IPSec හරහා Beeline IPVPN වෙත යන්නේ කෙසේද? 1 කොටස

ආයුබෝවන්! තුල පෙර පෝස්ට් අපගේ MultiSIM සේවාවේ වැඩ කොටස මම විස්තර කළෙමි වෙන් කිරීම් и තුලනය කිරීම නාලිකා. සඳහන් කළ පරිදි, අපි VPN හරහා සේවාදායකයින් ජාලයට සම්බන්ධ කරන අතර, අද මම ඔබට VPN සහ මෙම කොටසෙහි අපගේ හැකියාවන් ගැන තව ටිකක් කියන්නම්.

ටෙලිකොම් ක්‍රියාකරුවෙකු ලෙස අපට අපගේම විශාල එම්පීඑල්එස් ජාලයක් ඇති බව ආරම්භ කිරීම වටී, එය ස්ථාවර රේඛීය පාරිභෝගිකයින් සඳහා ප්‍රධාන කොටස් දෙකකට බෙදා ඇත - අන්තර්ජාලයට ප්‍රවේශ වීමට කෙලින්ම භාවිතා කරන එක සහ එය හුදකලා ජාල නිර්මාණය කිරීමට භාවිතා කරයි - සහ අපගේ ආයතනික ගනුදෙනුකරුවන් සඳහා IPVPN (L3 OSI) සහ VPLAN (L2 OSI) ගමනාගමනය ගලා එන්නේ මෙම MPLS කොටස හරහාය.

සාමාන්යයෙන්, සේවාදායක සම්බන්ධතාවයක් පහත පරිදි සිදු වේ.

ජාලයේ ආසන්නතම ස්ථානයෙන් (node ​​MEN, RRL, BSSS, FTTB, ආදිය) සේවාදායකයාගේ කාර්යාලයට ප්‍රවේශ මාර්ගයක් තබා ඇති අතර, තවද, නාලිකාව ප්‍රවාහන ජාලය හරහා අනුරූප PE-MPLS වෙත ලියාපදිංචි වේ. රවුටරය, සේවාදායකයාට අවශ්‍ය ගමනාගමන පැතිකඩ සැලකිල්ලට ගනිමින් අපි එය VRF සේවාලාභියා සඳහා විෙශේෂෙයන් නිර්මාණය කරන ලද එකකට ප්‍රතිදානය කරන්නෙමු (IP ප්‍රමුඛතා අගයන් 0,1,3,5 මත පදනම්ව, එක් එක් ප්‍රවේශ වරාය සඳහා පැතිකඩ ලේබල තෝරා ගනු ලැබේ, XNUMX)

කිසියම් හේතුවක් නිසා අපට සේවාදායකයා සඳහා අවසාන සැතපුම සම්පූර්ණයෙන් සංවිධානය කළ නොහැකි නම්, උදාහරණයක් ලෙස, සේවාලාභියාගේ කාර්යාලය ව්‍යාපාරික මධ්‍යස්ථානයක පිහිටා ඇත, වෙනත් සැපයුම්කරුවෙකු ප්‍රමුඛතාවයක් ලබා දෙයි, නැතහොත් අපට අපගේ පැමිණීමේ ස්ථානය ආසන්නයේ නොමැති නම්, පෙර සේවාදායකයින් විවිධ සැපයුම්කරුවන්ගෙන් IPVPN ජාල කිහිපයක් නිර්මාණය කිරීමට සිදු විය (වඩාත් ලාභදායී ගෘහ නිර්මාණ ශිල්පය නොවේ) හෝ අන්තර්ජාලය හරහා ඔබේ VRF වෙත ප්‍රවේශය සංවිධානය කිරීමේ ගැටළු ස්වාධීනව විසඳා ගත යුතුය.

බොහෝ දෙනෙක් මෙය කළේ IPVPN අන්තර්ජාල ද්වාරයක් ස්ථාපනය කිරීමෙනි - ඔවුන් මායිම් රවුටරයක් ​​(දෘඪාංග හෝ ලිනක්ස් මත පදනම් වූ විසඳුමක්) ස්ථාපනය කර, IPVPN නාලිකාවක් එක් වරායකින් සහ අන්තර්ජාල නාලිකාවක් සමඟ සම්බන්ධ කර, ඔවුන්ගේ VPN සේවාදායකය දියත් කර සම්බන්ධ කර ඇත. පරිශීලකයන් ඔවුන්ගේම VPN ද්වාරය හරහා. ස්වාභාවිකවම, එවැනි යෝජනා ක්රමයක් ද බරක් නිර්මාණය කරයි: එවැනි යටිතල පහසුකම් ගොඩනගා ගත යුතු අතර, වඩාත්ම අපහසු ලෙස, ක්රියාත්මක කර සංවර්ධනය කළ යුතුය.

අපගේ ගනුදෙනුකරුවන්ට ජීවිතය පහසු කිරීම සඳහා, අපි මධ්‍යගත වීපීඑන් මධ්‍යස්ථානයක් ස්ථාපනය කර IPSec භාවිතයෙන් අන්තර්ජාලය හරහා සම්බන්ධතා සඳහා සංවිධානාත්මක සහය ලබා දුන්නෙමු, එනම්, දැන් සේවාදායකයින්ට අවශ්‍ය වන්නේ ඕනෑම පොදු අන්තර්ජාලයක් හරහා IPSec උමං මාර්ගයක් හරහා අපගේ VPN කේන්ද්‍රය සමඟ වැඩ කිරීමට ඔවුන්ගේ රවුටරය වින්‍යාස කිරීම පමණි. , සහ අපි මෙම සේවාදායකයාගේ ගමනාගමනය එහි VRF වෙත මුදා හරිමු.

එය ප්රයෝජනවත් වන්නේ කවුද?

• දැනටමත් විශාල IPVPN ජාලයක් ඇති සහ කෙටි කාලයක් තුළ නව සම්බන්ධතා අවශ්ය අය සඳහා.
• කිසියම් හේතුවක් නිසා, පොදු අන්තර්ජාලයේ සිට IPVPN වෙත ගමනාගමනයෙන් කොටසක් මාරු කිරීමට අවශ්‍ය ඕනෑම කෙනෙකුට, නමුත් මීට පෙර සේවා සපයන්නන් කිහිප දෙනෙකු හා සම්බන්ධ තාක්ෂණික සීමාවන්ට මුහුණ දී ඇත.
• දැනට විවිධ ටෙලිකොම් ක්‍රියාකරුවන් හරහා විවිධ VPN ජාල කිහිපයක් ඇති අය සඳහා. Beeline, Megafon, Rostelecom ආදියෙන් IPVPN සාර්ථකව සංවිධානය කර ඇති සේවාදායකයින් සිටී. එය පහසු කිරීම සඳහා, ඔබට අපගේ තනි VPN මත පමණක් රැඳී සිටිය හැකිය, අනෙකුත් ක්‍රියාකරුවන්ගේ අනෙකුත් සියලුම නාලිකා අන්තර්ජාලයට මාරු කරන්න, ඉන්පසු මෙම ක්‍රියාකරුවන්ගෙන් IPSec සහ අන්තර්ජාලය හරහා Beeline IPVPN වෙත සම්බන්ධ වන්න.
• දැනටමත් අන්තර්ජාලයේ IPVPN ජාලයක් ඇති අය සඳහා.

ඔබ අප සමඟ සෑම දෙයක්ම යොදවන්නේ නම්, සේවාදායකයින්ට පූර්ණ VPN සහාය, බරපතල යටිතල පහසුකම් අතිරික්තය සහ ඔවුන් භාවිතා කරන ඕනෑම රවුටරයක ක්‍රියා කරන සම්මත සැකසුම් ලැබේ (එය සිස්කෝ, මයික්‍රොටික් වේවා, ප්‍රධාන දෙය නම් එයට නිසි ලෙස සහාය විය හැකි වීමයි. IPSec/IKEv2 ප්‍රමිතිගත සත්‍යාපන ක්‍රම සමඟ). මාර්ගය වන විට, IPSec ගැන - දැන් අපි එයට සහය දක්වන්නෙමු, නමුත් අපි OpenVPN සහ Wireguard යන දෙකෙහිම සම්පූර්ණ ක්‍රියාකාරිත්වය දියත් කිරීමට සැලසුම් කරමු, එවිට සේවාදායකයින්ට ප්‍රොටෝකෝලය මත යැපීමට නොහැකි වන අතර සියල්ල අප වෙත ගෙනයාම සහ මාරු කිරීම ඊටත් වඩා පහසුය. තවද අපට පරිගණක සහ ජංගම උපාංග වලින් සේවාලාභීන් සම්බන්ධ කිරීම ආරම්භ කිරීමට අවශ්‍යයි (OS, Cisco AnyConnect සහ strongSwan සහ ඒ හා සමානව ගොඩනගා ඇති විසඳුම්). මෙම ප්‍රවේශය සමඟ, යටිතල ව්‍යුහයේ තත්‍ය ඉදිකිරීම් ක්‍රියාකරුට ආරක්ෂිතව භාර දිය හැකි අතර, CPE හෝ සත්කාරකයේ වින්‍යාසය පමණක් ඉතිරි වේ.

IPSec මාදිලිය සඳහා සම්බන්ධතා ක්‍රියාවලිය ක්‍රියා කරන්නේ කෙසේද:

1. සේවාලාභියා තම කළමනාකරු වෙත ඉල්ලීමක් තබයි, එහිදී ඔහු උමග සඳහා අවශ්‍ය සම්බන්ධතා වේගය, ගමනාගමන පැතිකඩ සහ IP ලිපින පරාමිතීන් (පෙරනිමියෙන්, /30 වෙස් මුහුණක් සහිත උපජාලයක්) සහ මාර්ගගත කිරීමේ වර්ගය (ස්ථිතික හෝ BGP) දක්වයි. සම්බන්ධිත කාර්යාලයේ සේවාලාභියාගේ දේශීය ජාල වෙත මාර්ග මාරු කිරීම සඳහා, IPSec ප්‍රොටෝකෝල අදියරෙහි IKEv2 යාන්ත්‍රණ සේවාලාභී රවුටරයේ සුදුසු සිටුවම් භාවිතයෙන් භාවිතා කරනු ලැබේ, නැතහොත් සේවාලාභියාගේ යෙදුමේ දක්වා ඇති පුද්ගලික BGP AS වෙතින් MPLS හි BGP හරහා ප්‍රචාරණය කරනු ලැබේ. . මේ අනුව, සේවාදායක ජාල වල මාර්ග පිළිබඳ තොරතුරු සේවාදායක රවුටරයේ සැකසුම් හරහා සේවාදායකයා විසින් සම්පූර්ණයෙන්ම පාලනය කරනු ලැබේ.
2. ඔහුගේ කළමනාකරුගෙන් ප්‍රතිචාරයක් වශයෙන්, සේවාදායකයාට ඔහුගේ පෝරමයේ VRF ඇතුළත් කිරීම සඳහා ගිණුම් දත්ත ලැබේ:
   • VPN-HUB IP ලිපිනය
   • පිවිසුම්
   • සත්‍යාපන මුරපදය
3. CPE වින්‍යාස කරයි, පහත, උදාහරණයක් ලෙස, මූලික වින්‍යාස විකල්ප දෙකක්:

   Cisco සඳහා විකල්පය:
   crypto ikev2 යතුරුකරණය BeelineIPsec_keyring
   peer Beeline_VPNHub
   62.141.99.183 ලිපිනය -VPN හබ් Beeline
   pre-shared-key <සත්‍යාපන මුරපදය>
   !
   ස්ථිතික මාර්ගගත කිරීමේ විකල්පය සඳහා, Vpn-hub හරහා ප්‍රවේශ විය හැකි ජාල වෙත මාර්ග IKEv2 වින්‍යාසය තුළ සඳහන් කළ හැකි අතර ඒවා ස්වයංක්‍රීයව CE රවුටින් වගුවේ ස්ථිතික මාර්ග ලෙස දිස්වනු ඇත. ස්ථිතික මාර්ග සැකසීමේ සම්මත ක්‍රමය භාවිතයෙන් මෙම සැකසුම් ද සිදු කළ හැකිය (පහත බලන්න).

   crypto ikev2 අවසර ප්‍රතිපත්තිය FlexClient-author

   CE රවුටරය පිටුපස ජාල වෙත මාර්ගය - CE සහ PE අතර ස්ථිතික මාර්ගගත කිරීම සඳහා අනිවාර්ය සැකසුමකි. IKEv2 අන්තර්ක්‍රියාව හරහා උමඟ ඉහළට නැඟූ විට PE වෙත මාර්ග දත්ත මාරු කිරීම ස්වයංක්‍රීයව සිදු කෙරේ.

   මාර්ග සැකසුම දුරස්ථ ipv4 10.1.1.0 255.255.255.0 - කාර්යාලීය දේශීය ජාලය
   !
   crypto ikev2 පැතිකඩ BeelineIPSec_profile
   අනන්යතාව දේශීය <login>
   සත්‍යාපනය දේශීය පෙර-බෙදාගැනීම
   සත්‍යාපනය දුරස්ථ පෙර-බෙදාගැනීම
   යතුරු කිරීම දේශීය BeelineIPsec_keyring
   aaa අවසර කණ්ඩායම psk ලැයිස්තුව group-author-list FlexClient-author
   !
   crypto ikev2 සේවාදායකයා flexvpn BeelineIPsec_flex
   peer 1 Beeline_VPNHub
   සේවාදායක සම්බන්ධක Tunnel1
   !
   crypto ipsec පරිවර්තන-සැකසුම TRANSFORM1 esp-aes 256 esp-sha256-hmac
   මාදිලියේ උමග
   !
   crypto ipsec පැතිකඩ පෙරනිමිය
   සකසන්න පරිවර්තනය-සැකසුම TRANSFORM1
   ikev2-profile BeelineIPSec_profile සකසන්න
   !
   අතුරු මුහුණත Tunnel1
   ip ලිපිනය 10.20.1.2 255.255.255.252 - උමං ලිපිනය
   උමං මූලාශ්රය GigabitEthernet0/2 - අන්තර්ජාල ප්රවේශ අතුරු මුහුණත
   උමං මාදිලිය ipsec ipv4
   උමං ගමනාන්ත ගතික
   උමං ආරක්ෂණය ipsec පැතිකඩ පෙරනිමිය
   !
   Beeline VPN සාන්ද්‍රණය හරහා ප්‍රවේශ විය හැකි සේවාලාභියාගේ පුද්ගලික ජාල වෙත මාර්ග ස්ථිතිකව සැකසිය හැක.

   ip මාර්ගය 172.16.0.0 255.255.0.0 උමග1
   ip මාර්ගය 192.168.0.0 255.255.255.0 උමග1

   Huawei සඳහා විකල්පය (ar160/120):
   ike local-name <login>
   #
   acl නම ipsec 3999
   රීතිය 1 අවසර ip මූලාශ්‍රය 10.1.1.0 0.0.0.255 - කාර්යාලීය දේශීය ජාලය
   #
   AAA
   සේවා යෝජනා ක්රමය IPSEC
   මාර්ග සැකසුම acl 3999
   #
   ipsec යෝජනාව ipsec
   esp authentication-algorithm sha2-256
   esp encryption-algorithm aes-256
   #
   ike යෝජනාව පෙරනිමිය
   encryption-algorithm aes-256
   dh කණ්ඩායම2
   authentication-algorithm sha2-256
   authentication-method pre-share
   integrity-algorithm hmac-sha2-256
   prf hmac-sha2-256
   #
   ike peer ipsec
   pre-shared-key සරල <Authentication password>
   දේශීය-id-type fqdn
   remote-id-type ip
   දුරස්ථ ලිපිනය 62.141.99.183 -VPN හබ් Beeline
   සේවා යෝජනා ක්රමය IPSEC
   config-exchange ඉල්ලීම
   config-exchange කට්ටලය පිළිගන්න
   config-exchange කට්ටලය යැවීම
   #
   ipsec පැතිකඩ ipsecprof
   ike-peer ipsec
   යෝජනාව ipsec
   #
   අතුරු මුහුණත Tunnel0/0/0
   ip ලිපිනය 10.20.1.2 255.255.255.252 - උමං ලිපිනය
   උමං-ප්රොටෝකෝලය ipsec
   මූලාශ්රය GigabitEthernet0/0/1 - අන්තර්ජාල ප්රවේශ අතුරු මුහුණත
   ipsec පැතිකඩ ipsecprof
   #
   Beeline VPN සාන්ද්‍රණය හරහා ප්‍රවේශ විය හැකි සේවාදායකයාගේ පුද්ගලික ජාල වෙත මාර්ග ස්ථිතිකව සැකසිය හැක

   ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
   ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

ප්රතිඵලයක් වශයෙන් සන්නිවේදන රූප සටහන මේ වගේ දෙයක් පෙනේ:

සේවාදායකයාට මූලික වින්‍යාසය පිළිබඳ උදාහරණ කිහිපයක් නොමැති නම්, අපි සාමාන්‍යයෙන් ඒවා සෑදීමට උදව් කරන අතර අනෙක් සියල්ලන්ටම ඒවා ලබා දෙන්නෙමු.

ඉතිරිව ඇත්තේ CPE අන්තර්ජාලයට සම්බන්ධ කිරීම, VPN උමගෙහි ප්‍රතිචාර කොටස සහ VPN තුළ ඇති ඕනෑම ධාරකයකට පිං කිරීම පමණි, එපමණයි, සම්බන්ධතාවය සිදු කර ඇති බව අපට උපකල්පනය කළ හැකිය.

මීළඟ ලිපියෙන් අපි Huawei CPE භාවිතයෙන් IPSec සහ MultiSIM අතිරික්තය සමඟ මෙම යෝජනා ක්‍රමය ඒකාබද්ධ කළේ කෙසේදැයි අපි ඔබට කියමු: අපි අපගේ Huawei CPE සේවාදායකයින් සඳහා ස්ථාපනය කරමු, එමඟින් රැහැන්ගත අන්තර්ජාල නාලිකාවක් පමණක් නොව විවිධ SIM කාඩ්පත් 2 ක් සහ CPE භාවිතා කළ හැකිය. රැහැන්ගත WAN හරහා හෝ රේඩියෝව (LTE#1/LTE#2) හරහා IPSec-tunnel ස්වයංක්‍රීයව නැවත ගොඩනඟයි, ප්‍රතිඵලයක් ලෙස ලැබෙන සේවාවේ ඉහළ දෝෂ ඉවසීමේ හැකියාව අවබෝධ කර ගනී.

මෙම ලිපිය සකස් කිරීම සඳහා අපගේ RnD සගයන්ට විශේෂ ස්තූතිය (සහ, ඇත්ත වශයෙන්ම, මෙම තාක්ෂණික විසඳුම් කතුවරුන්ට)!

මූලාශ්රය: www.habr.com