🥇 IPSec मार्फत Beeline IPVPN कसरी प्राप्त गर्ने। भाग १

नमस्ते! IN अघिल्लो पोस्ट मैले हाम्रो मल्टिसिम सेवाको कामलाई आंशिक रूपमा वर्णन गरें आरक्षण и सन्तुलन च्यानलहरू। उल्लेख गरिए अनुसार, हामी ग्राहकहरूलाई VPN मार्फत नेटवर्कमा जडान गर्छौं, र आज म तपाईंलाई VPN र यस भागमा हाम्रा क्षमताहरूको बारेमा अलि बढी बताउनेछु।

यो तथ्यबाट सुरु गर्न लायक छ कि हामीसँग, एक टेलिकम अपरेटरको रूपमा, हाम्रो आफ्नै विशाल MPLS नेटवर्क छ, जुन फिक्स्ड-लाइन ग्राहकहरूको लागि दुई मुख्य खण्डहरूमा विभाजित छ - एक जुन इन्टरनेट पहुँच गर्न प्रत्यक्ष रूपमा प्रयोग गरिन्छ, र अर्को। पृथक नेटवर्कहरू सिर्जना गर्न प्रयोग गरिन्छ — र यो MPLS खण्ड मार्फत हो कि IPVPN (L3 OSI) र VPLAN (L2 OSI) हाम्रो कर्पोरेट ग्राहकहरूको लागि ट्राफिक प्रवाह हुन्छ।

सामान्यतया, ग्राहक जडान निम्नानुसार हुन्छ।

नेटवर्कको निकटतम विन्दु (नोड MEN, RRL, BSSS, FTTB, आदि) बाट ग्राहकको कार्यालयमा पहुँच लाइन राखिएको छ र थप, च्यानल यातायात नेटवर्क मार्फत सम्बन्धित PE-MPLS मा दर्ता गरिएको छ। राउटर, जसमा हामी यसलाई VRF क्लाइन्टको लागि विशेष रूपमा सिर्जना गरिएकोमा आउटपुट गर्छौं, ग्राहकलाई चाहिने ट्राफिक प्रोफाइललाई ध्यानमा राख्दै (प्रोफाइल लेबलहरू प्रत्येक पहुँच पोर्टको लागि चयन गरिन्छ, आईपी प्राथमिकता मानहरू 0,1,3,5 को आधारमा, ५)

यदि कुनै कारणले हामी ग्राहकको लागि अन्तिम माइल पूर्ण रूपमा व्यवस्थित गर्न सक्दैनौं, उदाहरणका लागि, ग्राहकको कार्यालय व्यापार केन्द्रमा अवस्थित छ, जहाँ अर्को प्रदायकको प्राथमिकता छ, वा हामीसँग हाम्रो उपस्थितिको बिन्दु नजिकै छैन भने, पहिले ग्राहकहरू विभिन्न प्रदायकहरूमा धेरै IPVPN सञ्जालहरू सिर्जना गर्नुपर्‍यो (सबैभन्दा लागत-प्रभावी वास्तुकला होइन) वा स्वतन्त्र रूपमा इन्टरनेटमा तपाइँको VRF मा पहुँच व्यवस्थित गर्ने समस्याहरू समाधान गर्नुपर्दछ।

धेरैले IPVPN इन्टरनेट गेटवे स्थापना गरेर यो गरे - तिनीहरूले बोर्डर राउटर (हार्डवेयर वा केही लिनक्स-आधारित समाधान) स्थापना गरे, एउटा IPVPN च्यानललाई एउटा पोर्टसँग र अर्कोसँग इन्टरनेट च्यानल जडान गरे, तिनीहरूको VPN सर्भर त्यसमा सुरू गरे र जडान गरे। प्रयोगकर्ताहरू आफ्नै VPN गेटवे मार्फत। स्वाभाविक रूपमा, यस्तो योजनाले बोझ पनि सिर्जना गर्दछ: त्यस्ता पूर्वाधारहरू निर्माण हुनुपर्छ र, सबैभन्दा असुविधाजनक रूपमा, सञ्चालन र विकास हुनुपर्छ।

हाम्रा ग्राहकहरूका लागि जीवन सजिलो बनाउन, हामीले एक केन्द्रीकृत VPN हब स्थापना गरेका छौं र IPSec प्रयोग गरेर इन्टरनेटमा जडानहरूको लागि संगठित समर्थन गरेका छौं, अर्थात्, अब ग्राहकहरूले कुनै पनि सार्वजनिक इन्टरनेटमा IPSec टनेल मार्फत हाम्रो VPN हबसँग काम गर्न आफ्नो राउटर कन्फिगर गर्न आवश्यक छ। , र हामी यस ग्राहकको ट्राफिकलाई यसको VRF मा जारी गरौं।

कसलाई चाहिन्छ

जोसँग पहिले नै ठूलो IPVPN नेटवर्क छ र छोटो समयमा नयाँ जडान चाहिन्छ।
जो कोही, कुनै कारणले, सार्वजनिक इन्टरनेटबाट IPVPN मा ट्राफिकको अंश स्थानान्तरण गर्न चाहन्छ, तर पहिले धेरै सेवा प्रदायकहरूसँग सम्बन्धित प्राविधिक सीमितताहरू सामना गरेको छ।
जोसँग हाल विभिन्न टेलिकम अपरेटरहरूमा धेरै फरक VPN नेटवर्कहरू छन्। Beeline, Megafon, Rostelecom, आदिबाट सफलतापूर्वक IPVPN व्यवस्थित गर्ने ग्राहकहरू छन्। यसलाई सजिलो बनाउनको लागि, तपाईं हाम्रो एकल VPN मा मात्र रहन सक्नुहुन्छ, अन्य अपरेटरहरूको सबै च्यानलहरू इन्टरनेटमा स्विच गर्नुहोस्, र त्यसपछि यी अपरेटरहरूबाट IPSec र इन्टरनेट मार्फत Beeline IPVPN मा जडान गर्नुहोस्।
जोसँग पहिले नै इन्टरनेटमा IPVPN नेटवर्क ओभरले गरिएको छ।

यदि तपाइँ हामीसँग सबै कुरा डिप्लोय गर्नुहुन्छ भने, ग्राहकहरूले पूर्ण-विकसित VPN समर्थन, गम्भीर पूर्वाधार रिडन्डन्सी, र मानक सेटिङहरू प्राप्त गर्दछ जुन उनीहरूले प्रयोग गर्ने कुनै पनि राउटरमा काम गर्दछ (यो सिस्को होस्, Mikrotik पनि, मुख्य कुरा यो हो कि यसले राम्रोसँग समर्थन गर्न सक्छ। IPSec/IKEv2 मानकीकृत प्रमाणीकरण विधिहरूसँग)। वैसे, IPSec को बारे मा - अहिले हामी यसलाई मात्र समर्थन गर्दछौं, तर हामी OpenVPN र Wireguard दुबैको पूर्ण अपरेशन सुरु गर्ने योजना गर्छौं, ताकि क्लाइन्टहरू प्रोटोकलमा भर पर्न नपरोस् र हामीलाई सबै कुरा लिन र स्थानान्तरण गर्न सजिलो हुन्छ, र हामी कम्प्यूटर र मोबाइल उपकरणहरू (OS, Cisco AnyConnect र strongSwan र यस्तैमा निर्मित समाधानहरू) बाट ग्राहकहरू जडान गर्न सुरु गर्न चाहन्छौं। यस दृष्टिकोणको साथ, सीपीई वा होस्टको कन्फिगरेसन मात्र छोडेर, पूर्वाधारको वास्तविक निर्माण सुरक्षित रूपमा अपरेटरलाई हस्तान्तरण गर्न सकिन्छ।

IPSec मोडको लागि जडान प्रक्रियाले कसरी काम गर्छ:

ग्राहकले आफ्नो प्रबन्धकलाई अनुरोध छोड्छ जसमा उसले टनेलको लागि आवश्यक जडान गति, ट्राफिक प्रोफाइल र IP ठेगाना प्यारामिटरहरू (पूर्वनिर्धारित रूपमा, /30 मास्कको साथ सबनेट) र मार्गको प्रकार (स्थिर वा BGP) संकेत गर्दछ। जडान गरिएको कार्यालयमा ग्राहकको स्थानीय नेटवर्कहरूमा मार्गहरू स्थानान्तरण गर्न, IPSec प्रोटोकल चरणको IKEv2 संयन्त्रहरू क्लाइन्ट राउटरमा उपयुक्त सेटिङहरू प्रयोग गरी प्रयोग गरिन्छ, वा तिनीहरूलाई BGP मार्फत MPLS मा ग्राहकको अनुप्रयोगमा निर्दिष्ट गरिएको निजी BGP मार्फत विज्ञापन गरिन्छ। । यसैले, क्लाइन्ट नेटवर्कहरूको मार्गहरूको बारेमा जानकारी ग्राहक राउटरको सेटिङहरू मार्फत ग्राहकद्वारा पूर्ण रूपमा नियन्त्रण गरिन्छ।
उसको प्रबन्धकबाट प्रतिक्रियामा, ग्राहकले फारमको आफ्नो VRF मा समावेश गर्नको लागि लेखा डेटा प्राप्त गर्दछ:
- VPN-HUB IP ठेगाना
- लगइन
- प्रमाणीकरण पासवर्ड
CPE कन्फिगर गर्दछ, तल, उदाहरणका लागि, दुई आधारभूत कन्फिगरेसन विकल्पहरू:
सिस्कोको लागि विकल्प:
क्रिप्टो ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
ठेगाना १०.१०.१०।१ -VPN हब Beeline
पूर्व-साझा-कुञ्जी <प्रमाणीकरण पासवर्ड>
!
स्थिर मार्ग विकल्पको लागि, Vpn-हब मार्फत पहुँचयोग्य नेटवर्कहरूमा मार्गहरू IKEv2 कन्फिगरेसनमा निर्दिष्ट गर्न सकिन्छ र तिनीहरू स्वचालित रूपमा CE राउटिङ तालिकामा स्थिर मार्गहरूको रूपमा देखा पर्नेछ। यी सेटिङहरू स्थिर मार्गहरू सेट गर्ने मानक विधि प्रयोग गरेर पनि गर्न सकिन्छ (तल हेर्नुहोस्)।

क्रिप्टो ikev2 प्राधिकरण नीति FlexClient-लेखक

CE राउटर पछाडि नेटवर्कहरूमा मार्ग - CE र PE बीच स्थिर राउटिङको लागि अनिवार्य सेटिङ। PE मा मार्ग डेटा स्थानान्तरण स्वचालित रूपमा गरिन्छ जब सुरुङ IKEv2 अन्तरक्रिया मार्फत उठाइन्छ।

मार्ग सेट रिमोट ipv4 10.1.1.0 255.255.255.0 - कार्यालय स्थानीय नेटवर्क
!
क्रिप्टो ikev2 प्रोफाइल BeelineIPSec_profile
पहिचान स्थानीय <लगइन>
प्रमाणीकरण स्थानीय पूर्व साझेदारी
प्रमाणीकरण रिमोट पूर्व साझेदारी
keyring स्थानीय BeelineIPsec_keyring
aaa प्राधिकरण समूह psk सूची समूह-लेखक-सूची FlexClient-लेखक
!
क्रिप्टो ikev2 ग्राहक flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
ग्राहक जडान Tunnel1
!
क्रिप्टो ipsec रूपान्तरण-सेट TRANSFORM1 esp-aes 256 esp-sha256-hmac
मोड सुरुङ
!
क्रिप्टो ipsec प्रोफाइल पूर्वनिर्धारित
रूपान्तरण सेट गर्नुहोस् TRANSFORM1
ikev2-profile BeelineIPSec_profile सेट गर्नुहोस्
!
इन्टरफेस टनेल १
आईपी ठेगाना १ १ - सुरुङ ठेगाना
टनेल स्रोत GigabitEthernet0/2 - इन्टरनेट पहुँच इन्टरफेस
सुरुङ मोड ipsec ipv4
टनेल गन्तव्य गतिशील
सुरुङ सुरक्षा ipsec प्रोफाइल पूर्वनिर्धारित
!
Beeline VPN concentrator मार्फत पहुँचयोग्य ग्राहकको निजी नेटवर्कहरूमा मार्गहरू स्थिर रूपमा सेट गर्न सकिन्छ।

आईपी मार्ग 172.16.0.0 255.255.0.0 टनेल1
आईपी मार्ग 192.168.0.0 255.255.255.0 टनेल1

Huawei का विकल्प (ar160/120):
ike local-name <login>
#
acl नाम ipsec 3999
नियम 1 अनुमति ip स्रोत 10.1.1.0 0.0.0.255 - कार्यालय स्थानीय नेटवर्क
#
एएए
सेवा योजना IPSEC
मार्ग सेट acl 3999
#
ipsec प्रस्ताव ipsec
esp प्रमाणीकरण-एल्गोरिथ्म sha2-256
esp encryption-algorithm aes-256
#
ike प्रस्ताव पूर्वनिर्धारित
एन्क्रिप्शन-एल्गोरिथ्म aes-256
dh समूह 2
प्रमाणीकरण-एल्गोरिथ्म sha2-256
प्रमाणीकरण विधि पूर्व-साझेदारी
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike साथी ipsec
पूर्व-साझा-कुञ्जी सरल <प्रमाणीकरण पासवर्ड>
स्थानीय-आईडी-प्रकार fqdn
रिमोट-आईडी-प्रकार आईपी
रिमोट ठेगाना 62.141.99.183 -VPN हब Beeline
सेवा योजना IPSEC
config-exchange अनुरोध
config-exchange सेट स्वीकार
config-exchange सेट पठाउनुहोस्
#
ipsec प्रोफाइल ipsecprof
ike-peer ipsec
प्रस्ताव ipsec
#
इन्टरफेस टनेल०/०/०
आईपी ठेगाना १ १ - सुरुङ ठेगाना
टनेल-प्रोटोकल ipsec
स्रोत GigabitEthernet0/0/1 - इन्टरनेट पहुँच इन्टरफेस
ipsec प्रोफाइल ipsecprof
#
Beeline VPN concentrator मार्फत पहुँचयोग्य ग्राहकको निजी नेटवर्कहरूमा मार्गहरू स्थिर रूपमा सेट गर्न सकिन्छ।

ip मार्ग-स्थिर 192.168.0.0 255.255.255.0 टनेल0/0/0
ip मार्ग-स्थिर 172.16.0.0 255.255.0.0 टनेल0/0/0

परिणाम संचार रेखाचित्र केहि यस्तो देखिन्छ:

यदि ग्राहकसँग आधारभूत कन्फिगरेसनका केही उदाहरणहरू छैनन् भने, हामी सामान्यतया तिनीहरूको गठनमा मद्दत गर्छौं र तिनीहरूलाई अरू सबैलाई उपलब्ध गराउँछौं।

CPE लाई इन्टरनेटमा जडान गर्न, VPN टनेलको प्रतिक्रिया भाग र VPN भित्र कुनै पनि होस्टमा पिंग गर्न बाँकी छ, र यो हो, हामी जडान गरिएको छ भनेर मान्न सक्छौं।

अर्को लेखमा हामी तपाईंलाई Huawei CPE प्रयोग गरेर IPSec र MultiSIM रिडन्डन्सीसँग यो योजना कसरी संयोजन गर्यौं भनेर बताउनेछौं: हामी ग्राहकहरूका लागि हाम्रो Huawei CPE स्थापना गर्छौं, जसले वायर्ड इन्टरनेट च्यानल मात्र होइन, २ फरक सिम कार्डहरू र CPE पनि प्रयोग गर्न सक्छ। स्वचालित रूपमा IPSec- टनेल या त तारयुक्त WAN मार्फत वा रेडियो (LTE#2/LTE#1) मार्फत पुन: निर्माण गर्दछ, परिणामस्वरूप सेवाको उच्च त्रुटि सहिष्णुता महसुस गर्दै।

यो लेख (र, वास्तवमा, यी प्राविधिक समाधानका लेखकहरूलाई) तयार गर्नुभएकोमा हाम्रा RnD सहकर्मीहरूलाई विशेष धन्यवाद!

स्रोत: www.habr.com

IPSec मार्फत Beeline IPVPN कसरी प्राप्त गर्ने। भाग 1

कसलाई चाहिन्छ

एक टिप्पणी थप्न Отменить ответ