வணக்கம்! IN
ஒரு டெலிகாம் ஆபரேட்டராக, எங்களுடைய சொந்த பெரிய எம்.பி.எல்.எஸ் நெட்வொர்க் உள்ளது என்பதிலிருந்து தொடங்குவது மதிப்புக்குரியது, இது நிலையான வரி வாடிக்கையாளர்களுக்கு இரண்டு முக்கிய பிரிவுகளாகப் பிரிக்கப்பட்டுள்ளது - இணையத்தை அணுக நேரடியாகப் பயன்படுத்தப்படும் ஒன்று, மற்றும் தனிமைப்படுத்தப்பட்ட நெட்வொர்க்குகளை உருவாக்கப் பயன்படுகிறது - மேலும் இந்த MPLS பிரிவின் மூலம்தான் IPVPN (L3 OSI) மற்றும் VPLAN (L2 OSI) டிராஃபிக் எங்கள் நிறுவன வாடிக்கையாளர்களுக்குப் பயணிக்கிறது.
பொதுவாக, கிளையன்ட் இணைப்பு பின்வருமாறு நிகழ்கிறது.
நெட்வொர்க்கின் அருகிலுள்ள புள்ளியில் இருந்து கிளையன்ட் அலுவலகத்திற்கு ஒரு அணுகல் வரி போடப்பட்டுள்ளது (நோட் MEN, RRL, BSSS, FTTB போன்றவை) மேலும், சேனல் போக்குவரத்து நெட்வொர்க் மூலம் தொடர்புடைய PE-MPLS க்கு பதிவு செய்யப்படுகிறது. திசைவி, கிளையண்டிற்குத் தேவையான போக்குவரத்து சுயவிவரத்தை கணக்கில் எடுத்துக்கொண்டு, VRF கிளையண்டிற்காக பிரத்யேகமாக உருவாக்கப்பட்ட ஒரு திசைவிக்கு அதை வெளியிடுகிறோம். 0,1,3,5)
சில காரணங்களால் வாடிக்கையாளருக்கான கடைசி மைலை எங்களால் முழுமையாக ஒழுங்கமைக்க முடியவில்லை என்றால், எடுத்துக்காட்டாக, கிளையண்டின் அலுவலகம் ஒரு வணிக மையத்தில் அமைந்துள்ளது, அங்கு மற்றொரு வழங்குநர் முன்னுரிமை அளிக்கிறார், அல்லது எங்கள் இருப்பு அருகில் இல்லை என்றால், முன்பு வாடிக்கையாளர்கள் வெவ்வேறு வழங்குநர்களிடம் பல IPVPN நெட்வொர்க்குகளை உருவாக்க வேண்டும் (மிகவும் செலவு குறைந்த கட்டமைப்பு அல்ல) அல்லது இணையத்தில் உங்கள் VRFக்கான அணுகலை ஒழுங்கமைப்பதில் உள்ள சிக்கல்களை சுயாதீனமாக தீர்க்க வேண்டும்.
IPVPN இணைய நுழைவாயிலை நிறுவுவதன் மூலம் பலர் இதைச் செய்தார்கள் - அவர்கள் ஒரு எல்லை திசைவியை (வன்பொருள் அல்லது சில லினக்ஸ் அடிப்படையிலான தீர்வு) நிறுவினர், ஒரு IPVPN சேனலை ஒரு போர்ட்டுடன் இணைத்து, மற்றொன்றுடன் இணைய சேனலை இணைத்து, அதில் தங்கள் VPN சேவையகத்தைத் துவக்கி இணைக்கின்றனர். பயனர்கள் தங்கள் சொந்த VPN நுழைவாயில் மூலம். இயற்கையாகவே, அத்தகைய திட்டம் சுமைகளையும் உருவாக்குகிறது: அத்தகைய உள்கட்டமைப்பு கட்டமைக்கப்பட வேண்டும் மற்றும் மிகவும் சிரமமின்றி, இயக்கப்பட்டு அபிவிருத்தி செய்யப்பட வேண்டும்.
எங்கள் வாடிக்கையாளர்களுக்கு வாழ்க்கையை எளிதாக்க, நாங்கள் ஒரு மையப்படுத்தப்பட்ட VPN மையத்தை நிறுவி, IPSec ஐப் பயன்படுத்தி இணையத்தில் இணைப்புகளுக்கு ஒழுங்கமைக்கப்பட்ட ஆதரவை நிறுவியுள்ளோம், அதாவது, எந்த பொது இணையத்திலும் IPSec சுரங்கப்பாதை வழியாக எங்கள் VPN மையத்துடன் பணிபுரிய வாடிக்கையாளர்கள் தங்கள் ரூட்டரை உள்ளமைக்க வேண்டும். , மற்றும் இந்த கிளையண்டின் போக்குவரத்தை அதன் VRFக்கு விடுவிப்போம்.
யாருக்கு தேவைப்படும்
- ஏற்கனவே பெரிய IPVPN நெட்வொர்க்கைக் கொண்டிருப்பவர்களுக்கும், குறுகிய காலத்தில் புதிய இணைப்புகள் தேவைப்படுபவர்களுக்கும்.
- சில காரணங்களால், பொது இணையத்தில் இருந்து IPVPN க்கு போக்குவரத்தின் ஒரு பகுதியை மாற்ற விரும்பும் எவரும், ஆனால் பல சேவை வழங்குநர்களுடன் தொடர்புடைய தொழில்நுட்ப வரம்புகளை முன்பு சந்தித்தார்.
- பல்வேறு தொலைத்தொடர்பு ஆபரேட்டர்களில் தற்போது பல வேறுபட்ட VPN நெட்வொர்க்குகள் உள்ளவர்களுக்கு. Beeline, Megafon, Rostelecom போன்றவற்றிலிருந்து IPVPN ஐ வெற்றிகரமாக ஒழுங்கமைத்த வாடிக்கையாளர்கள் உள்ளனர். இதை எளிதாக்க, நீங்கள் எங்கள் ஒற்றை VPN இல் மட்டுமே இருக்க முடியும், மற்ற ஆபரேட்டர்களின் மற்ற எல்லா சேனல்களையும் இணையத்திற்கு மாற்றவும், பின்னர் இந்த ஆபரேட்டர்களிடமிருந்து IPSec மற்றும் இணையம் வழியாக Beeline IPVPN உடன் இணைக்கவும்.
- இணையத்தில் ஏற்கனவே IPVPN நெட்வொர்க்கை வைத்திருப்பவர்களுக்கு.
நீங்கள் எல்லாவற்றையும் எங்களுடன் வரிசைப்படுத்தினால், வாடிக்கையாளர்கள் முழு அளவிலான VPN ஆதரவு, தீவிர உள்கட்டமைப்பு பணிநீக்கம் மற்றும் நிலையான அமைப்புகளைப் பெறுவார்கள், அவை அவர்கள் பயன்படுத்தும் எந்த திசைவியிலும் (அது சிஸ்கோவாக இருந்தாலும், மைக்ரோடிக் ஆக இருந்தாலும் சரி, முக்கிய விஷயம் என்னவென்றால், அது சரியாக ஆதரிக்க முடியும். தரப்படுத்தப்பட்ட அங்கீகார முறைகளுடன் IPSec/IKEv2). மூலம், IPSec பற்றி - இப்போது நாங்கள் அதை மட்டுமே ஆதரிக்கிறோம், ஆனால் OpenVPN மற்றும் Wireguard இரண்டின் முழு அளவிலான செயல்பாட்டைத் தொடங்க நாங்கள் திட்டமிட்டுள்ளோம், இதனால் வாடிக்கையாளர்கள் நெறிமுறையைச் சார்ந்து இருக்க முடியாது, மேலும் எல்லாவற்றையும் எடுத்து எங்களுக்கு மாற்றுவது இன்னும் எளிதானது, மேலும் கணினிகள் மற்றும் மொபைல் சாதனங்களிலிருந்து வாடிக்கையாளர்களை இணைக்கவும் நாங்கள் விரும்புகிறோம் (OS, Cisco AnyConnect மற்றும் strongSwan போன்றவற்றில் உள்ள தீர்வுகள்). இந்த அணுகுமுறையின் மூலம், உள்கட்டமைப்பின் நடைமுறைக் கட்டுமானத்தை பாதுகாப்பாக ஆபரேட்டரிடம் ஒப்படைக்க முடியும், இது CPE அல்லது ஹோஸ்டின் உள்ளமைவை மட்டுமே விட்டுவிடும்.
IPSec பயன்முறையில் இணைப்பு செயல்முறை எவ்வாறு செயல்படுகிறது:
- கிளையன்ட் தனது மேலாளரிடம் ஒரு கோரிக்கையை வைக்கிறார், அதில் அவர் சுரங்கப்பாதைக்கான தேவையான இணைப்பு வேகம், போக்குவரத்து சுயவிவரம் மற்றும் ஐபி முகவரி அளவுருக்கள் (இயல்புநிலையாக, /30 முகமூடியுடன் கூடிய சப்நெட்) மற்றும் ரூட்டிங் வகை (நிலையான அல்லது BGP) ஆகியவற்றைக் குறிப்பிடுகிறார். இணைக்கப்பட்ட அலுவலகத்தில் உள்ள கிளையண்டின் உள்ளூர் நெட்வொர்க்குகளுக்கு வழிகளை மாற்ற, IPSec புரோட்டோகால் கட்டத்தின் IKEv2 பொறிமுறைகள் கிளையன்ட் ரூட்டரில் பொருத்தமான அமைப்புகளைப் பயன்படுத்தி பயன்படுத்தப்படுகின்றன அல்லது கிளையன்ட் பயன்பாட்டில் குறிப்பிடப்பட்டுள்ள தனியார் BGP AS இலிருந்து MPLS இல் BGP மூலம் விளம்பரப்படுத்தப்படுகின்றன. . எனவே, கிளையன்ட் நெட்வொர்க்குகளின் வழிகளைப் பற்றிய தகவல்கள் கிளையன்ட் திசைவியின் அமைப்புகளின் மூலம் கிளையண்டால் முழுமையாகக் கட்டுப்படுத்தப்படுகிறது.
- அவரது மேலாளரின் பதிலில், வாடிக்கையாளர் தனது VRF படிவத்தில் சேர்ப்பதற்கான கணக்கியல் தரவைப் பெறுகிறார்:
- VPN-HUB ஐபி முகவரி
- தேதி
- அங்கீகார கடவுச்சொல்
- கீழே உள்ள CPEஐ உள்ளமைக்கிறது, எடுத்துக்காட்டாக, இரண்டு அடிப்படை உள்ளமைவு விருப்பங்கள்:
சிஸ்கோவிற்கான விருப்பம்:
crypto ikev2 கீரிங் BeelineIPsec_keyring
peer Beeline_VPNHub
முகவரி 62.141.99.183 -விபிஎன் ஹப் பீலைன்
pre-shared-key <அங்கீகரிப்பு கடவுச்சொல்>
!
நிலையான ரூட்டிங் விருப்பத்திற்கு, Vpn-hub மூலம் அணுகக்கூடிய நெட்வொர்க்குகளுக்கான வழிகள் IKEv2 உள்ளமைவில் குறிப்பிடப்படலாம் மற்றும் அவை தானாக CE ரூட்டிங் அட்டவணையில் நிலையான வழிகளாகத் தோன்றும். நிலையான வழிகளை அமைக்கும் நிலையான முறையைப் பயன்படுத்தியும் இந்த அமைப்புகளைச் செய்யலாம் (கீழே காண்க).crypto ikev2 அங்கீகாரக் கொள்கை FlexClient-author
CE ரூட்டருக்குப் பின்னால் உள்ள நெட்வொர்க்குகளுக்கான பாதை - CE மற்றும் PE க்கு இடையில் நிலையான ரூட்டிங் செய்வதற்கான ஒரு கட்டாய அமைப்பு. IKEv2 தொடர்பு மூலம் சுரங்கப்பாதை உயர்த்தப்படும் போது, PE க்கு பாதை தரவு பரிமாற்றம் தானாகவே மேற்கொள்ளப்படுகிறது.
ரூட் செட் ரிமோட் ipv4 10.1.1.0 255.255.255.0 - அலுவலக உள்ளூர் நெட்வொர்க்
!
crypto ikev2 சுயவிவரம் BeelineIPSec_profile
அடையாளம் உள்ளூர் <உள்நுழை>
அங்கீகார உள்ளூர் முன்-பகிர்வு
அங்கீகார ரிமோட் முன் பகிர்வு
கீரிங் உள்ளூர் BeelineIPsec_keyring
aaa அங்கீகார குழு psk பட்டியல் குழு-ஆசிரியர்-பட்டியல் FlexClient-author
!
crypto ikev2 கிளையன்ட் flexvpn BeelineIPsec_flex
பியர் 1 Beeline_VPNHub
கிளையன்ட் கனெக்ட் டன்னல்1
!
கிரிப்டோ ஐப்செக் டிரான்ஸ்ஃபார்ம்-செட் TRANSFORM1 esp-aes 256 esp-sha256-hmac
முறை சுரங்கப்பாதை
!
கிரிப்டோ ipsec சுயவிவர இயல்புநிலை
உருமாற்றம்-செட் TRANSFORM1
ikev2-profile BeelineIPSec_profile ஐ அமைக்கவும்
!
இடைமுக சுரங்கப்பாதை1
ஐபி முகவரி 10.20.1.2 255.255.255.252 - சுரங்கப்பாதை முகவரி
சுரங்கப்பாதை ஆதாரம் GigabitEthernet0/2 - இணைய அணுகல் இடைமுகம்
சுரங்கப்பாதை முறை ipsec ipv4
சுரங்கப்பாதை இலக்கு மாறும்
சுரங்கப்பாதை பாதுகாப்பு ipsec சுயவிவர இயல்புநிலை
!
பீலைன் விபிஎன் செறிவு மூலம் அணுகக்கூடிய கிளையண்டின் தனிப்பட்ட நெட்வொர்க்குகளுக்கான வழிகளை நிலையான முறையில் அமைக்கலாம்.ஐபி வழி 172.16.0.0 255.255.0.0 சுரங்கப்பாதை1
ஐபி வழி 192.168.0.0 255.255.255.0 சுரங்கப்பாதை1Huaweiக்கான விருப்பம் (ar160/120):
உள்ளூர் பெயர் <login>
#
acl பெயர் ipsec 3999
விதி 1 அனுமதி ஐபி மூல 10.1.1.0 0.0.0.255 - அலுவலக உள்ளூர் நெட்வொர்க்
#
AAA
சேவை திட்டம் IPSEC
வழித்தடம் 3999
#
ipsec முன்மொழிவு ipsec
esp அங்கீகார-அல்காரிதம் sha2-256
esp encryption-algorithm aes-256
#
ike முன்மொழிவு இயல்புநிலை
encryption-algorithm aes-256
dh குழு2
authentication-algorithm sha2-256
அங்கீகார முறை முன்-பகிர்வு
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ஐக் பியர் ஐப்செக்
முன்-பகிர்வு-விசை எளிய <அங்கீகரிப்பு கடவுச்சொல்>
உள்ளூர் ஐடி வகை fqdn
ரிமோட்-ஐடி-வகை ஐபி
தொலை முகவரி 62.141.99.183 -விபிஎன் ஹப் பீலைன்
சேவை திட்டம் IPSEC
config-exchange கோரிக்கை
config-exchange தொகுப்பு ஏற்றுக்கொள்ளும்
config-exchange set send
#
ipsec சுயவிவரம் ipsecprof
ike-peer ipsec
முன்மொழிவு ipsec
#
இடைமுகம் டன்னல்0/0/0
ஐபி முகவரி 10.20.1.2 255.255.255.252 - சுரங்கப்பாதை முகவரி
tunnel-protocol ipsec
ஆதாரம் GigabitEthernet0/0/1 - இணைய அணுகல் இடைமுகம்
ipsec சுயவிவரம் ipsecprof
#
பீலைன் விபிஎன் செறிவு மூலம் அணுகக்கூடிய கிளையண்டின் தனிப்பட்ட நெட்வொர்க்குகளுக்கான வழிகளை நிலையான முறையில் அமைக்கலாம்ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
இதன் விளைவாக வரும் தகவல்தொடர்பு வரைபடம் இதுபோல் தெரிகிறது:
கிளையண்டிடம் அடிப்படை உள்ளமைவின் சில எடுத்துக்காட்டுகள் இல்லை என்றால், நாங்கள் வழக்கமாக அவற்றை உருவாக்க உதவுகிறோம் மற்றும் அனைவருக்கும் அவற்றைக் கிடைக்கச் செய்கிறோம்.
CPE ஐ இணையத்துடன் இணைப்பது, VPN சுரங்கப்பாதையின் மறுமொழி பகுதி மற்றும் VPN க்குள் உள்ள எந்த ஹோஸ்டுக்கும் பிங் செய்வது மட்டுமே மீதமுள்ளது, அவ்வளவுதான், இணைப்பு செய்யப்பட்டுள்ளது என்று நாம் கருதலாம்.
Huawei CPE ஐப் பயன்படுத்தி இந்த திட்டத்தை IPSec மற்றும் MultiSIM பணிநீக்கத்துடன் எவ்வாறு இணைத்தோம் என்பதை அடுத்த கட்டுரையில் கூறுவோம்: வாடிக்கையாளர்களுக்காக எங்கள் Huawei CPE ஐ நிறுவுகிறோம், இது கம்பி இணைய சேனல் மட்டுமல்ல, 2 வெவ்வேறு சிம் கார்டுகள் மற்றும் CPE ஆகியவற்றைப் பயன்படுத்தலாம். வயர்டு WAN வழியாகவோ அல்லது ரேடியோ வழியாகவோ (LTE#1/LTE#2) IPSec-tunnel ஐ தானாக மீண்டும் உருவாக்குகிறது.
இந்தக் கட்டுரையைத் தயாரித்ததற்காக எங்கள் RnD சகாக்களுக்கு (உண்மையில், இந்த தொழில்நுட்ப தீர்வுகளின் ஆசிரியர்களுக்கு) சிறப்பு நன்றி!
ஆதாரம்: www.habr.com