హలో! IN
మేము, టెలికాం ఆపరేటర్గా, మా స్వంత భారీ MPLS నెట్వర్క్ను కలిగి ఉన్నాము, ఇది స్థిర-లైన్ కస్టమర్ల కోసం రెండు ప్రధాన విభాగాలుగా విభజించబడింది - ఇంటర్నెట్ను యాక్సెస్ చేయడానికి నేరుగా ఉపయోగించేది మరియు ఒకటి వివిక్త నెట్వర్క్లను రూపొందించడానికి ఉపయోగించబడుతుంది - మరియు ఈ MPLS సెగ్మెంట్ ద్వారా IPVPN (L3 OSI) మరియు VPLAN (L2 OSI) ట్రాఫిక్ మా కార్పొరేట్ క్లయింట్ల కోసం ప్రవహిస్తుంది.
సాధారణంగా, క్లయింట్ కనెక్షన్ క్రింది విధంగా జరుగుతుంది.
నెట్వర్క్ యొక్క సమీప స్థానం (నోడ్ MEN, RRL, BSSS, FTTB, మొదలైనవి) నుండి క్లయింట్ కార్యాలయానికి యాక్సెస్ లైన్ వేయబడింది మరియు తదుపరి, ఛానెల్ రవాణా నెట్వర్క్ ద్వారా సంబంధిత PE-MPLSకి నమోదు చేయబడుతుంది. రౌటర్, క్లయింట్కు అవసరమైన ట్రాఫిక్ ప్రొఫైల్ను పరిగణనలోకి తీసుకుని, VRF క్లయింట్ కోసం ప్రత్యేకంగా రూపొందించిన దాన్ని మేము అవుట్పుట్ చేస్తాము (iP ప్రాధాన్యత విలువలు 0,1,3,5 ఆధారంగా ప్రతి యాక్సెస్ పోర్ట్కు ప్రొఫైల్ లేబుల్లు ఎంపిక చేయబడతాయి, XNUMX)
కొన్ని కారణాల వల్ల మేము క్లయింట్ కోసం చివరి మైలును పూర్తిగా నిర్వహించలేకపోతే, ఉదాహరణకు, క్లయింట్ యొక్క కార్యాలయం వ్యాపార కేంద్రంలో ఉంది, ఇక్కడ మరొక ప్రొవైడర్ ప్రాధాన్యతనిస్తుంది లేదా మాకు సమీపంలో మా ఉనికిని కలిగి ఉండకపోతే, గతంలో క్లయింట్లు వివిధ ప్రొవైడర్ల వద్ద అనేక IPVPN నెట్వర్క్లను సృష్టించాలి (అత్యంత ఖర్చుతో కూడుకున్న నిర్మాణం కాదు) లేదా ఇంటర్నెట్లో మీ VRFకి యాక్సెస్ని నిర్వహించడంలో సమస్యలను స్వతంత్రంగా పరిష్కరించుకోవాలి.
చాలా మంది IPVPN ఇంటర్నెట్ గేట్వేని ఇన్స్టాల్ చేయడం ద్వారా దీన్ని చేసారు - వారు సరిహద్దు రౌటర్ను (హార్డ్వేర్ లేదా కొన్ని లైనక్స్ ఆధారిత సొల్యూషన్) ఇన్స్టాల్ చేసారు, దానికి IPVPN ఛానెల్ని ఒక పోర్ట్తో మరియు ఇంటర్నెట్ ఛానెల్ని మరొక దానితో కనెక్ట్ చేసి, దానిపై వారి VPN సర్వర్ను ప్రారంభించి కనెక్ట్ చేసారు. వినియోగదారులు వారి స్వంత VPN గేట్వే ద్వారా. సహజంగానే, అటువంటి పథకం భారాలను కూడా సృష్టిస్తుంది: అటువంటి మౌలిక సదుపాయాలు తప్పనిసరిగా నిర్మించబడాలి మరియు చాలా అసౌకర్యంగా, నిర్వహించబడతాయి మరియు అభివృద్ధి చేయబడతాయి.
మా క్లయింట్ల కోసం జీవితాన్ని సులభతరం చేయడానికి, మేము కేంద్రీకృత VPN హబ్ని ఇన్స్టాల్ చేసాము మరియు IPSecని ఉపయోగించి ఇంటర్నెట్లో కనెక్షన్ల కోసం వ్యవస్థీకృత మద్దతును ఇన్స్టాల్ చేసాము, అంటే, ఇప్పుడు క్లయింట్లు ఏదైనా పబ్లిక్ ఇంటర్నెట్లో IPSec టన్నెల్ ద్వారా మా VPN హబ్తో పని చేయడానికి వారి రూటర్ను కాన్ఫిగర్ చేయాలి. , మరియు మేము ఈ క్లయింట్ యొక్క ట్రాఫిక్ను దాని VRFకి విడుదల చేస్తాము.
ఎవరికి అవసరం అవుతుంది
- ఇప్పటికే పెద్ద IPVPN నెట్వర్క్ని కలిగి ఉన్నవారికి మరియు తక్కువ సమయంలో కొత్త కనెక్షన్లు అవసరమయ్యే వారికి.
- ఎవరైనా, కొన్ని కారణాల వల్ల, పబ్లిక్ ఇంటర్నెట్ నుండి IPVPNకి ట్రాఫిక్లో కొంత భాగాన్ని బదిలీ చేయాలనుకుంటున్నారు, కానీ గతంలో అనేక సేవా ప్రదాతలతో అనుబంధించబడిన సాంకేతిక పరిమితులను ఎదుర్కొన్నారు.
- ప్రస్తుతం వివిధ టెలికాం ఆపరేటర్లలో అనేక విభిన్న VPN నెట్వర్క్లను కలిగి ఉన్న వారి కోసం. Beeline, Megafon, Rostelecom మొదలైన వాటి నుండి IPVPNని విజయవంతంగా నిర్వహించిన క్లయింట్లు ఉన్నారు. దీన్ని సులభతరం చేయడానికి, మీరు మా సింగిల్ VPNలో మాత్రమే ఉండగలరు, ఇతర ఆపరేటర్ల యొక్క అన్ని ఇతర ఛానెల్లను ఇంటర్నెట్కి మార్చవచ్చు, ఆపై ఈ ఆపరేటర్ల నుండి IPSec మరియు ఇంటర్నెట్ ద్వారా Beeline IPVPNకి కనెక్ట్ చేయవచ్చు.
- ఇంటర్నెట్లో ఇప్పటికే IPVPN నెట్వర్క్ని కలిగి ఉన్న వారి కోసం.
మీరు మాతో అన్నింటినీ అమలు చేస్తే, క్లయింట్లు పూర్తి స్థాయి VPN మద్దతు, తీవ్రమైన మౌలిక సదుపాయాల రిడెండెన్సీ మరియు వారు ఉపయోగించే ఏదైనా రౌటర్లో పనిచేసే ప్రామాణిక సెట్టింగ్లను అందుకుంటారు (అది సిస్కో అయినా, మైక్రోటిక్ అయినా, ప్రధాన విషయం ఏమిటంటే అది సరిగ్గా మద్దతు ఇవ్వగలదు. IPSec/IKEv2 ప్రామాణిక ప్రమాణీకరణ పద్ధతులతో). మార్గం ద్వారా, IPSec గురించి - ప్రస్తుతం మేము దీనికి మాత్రమే మద్దతిస్తాము, కానీ మేము OpenVPN మరియు Wireguard రెండింటి యొక్క పూర్తి స్థాయి ఆపరేషన్ను ప్రారంభించాలని ప్లాన్ చేస్తున్నాము, తద్వారా క్లయింట్లు ప్రోటోకాల్పై ఆధారపడలేరు మరియు ప్రతిదీ తీసుకోవడం మరియు మాకు బదిలీ చేయడం మరింత సులభం, మరియు మేము కంప్యూటర్లు మరియు మొబైల్ పరికరాల నుండి క్లయింట్లను కనెక్ట్ చేయడాన్ని కూడా ప్రారంభించాలనుకుంటున్నాము (OS, Cisco AnyConnect మరియు స్ట్రాంగ్స్వాన్ మరియు ఇలాంటి పరిష్కారాలు). ఈ విధానంతో, అవస్థాపన యొక్క వాస్తవ నిర్మాణాన్ని సురక్షితంగా ఆపరేటర్కు అప్పగించవచ్చు, CPE లేదా హోస్ట్ యొక్క కాన్ఫిగరేషన్ను మాత్రమే వదిలివేయవచ్చు.
IPSec మోడ్ కోసం కనెక్షన్ ప్రక్రియ ఎలా పని చేస్తుంది:
- క్లయింట్ తన మేనేజర్కి ఒక అభ్యర్థనను అందజేస్తాడు, దీనిలో అతను సొరంగం కోసం అవసరమైన కనెక్షన్ వేగం, ట్రాఫిక్ ప్రొఫైల్ మరియు IP చిరునామా పారామితులను (డిఫాల్ట్గా, /30 మాస్క్తో కూడిన సబ్నెట్) మరియు రూటింగ్ రకాన్ని (స్టాటిక్ లేదా BGP) సూచిస్తాడు. కనెక్ట్ చేయబడిన కార్యాలయంలో క్లయింట్ యొక్క స్థానిక నెట్వర్క్లకు మార్గాలను బదిలీ చేయడానికి, IPSec ప్రోటోకాల్ దశ యొక్క IKEv2 మెకానిజమ్స్ క్లయింట్ రూటర్లో తగిన సెట్టింగ్లను ఉపయోగించి ఉపయోగించబడతాయి లేదా క్లయింట్ యొక్క అప్లికేషన్లో పేర్కొన్న ప్రైవేట్ BGP AS నుండి MPLSలో BGP ద్వారా ప్రచారం చేయబడతాయి. . అందువలన, క్లయింట్ నెట్వర్క్ల మార్గాల గురించి సమాచారం క్లయింట్ రూటర్ యొక్క సెట్టింగ్ల ద్వారా క్లయింట్ ద్వారా పూర్తిగా నియంత్రించబడుతుంది.
- అతని మేనేజర్ నుండి ప్రతిస్పందనగా, క్లయింట్ తన ఫారమ్ యొక్క VRFలో చేర్చడానికి అకౌంటింగ్ డేటాను స్వీకరిస్తాడు:
- VPN-HUB IP చిరునామా
- లాగిన్
- ప్రమాణీకరణ పాస్వర్డ్
- క్రింద CPEని కాన్ఫిగర్ చేస్తుంది, ఉదాహరణకు, రెండు ప్రాథమిక కాన్ఫిగరేషన్ ఎంపికలు:
సిస్కో కోసం ఎంపిక:
crypto ikev2 కీరింగ్ BeelineIPsec_keyring
పీర్ Beeline_VPNHub
చిరునామా 62.141.99.183 -VPN హబ్ బీలైన్
pre-shared-key <ప్రామాణీకరణ పాస్వర్డ్>
!
స్టాటిక్ రూటింగ్ ఎంపిక కోసం, Vpn-hub ద్వారా యాక్సెస్ చేయగల నెట్వర్క్లకు మార్గాలు IKEv2 కాన్ఫిగరేషన్లో పేర్కొనబడతాయి మరియు అవి స్వయంచాలకంగా CE రూటింగ్ పట్టికలో స్టాటిక్ రూట్లుగా కనిపిస్తాయి. స్టాటిక్ మార్గాలను సెట్ చేసే ప్రామాణిక పద్ధతిని ఉపయోగించి కూడా ఈ సెట్టింగ్లు చేయవచ్చు (క్రింద చూడండి).crypto ikev2 అధికార విధానం FlexClient-author
CE రూటర్ వెనుక ఉన్న నెట్వర్క్లకు మార్గం - CE మరియు PE మధ్య స్టాటిక్ రూటింగ్ కోసం తప్పనిసరి సెట్టింగ్. IKEv2 పరస్పర చర్య ద్వారా సొరంగం పైకి లేచినప్పుడు PEకి మార్గం డేటా బదిలీ స్వయంచాలకంగా నిర్వహించబడుతుంది.
రూట్ సెట్ రిమోట్ ipv4 10.1.1.0 255.255.255.0 -ఆఫీస్ లోకల్ నెట్వర్క్
!
క్రిప్టో ikev2 ప్రొఫైల్ BeelineIPSec_profile
గుర్తింపు స్థానిక <login>
ప్రామాణీకరణ స్థానిక ముందస్తు భాగస్వామ్యం
ప్రమాణీకరణ రిమోట్ ప్రీ-షేర్
కీరింగ్ స్థానిక BeelineIPsec_keyring
aaa అధికార సమూహం psk జాబితా సమూహం-రచయిత-జాబితా FlexClient-రచయిత
!
crypto ikev2 క్లయింట్ flexvpn BeelineIPsec_flex
పీర్ 1 Beeline_VPNHub
క్లయింట్ టన్నెల్ 1 కనెక్ట్
!
క్రిప్టో ipsec ట్రాన్స్ఫార్మ్-సెట్ TRANSFORM1 esp-aes 256 esp-sha256-hmac
మోడ్ సొరంగం
!
క్రిప్టో ipsec ప్రొఫైల్ డిఫాల్ట్
పరివర్తన-సెట్ TRANSFORM1ని సెట్ చేయండి
ikev2-profile BeelineIPSec_profileని సెట్ చేయండి
!
ఇంటర్ఫేస్ టన్నెల్1
ip చిరునామా 10.20.1.2 255.255.255.252 - సొరంగం చిరునామా
సొరంగం మూలం GigabitEthernet0/2 -ఇంటర్నెట్ యాక్సెస్ ఇంటర్ఫేస్
టన్నెల్ మోడ్ ipsec ipv4
సొరంగం గమ్యం డైనమిక్
సొరంగం రక్షణ ipsec ప్రొఫైల్ డిఫాల్ట్
!
బీలైన్ VPN కాన్సంట్రేటర్ ద్వారా యాక్సెస్ చేయగల క్లయింట్ యొక్క ప్రైవేట్ నెట్వర్క్లకు రూట్లు స్థిరంగా సెట్ చేయబడతాయి.ip రూట్ 172.16.0.0 255.255.0.0 టన్నెల్1
ip రూట్ 192.168.0.0 255.255.255.0 టన్నెల్1Huawei కోసం ఎంపిక (ar160/120):
స్థానిక-పేరు <login>
#
acl పేరు ipsec 3999
నియమం 1 అనుమతి ip మూలం 10.1.1.0 0.0.0.255 -ఆఫీస్ లోకల్ నెట్వర్క్
#
aaa
సర్వీస్-స్కీమ్ IPSEC
మార్గం సెట్ ACL 3999
#
ipsec ప్రతిపాదన ipsec
esp ప్రమాణీకరణ-అల్గోరిథం sha2-256
esp ఎన్క్రిప్షన్-అల్గోరిథం aes-256
#
ike ప్రతిపాదన డిఫాల్ట్
ఎన్క్రిప్షన్-అల్గోరిథం aes-256
dh సమూహం 2
ప్రమాణీకరణ-అల్గోరిథం sha2-256
ధృవీకరణ-పద్ధతి ముందస్తు భాగస్వామ్యం
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike పీర్ ipsec
ప్రీ-షేర్డ్-కీ సింపుల్ <ప్రామాణీకరణ పాస్వర్డ్>
స్థానిక-ఐడి-రకం fqdn
రిమోట్-ఐడి-రకం ip
రిమోట్-చిరునామా 62.141.99.183 -VPN హబ్ బీలైన్
సర్వీస్-స్కీమ్ IPSEC
config-exchange అభ్యర్థన
config-exchange సెట్ అంగీకరించు
config-exchange సెట్ పంపండి
#
ipsec ప్రొఫైల్ ipsecprof
ike-peer ipsec
ప్రతిపాదన ipsec
#
ఇంటర్ఫేస్ టన్నెల్0/0/0
ip చిరునామా 10.20.1.2 255.255.255.252 - సొరంగం చిరునామా
సొరంగం-ప్రోటోకాల్ ipsec
మూలం GigabitEthernet0/0/1 -ఇంటర్నెట్ యాక్సెస్ ఇంటర్ఫేస్
ipsec ప్రొఫైల్ ipsecprof
#
బీలైన్ VPN కాన్సంట్రేటర్ ద్వారా యాక్సెస్ చేయగల క్లయింట్ ప్రైవేట్ నెట్వర్క్లకు రూట్లు స్థిరంగా సెట్ చేయబడతాయిip రూట్-స్టాటిక్ 192.168.0.0 255.255.255.0 టన్నెల్0/0/0
ip రూట్-స్టాటిక్ 172.16.0.0 255.255.0.0 టన్నెల్0/0/0
ఫలితంగా కమ్యూనికేషన్ రేఖాచిత్రం ఇలా కనిపిస్తుంది:
క్లయింట్ వద్ద ప్రాథమిక కాన్ఫిగరేషన్కు సంబంధించిన కొన్ని ఉదాహరణలు లేకుంటే, మేము సాధారణంగా వాటి ఏర్పాటుకు సహాయం చేస్తాము మరియు వాటిని అందరికి అందుబాటులో ఉంచుతాము.
CPEని ఇంటర్నెట్కి కనెక్ట్ చేయడం, VPN టన్నెల్ యొక్క ప్రతిస్పందన భాగానికి మరియు VPN లోపల ఏదైనా హోస్ట్కి పింగ్ చేయడం మాత్రమే మిగిలి ఉంది మరియు అంతే, మేము కనెక్షన్ చేయబడిందని అనుకోవచ్చు.
మేము Huawei CPEని ఉపయోగించి IPSec మరియు MultiSIM రిడెండెన్సీతో ఈ పథకాన్ని ఎలా కలిపామో తదుపరి కథనంలో మీకు తెలియజేస్తాము: మేము క్లయింట్ల కోసం మా Huawei CPEని ఇన్స్టాల్ చేస్తాము, ఇది వైర్డు ఇంటర్నెట్ ఛానెల్ని మాత్రమే కాకుండా 2 విభిన్న SIM కార్డ్లు మరియు CPEని కూడా ఉపయోగించవచ్చు. IPSec- టన్నెల్ను వైర్డు WAN ద్వారా లేదా రేడియో (LTE#1/LTE#2) ద్వారా స్వయంచాలకంగా పునర్నిర్మిస్తుంది, ఫలితంగా సేవ యొక్క అధిక తప్పు సహనాన్ని తెలుసుకుంటుంది.
ఈ కథనాన్ని సిద్ధం చేసినందుకు మా RnD సహోద్యోగులకు ప్రత్యేక ధన్యవాదాలు (మరియు, వాస్తవానికి, ఈ సాంకేతిక పరిష్కారాల రచయితలకు)!
మూలం: www.habr.com