikasa ny hanomboka ny hetsika feno OpenVPN sy Wireguard, mba tsy hiankinan'ny mpanjifa amin'ny protocol ary mora kokoa ny maka sy mamindra ny zava-drehetra aminay, ary tianay koa ny hanomboka hampifandray mpanjifa amin'ny solosaina sy fitaovana finday (vahaolana natsangana tao amin'ny OS, Cisco AnyConnect ary strongSwan sy ny toy izany). Amin'ny alalan'io fomba fiasa io dia azo atolotra soa aman-tsara any amin'ny mpandraharaha ny fanamboarana ny fotodrafitrasa, ka ny CPE na ny mpampiantrano ihany no sisa.
Ahoana ny fomba fiasan'ny fifandraisana amin'ny fomba IPSec:
- Ny mpanjifa dia mametraka fangatahana amin'ny mpitantana azy izay hanondroany ny hafainganam-pandehan'ny fifandraisana ilaina, ny mombamomba ny fifamoivoizana ary ny mari-pamantarana adiresy IP ho an'ny tonelina (amin'ny alàlan'ny default, subnet misy saron-tava /30) ary ny karazana zotra (static na BGP). Mba handefasana lalana mankany amin'ny tambajotra eo an-toerana an'ny mpanjifa ao amin'ny birao mifandray, ny mekanika IKEv2 amin'ny dingana protocole IPSec dia ampiasaina amin'ny alàlan'ny fandrindrana mety amin'ny router mpanjifa, na avoaka amin'ny alàlan'ny BGP amin'ny MPLS avy amin'ny BGP tsy miankina AS voafaritra ao amin'ny fampiharana mpanjifa. . Noho izany, ny fampahalalana momba ny làlan'ny tambajotran'ny mpanjifa dia fehezin'ny mpanjifa tanteraka amin'ny alàlan'ny fametrahana ny router mpanjifa.
- Ho valin'ny mpitantana azy, ny mpanjifa dia mahazo angon-drakitra momba ny kaonty mba hampidirana ao amin'ny VRF azy amin'ny endrika:
- VPN-HUB adiresy IP
- fidirana
- Tenimiafina fanamarinana
- Manefy CPE, etsy ambany, ohatra, safidy roa fototra:
Safidy ho an'ny Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
adiresy 62.141.99.183 - VPN Hub Beeline
pré-shared-key <Authentication password>
!
Ho an'ny safidy fandalovana static, ny lalana mankany amin'ny tambajotra azo idirana amin'ny alàlan'ny Vpn-hub dia azo faritana ao amin'ny konfigurasi IKEv2 ary hiseho ho azy ireo ho toy ny lalana static ao amin'ny latabatra fitetezana CE. Ireo toe-javatra ireo dia azo atao amin'ny alàlan'ny fomba mahazatra amin'ny fametrahana lalana static (jereo eto ambany).politika fanomezan-dàlana crypto ikev2 FlexClient-author
Lalana mankany amin'ny tambajotra ao ambadiky ny router CE - toerana tsy maintsy atao amin'ny zotra static eo anelanelan'ny CE sy PE. Ny famindrana angon-drakitra mankany amin'ny PE dia atao ho azy rehefa miakatra ny tonelina amin'ny alàlan'ny fifandraisana IKEv2.
lalana mametraka lavitra IPv4 10.1.1.0 255.255.255.0 -Tambajotra eo an-toerana ny birao
!
mombamomba ny crypto ikev2 BeelineIPSec_profile
identité local <login>
fanamarinana mialoha ny fizarana eo an-toerana
fanamarinana lavitra mialoha ny fizarana
keyring eo an-toerana BeelineIPsec_keyring
aaa vondrona fanomezan-dàlana psk list group-author-list FlexClient-author
!
mpanjifa crypto ikev2 flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
mpanjifa mampifandray Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
fomba tonelina
!
ny mombamomba ny crypto ipsec
amboary transform-set TRANSFORM1
mametraka ikev2-profile BeelineIPSec_profile
!
interface tsara Tunnel1
ip adiresy 10.20.1.2 255.255.255.252 – Adiresy tonelina
loharanon'ny tonelina GigabitEthernet0/2 - Interface fidirana amin'ny Internet
Tunnel mode ipsec ipv4
tonelina toerana dynamique
tonelina fiarovana ipsec profil default
!
Ny lalana mankany amin'ny tambajotra manokan'ny mpanjifa azo idirana amin'ny alàlan'ny concentrator Beeline VPN dia azo apetraka amin'ny statika.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1Safidy ho an'ny Huawei (ar160/120):
jereo local-name <login>
#
Anarana acl ipsec 3999
fitsipika 1 mamela ip loharano 10.1.1.0 0.0.0.255 -Tambajotra eo an-toerana ny birao
#
aaa
service-scheme IPSEC
lalana napetraka acl 3999
#
ipsec tolo-kevitra ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
misy soso-kevitra default
encryption-algorithm aes-256
vondrona dh 2
authentication-algorithm sha2-256
authentication-fomba fizarana mialoha
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
<authentication password> tsotra tsotra
local-id-type fqdn
remote-id-type ip
adiresy lavitra 62.141.99.183 - VPN Hub Beeline
service-scheme IPSEC
config-fanakalozana fangatahana
config-exchange set manaiky
config-exchange set send
#
ipsec profil ipsecprof
ike-peer ipsec
soso-kevitra ipsec
#
interface tsara Tunnel0/0/0
ip adiresy 10.20.1.2 255.255.255.252 – Adiresy tonelina
tunnel-protocol ipsec
loharano GigabitEthernet0/0/1 - Interface fidirana amin'ny Internet
ipsec profil ipsecprof
#
Ny lalana mankany amin'ny tambajotra tsy miankina amin'ny mpanjifa azo idirana amin'ny alàlan'ny concentrator Beeline VPN dia azo apetraka amin'ny statikaip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Toy izao ny diagram de communication aterak'izany:
Raha tsy manana ohatra sasantsasany amin'ny fanamafisana fototra ny mpanjifa, dia matetika izahay no manampy amin'ny fananganana azy ireo ary manome azy ireo ho an'ny olon-drehetra.
Ny hany sisa tavela dia ny fampifandraisana ny CPE amin'ny Internet, ny ping amin'ny ampahan'ny valin'ny tonelina VPN sy ny mpampiantrano rehetra ao anatin'ny VPN, ary izay no azo heverina fa natao ny fifandraisana.
Ao amin'ny lahatsoratra manaraka dia holazainay aminao ny fomba nampifangaroana ity tetika ity amin'ny IPSec sy MultiSIM Redundancy amin'ny fampiasana Huawei CPE: mametraka ny Huawei CPE ho an'ny mpanjifa izahay, izay tsy afaka mampiasa fantsona Internet tariby ihany, fa koa karatra SIM 2 samihafa, ary ny CPE. manangana ho azy indray ny IPSec- tonelina na amin'ny alalan'ny WAN tariby na amin'ny alalan'ny radio (LTE#1/LTE#2), mahatsapa fandeferana avo lenta amin'ny serivisy aterak'izany.
Isaorana manokana ireo mpiara-miasa aminay RnD tamin'ny fanomanana ity lahatsoratra ity (ary, raha ny marina, ho an'ireo mpanoratra ireo vahaolana ara-teknika ireo)!
Source: www.habr.com