سلام! IN مون حصو ۾ اسان جي MultiSIM سروس جو ڪم بيان ڪيو и چينلز. جيئن ذڪر ڪيو ويو آهي، اسان ڪلائنٽ کي نيٽ ورڪ سان ڳنڍيندا آهيون VPN ذريعي، ۽ اڄ آئون توهان کي ڪجهه وڌيڪ ٻڌائيندس VPN ۽ اسان جي صلاحيتن بابت هن حصي ۾.
اهو حقيقت سان شروع ڪرڻ جي قابل آهي ته اسان وٽ، هڪ ٽيليڪ آپريٽر جي حيثيت سان، اسان جو پنهنجو وڏو MPLS نيٽ ورڪ آهي، جيڪو مقرر ٿيل لائين گراهڪن لاء ٻن مکيه حصن ۾ ورهايل آهي - هڪ جيڪو سڌو سنئون انٽرنيٽ تائين رسائي ڪرڻ لاء استعمال ڪيو ويندو آهي، ۽ ٻيو اهو آهي. الڳ الڳ نيٽ ورڪ ٺاهڻ لاءِ استعمال ڪيو ويو - ۽ اهو هن MPLS ڀاڱي ذريعي آهي جيڪو IPVPN (L3 OSI) ۽ VPLAN (L2 OSI) ٽرئفڪ اسان جي ڪارپوريٽ ڪلائنٽ لاءِ وهندو آهي.
عام طور تي، ھڪڙي ڪلائنٽ ڪنيڪشن ھيٺ ڏنل آھي.
نيٽ ورڪ جي ويجھي پوائنٽ آف پريزنس (نوڊ MEN، RRL، BSSS، FTTB، وغيره) کان ڪلائنٽ جي آفيس تائين رسائي لائن رکيل آهي ۽ اڳتي هلي، چينل رجسٽرڊ ٿيل آهي ٽرانسپورٽ نيٽ ورڪ ذريعي لاڳاپيل PE-MPLS تائين. روٽر، جنهن تي اسان ان کي ڪڍيون ٿا خاص طور تي VRF ڪلائنٽ لاءِ ٺاهيل، ٽريفڪ پروفائل کي مدنظر رکندي جيڪا ڪلائنٽ جي ضرورت آهي (پروفائل ليبل هر رسائي پورٽ لاءِ چونڊيا ويا آهن، ip precdence values 0,1,3,5 جي بنياد تي، XNUMX).
جيڪڏهن ڪنهن سبب جي ڪري اسان ڪلائنٽ لاءِ آخري ميل مڪمل طور تي منظم نه ٿا ڪري سگهون، مثال طور، ڪلائنٽ جي آفيس هڪ ڪاروباري مرڪز ۾ واقع آهي، جتي هڪ ٻيو مهيا ڪندڙ هڪ ترجيح آهي، يا اسان وٽ صرف اسان جي موجودگي جو نقطو ويجهو ناهي، پوءِ اڳئين گراهڪ مختلف مهيا ڪندڙن تي ڪيترائي IPVPN نيٽ ورڪ ٺاهڻا هئا (سڀ کان وڌيڪ قيمتي آرڪيٽيڪچر نه) يا انٽرنيٽ تي توهان جي VRF تائين رسائي کي منظم ڪرڻ سان مسئلن کي آزاد طور تي حل ڪيو.
ڪيترن ئي اهو ڪيو هڪ IPVPN انٽرنيٽ گيٽ وي کي نصب ڪندي - انهن هڪ بارڊر روٽر نصب ڪيو (هارڊويئر يا ڪجهه لينڪس تي ٻڌل حل)، هڪ IPVPN چينل کي ان سان ڳنڍيو هڪ بندرگاهه سان ۽ هڪ انٽرنيٽ چينل ٻئي سان، ان تي پنهنجو VPN سرور شروع ڪيو ۽ ڳنڍيل آهي. صارفين کي پنهنجي VPN گيٽ وي ذريعي. قدرتي طور تي، اهڙي اسڪيم پڻ بوجھ پيدا ڪري ٿي: اهڙي انفراسٽرڪچر تعمير ٿيڻ گهرجي ۽، تمام گهڻي تڪليف سان، هلائڻ ۽ ترقي ڪئي وڃي.
اسان جي ڪلائنٽ لاءِ زندگي آسان ڪرڻ لاءِ، اسان هڪ مرڪزي VPN حب نصب ڪيو آهي ۽ IPSec استعمال ڪندي انٽرنيٽ تي ڪنيڪشن لاءِ منظم سپورٽ ڪئي آهي، اهو آهي، هاڻي ڪلائنٽ کي صرف پنهنجو روٽر ترتيب ڏيڻ جي ضرورت آهي ته جيئن اسان جي VPN هب سان ڪم ڪري سگهي IPSec سرنگ ذريعي ڪنهن به عوامي انٽرنيٽ تي. ، ۽ اچو ته هن ڪلائنٽ جي ٽرئفڪ کي ان جي VRF ڏانهن جاري ڪريون.
ڪنهن کي ضرورت پوندي
- انهن لاءِ جن وٽ اڳ ۾ ئي وڏو IPVPN نيٽ ورڪ آهي ۽ ٿوري وقت ۾ نئين ڪنيڪشن جي ضرورت آهي.
- ڪو به ماڻهو جيڪو، ڪجهه سببن لاء، ٽرئفڪ جو حصو عوامي انٽرنيٽ کان IPVPN ڏانهن منتقل ڪرڻ چاهي ٿو، پر اڳ ۾ ئي ڪيترن ئي خدمت فراهم ڪندڙن سان لاڳاپيل ٽيڪنيڪل حدن جو سامنا ڪيو آهي.
- انهن لاءِ جيڪي هن وقت مختلف ٽيلي ڪام آپريٽرز ۾ ڪيترائي مختلف وي پي اين نيٽ ورڪ آهن. اهڙا گراهڪ آهن جن ڪاميابيءَ سان منظم ڪيا آهن IPVPN کان Beeline، Megafon، Rostelecom، وغيره. ان کي آسان ڪرڻ لاءِ، توهان صرف اسان جي واحد VPN تي رهي سگهو ٿا، ٻين آپريٽرن جا ٻيا سڀئي چينل انٽرنيٽ تي مٽائي سگهو ٿا، ۽ پوءِ انهن آپريٽرن کان IPSec ۽ انٽرنيٽ ذريعي Beeline IPVPN سان ڳنڍيو.
- انهن لاءِ جن وٽ اڳ ۾ ئي IPVPN نيٽ ورڪ آهي انٽرنيٽ تي.
جيڪڏهن توهان اسان سان هر شي کي ترتيب ڏيو ٿا، ته پوءِ ڪلائنٽ حاصل ڪندا مڪمل وي پي اين جي مدد، سنگين انفراسٽرڪچر ريڊنڊنسي، ۽ معياري سيٽنگون جيڪي ڪم ڪنديون ڪنهن به روٽر تي جيڪي انهن لاءِ استعمال ڪيون وينديون آهن (اها سسڪو هجي، جيتوڻيڪ Mikrotik، بنيادي شيء اها آهي ته اهو صحيح طور تي سپورٽ ڪري سگهي ٿو. IPSec/IKEv2 معياري تصديق جي طريقن سان). رستي ۾، IPSec جي باري ۾ - في الحال اسان صرف ان جي حمايت ڪندا آهيون، پر اسان ٻنهي OpenVPN ۽ Wireguard جي مڪمل آپريشن شروع ڪرڻ جو ارادو ڪيو آهي، ته جيئن ڪلائنٽ پروٽوڪول تي ڀاڙي نه سگهن ۽ اسان وٽ هر شي کي کڻڻ ۽ منتقل ڪرڻ آسان آهي، ۽ اسان پڻ ڪمپيوٽرن ۽ موبائيل ڊوائيسز کان ڪلائنٽ کي ڳنڍڻ شروع ڪرڻ چاهيون ٿا (او ايس ۾ ٺهيل حل، Cisco AnyConnect ۽ strongSwan وغيره). هن طريقي سان، بنيادي ڍانچي جي حقيقي تعمير کي محفوظ طور تي آپريٽر جي حوالي ڪري سگهجي ٿو، صرف سي پي اي يا ميزبان جي ترتيب کي ڇڏي.
IPSec موڊ لاءِ ڪنيڪشن جو عمل ڪيئن ڪم ڪندو آهي:
- ڪلائنٽ پنهنجي مئنيجر کي هڪ درخواست ڇڏي ٿو جنهن ۾ هو سرنگ لاءِ گهربل ڪنيڪشن اسپيڊ، ٽريفڪ پروفائيل ۽ IP ايڊريسنگ پيرا ميٽرز (ڊفالٽ طور، /30 ماسڪ سان هڪ سب نيٽ) ۽ رستي جو قسم (جامد يا بي جي پي) ڏيکاري ٿو. ڳنڍيل آفيس ۾ ڪلائنٽ جي مقامي نيٽ ورڪن ڏانهن رستن کي منتقل ڪرڻ لاء، IKEv2 ميڪانيزم جو IPSec پروٽوڪول مرحلو ڪلائنٽ روٽر تي مناسب سيٽنگون استعمال ڪندي استعمال ڪيو ويندو آهي، يا اهي BGP ذريعي ايم پي ايل ايس ۾ پرائيويٽ BGP AS ڪلائنٽ جي ايپليڪيشن ۾ بيان ڪيل آهن. . اهڙيء طرح، ڪلائنٽ نيٽ ورڪ جي رستن جي باري ۾ معلومات مڪمل طور تي ڪلائنٽ طرفان ڪنٽرول ڪيو ويندو آهي ڪلائنٽ روٽر جي سيٽنگن ذريعي.
- هن جي مئنيجر جي جواب ۾، ڪلائنٽ وصول ڪري ٿو اڪائونٽنگ ڊيٽا فارم جي پنهنجي VRF ۾ شامل ڪرڻ لاءِ:
- VPN-HUB IP پتو
- لاگ ان
- تصديق پاسورڊ
- CPE ترتيب ڏئي ٿو، هيٺ، مثال طور، ٻه بنيادي ترتيب جا اختيار:
Cisco لاء اختيار:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
ايڊريس 62.141.99.183 -VPN حب Beeline
pre-shared-key <Authentication password>
!
جامد روٽنگ آپشن لاءِ، وي پي اين-هب ذريعي پهچندڙ نيٽ ورڪن جا رستا IKEv2 ٺاھ جوڙ ۾ بيان ڪري سگھجن ٿا ۽ اھي خودڪار طريقي سان CE روٽنگ ٽيبل ۾ جامد رستن طور ظاهر ٿيندا. اهي سيٽنگون جامد رستن کي ترتيب ڏيڻ جي معياري طريقي سان پڻ ٺاهي سگھجن ٿيون (هيٺ ڏسو).crypto ikev2 اختيار ڪرڻ واري پاليسي FlexClient-author
سي اي روٽر جي پويان نيٽ ورڪ ڏانهن رستو - CE ۽ PE جي وچ ۾ جامد روٽنگ لاءِ لازمي سيٽنگ. پي اي ڏانهن رستي جي ڊيٽا جي منتقلي خودڪار طريقي سان ڪيو ويندو آهي جڏهن سرنگ کي IKEv2 رابطي ذريعي وڌايو ويندو آهي.
رستو سيٽ ريموٽ ipv4 10.1.1.0 255.255.255.0 -آفيس مقامي نيٽ ورڪ
!
crypto ikev2 پروفائل BeelineIPSec_profile
مقامي سڃاڻپ <لاگ ان>
مقامي اڳڀرائي جي تصديق
تصديق ريموٽ پري شيئر
keyring local BeelineIPsec_keyring
aaa اختيار ڪرڻ وارو گروپ psk لسٽ گروپ-ليکڪ-لسٽ FlexClient-author
!
crypto ikev2 ڪلائنٽ flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
ڪلائنٽ ڪنيڪشن Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
موڊ سرنگ
!
crypto ipsec پروفائل ڊفالٽ
ٽرانسفارم سيٽ ڪريو TRANSFORM1
ikev2-profile BeelineIPSec_profile سيٽ ڪريو
!
انٽرفيس Tunnel1
IP پتو 10.20.1.2 255.255.255.252 - سرنگ جو پتو
سرنگ جو ذريعو GigabitEthernet0/2 - انٽرنيٽ جي رسائي انٽرفيس
سرنگ موڊ ipsec ipv4
سرنگ منزل متحرڪ
سرنگ تحفظ ipsec پروفائل ڊفالٽ
!
ڪلائنٽ جي نجي نيٽ ورڪن تائين رستا Beeline VPN concentrator ذريعي دستياب طور تي سيٽ ڪري سگھجن ٿا.ip رستو 172.16.0.0 255.255.0.0 سرنگ1
ip رستو 192.168.0.0 255.255.255.0 سرنگ1Huawei لاءِ آپشن (ar160/120):
ike local-name <login>
#
acl نالو ipsec 3999
ضابطو 1 پرمٽ ip ماخذ 10.1.1.0 0.0.0.255 -آفيس مقامي نيٽ ورڪ
#
aaa
سروس-اسڪيم IPSEC
رستو سيٽ acl 3999
#
ipsec تجويز ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike تجويز ڊفالٽ
encryption-algorithm aes-256
ڊي گروپ 2
تصديق-الگورٿم sha2-256
تصديق-طريقو اڳ-شيئر
سالميت-الگورٿم hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
pre-shared-key simple <Authentication password>
local-id-type fqdn
remote-id-type ip
ريموٽ ايڊريس 62.141.99.183 -VPN حب Beeline
سروس-اسڪيم IPSEC
config-تبادلي جي درخواست
config-exchange set قبول
config-exchange set send
#
ipsec پروفائل ipsecprof
ike-peer ipsec
تجويز ipsec
#
انٽرفيس سرنگ 0/0/0
IP پتو 10.20.1.2 255.255.255.252 - سرنگ جو پتو
سرنگ-پروٽوڪول ipsec
ذريعو GigabitEthernet0/0/1 - انٽرنيٽ جي رسائي انٽرفيس
ipsec پروفائل ipsecprof
#
ڪلائنٽ جي نجي نيٽ ورڪن تائين رستا بي لائن وي پي اين ڪنسنٽريٽر ذريعي دستياب طور تي سيٽ ڪري سگھجن ٿاip رستو جامد 192.168.0.0 255.255.255.0 سرنگ 0/0/0
ip رستو جامد 172.16.0.0 255.255.0.0 سرنگ 0/0/0
نتيجو ڪميونيڪيشن ڊراگرام ڪجهه هن طرح نظر اچي ٿو:
جيڪڏهن ڪلائنٽ وٽ بنيادي تشڪيل جا ڪجهه مثال نه آهن، پوء اسان عام طور تي انهن جي ٺهڻ ۾ مدد ڪندا آهيون ۽ انهن کي هر ڪنهن لاء دستياب بڻائيندا آهيون.
باقي اهو آهي ته سي پي اي کي انٽرنيٽ سان ڳنڍڻ، وي پي اين سرنگ جي جوابي حصي کي پنگ ڪرڻ ۽ وي پي اين جي اندر ڪنهن به ميزبان کي، ۽ اهو ئي آهي، اسان اهو فرض ڪري سگهون ٿا ته ڪنيڪشن ٺاهيو ويو آهي.
ايندڙ آرٽيڪل ۾ اسين توهان کي ٻڌائينداسين ته ڪيئن اسان هن اسڪيم کي Huawei CPE استعمال ڪندي IPSec ۽ MultiSIM Redundancy سان گڏ ڪيو: اسان پنهنجي Huawei CPE گراهڪن لاءِ انسٽال ڪريون ٿا، جيڪي نه صرف هڪ وائرڊ انٽرنيٽ چينل استعمال ڪري سگهن ٿا، پر 2 مختلف سم ڪارڊ، ۽ CPE پڻ. خود بخود IPSec- سرنگ کي يا ته وائرڊ WAN ذريعي يا ريڊيو (LTE#1/LTE#2) ذريعي ٻيهر تعمير ڪري ٿو، نتيجي جي خدمت جي اعلي غلطي رواداري کي محسوس ڪندي.
هن مضمون کي تيار ڪرڻ لاءِ اسان جي RnD ساٿين جي خاص مهرباني (۽ حقيقت ۾، انهن ٽيڪنيڪل حلن جي ليکڪن کي)!
جو ذريعو: www.habr.com