سلام! IN
دا د دې حقیقت سره پیل کولو ارزښت لري چې موږ د مخابراتو آپریټر په توګه زموږ د MPLS لویه شبکه لرو، کوم چې د ثابت لین پیرودونکو لپاره په دوه اصلي برخو ویشل شوي - یو هغه چې مستقیم انټرنیټ ته د لاسرسي لپاره کارول کیږي، او هغه هغه چې د انټرنیټ لاسرسي لپاره کارول کیږي. د جلا جلا شبکو جوړولو لپاره کارول کیږي - او دا د دې MPLS برخې له لارې ده چې IPVPN (L3 OSI) او VPLAN (L2 OSI) ترافیک زموږ د کارپوریټ پیرودونکو لپاره سفر کوي.
عموما، د پیرودونکي اړیکه په لاندې ډول واقع کیږي.
د لاسرسي لاین د پیرودونکي دفتر ته د شبکې له نږدې موقعیت څخه ایښودل شوی (نوډ MEN، RRL، BSSS، FTTB، او نور) او نور، چینل د ټرانسپورټ شبکې له لارې اړوند PE-MPLS ته راجستر شوی. روټر ، په کوم کې چې موږ دا د VRF پیرودونکي لپاره ځانګړي رامینځته شوي ته تولید کوو ، د ترافیک پروفایل په پام کې نیولو سره چې پیرودونکي ورته اړتیا لري (د پروفایل لیبلونه د هر لاسرسي بندر لپاره غوره شوي ، د ip لومړیتوب ارزښتونو پراساس 0,1,3,5, XNUMX).
که د کوم دلیل لپاره موږ نشو کولی د پیرودونکي لپاره وروستی مایل په بشپړ ډول تنظیم کړو، د بیلګې په توګه، د پیرودونکي دفتر د سوداګرۍ په مرکز کې موقعیت لري، چیرې چې بل وړاندیز کوونکی لومړیتوب لري، یا موږ په ساده ډول زموږ د شتون ځای نږدې نه لرو، نو مخکې له مخکې مراجعین باید په مختلف چمتو کونکو کې ډیری IPVPN شبکې رامینځته کړي (نه خورا ارزانه جوړښت) یا په خپلواکه توګه د انټرنیټ له لارې ستاسو VRF ته د لاسرسي تنظیم کولو مسلې حل کړي.
ډیری دا د IPVPN انټرنیټ ګیټ وے په نصبولو سره ترسره کړل - دوی یو سرحدي روټر نصب کړ (هارډویر یا ځینې لینکس پراساس حل) ، د IPVPN چینل یې له یو بندر سره او له بل سره انټرنیټ چینل وصل کړ ، خپل VPN سرور یې په دې کې پیل کړ او وصل شو. کاروونکي د خپل VPN دروازې له لارې. په طبیعي توګه، دا ډول سکیم بارونه هم رامینځته کوي: دا ډول زیربنا باید جوړه شي او په ډیره ناامنه توګه، عملیات او پراختیا ومومي.
زموږ د پیرودونکو لپاره ژوند اسانه کولو لپاره، موږ یو مرکزي VPN مرکز نصب کړی او د IPSec په کارولو سره د انټرنیټ له لارې د اتصالاتو لپاره منظم ملاتړ تنظیم کړی، دا دی، اوس پیرودونکي یوازې د خپل روټر تنظیم کولو ته اړتیا لري ترڅو زموږ د VPN مرکز سره د IPSec تونل له لارې په هر عامه انټرنیټ کې کار وکړي. ، او موږ راځئ چې د دې پیرودونکي ترافیک دې VRF ته خوشې کړو.
څوک به اړتیا ولري
- د هغو کسانو لپاره چې دمخه لوی IPVPN شبکه لري او په لنډ وخت کې نوي اړیکو ته اړتیا لري.
- هر هغه څوک چې د کوم دلیل لپاره غواړي د عامه انټرنیټ څخه IPVPN ته د ترافیک یوه برخه لیږد کړي ، مګر دمخه د ډیری خدماتو چمتو کونکو پورې اړوند تخنیکي محدودیتونو سره مخ شوي.
- د هغو کسانو لپاره چې اوس مهال د مختلف مخابراتي آپریټرانو په اوږدو کې ډیری متفاوت VPN شبکې لري. داسې پیرودونکي شتون لري چې په بریالیتوب سره یې IPVPN له بیلین ، میګافون ، روسټلی کام ، او داسې نورو څخه تنظیم کړی. د دې د اسانه کولو لپاره ، تاسو کولی شئ یوازې زموږ په واحد VPN کې پاتې شئ ، د نورو آپریټرانو ټول چینلونه انټرنیټ ته واړوئ ، او بیا د دې آپریټرونو څخه د IPSec او انټرنیټ له لارې Beeline IPVPN سره وصل شئ.
- د هغو کسانو لپاره چې دمخه په انټرنیټ کې د IPVPN شبکه لري.
که تاسو زموږ سره هرڅه ځای په ځای کړئ ، نو بیا پیرودونکي د VPN بشپړ ملاتړ ، جدي زیربنا بې ځایه کیدو ، او معیاري ترتیبات ترلاسه کوي چې په هر هغه روټر کې به کار وکړي چې دوی یې کارول کیږي (دا سیسکو وي ، حتی مایکروټیک ، اصلي شی دا دی چې دا په سمه توګه ملاتړ کولی شي. IPSec/IKEv2 د معیاري تصدیق میتودونو سره). په هرصورت، د IPSec په اړه - همدا اوس موږ یوازې د هغې ملاتړ کوو، مګر موږ پالن لرو چې د OpenVPN او Wireguard دواړه بشپړ عملیات پیل کړو، ترڅو پیرودونکي په پروتوکول تکیه ونکړي او موږ ته د هرڅه اخیستل او لیږدول خورا اسانه دي، او موږ هم غواړو د کمپیوټرونو او ګرځنده وسیلو څخه د پیرودونکو سره وصل کول پیل کړو (هغه حلونه چې په OS کې جوړ شوي، Cisco AnyConnect او strongSwan او داسې نور). د دې طریقې سره، د زیربنا اصلي ساختماني کار په خوندي ډول چلونکي ته سپارل کیدی شي، یوازې د CPE یا کوربه ترتیب پریږدي.
د پیوستون پروسه د IPSec حالت لپاره څنګه کار کوي:
- پیرودونکی خپل مدیر ته یوه غوښتنه پریږدي چې په هغه کې هغه د تونل لپاره د اړتیا وړ اتصال سرعت ، د ترافیک پروفایل او د IP پته پیرامیټرې په ګوته کوي (په ډیفالټ ، د /30 ماسک سره یو سبنټ) او د روټینګ ډول (جامد یا BGP). په تړل شوي دفتر کې د پیرودونکي محلي شبکو ته د لارو لیږدولو لپاره، د IPSec پروتوکول مرحلې IKEv2 میکانیزمونه د مراجعینو په روټر کې د مناسبو ترتیباتو په کارولو سره کارول کیږي، یا دوی د شخصي BGP څخه په MPLS کې د BGP له لارې اعلان شوي لکه څنګه چې د پیرودونکي غوښتنلیک کې مشخص شوي. . په دې توګه، د مراجعینو د شبکو د لارو په اړه معلومات په بشپړه توګه د پیرودونکي لخوا د پیرودونکي روټر ترتیباتو له لارې کنټرول کیږي.
- د هغه د مدیر په ځواب کې، پیرودونکي د خپل VRF فورمه کې د شاملولو لپاره د محاسبې ډاټا ترلاسه کوي:
- VPN-HUB IP پته
- د ننوت
- د تصدیق پټنوم
- CPE ترتیبوي، لاندې، د بیلګې په توګه، د ترتیب کولو دوه اساسي اختیارونه:
د سیسکو لپاره اختیار:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
پته 62.141.99.183 - د VPN مرکز Beeline
pre-shared-key <تصدیق پټنوم>
!
د جامد روټینګ اختیار لپاره ، د Vpn-hub له لارې د لاسرسي وړ شبکو ته لارې د IKEv2 ترتیب کې مشخص کیدی شي او دوی به په اوتومات ډول د CE روټینګ جدول کې د جامد لارو په توګه څرګند شي. دا تنظیمات د جامد لارو تنظیم کولو معیاري میتود په کارولو سره هم رامینځته کیدی شي (لاندې وګورئ).د کریپټو ikev2 اختیار کولو پالیسي FlexClient-لیکوال
د CE روټر شاته شبکې ته لاره - د CE او PE ترمینځ د جامد روټینګ لپاره لازمي ترتیب. PE ته د لارې ډیټا لیږد په اوتومات ډول ترسره کیږي کله چې تونل د IKEv2 تعامل له لارې پورته کیږي.
روټ ریموټ ipv4 10.1.1.0 255.255.255.0 ټاکل - د دفتر محلي شبکه
!
crypto ikev2 پروفایل BeelineIPSec_profile
ځایی شناخت <ننوتل>
تصدیق سیمه ایز پری شریک
تصدیق ریموټ پری شریکول
کیرینګ ځایی BeelineIPsec_keyring
aaa د اختیار ورکولو ګروپ psk لیست ګروپ-لیکوال-لست FlexClient-author
!
crypto ikev2 مراجع flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
د پیرودونکي نښلول تونل1
!
کریپټو ipsec ټرانسفارم سیټ TRANSFORM1 esp-aes 256 esp-sha256-hmac
موډ تونل
!
د کریپټو ipsec پروفایل ډیفالټ
د بدلون تنظیم کړئ - TRANSFORM1 ترتیب کړئ
ikev2-profile BeelineIPSec_profile ترتیب کړئ
!
انٹرفیس تونل 1
د IP پته 10.20.1.2 255.255.255.252 - د تونل پته
د تونل سرچینه GigabitEthernet0/2 - د انټرنیټ لاسرسي انٹرفیس
د تونل حالت ipsec ipv4
د تونل منزل متحرک
د تونل محافظت ipsec پروفایل ډیفالټ
!
د Beeline VPN متمرکز له لارې د لاسرسي وړ د پیرودونکي خصوصي شبکو ته لارې په ثابت ډول تنظیم کیدی شي.ip لاره 172.16.0.0 255.255.0.0 تونل1
ip لاره 192.168.0.0 255.255.255.0 تونل1د Huawei لپاره اختیار (ar160/120):
ike local-name <login>
#
acl نوم ipsec 3999
قانون 1 اجازه لیک ip سرچینه 10.1.1.0 0.0.0.255 - د دفتر محلي شبکه
#
aaa
د خدماتو سکیم IPSEC
لاره ټاکل شوې acl 3999
#
ipsec وړاندیز ipsec
esp تصدیق-الګوریتم sha2-256
esp encryption-algorithm aes-256
#
ike وړاندیز ډیفالټ
د کوډ کولو-الګوریتم aes-256
dh ګروپ2
تصدیق-الګوریتم sha2-256
د تصدیق کولو طریقه دمخه شریکول
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
پری-شریک کیلي ساده <د تصدیق پټنوم>
ځايي-id-type fqdn
remote-id-type ip
ریموټ پته 62.141.99.183 - د VPN مرکز Beeline
د خدماتو سکیم IPSEC
د config-تبادلې غوښتنه
د config-تبادلې سیټ مني
config-exchange set send
#
د ipsec پروفایل ipsecprof
ike-peer ipsec
وړاندیز ipsec
#
د انٹرفیس تونل 0/0/0
د IP پته 10.20.1.2 255.255.255.252 - د تونل پته
تونل پروتوکول ipsec
سرچینه GigabitEthernet0/0/1 - د انټرنیټ لاسرسي انٹرفیس
د ipsec پروفایل ipsecprof
#
د Beeline VPN متمرکز له لارې د لاسرسي وړ د پیرودونکي خصوصي شبکو ته لارې په ثابت ډول تنظیم کیدی شيد ip روټ جامد 192.168.0.0 255.255.255.0 تونل0/0/0
د ip روټ جامد 172.16.0.0 255.255.0.0 تونل0/0/0
د مخابراتو پایله ډیاګرام یو څه داسې ښکاري:
که چیرې پیرودونکي د لومړني ترتیب ځینې مثالونه ونه لري، نو موږ معمولا د دوی په جوړولو کې مرسته کوو او هرچا ته یې چمتو کوو.
ټول هغه څه چې پاتې دي د CPE له انټرنیټ سره وصل کول دي ، د VPN تونل ځواب برخې ته پینګ کول او د VPN دننه کوم کوربه ، او دا هغه دی ، موږ کولی شو فکر وکړو چې اړیکه جوړه شوې.
په راتلونکې مقاله کې به موږ تاسو ته ووایو چې څنګه موږ دا سکیم د Huawei CPE په کارولو سره د IPSec او ملټي سیم ریډنډنسی سره یوځای کړ: موږ خپل Huawei CPE د پیرودونکو لپاره نصب کوو، کوم چې نه یوازې د تار لرونکي انټرنیټ چینل، بلکې 2 مختلف سیم کارتونه، او CPE هم کارولی شي. په اوتومات ډول IPSec- تونل یا د WAN له لارې یا د رادیو (LTE#1/LTE#2) له لارې بیا رغوي، د پایلې شوي خدمت د لوړې غلطۍ زغم احساس کوي.
د دې مقالې چمتو کولو لپاره زموږ د RnD همکارانو څخه ځانګړې مننه (او په حقیقت کې د دې تخنیکي حلونو لیکوالانو ته)!
سرچینه: www.habr.com