IPSec မှတဆင့် IPVPN Beeline သို့ဘယ်လိုသွားရမလဲ။ အပိုင်း 1

မင်္ဂလာပါ! IN ယခင်ပို့စ် ကျွန်ုပ်တို့၏ MultiSIM ဝန်ဆောင်မှု၏လုပ်ငန်းကို တစ်စိတ်တစ်ပိုင်းအားဖြင့် ဖော်ပြထားပါသည်။ ကြိုတင်မှာယူမှုများ и မျှခြေ ချန်နယ်များ။ ဖော်ပြခဲ့သည့်အတိုင်း၊ ကျွန်ုပ်တို့သည် သုံးစွဲသူများအား VPN မှတစ်ဆင့် ကွန်ရက်သို့ချိတ်ဆက်ကာ၊ ယနေ့တွင် ဤအပိုင်းရှိ VPN နှင့် ကျွန်ုပ်တို့၏စွမ်းရည်များအကြောင်း အနည်းငယ် ထပ်မံပြောပြပါမည်။

တယ်လီကွန်းအော်ပရေတာတစ်ခုအနေဖြင့် ကျွန်ုပ်တို့၏ကိုယ်ပိုင် MPLS ကွန်ရက်တွင် လိုင်းအသုံးပြုသူများအတွက် ပင်မအပိုင်းနှစ်ပိုင်းခွဲထားသည်- အင်တာနက်ကို တိုက်ရိုက်အသုံးပြုသည့် အပိုင်းနှင့် တစ်ခုဟူ၍ အပိုင်းနှစ်ပိုင်းခွဲထားသည့် တယ်လီကွန်းအော်ပရေတာတစ်ခုအနေဖြင့် ကျွန်ုပ်တို့၏ကိုယ်ပိုင်ကြီးမားသော MPLS ကွန်ရက်ရှိသည့်အတွက် စတင်ရကျိုးနပ်ပါသည်။ သီးခြားကွန်ရက်များကိုဖန်တီးရန်အသုံးပြုသည် — ၎င်းသည် ဤ MPLS အပိုင်းမှတဆင့် ကျွန်ုပ်တို့၏ကော်ပိုရိတ်ဖောက်သည်များအတွက် IPVPN (L3 OSI) နှင့် VPLAN (L2 OSI) အသွားအလာစီးဆင်းနေပါသည်။

ပုံမှန်အားဖြင့်၊ client connection တစ်ခုသည် အောက်ပါအတိုင်း ဖြစ်ပေါ်သည်။

ကွန်ရက်ရောက်ရှိခြင်း၏ အနီးဆုံးနေရာ (node ​​​MEN၊ RRL၊ BSSS၊ FTTB စသည်ဖြင့်) မှ သုံးစွဲသူ၏ရုံးခန်းသို့ ဝင်ရောက်ခွင့်လိုင်းကို ချထားပေးပြီး၊ ထို့အပြင် ချန်နယ်ကို သက်ဆိုင်ရာ PE-MPLS သို့ သယ်ယူပို့ဆောင်ရေးကွန်ရက်မှတစ်ဆင့် မှတ်ပုံတင်ထားပါသည်။ ဖောက်သည်လိုအပ်သည့် အသွားအလာပရိုဖိုင်ကို ထည့်သွင်းစဉ်းစား၍ ၎င်းကို VRF ကလိုင်းယင့်အတွက် အထူးဖန်တီးထားသည့် router မှ ထုတ်လွှတ်သည့် router (ip preceedence values ​​0,1,3,5, XNUMX, access port တစ်ခုစီအတွက် ပရိုဖိုင်တံဆိပ်များကို ရွေးချယ်ထားသည်။ ၅)။

အကြောင်းတစ်ခုခုကြောင့် ကလိုင်းယင့်အတွက် နောက်ဆုံးမိုင်ကို အပြည့်အ၀ မစီစဉ်နိုင်ပါက၊ ဥပမာ၊ ကလိုင်းယင့်၏ရုံးခန်းသည် အခြားဝန်ဆောင်မှုပေးသူကို ဦးစားပေးသည့်နေရာတွင်ရှိသော စီးပွားရေးစင်တာတစ်ခုတွင် တည်ရှိသည် သို့မဟုတ် ကျွန်ုပ်တို့၏အနီးအနားတွင် ကျွန်ုပ်တို့ရောက်ရှိနေသည့်နေရာမရှိပါ၊ ထို့နောက် ယခင်က ဖောက်သည်များ မတူညီသော ဝန်ဆောင်မှုပေးသူများတွင် IPVPN ကွန်ရက်များစွာကို ဖန်တီးရပါမည် (ကုန်ကျစရိတ်အသက်သာဆုံး ဗိသုကာလက်ရာမဟုတ်) သို့မဟုတ် အင်တာနက်ပေါ်တွင် သင်၏ VRF သုံးစွဲခွင့်ကို စုစည်းခြင်းနှင့် ပြဿနာများကို လွတ်လပ်စွာဖြေရှင်းပါ။

အတော်များများက IPVPN အင်တာနက် ဂိတ်ဝေးကို တပ်ဆင်ခြင်းဖြင့် ၎င်းကို လုပ်ဆောင်ခဲ့ကြသည် - ၎င်းတို့သည် နယ်စပ်ရောက်တာ (ဟာ့ဒ်ဝဲ သို့မဟုတ် Linux အခြေပြု ဖြေရှင်းချက်အချို့) ကို တပ်ဆင်ထားပြီး IPVPN ချန်နယ်တစ်ခုကို ဆိပ်ကမ်းတစ်ခုနှင့် အခြားအင်တာနက်ချန်နယ်တစ်ခုနှင့် ချိတ်ဆက်ထားကာ ၎င်းတို့တွင် ၎င်းတို့၏ VPN ဆာဗာကို စတင်၍ ချိတ်ဆက်ထားသည်။ သုံးစွဲသူများသည် ၎င်းတို့၏ကိုယ်ပိုင် VPN ဂိတ်ဝမှတဆင့် သဘာဝအားဖြင့်၊ ထိုသို့သောအစီအစဥ်သည် ဝန်ထုပ်ဝန်ပိုးများကို ဖန်တီးပေးသည်- ထိုကဲ့သို့သော အခြေခံအဆောက်အဦများကို တည်ဆောက်ရမည်ဖြစ်ပြီး အများစုမှာ အဆင်မပြေပါက၊ လည်ပတ်ပြီး ဖွံ့ဖြိုးတိုးတက်စေမည်ဖြစ်သည်။

ကျွန်ုပ်တို့၏ဖောက်သည်များအတွက် ဘဝကိုပိုမိုလွယ်ကူစေရန်အတွက်၊ ကျွန်ုပ်တို့သည် IPSec ကိုအသုံးပြု၍ အင်တာနက်ပေါ်ရှိချိတ်ဆက်မှုအတွက် ဗဟိုချုပ်ကိုင်ထားသော VPN hub တစ်ခုကို တပ်ဆင်ထားပြီး၊ ဆိုလိုသည်မှာ ယခုအခါ သုံးစွဲသူများသည် အများသူငှာအင်တာနက်ပေါ်ရှိ IPSec ဥမင်လိုဏ်ခေါင်းတစ်ခုမှတစ်ဆင့် ကျွန်ုပ်တို့၏ VPN hub နှင့်အလုပ်လုပ်ရန် ၎င်းတို့၏ router များကိုသာ configure လုပ်ရန်လိုအပ်ပါသည်။ ၊ ကျွန်ုပ်တို့သည် ဤဖောက်သည်၏ အသွားအလာကို ၎င်း၏ VRF သို့ ထုတ်ပြန်လိုက်ကြပါစို့။

ဘယ်သူတွေ လိုအပ်မလဲ။

• ကြီးမားသော IPVPN ကွန်ရက်ရှိပြီး အချိန်တိုအတွင်း ချိတ်ဆက်မှုအသစ်များ လိုအပ်သူများအတွက်။
• အကြောင်းတစ်ခုခုကြောင့် မည်သူမဆို အများသူငှာ အင်တာနက်မှ IPVPN သို့ လမ်းကြောင်းပြောင်းလိုသော်လည်း ဝန်ဆောင်မှုပေးသူအများအပြားနှင့် ဆက်စပ်သည့် နည်းပညာဆိုင်ရာ ကန့်သတ်ချက်များကို ယခင်က ကြုံတွေ့ခဲ့ရသည်။
• လက်ရှိတွင် မတူညီသော တယ်လီကွန်းအော်ပရေတာများတွင် မတူညီသော VPN ကွန်ရက်များစွာရှိသူများအတွက်။ Beeline၊ Megafon၊ Rostelecom စသည်တို့မှ IPVPN ကို အောင်မြင်စွာ စီစဉ်နိုင်ခဲ့သော ဖောက်သည်များရှိပါသည်။ ပိုမိုလွယ်ကူစေရန်၊ သင်သည် ကျွန်ုပ်တို့၏တစ်ခုတည်းသော VPN တွင်သာနေနိုင်ပြီး၊ အခြားသောအော်ပရေတာများ၏အခြားလမ်းကြောင်းအားလုံးကိုအင်တာနက်သို့ပြောင်းပါ၊ ထို့နောက် IPSec နှင့် အဆိုပါအော်ပရေတာများမှအင်တာနက်မှတစ်ဆင့် Beeline IPVPN သို့ချိတ်ဆက်ပါ။
• IPVPN ကွန်ရက်ရှိပြီးသားသူများအတွက် အင်တာနက်ပေါ်တွင် ထပ်ဆင့်ထားသည်။

အကယ်၍ သင်သည် အရာအားလုံးကို ကျွန်ုပ်တို့နှင့်အတူ အသုံးချပါက၊ ဖောက်သည်များသည် ပြည့်စုံသော VPN ပံ့ပိုးမှု၊ လေးနက်သော အခြေခံအဆောက်အဦ မလိုအပ်ခြင်းနှင့် စံဆက်တင်များကို ၎င်းတို့အသုံးပြုလေ့ရှိသည့် မည်သည့် router တွင်မဆို လုပ်ဆောင်နိုင်သည် (Cisco၊ Mikrotik ပင်ဖြစ်စေ အဓိကအချက်မှာ ၎င်းသည် ကောင်းမွန်စွာ ပံ့ပိုးပေးနိုင်ခြင်းပင်ဖြစ်သည်။ စံပြုအထောက်အထားစိစစ်ခြင်းနည်းလမ်းများဖြင့် IPSec/IKEv2)။ စကားမစပ်၊ IPSec အကြောင်း - ယခု ကျွန်ုပ်တို့သည် ၎င်းကို ပံ့ပိုးပေးရုံသာမက OpenVPN နှင့် Wireguard နှစ်ခုလုံး၏ အပြည့်အဝလည်ပတ်မှုကို စတင်ရန် စီစဉ်နေသောကြောင့် သုံးစွဲသူများသည် ပရိုတိုကောကို မှီခိုအားထား၍မရသည့်အပြင် အရာအားလုံးကို ကျွန်ုပ်တို့ထံ လွှဲပြောင်းယူရန် ပို၍လွယ်ကူလာပါသည်။ ထို့အပြင် ကျွန်ုပ်တို့သည် ကွန်ပျူတာများနှင့် မိုဘိုင်းစက်ပစ္စည်းများမှ ဖောက်သည်များကို ချိတ်ဆက်လိုသည် (OS၊ Cisco AnyConnect နှင့် strongSwan နှင့် အခြားအရာများ) ကို စတင်ချိတ်ဆက်လိုပါသည်။ ဤချဉ်းကပ်မှုဖြင့်၊ အခြေခံအဆောက်အဦ၏ de facto တည်ဆောက်မှုကို အော်ပရေတာထံ လုံခြုံစွာလွှဲပြောင်းပေးနိုင်ပြီး CPE သို့မဟုတ် host ၏ဖွဲ့စည်းပုံကိုသာချန်ထားနိုင်သည်။

IPSec မုဒ်အတွက် ချိတ်ဆက်မှု လုပ်ငန်းစဉ်သည် မည်သို့အလုပ်လုပ်သနည်း။

1. ဖောက်သည်သည် ဥမင်လိုဏ်ခေါင်းအတွက် လိုအပ်သော ချိတ်ဆက်မှုအမြန်နှုန်း၊ အသွားအလာပရိုဖိုင်နှင့် IP လိပ်စာသတ်မှတ်ချက်ဘောင်များ (မူလအားဖြင့်၊ /30 မျက်နှာဖုံးပါသည့် subnet) နှင့် လမ်းကြောင်းအမျိုးအစား (static သို့မဟုတ် BGP) ကိုညွှန်ပြသည့် ၎င်း၏မန်နေဂျာထံ တောင်းဆိုချက်တစ်ခု ပေးပို့ပါသည်။ ချိတ်ဆက်ထားသောရုံးရှိ client ၏ဒေသခံကွန်ရက်များသို့ လမ်းကြောင်းများလွှဲပြောင်းရန်၊ IPSec ပရိုတိုကောအဆင့်၏ IKEv2 ယန္တရားများကို client router ပေါ်ရှိ သင့်လျော်သောဆက်တင်များကိုအသုံးပြုပြီး အသုံးပြုသည် သို့မဟုတ် ၎င်းတို့ကို သုံးစွဲသူ၏လျှောက်လွှာတွင်ဖော်ပြထားသောသီးသန့် BGP AS မှ BGP မှတစ်ဆင့် ကြော်ငြာထားသည်။ . ထို့ကြောင့်၊ client ကွန်ရက်များ၏ လမ်းကြောင်းများဆိုင်ရာ အချက်အလက်များကို client router ၏ ဆက်တင်များမှတစ်ဆင့် client မှ လုံးဝထိန်းချုပ်ထားသည်။
2. ၎င်း၏မန်နေဂျာထံမှ တုံ့ပြန်မှုအရ၊ ဖောက်သည်သည် ၎င်း၏ VRF တွင် ထည့်သွင်းရန်အတွက် စာရင်းအင်းဒေတာကို လက်ခံရရှိသည်-
   • VPN-HUB IP လိပ်စာ
   • ရဲ့ login
   • အထောက်အထားပြခြင်း စကားဝှက်
3. အောက်တွင်၊ ဥပမာ၊ အခြေခံဖွဲ့စည်းမှုရွေးချယ်စရာနှစ်ခု CPE ကို စီစဉ်သတ်မှတ်သည်-

   Cisco အတွက် ရွေးချယ်မှု-
   crypto ikev2 သော့ချိတ် BeelineIPsec_keyring
   ရွယ်တူ Beeline_VPNHub
   62.141.99.183 လိပ်စာ -VPN အချက်အချာ Beeline
   pre-shared-key <Authentication password>
   !
   static routing option အတွက်၊ Vpn-hub မှတဆင့် ဝင်ရောက်နိုင်သော ကွန်ရက်များသို့ လမ်းကြောင်းများကို IKEv2 configuration တွင် သတ်မှတ်နိုင်ပြီး ၎င်းတို့သည် CE လမ်းကြောင်းဇယားရှိ တည်ငြိမ်လမ်းကြောင်းများအဖြစ် အလိုအလျောက်ပေါ်လာမည်ဖြစ်သည်။ static routes များကို သတ်မှတ်သည့် စံနည်းလမ်းကို အသုံးပြု၍ ဤဆက်တင်များကို ပြုလုပ်နိုင်သည် (အောက်တွင် ကြည့်ပါ)။

   crypto ikev2 ခွင့်ပြုချက်မူဝါဒ FlexClient-ရေးသားသူ

   CE router ၏နောက်ကွယ်ရှိ ကွန်ရက်များသို့ လမ်းကြောင်း- CE နှင့် PE အကြား တည်ငြိမ်လမ်းကြောင်းတင်ခြင်းအတွက် မဖြစ်မနေဆက်တင်တစ်ခု။ IKEv2 အပြန်အလှန်အားဖြင့် ဥမင်လိုဏ်ခေါင်းကို မြှင့်တင်သည့်အခါ PE သို့ လမ်းကြောင်းဒေတာလွှဲပြောင်းခြင်းကို အလိုအလျောက်လုပ်ဆောင်ပါသည်။

   အဝေးထိန်း ipv4 10.1.1.0 255.255.255.0 သတ်မှတ်လမ်းကြောင်း - ဒေသဆိုင်ရာကွန်ရက်ရုံး
   !
   crypto ikev2 ပရိုဖိုင် BeelineIPSec_profile
   အထောက်အထား ဒေသတွင်း <login>
   authentication local pre-share
   အထောက်အထားစိစစ်ခြင်း အဝေးထိန်းကို ကြိုတင်မျှဝေပါ။
   သော့ခတ်ခြင်း ပြည်တွင်း BeelineIPsec_keyring
   aaa ခွင့်ပြုချက်အုပ်စု psk စာရင်းအုပ်စု-ရေးသားသူ-စာရင်း FlexClient-author
   !
   crypto ikev2 သုံးစွဲသူ flexvpn BeelineIPsec_flex
   ရွယ်တူ 1 Beeline_VPNHub
   ဖောက်သည်ချိတ်ဆက် Tunnel1
   !
   crypto ipsec အသွင်ပြောင်း-သတ်မှတ် TRANSFORM1 esp-aes 256 esp-sha256-hmac
   မုဒ်ဥမင်လိုဏ်ခေါင်း
   !
   crypto ipsec ပရိုဖိုင် မူရင်း
   အသွင်ပြောင်း-သတ်မှတ် TRANSFORM1
   ikev2-profile BeelineIPSec_profile ကို သတ်မှတ်ပါ။
   !
   အင်တာဖေ့စ် Tunnel1
   ip address ကို 10.20.1.2 255.255.255.252 - ဥမင်လိပ်စာ
   လိုဏ်ခေါင်းအရင်းအမြစ် GigabitEthernet0/2 - အင်တာနက်ဝင်ရောက်မှုအင်တာဖေ့စ်
   ဥမင်မုဒ် ipsec ipv4
   ဥမင်လိုဏ်ခေါင်း ရွေ့လျားမှု
   ဥမင်လိုဏ်ခေါင်းကာကွယ်ရေး ipsec ပရိုဖိုင် မူရင်း
   !
   Beeline VPN အာရုံစူးစိုက်မှုမှတစ်ဆင့် သုံးစွဲသူ၏ကိုယ်ရေးကိုယ်တာကွန်ရက်များသို့ ဝင်ရောက်နိုင်သည့်လမ်းကြောင်းများကို တည်ငြိမ်စွာသတ်မှတ်နိုင်သည်။

   ip လမ်းကြောင်း 172.16.0.0 255.255.0.0 Tunnel1
   ip လမ်းကြောင်း 192.168.0.0 255.255.255.0 Tunnel1

   Huawei (ar160/120) အတွက် ရွေးချယ်စရာ-
   ike local-name <login>
   #
   acl နာမည်ကတော့ ipsec 3999 ဖြစ်ပါတယ်။
   စည်းမျဉ်း 1 ပါမစ် ip အရင်းအမြစ် 10.1.1.0 0.0.0.255 - ဒေသဆိုင်ရာကွန်ရက်ရုံး
   #
   aaa
   ဝန်ဆောင်မှုအစီအစဉ် IPSEC
   လမ်းကြောင်း acl 3999 သတ်မှတ်သည်။
   #
   ipsec အဆိုပြုချက် ipsec
   esp authentication-algorithm sha2-256
   esp ကုဒ်ဝှက်ခြင်း-အယ်လ်ဂိုရီသမ် aes-256
   #
   ike အဆိုပြုချက်သည် ပုံသေဖြစ်သည်။
   ကုဒ်ဝှက်ခြင်း-အယ်လ်ဂိုရီသမ် aes-256
   dh အုပ်စု၂
   authentication-algorithm sha2-256
   authentication-method ကို ကြိုတင်မျှဝေပါ။
   integrity-algorithm hmac-sha2-256
   prf hmac-sha2-256
   #
   ike peer ipsec
   pre-shared-key ရိုးရှင်းသော <Authentication password>
   local-id-type fqdn
   remote-id-type ip
   အဝေးထိန်းလိပ်စာ 62.141.99.183 -VPN အချက်အချာ Beeline
   ဝန်ဆောင်မှုအစီအစဉ် IPSEC
   config-exchange တောင်းဆိုချက်
   config-exchange set ကို လက်ခံပါတယ်။
   config-exchange set ပေးပို့ပါ။
   #
   ipsec ပရိုဖိုင် ipsecprof
   ike-peer ipsec
   ipsec အဆိုပြုချက်
   #
   အင်တာဖေ့စ် Tunnel0/0/0
   ip address ကို 10.20.1.2 255.255.255.252 - ဥမင်လိပ်စာ
   tunnel-protocol ipsec
   GigabitEthernet0/0/1 အရင်းအမြစ် - အင်တာနက်ဝင်ရောက်မှုအင်တာဖေ့စ်
   ipsec ပရိုဖိုင် ipsecprof
   #
   Beeline VPN အာရုံစူးစိုက်မှုမှတစ်ဆင့် သုံးစွဲသူ၏ကိုယ်ရေးကိုယ်တာကွန်ရက်များသို့ ဝင်ရောက်နိုင်သည့်လမ်းကြောင်းများကို တည်ငြိမ်စွာသတ်မှတ်နိုင်သည်

   ip လမ်းကြောင်း-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
   ip လမ်းကြောင်း-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

ရရှိလာသော ဆက်သွယ်ရေးပုံကြမ်းသည် ဤကဲ့သို့ ဖြစ်သည်-

ကလိုင်းယင့်တွင် အခြေခံဖွဲ့စည်းပုံပုံစံအချို့ ဥပမာများမရှိပါက၊ ကျွန်ုပ်တို့သည် အများအားဖြင့် ၎င်းတို့၏ဖွဲ့စည်းခြင်းကို ကူညီပြီး ၎င်းတို့ကို အခြားသူများထံ ရရှိစေပါသည်။

ကျန်ရှိနေသေးသည်မှာ CPE ကိုအင်တာနက်သို့ချိတ်ဆက်ရန်ဖြစ်ပြီး VPN ဥမင်လိုဏ်ခေါင်း၏တုံ့ပြန်မှုအပိုင်းနှင့် VPN အတွင်းရှိမည်သည့်အိမ်ရှင်ကိုမဆို ping လုပ်ပြီးဒါပါပဲ၊ ချိတ်ဆက်မှုပြုလုပ်ထားကြောင်းကျွန်ုပ်တို့ယူဆနိုင်သည်။

နောက်ဆောင်းပါးတွင် Huawei CPE ကို အသုံးပြု၍ IPSec နှင့် MultiSIM Redundancy တို့ကို ပေါင်းစပ်နည်းကို ပြောပြပါမည်- ကြိုးတပ်အင်တာနက်ချန်နယ်သာမက မတူညီသော ဆင်းမ်ကတ် 2 ကတ်နှင့် CPE ကို သုံးစွဲသူများအတွက် ကျွန်ုပ်တို့၏ Huawei CPE ကို ထည့်သွင်းထားပါသည်။ IPSec- tunnel သည် ဝိုင်ယာကြိုးတပ်ထားသော WAN မှတစ်ဆင့် သို့မဟုတ် ရေဒီယို (LTE#1/LTE#2) မှတဆင့်ဖြစ်စေ)၊ ရရှိလာသောဝန်ဆောင်မှု၏ မြင့်မားသောအမှားအယွင်းကို သည်းခံနိုင်မှုကို နားလည်သဘောပေါက်စေသည်။

ဤဆောင်းပါးကိုပြင်ဆင်ခြင်းအတွက် ကျွန်ုပ်တို့၏ RnD လုပ်ဖော်ကိုင်ဖက်များ (အမှန်တကယ်၊ ဤနည်းပညာဆိုင်ရာဖြေရှင်းချက်ရေးသားသူများကို) အထူးကျေးဇူးတင်ရှိပါသည်။

source: www.habr.com