புரோஹோஸ்டர் > Блог > நிர்வாகம் > IPSec வழியாக Beeline IPVPN ஐ எவ்வாறு பெறுவது. பகுதி 1

IPSec வழியாக Beeline IPVPN ஐ எவ்வாறு பெறுவது. பகுதி 1

வணக்கம்! IN முந்தைய பதிவு எங்கள் MultiSIM சேவையின் பணியை நான் ஒரு பகுதியாக விவரித்தேன் முன்பதிவுகள் и சமநிலைப்படுத்துதல் சேனல்கள். குறிப்பிட்டுள்ளபடி, நாங்கள் VPN வழியாக வாடிக்கையாளர்களை பிணையத்துடன் இணைக்கிறோம், இன்று நான் VPN மற்றும் இந்த பகுதியில் உள்ள எங்கள் திறன்களைப் பற்றி இன்னும் கொஞ்சம் கூறுவேன்.

ஒரு டெலிகாம் ஆபரேட்டராக, எங்களுடைய சொந்த பெரிய எம்.பி.எல்.எஸ் நெட்வொர்க் உள்ளது என்பதிலிருந்து தொடங்குவது மதிப்புக்குரியது, இது நிலையான வரி வாடிக்கையாளர்களுக்கு இரண்டு முக்கிய பிரிவுகளாகப் பிரிக்கப்பட்டுள்ளது - இணையத்தை அணுக நேரடியாகப் பயன்படுத்தப்படும் ஒன்று, மற்றும் தனிமைப்படுத்தப்பட்ட நெட்வொர்க்குகளை உருவாக்கப் பயன்படுகிறது - மேலும் இந்த MPLS பிரிவின் மூலம்தான் IPVPN (L3 OSI) மற்றும் VPLAN (L2 OSI) டிராஃபிக் எங்கள் நிறுவன வாடிக்கையாளர்களுக்குப் பயணிக்கிறது.

IPSec வழியாக Beeline IPVPN ஐ எவ்வாறு பெறுவது. பகுதி 1
பொதுவாக, கிளையன்ட் இணைப்பு பின்வருமாறு நிகழ்கிறது.

நெட்வொர்க்கின் அருகிலுள்ள புள்ளியில் இருந்து கிளையன்ட் அலுவலகத்திற்கு ஒரு அணுகல் வரி போடப்பட்டுள்ளது (நோட் MEN, RRL, BSSS, FTTB போன்றவை) மேலும், சேனல் போக்குவரத்து நெட்வொர்க் மூலம் தொடர்புடைய PE-MPLS க்கு பதிவு செய்யப்படுகிறது. திசைவி, கிளையண்டிற்குத் தேவையான போக்குவரத்து சுயவிவரத்தை கணக்கில் எடுத்துக்கொண்டு, VRF கிளையண்டிற்காக பிரத்யேகமாக உருவாக்கப்பட்ட ஒரு திசைவிக்கு அதை வெளியிடுகிறோம். 0,1,3,5)

சில காரணங்களால் வாடிக்கையாளருக்கான கடைசி மைலை எங்களால் முழுமையாக ஒழுங்கமைக்க முடியவில்லை என்றால், எடுத்துக்காட்டாக, கிளையண்டின் அலுவலகம் ஒரு வணிக மையத்தில் அமைந்துள்ளது, அங்கு மற்றொரு வழங்குநர் முன்னுரிமை அளிக்கிறார், அல்லது எங்கள் இருப்பு அருகில் இல்லை என்றால், முன்பு வாடிக்கையாளர்கள் வெவ்வேறு வழங்குநர்களிடம் பல IPVPN நெட்வொர்க்குகளை உருவாக்க வேண்டும் (மிகவும் செலவு குறைந்த கட்டமைப்பு அல்ல) அல்லது இணையத்தில் உங்கள் VRFக்கான அணுகலை ஒழுங்கமைப்பதில் உள்ள சிக்கல்களை சுயாதீனமாக தீர்க்க வேண்டும்.

IPVPN இணைய நுழைவாயிலை நிறுவுவதன் மூலம் பலர் இதைச் செய்தார்கள் - அவர்கள் ஒரு எல்லை திசைவியை (வன்பொருள் அல்லது சில லினக்ஸ் அடிப்படையிலான தீர்வு) நிறுவினர், ஒரு IPVPN சேனலை ஒரு போர்ட்டுடன் இணைத்து, மற்றொன்றுடன் இணைய சேனலை இணைத்து, அதில் தங்கள் VPN சேவையகத்தைத் துவக்கி இணைக்கின்றனர். பயனர்கள் தங்கள் சொந்த VPN நுழைவாயில் மூலம். இயற்கையாகவே, அத்தகைய திட்டம் சுமைகளையும் உருவாக்குகிறது: அத்தகைய உள்கட்டமைப்பு கட்டமைக்கப்பட வேண்டும் மற்றும் மிகவும் சிரமமின்றி, இயக்கப்பட்டு அபிவிருத்தி செய்யப்பட வேண்டும்.

எங்கள் வாடிக்கையாளர்களுக்கு வாழ்க்கையை எளிதாக்க, நாங்கள் ஒரு மையப்படுத்தப்பட்ட VPN மையத்தை நிறுவி, IPSec ஐப் பயன்படுத்தி இணையத்தில் இணைப்புகளுக்கு ஒழுங்கமைக்கப்பட்ட ஆதரவை நிறுவியுள்ளோம், அதாவது, எந்த பொது இணையத்திலும் IPSec சுரங்கப்பாதை வழியாக எங்கள் VPN மையத்துடன் பணிபுரிய வாடிக்கையாளர்கள் தங்கள் ரூட்டரை உள்ளமைக்க வேண்டும். , மற்றும் இந்த கிளையண்டின் போக்குவரத்தை அதன் VRFக்கு விடுவிப்போம்.

யாருக்கு தேவைப்படும்

  • ஏற்கனவே பெரிய IPVPN நெட்வொர்க்கைக் கொண்டிருப்பவர்களுக்கும், குறுகிய காலத்தில் புதிய இணைப்புகள் தேவைப்படுபவர்களுக்கும்.
  • சில காரணங்களால், பொது இணையத்தில் இருந்து IPVPN க்கு போக்குவரத்தின் ஒரு பகுதியை மாற்ற விரும்பும் எவரும், ஆனால் பல சேவை வழங்குநர்களுடன் தொடர்புடைய தொழில்நுட்ப வரம்புகளை முன்பு சந்தித்தார்.
  • பல்வேறு தொலைத்தொடர்பு ஆபரேட்டர்களில் தற்போது பல வேறுபட்ட VPN நெட்வொர்க்குகள் உள்ளவர்களுக்கு. Beeline, Megafon, Rostelecom போன்றவற்றிலிருந்து IPVPN ஐ வெற்றிகரமாக ஒழுங்கமைத்த வாடிக்கையாளர்கள் உள்ளனர். இதை எளிதாக்க, நீங்கள் எங்கள் ஒற்றை VPN இல் மட்டுமே இருக்க முடியும், மற்ற ஆபரேட்டர்களின் மற்ற எல்லா சேனல்களையும் இணையத்திற்கு மாற்றவும், பின்னர் இந்த ஆபரேட்டர்களிடமிருந்து IPSec மற்றும் இணையம் வழியாக Beeline IPVPN உடன் இணைக்கவும்.
  • இணையத்தில் ஏற்கனவே IPVPN நெட்வொர்க்கை வைத்திருப்பவர்களுக்கு.

நீங்கள் எல்லாவற்றையும் எங்களுடன் வரிசைப்படுத்தினால், வாடிக்கையாளர்கள் முழு அளவிலான VPN ஆதரவு, தீவிர உள்கட்டமைப்பு பணிநீக்கம் மற்றும் நிலையான அமைப்புகளைப் பெறுவார்கள், அவை அவர்கள் பயன்படுத்தும் எந்த திசைவியிலும் (அது சிஸ்கோவாக இருந்தாலும், மைக்ரோடிக் ஆக இருந்தாலும் சரி, முக்கிய விஷயம் என்னவென்றால், அது சரியாக ஆதரிக்க முடியும். தரப்படுத்தப்பட்ட அங்கீகார முறைகளுடன் IPSec/IKEv2). மூலம், IPSec பற்றி - இப்போது நாங்கள் அதை மட்டுமே ஆதரிக்கிறோம், ஆனால் OpenVPN மற்றும் Wireguard இரண்டின் முழு அளவிலான செயல்பாட்டைத் தொடங்க நாங்கள் திட்டமிட்டுள்ளோம், இதனால் வாடிக்கையாளர்கள் நெறிமுறையைச் சார்ந்து இருக்க முடியாது, மேலும் எல்லாவற்றையும் எடுத்து எங்களுக்கு மாற்றுவது இன்னும் எளிதானது, மேலும் கணினிகள் மற்றும் மொபைல் சாதனங்களிலிருந்து வாடிக்கையாளர்களை இணைக்கவும் நாங்கள் விரும்புகிறோம் (OS, Cisco AnyConnect மற்றும் strongSwan போன்றவற்றில் உள்ள தீர்வுகள்). இந்த அணுகுமுறையின் மூலம், உள்கட்டமைப்பின் நடைமுறைக் கட்டுமானத்தை பாதுகாப்பாக ஆபரேட்டரிடம் ஒப்படைக்க முடியும், இது CPE அல்லது ஹோஸ்டின் உள்ளமைவை மட்டுமே விட்டுவிடும்.

IPSec பயன்முறையில் இணைப்பு செயல்முறை எவ்வாறு செயல்படுகிறது:

  1. கிளையன்ட் தனது மேலாளரிடம் ஒரு கோரிக்கையை வைக்கிறார், அதில் அவர் சுரங்கப்பாதைக்கான தேவையான இணைப்பு வேகம், போக்குவரத்து சுயவிவரம் மற்றும் ஐபி முகவரி அளவுருக்கள் (இயல்புநிலையாக, /30 முகமூடியுடன் கூடிய சப்நெட்) மற்றும் ரூட்டிங் வகை (நிலையான அல்லது BGP) ஆகியவற்றைக் குறிப்பிடுகிறார். இணைக்கப்பட்ட அலுவலகத்தில் உள்ள கிளையண்டின் உள்ளூர் நெட்வொர்க்குகளுக்கு வழிகளை மாற்ற, IPSec புரோட்டோகால் கட்டத்தின் IKEv2 பொறிமுறைகள் கிளையன்ட் ரூட்டரில் பொருத்தமான அமைப்புகளைப் பயன்படுத்தி பயன்படுத்தப்படுகின்றன அல்லது கிளையன்ட் பயன்பாட்டில் குறிப்பிடப்பட்டுள்ள தனியார் BGP AS இலிருந்து MPLS இல் BGP மூலம் விளம்பரப்படுத்தப்படுகின்றன. . எனவே, கிளையன்ட் நெட்வொர்க்குகளின் வழிகளைப் பற்றிய தகவல்கள் கிளையன்ட் திசைவியின் அமைப்புகளின் மூலம் கிளையண்டால் முழுமையாகக் கட்டுப்படுத்தப்படுகிறது.
  2. அவரது மேலாளரின் பதிலில், வாடிக்கையாளர் தனது VRF படிவத்தில் சேர்ப்பதற்கான கணக்கியல் தரவைப் பெறுகிறார்:
    • VPN-HUB ஐபி முகவரி
    • தேதி
    • அங்கீகார கடவுச்சொல்
  3. கீழே உள்ள CPEஐ உள்ளமைக்கிறது, எடுத்துக்காட்டாக, இரண்டு அடிப்படை உள்ளமைவு விருப்பங்கள்:

    சிஸ்கோவிற்கான விருப்பம்:
    crypto ikev2 கீரிங் BeelineIPsec_keyring
    peer Beeline_VPNHub
    முகவரி 62.141.99.183 -விபிஎன் ஹப் பீலைன்
    pre-shared-key <அங்கீகரிப்பு கடவுச்சொல்>
    !
    நிலையான ரூட்டிங் விருப்பத்திற்கு, Vpn-hub மூலம் அணுகக்கூடிய நெட்வொர்க்குகளுக்கான வழிகள் IKEv2 உள்ளமைவில் குறிப்பிடப்படலாம் மற்றும் அவை தானாக CE ரூட்டிங் அட்டவணையில் நிலையான வழிகளாகத் தோன்றும். நிலையான வழிகளை அமைக்கும் நிலையான முறையைப் பயன்படுத்தியும் இந்த அமைப்புகளைச் செய்யலாம் (கீழே காண்க).

    crypto ikev2 அங்கீகாரக் கொள்கை FlexClient-author

    CE ரூட்டருக்குப் பின்னால் உள்ள நெட்வொர்க்குகளுக்கான பாதை - CE மற்றும் PE க்கு இடையில் நிலையான ரூட்டிங் செய்வதற்கான ஒரு கட்டாய அமைப்பு. IKEv2 தொடர்பு மூலம் சுரங்கப்பாதை உயர்த்தப்படும் போது, ​​PE க்கு பாதை தரவு பரிமாற்றம் தானாகவே மேற்கொள்ளப்படுகிறது.

    ரூட் செட் ரிமோட் ipv4 10.1.1.0 255.255.255.0 - அலுவலக உள்ளூர் நெட்வொர்க்
    !
    crypto ikev2 சுயவிவரம் BeelineIPSec_profile
    அடையாளம் உள்ளூர் <உள்நுழை>
    அங்கீகார உள்ளூர் முன்-பகிர்வு
    அங்கீகார ரிமோட் முன் பகிர்வு
    கீரிங் உள்ளூர் BeelineIPsec_keyring
    aaa அங்கீகார குழு psk பட்டியல் குழு-ஆசிரியர்-பட்டியல் FlexClient-author
    !
    crypto ikev2 கிளையன்ட் flexvpn BeelineIPsec_flex
    பியர் 1 Beeline_VPNHub
    கிளையன்ட் கனெக்ட் டன்னல்1
    !
    கிரிப்டோ ஐப்செக் டிரான்ஸ்ஃபார்ம்-செட் TRANSFORM1 esp-aes 256 esp-sha256-hmac
    முறை சுரங்கப்பாதை
    !
    கிரிப்டோ ipsec சுயவிவர இயல்புநிலை
    உருமாற்றம்-செட் TRANSFORM1
    ikev2-profile BeelineIPSec_profile ஐ அமைக்கவும்
    !
    இடைமுக சுரங்கப்பாதை1
    ஐபி முகவரி 10.20.1.2 255.255.255.252 - சுரங்கப்பாதை முகவரி
    சுரங்கப்பாதை ஆதாரம் GigabitEthernet0/2 - இணைய அணுகல் இடைமுகம்
    சுரங்கப்பாதை முறை ipsec ipv4
    சுரங்கப்பாதை இலக்கு மாறும்
    சுரங்கப்பாதை பாதுகாப்பு ipsec சுயவிவர இயல்புநிலை
    !
    பீலைன் விபிஎன் செறிவு மூலம் அணுகக்கூடிய கிளையண்டின் தனிப்பட்ட நெட்வொர்க்குகளுக்கான வழிகளை நிலையான முறையில் அமைக்கலாம்.

    ஐபி வழி 172.16.0.0 255.255.0.0 சுரங்கப்பாதை1
    ஐபி வழி 192.168.0.0 255.255.255.0 சுரங்கப்பாதை1

    Huaweiக்கான விருப்பம் (ar160/120):
    உள்ளூர் பெயர் <login>
    #
    acl பெயர் ipsec 3999
    விதி 1 அனுமதி ஐபி மூல 10.1.1.0 0.0.0.255 - அலுவலக உள்ளூர் நெட்வொர்க்
    #
    AAA
    சேவை திட்டம் IPSEC
    வழித்தடம் 3999
    #
    ipsec முன்மொழிவு ipsec
    esp அங்கீகார-அல்காரிதம் sha2-256
    esp encryption-algorithm aes-256
    #
    ike முன்மொழிவு இயல்புநிலை
    encryption-algorithm aes-256
    dh குழு2
    authentication-algorithm sha2-256
    அங்கீகார முறை முன்-பகிர்வு
    integrity-algorithm hmac-sha2-256
    prf hmac-sha2-256
    #
    ஐக் பியர் ஐப்செக்
    முன்-பகிர்வு-விசை எளிய <அங்கீகரிப்பு கடவுச்சொல்>
    உள்ளூர் ஐடி வகை fqdn
    ரிமோட்-ஐடி-வகை ஐபி
    தொலை முகவரி 62.141.99.183 -விபிஎன் ஹப் பீலைன்
    சேவை திட்டம் IPSEC
    config-exchange கோரிக்கை
    config-exchange தொகுப்பு ஏற்றுக்கொள்ளும்
    config-exchange set send
    #
    ipsec சுயவிவரம் ipsecprof
    ike-peer ipsec
    முன்மொழிவு ipsec
    #
    இடைமுகம் டன்னல்0/0/0
    ஐபி முகவரி 10.20.1.2 255.255.255.252 - சுரங்கப்பாதை முகவரி
    tunnel-protocol ipsec
    ஆதாரம் GigabitEthernet0/0/1 - இணைய அணுகல் இடைமுகம்
    ipsec சுயவிவரம் ipsecprof
    #
    பீலைன் விபிஎன் செறிவு மூலம் அணுகக்கூடிய கிளையண்டின் தனிப்பட்ட நெட்வொர்க்குகளுக்கான வழிகளை நிலையான முறையில் அமைக்கலாம்

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

இதன் விளைவாக வரும் தகவல்தொடர்பு வரைபடம் இதுபோல் தெரிகிறது:

IPSec வழியாக Beeline IPVPN ஐ எவ்வாறு பெறுவது. பகுதி 1

கிளையண்டிடம் அடிப்படை உள்ளமைவின் சில எடுத்துக்காட்டுகள் இல்லை என்றால், நாங்கள் வழக்கமாக அவற்றை உருவாக்க உதவுகிறோம் மற்றும் அனைவருக்கும் அவற்றைக் கிடைக்கச் செய்கிறோம்.

CPE ஐ இணையத்துடன் இணைப்பது, VPN சுரங்கப்பாதையின் மறுமொழி பகுதி மற்றும் VPN க்குள் உள்ள எந்த ஹோஸ்டுக்கும் பிங் செய்வது மட்டுமே மீதமுள்ளது, அவ்வளவுதான், இணைப்பு செய்யப்பட்டுள்ளது என்று நாம் கருதலாம்.

Huawei CPE ஐப் பயன்படுத்தி இந்த திட்டத்தை IPSec மற்றும் MultiSIM பணிநீக்கத்துடன் எவ்வாறு இணைத்தோம் என்பதை அடுத்த கட்டுரையில் கூறுவோம்: வாடிக்கையாளர்களுக்காக எங்கள் Huawei CPE ஐ நிறுவுகிறோம், இது கம்பி இணைய சேனல் மட்டுமல்ல, 2 வெவ்வேறு சிம் கார்டுகள் மற்றும் CPE ஆகியவற்றைப் பயன்படுத்தலாம். வயர்டு WAN வழியாகவோ அல்லது ரேடியோ வழியாகவோ (LTE#1/LTE#2) IPSec-tunnel ஐ தானாக மீண்டும் உருவாக்குகிறது.

இந்தக் கட்டுரையைத் தயாரித்ததற்காக எங்கள் RnD சகாக்களுக்கு (உண்மையில், இந்த தொழில்நுட்ப தீர்வுகளின் ஆசிரியர்களுக்கு) சிறப்பு நன்றி!

ஆதாரம்: www.habr.com

கருத்தைச் சேர்