ආයුබෝවන්! තුල
ටෙලිකොම් ක්රියාකරුවෙකු ලෙස අපට අපගේම විශාල එම්පීඑල්එස් ජාලයක් ඇති බව ආරම්භ කිරීම වටී, එය ස්ථාවර රේඛීය පාරිභෝගිකයින් සඳහා ප්රධාන කොටස් දෙකකට බෙදා ඇත - අන්තර්ජාලයට ප්රවේශ වීමට කෙලින්ම භාවිතා කරන එක සහ එය හුදකලා ජාල නිර්මාණය කිරීමට භාවිතා කරයි - සහ අපගේ ආයතනික ගනුදෙනුකරුවන් සඳහා IPVPN (L3 OSI) සහ VPLAN (L2 OSI) ගමනාගමනය ගලා එන්නේ මෙම MPLS කොටස හරහාය.
සාමාන්යයෙන්, සේවාදායක සම්බන්ධතාවයක් පහත පරිදි සිදු වේ.
ජාලයේ ආසන්නතම ස්ථානයෙන් (node MEN, RRL, BSSS, FTTB, ආදිය) සේවාදායකයාගේ කාර්යාලයට ප්රවේශ මාර්ගයක් තබා ඇති අතර, තවද, නාලිකාව ප්රවාහන ජාලය හරහා අනුරූප PE-MPLS වෙත ලියාපදිංචි වේ. රවුටරය, සේවාදායකයාට අවශ්ය ගමනාගමන පැතිකඩ සැලකිල්ලට ගනිමින් අපි එය VRF සේවාලාභියා සඳහා විෙශේෂෙයන් නිර්මාණය කරන ලද එකකට ප්රතිදානය කරන්නෙමු (IP ප්රමුඛතා අගයන් 0,1,3,5 මත පදනම්ව, එක් එක් ප්රවේශ වරාය සඳහා පැතිකඩ ලේබල තෝරා ගනු ලැබේ, XNUMX)
කිසියම් හේතුවක් නිසා අපට සේවාදායකයා සඳහා අවසාන සැතපුම සම්පූර්ණයෙන් සංවිධානය කළ නොහැකි නම්, උදාහරණයක් ලෙස, සේවාලාභියාගේ කාර්යාලය ව්යාපාරික මධ්යස්ථානයක පිහිටා ඇත, වෙනත් සැපයුම්කරුවෙකු ප්රමුඛතාවයක් ලබා දෙයි, නැතහොත් අපට අපගේ පැමිණීමේ ස්ථානය ආසන්නයේ නොමැති නම්, පෙර සේවාදායකයින් විවිධ සැපයුම්කරුවන්ගෙන් IPVPN ජාල කිහිපයක් නිර්මාණය කිරීමට සිදු විය (වඩාත් ලාභදායී ගෘහ නිර්මාණ ශිල්පය නොවේ) හෝ අන්තර්ජාලය හරහා ඔබේ VRF වෙත ප්රවේශය සංවිධානය කිරීමේ ගැටළු ස්වාධීනව විසඳා ගත යුතුය.
බොහෝ දෙනෙක් මෙය කළේ IPVPN අන්තර්ජාල ද්වාරයක් ස්ථාපනය කිරීමෙනි - ඔවුන් මායිම් රවුටරයක් (දෘඪාංග හෝ ලිනක්ස් මත පදනම් වූ විසඳුමක්) ස්ථාපනය කර, IPVPN නාලිකාවක් එක් වරායකින් සහ අන්තර්ජාල නාලිකාවක් සමඟ සම්බන්ධ කර, ඔවුන්ගේ VPN සේවාදායකය දියත් කර සම්බන්ධ කර ඇත. පරිශීලකයන් ඔවුන්ගේම VPN ද්වාරය හරහා. ස්වාභාවිකවම, එවැනි යෝජනා ක්රමයක් ද බරක් නිර්මාණය කරයි: එවැනි යටිතල පහසුකම් ගොඩනගා ගත යුතු අතර, වඩාත්ම අපහසු ලෙස, ක්රියාත්මක කර සංවර්ධනය කළ යුතුය.
අපගේ ගනුදෙනුකරුවන්ට ජීවිතය පහසු කිරීම සඳහා, අපි මධ්යගත වීපීඑන් මධ්යස්ථානයක් ස්ථාපනය කර IPSec භාවිතයෙන් අන්තර්ජාලය හරහා සම්බන්ධතා සඳහා සංවිධානාත්මක සහය ලබා දුන්නෙමු, එනම්, දැන් සේවාදායකයින්ට අවශ්ය වන්නේ ඕනෑම පොදු අන්තර්ජාලයක් හරහා IPSec උමං මාර්ගයක් හරහා අපගේ VPN කේන්ද්රය සමඟ වැඩ කිරීමට ඔවුන්ගේ රවුටරය වින්යාස කිරීම පමණි. , සහ අපි මෙම සේවාදායකයාගේ ගමනාගමනය එහි VRF වෙත මුදා හරිමු.
එය ප්රයෝජනවත් වන්නේ කවුද?
- දැනටමත් විශාල IPVPN ජාලයක් ඇති සහ කෙටි කාලයක් තුළ නව සම්බන්ධතා අවශ්ය අය සඳහා.
- කිසියම් හේතුවක් නිසා, පොදු අන්තර්ජාලයේ සිට IPVPN වෙත ගමනාගමනයෙන් කොටසක් මාරු කිරීමට අවශ්ය ඕනෑම කෙනෙකුට, නමුත් මීට පෙර සේවා සපයන්නන් කිහිප දෙනෙකු හා සම්බන්ධ තාක්ෂණික සීමාවන්ට මුහුණ දී ඇත.
- දැනට විවිධ ටෙලිකොම් ක්රියාකරුවන් හරහා විවිධ VPN ජාල කිහිපයක් ඇති අය සඳහා. Beeline, Megafon, Rostelecom ආදියෙන් IPVPN සාර්ථකව සංවිධානය කර ඇති සේවාදායකයින් සිටී. එය පහසු කිරීම සඳහා, ඔබට අපගේ තනි VPN මත පමණක් රැඳී සිටිය හැකිය, අනෙකුත් ක්රියාකරුවන්ගේ අනෙකුත් සියලුම නාලිකා අන්තර්ජාලයට මාරු කරන්න, ඉන්පසු මෙම ක්රියාකරුවන්ගෙන් IPSec සහ අන්තර්ජාලය හරහා Beeline IPVPN වෙත සම්බන්ධ වන්න.
- දැනටමත් අන්තර්ජාලයේ IPVPN ජාලයක් ඇති අය සඳහා.
ඔබ අප සමඟ සෑම දෙයක්ම යොදවන්නේ නම්, සේවාදායකයින්ට පූර්ණ VPN සහාය, බරපතල යටිතල පහසුකම් අතිරික්තය සහ ඔවුන් භාවිතා කරන ඕනෑම රවුටරයක ක්රියා කරන සම්මත සැකසුම් ලැබේ (එය සිස්කෝ, මයික්රොටික් වේවා, ප්රධාන දෙය නම් එයට නිසි ලෙස සහාය විය හැකි වීමයි. IPSec/IKEv2 ප්රමිතිගත සත්යාපන ක්රම සමඟ). මාර්ගය වන විට, IPSec ගැන - දැන් අපි එයට සහය දක්වන්නෙමු, නමුත් අපි OpenVPN සහ Wireguard යන දෙකෙහිම සම්පූර්ණ ක්රියාකාරිත්වය දියත් කිරීමට සැලසුම් කරමු, එවිට සේවාදායකයින්ට ප්රොටෝකෝලය මත යැපීමට නොහැකි වන අතර සියල්ල අප වෙත ගෙනයාම සහ මාරු කිරීම ඊටත් වඩා පහසුය. තවද අපට පරිගණක සහ ජංගම උපාංග වලින් සේවාලාභීන් සම්බන්ධ කිරීම ආරම්භ කිරීමට අවශ්යයි (OS, Cisco AnyConnect සහ strongSwan සහ ඒ හා සමානව ගොඩනගා ඇති විසඳුම්). මෙම ප්රවේශය සමඟ, යටිතල ව්යුහයේ තත්ය ඉදිකිරීම් ක්රියාකරුට ආරක්ෂිතව භාර දිය හැකි අතර, CPE හෝ සත්කාරකයේ වින්යාසය පමණක් ඉතිරි වේ.
IPSec මාදිලිය සඳහා සම්බන්ධතා ක්රියාවලිය ක්රියා කරන්නේ කෙසේද:
- සේවාලාභියා තම කළමනාකරු වෙත ඉල්ලීමක් තබයි, එහිදී ඔහු උමග සඳහා අවශ්ය සම්බන්ධතා වේගය, ගමනාගමන පැතිකඩ සහ IP ලිපින පරාමිතීන් (පෙරනිමියෙන්, /30 වෙස් මුහුණක් සහිත උපජාලයක්) සහ මාර්ගගත කිරීමේ වර්ගය (ස්ථිතික හෝ BGP) දක්වයි. සම්බන්ධිත කාර්යාලයේ සේවාලාභියාගේ දේශීය ජාල වෙත මාර්ග මාරු කිරීම සඳහා, IPSec ප්රොටෝකෝල අදියරෙහි IKEv2 යාන්ත්රණ සේවාලාභී රවුටරයේ සුදුසු සිටුවම් භාවිතයෙන් භාවිතා කරනු ලැබේ, නැතහොත් සේවාලාභියාගේ යෙදුමේ දක්වා ඇති පුද්ගලික BGP AS වෙතින් MPLS හි BGP හරහා ප්රචාරණය කරනු ලැබේ. . මේ අනුව, සේවාදායක ජාල වල මාර්ග පිළිබඳ තොරතුරු සේවාදායක රවුටරයේ සැකසුම් හරහා සේවාදායකයා විසින් සම්පූර්ණයෙන්ම පාලනය කරනු ලැබේ.
- ඔහුගේ කළමනාකරුගෙන් ප්රතිචාරයක් වශයෙන්, සේවාදායකයාට ඔහුගේ පෝරමයේ VRF ඇතුළත් කිරීම සඳහා ගිණුම් දත්ත ලැබේ:
- VPN-HUB IP ලිපිනය
- පිවිසුම්
- සත්යාපන මුරපදය
- CPE වින්යාස කරයි, පහත, උදාහරණයක් ලෙස, මූලික වින්යාස විකල්ප දෙකක්:
Cisco සඳහා විකල්පය:
crypto ikev2 යතුරුකරණය BeelineIPsec_keyring
peer Beeline_VPNHub
62.141.99.183 ලිපිනය -VPN හබ් Beeline
pre-shared-key <සත්යාපන මුරපදය>
!
ස්ථිතික මාර්ගගත කිරීමේ විකල්පය සඳහා, Vpn-hub හරහා ප්රවේශ විය හැකි ජාල වෙත මාර්ග IKEv2 වින්යාසය තුළ සඳහන් කළ හැකි අතර ඒවා ස්වයංක්රීයව CE රවුටින් වගුවේ ස්ථිතික මාර්ග ලෙස දිස්වනු ඇත. ස්ථිතික මාර්ග සැකසීමේ සම්මත ක්රමය භාවිතයෙන් මෙම සැකසුම් ද සිදු කළ හැකිය (පහත බලන්න).crypto ikev2 අවසර ප්රතිපත්තිය FlexClient-author
CE රවුටරය පිටුපස ජාල වෙත මාර්ගය - CE සහ PE අතර ස්ථිතික මාර්ගගත කිරීම සඳහා අනිවාර්ය සැකසුමකි. IKEv2 අන්තර්ක්රියාව හරහා උමඟ ඉහළට නැඟූ විට PE වෙත මාර්ග දත්ත මාරු කිරීම ස්වයංක්රීයව සිදු කෙරේ.
මාර්ග සැකසුම දුරස්ථ ipv4 10.1.1.0 255.255.255.0 - කාර්යාලීය දේශීය ජාලය
!
crypto ikev2 පැතිකඩ BeelineIPSec_profile
අනන්යතාව දේශීය <login>
සත්යාපනය දේශීය පෙර-බෙදාගැනීම
සත්යාපනය දුරස්ථ පෙර-බෙදාගැනීම
යතුරු කිරීම දේශීය BeelineIPsec_keyring
aaa අවසර කණ්ඩායම psk ලැයිස්තුව group-author-list FlexClient-author
!
crypto ikev2 සේවාදායකයා flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
සේවාදායක සම්බන්ධක Tunnel1
!
crypto ipsec පරිවර්තන-සැකසුම TRANSFORM1 esp-aes 256 esp-sha256-hmac
මාදිලියේ උමග
!
crypto ipsec පැතිකඩ පෙරනිමිය
සකසන්න පරිවර්තනය-සැකසුම TRANSFORM1
ikev2-profile BeelineIPSec_profile සකසන්න
!
අතුරු මුහුණත Tunnel1
ip ලිපිනය 10.20.1.2 255.255.255.252 - උමං ලිපිනය
උමං මූලාශ්රය GigabitEthernet0/2 - අන්තර්ජාල ප්රවේශ අතුරු මුහුණත
උමං මාදිලිය ipsec ipv4
උමං ගමනාන්ත ගතික
උමං ආරක්ෂණය ipsec පැතිකඩ පෙරනිමිය
!
Beeline VPN සාන්ද්රණය හරහා ප්රවේශ විය හැකි සේවාලාභියාගේ පුද්ගලික ජාල වෙත මාර්ග ස්ථිතිකව සැකසිය හැක.ip මාර්ගය 172.16.0.0 255.255.0.0 උමග1
ip මාර්ගය 192.168.0.0 255.255.255.0 උමග1Huawei සඳහා විකල්පය (ar160/120):
ike local-name <login>
#
acl නම ipsec 3999
රීතිය 1 අවසර ip මූලාශ්රය 10.1.1.0 0.0.0.255 - කාර්යාලීය දේශීය ජාලය
#
AAA
සේවා යෝජනා ක්රමය IPSEC
මාර්ග සැකසුම acl 3999
#
ipsec යෝජනාව ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike යෝජනාව පෙරනිමිය
encryption-algorithm aes-256
dh කණ්ඩායම2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
pre-shared-key සරල <Authentication password>
දේශීය-id-type fqdn
remote-id-type ip
දුරස්ථ ලිපිනය 62.141.99.183 -VPN හබ් Beeline
සේවා යෝජනා ක්රමය IPSEC
config-exchange ඉල්ලීම
config-exchange කට්ටලය පිළිගන්න
config-exchange කට්ටලය යැවීම
#
ipsec පැතිකඩ ipsecprof
ike-peer ipsec
යෝජනාව ipsec
#
අතුරු මුහුණත Tunnel0/0/0
ip ලිපිනය 10.20.1.2 255.255.255.252 - උමං ලිපිනය
උමං-ප්රොටෝකෝලය ipsec
මූලාශ්රය GigabitEthernet0/0/1 - අන්තර්ජාල ප්රවේශ අතුරු මුහුණත
ipsec පැතිකඩ ipsecprof
#
Beeline VPN සාන්ද්රණය හරහා ප්රවේශ විය හැකි සේවාදායකයාගේ පුද්ගලික ජාල වෙත මාර්ග ස්ථිතිකව සැකසිය හැකip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
ප්රතිඵලයක් වශයෙන් සන්නිවේදන රූප සටහන මේ වගේ දෙයක් පෙනේ:
සේවාදායකයාට මූලික වින්යාසය පිළිබඳ උදාහරණ කිහිපයක් නොමැති නම්, අපි සාමාන්යයෙන් ඒවා සෑදීමට උදව් කරන අතර අනෙක් සියල්ලන්ටම ඒවා ලබා දෙන්නෙමු.
ඉතිරිව ඇත්තේ CPE අන්තර්ජාලයට සම්බන්ධ කිරීම, VPN උමගෙහි ප්රතිචාර කොටස සහ VPN තුළ ඇති ඕනෑම ධාරකයකට පිං කිරීම පමණි, එපමණයි, සම්බන්ධතාවය සිදු කර ඇති බව අපට උපකල්පනය කළ හැකිය.
මීළඟ ලිපියෙන් අපි Huawei CPE භාවිතයෙන් IPSec සහ MultiSIM අතිරික්තය සමඟ මෙම යෝජනා ක්රමය ඒකාබද්ධ කළේ කෙසේදැයි අපි ඔබට කියමු: අපි අපගේ Huawei CPE සේවාදායකයින් සඳහා ස්ථාපනය කරමු, එමඟින් රැහැන්ගත අන්තර්ජාල නාලිකාවක් පමණක් නොව විවිධ SIM කාඩ්පත් 2 ක් සහ CPE භාවිතා කළ හැකිය. රැහැන්ගත WAN හරහා හෝ රේඩියෝව (LTE#1/LTE#2) හරහා IPSec-tunnel ස්වයංක්රීයව නැවත ගොඩනඟයි, ප්රතිඵලයක් ලෙස ලැබෙන සේවාවේ ඉහළ දෝෂ ඉවසීමේ හැකියාව අවබෝධ කර ගනී.
මෙම ලිපිය සකස් කිරීම සඳහා අපගේ RnD සගයන්ට විශේෂ ස්තූතිය (සහ, ඇත්ත වශයෙන්ම, මෙම තාක්ෂණික විසඳුම් කතුවරුන්ට)!
මූලාශ්රය: www.habr.com