IPSec ద్వారా బీలైన్ IPVPNని ఎలా పొందాలి. 1 వ భాగము

హలో! IN మునుపటి పోస్ట్ నేను మా మల్టీసిమ్ సేవ యొక్క పనిని పాక్షికంగా వివరించాను రిజర్వేషన్లు и బ్యాలెన్సింగ్ ఛానెల్‌లు. చెప్పినట్లుగా, మేము VPN ద్వారా క్లయింట్‌లను నెట్‌వర్క్‌కు కనెక్ట్ చేస్తాము మరియు ఈ రోజు నేను VPN మరియు ఈ భాగంలో మా సామర్థ్యాల గురించి కొంచెం ఎక్కువ చెబుతాను.

మేము, టెలికాం ఆపరేటర్‌గా, మా స్వంత భారీ MPLS నెట్‌వర్క్‌ను కలిగి ఉన్నాము, ఇది స్థిర-లైన్ కస్టమర్‌ల కోసం రెండు ప్రధాన విభాగాలుగా విభజించబడింది - ఇంటర్నెట్‌ను యాక్సెస్ చేయడానికి నేరుగా ఉపయోగించేది మరియు ఒకటి వివిక్త నెట్‌వర్క్‌లను రూపొందించడానికి ఉపయోగించబడుతుంది - మరియు ఈ MPLS సెగ్మెంట్ ద్వారా IPVPN (L3 OSI) మరియు VPLAN (L2 OSI) ట్రాఫిక్ మా కార్పొరేట్ క్లయింట్‌ల కోసం ప్రవహిస్తుంది.

సాధారణంగా, క్లయింట్ కనెక్షన్ క్రింది విధంగా జరుగుతుంది.

నెట్‌వర్క్ యొక్క సమీప స్థానం (నోడ్ MEN, RRL, BSSS, FTTB, మొదలైనవి) నుండి క్లయింట్ కార్యాలయానికి యాక్సెస్ లైన్ వేయబడింది మరియు తదుపరి, ఛానెల్ రవాణా నెట్‌వర్క్ ద్వారా సంబంధిత PE-MPLSకి నమోదు చేయబడుతుంది. రౌటర్, క్లయింట్‌కు అవసరమైన ట్రాఫిక్ ప్రొఫైల్‌ను పరిగణనలోకి తీసుకుని, VRF క్లయింట్ కోసం ప్రత్యేకంగా రూపొందించిన దాన్ని మేము అవుట్‌పుట్ చేస్తాము (iP ప్రాధాన్యత విలువలు 0,1,3,5 ఆధారంగా ప్రతి యాక్సెస్ పోర్ట్‌కు ప్రొఫైల్ లేబుల్‌లు ఎంపిక చేయబడతాయి, XNUMX)

కొన్ని కారణాల వల్ల మేము క్లయింట్ కోసం చివరి మైలును పూర్తిగా నిర్వహించలేకపోతే, ఉదాహరణకు, క్లయింట్ యొక్క కార్యాలయం వ్యాపార కేంద్రంలో ఉంది, ఇక్కడ మరొక ప్రొవైడర్ ప్రాధాన్యతనిస్తుంది లేదా మాకు సమీపంలో మా ఉనికిని కలిగి ఉండకపోతే, గతంలో క్లయింట్లు వివిధ ప్రొవైడర్ల వద్ద అనేక IPVPN నెట్‌వర్క్‌లను సృష్టించాలి (అత్యంత ఖర్చుతో కూడుకున్న నిర్మాణం కాదు) లేదా ఇంటర్నెట్‌లో మీ VRFకి యాక్సెస్‌ని నిర్వహించడంలో సమస్యలను స్వతంత్రంగా పరిష్కరించుకోవాలి.

చాలా మంది IPVPN ఇంటర్నెట్ గేట్‌వేని ఇన్‌స్టాల్ చేయడం ద్వారా దీన్ని చేసారు - వారు సరిహద్దు రౌటర్‌ను (హార్డ్‌వేర్ లేదా కొన్ని లైనక్స్ ఆధారిత సొల్యూషన్) ఇన్‌స్టాల్ చేసారు, దానికి IPVPN ఛానెల్‌ని ఒక పోర్ట్‌తో మరియు ఇంటర్నెట్ ఛానెల్‌ని మరొక దానితో కనెక్ట్ చేసి, దానిపై వారి VPN సర్వర్‌ను ప్రారంభించి కనెక్ట్ చేసారు. వినియోగదారులు వారి స్వంత VPN గేట్‌వే ద్వారా. సహజంగానే, అటువంటి పథకం భారాలను కూడా సృష్టిస్తుంది: అటువంటి మౌలిక సదుపాయాలు తప్పనిసరిగా నిర్మించబడాలి మరియు చాలా అసౌకర్యంగా, నిర్వహించబడతాయి మరియు అభివృద్ధి చేయబడతాయి.

మా క్లయింట్‌ల కోసం జీవితాన్ని సులభతరం చేయడానికి, మేము కేంద్రీకృత VPN హబ్‌ని ఇన్‌స్టాల్ చేసాము మరియు IPSecని ఉపయోగించి ఇంటర్నెట్‌లో కనెక్షన్‌ల కోసం వ్యవస్థీకృత మద్దతును ఇన్‌స్టాల్ చేసాము, అంటే, ఇప్పుడు క్లయింట్‌లు ఏదైనా పబ్లిక్ ఇంటర్నెట్‌లో IPSec టన్నెల్ ద్వారా మా VPN హబ్‌తో పని చేయడానికి వారి రూటర్‌ను కాన్ఫిగర్ చేయాలి. , మరియు మేము ఈ క్లయింట్ యొక్క ట్రాఫిక్‌ను దాని VRFకి విడుదల చేస్తాము.

ఎవరికి అవసరం అవుతుంది

• ఇప్పటికే పెద్ద IPVPN నెట్‌వర్క్‌ని కలిగి ఉన్నవారికి మరియు తక్కువ సమయంలో కొత్త కనెక్షన్‌లు అవసరమయ్యే వారికి.
• ఎవరైనా, కొన్ని కారణాల వల్ల, పబ్లిక్ ఇంటర్నెట్ నుండి IPVPNకి ట్రాఫిక్‌లో కొంత భాగాన్ని బదిలీ చేయాలనుకుంటున్నారు, కానీ గతంలో అనేక సేవా ప్రదాతలతో అనుబంధించబడిన సాంకేతిక పరిమితులను ఎదుర్కొన్నారు.
• ప్రస్తుతం వివిధ టెలికాం ఆపరేటర్లలో అనేక విభిన్న VPN నెట్‌వర్క్‌లను కలిగి ఉన్న వారి కోసం. Beeline, Megafon, Rostelecom మొదలైన వాటి నుండి IPVPNని విజయవంతంగా నిర్వహించిన క్లయింట్లు ఉన్నారు. దీన్ని సులభతరం చేయడానికి, మీరు మా సింగిల్ VPNలో మాత్రమే ఉండగలరు, ఇతర ఆపరేటర్‌ల యొక్క అన్ని ఇతర ఛానెల్‌లను ఇంటర్నెట్‌కి మార్చవచ్చు, ఆపై ఈ ఆపరేటర్‌ల నుండి IPSec మరియు ఇంటర్నెట్ ద్వారా Beeline IPVPNకి కనెక్ట్ చేయవచ్చు.
• ఇంటర్నెట్‌లో ఇప్పటికే IPVPN నెట్‌వర్క్‌ని కలిగి ఉన్న వారి కోసం.

మీరు మాతో అన్నింటినీ అమలు చేస్తే, క్లయింట్‌లు పూర్తి స్థాయి VPN మద్దతు, తీవ్రమైన మౌలిక సదుపాయాల రిడెండెన్సీ మరియు వారు ఉపయోగించే ఏదైనా రౌటర్‌లో పనిచేసే ప్రామాణిక సెట్టింగ్‌లను అందుకుంటారు (అది సిస్కో అయినా, మైక్రోటిక్ అయినా, ప్రధాన విషయం ఏమిటంటే అది సరిగ్గా మద్దతు ఇవ్వగలదు. IPSec/IKEv2 ప్రామాణిక ప్రమాణీకరణ పద్ధతులతో). మార్గం ద్వారా, IPSec గురించి - ప్రస్తుతం మేము దీనికి మాత్రమే మద్దతిస్తాము, కానీ మేము OpenVPN మరియు Wireguard రెండింటి యొక్క పూర్తి స్థాయి ఆపరేషన్‌ను ప్రారంభించాలని ప్లాన్ చేస్తున్నాము, తద్వారా క్లయింట్‌లు ప్రోటోకాల్‌పై ఆధారపడలేరు మరియు ప్రతిదీ తీసుకోవడం మరియు మాకు బదిలీ చేయడం మరింత సులభం, మరియు మేము కంప్యూటర్‌లు మరియు మొబైల్ పరికరాల నుండి క్లయింట్‌లను కనెక్ట్ చేయడాన్ని కూడా ప్రారంభించాలనుకుంటున్నాము (OS, Cisco AnyConnect మరియు స్ట్రాంగ్‌స్వాన్ మరియు ఇలాంటి పరిష్కారాలు). ఈ విధానంతో, అవస్థాపన యొక్క వాస్తవ నిర్మాణాన్ని సురక్షితంగా ఆపరేటర్‌కు అప్పగించవచ్చు, CPE లేదా హోస్ట్ యొక్క కాన్ఫిగరేషన్‌ను మాత్రమే వదిలివేయవచ్చు.

IPSec మోడ్ కోసం కనెక్షన్ ప్రక్రియ ఎలా పని చేస్తుంది:

1. క్లయింట్ తన మేనేజర్‌కి ఒక అభ్యర్థనను అందజేస్తాడు, దీనిలో అతను సొరంగం కోసం అవసరమైన కనెక్షన్ వేగం, ట్రాఫిక్ ప్రొఫైల్ మరియు IP చిరునామా పారామితులను (డిఫాల్ట్‌గా, /30 మాస్క్‌తో కూడిన సబ్‌నెట్) మరియు రూటింగ్ రకాన్ని (స్టాటిక్ లేదా BGP) సూచిస్తాడు. కనెక్ట్ చేయబడిన కార్యాలయంలో క్లయింట్ యొక్క స్థానిక నెట్‌వర్క్‌లకు మార్గాలను బదిలీ చేయడానికి, IPSec ప్రోటోకాల్ దశ యొక్క IKEv2 మెకానిజమ్స్ క్లయింట్ రూటర్‌లో తగిన సెట్టింగ్‌లను ఉపయోగించి ఉపయోగించబడతాయి లేదా క్లయింట్ యొక్క అప్లికేషన్‌లో పేర్కొన్న ప్రైవేట్ BGP AS నుండి MPLSలో BGP ద్వారా ప్రచారం చేయబడతాయి. . అందువలన, క్లయింట్ నెట్‌వర్క్‌ల మార్గాల గురించి సమాచారం క్లయింట్ రూటర్ యొక్క సెట్టింగ్‌ల ద్వారా క్లయింట్ ద్వారా పూర్తిగా నియంత్రించబడుతుంది.
2. అతని మేనేజర్ నుండి ప్రతిస్పందనగా, క్లయింట్ తన ఫారమ్ యొక్క VRFలో చేర్చడానికి అకౌంటింగ్ డేటాను స్వీకరిస్తాడు:
   • VPN-HUB IP చిరునామా
   • లాగిన్
   • ప్రమాణీకరణ పాస్వర్డ్
3. క్రింద CPEని కాన్ఫిగర్ చేస్తుంది, ఉదాహరణకు, రెండు ప్రాథమిక కాన్ఫిగరేషన్ ఎంపికలు:

   సిస్కో కోసం ఎంపిక:
   crypto ikev2 కీరింగ్ BeelineIPsec_keyring
   పీర్ Beeline_VPNHub
   చిరునామా 62.141.99.183 -VPN హబ్ బీలైన్
   pre-shared-key <ప్రామాణీకరణ పాస్‌వర్డ్>
   !
   స్టాటిక్ రూటింగ్ ఎంపిక కోసం, Vpn-hub ద్వారా యాక్సెస్ చేయగల నెట్‌వర్క్‌లకు మార్గాలు IKEv2 కాన్ఫిగరేషన్‌లో పేర్కొనబడతాయి మరియు అవి స్వయంచాలకంగా CE రూటింగ్ పట్టికలో స్టాటిక్ రూట్‌లుగా కనిపిస్తాయి. స్టాటిక్ మార్గాలను సెట్ చేసే ప్రామాణిక పద్ధతిని ఉపయోగించి కూడా ఈ సెట్టింగ్‌లు చేయవచ్చు (క్రింద చూడండి).

   crypto ikev2 అధికార విధానం FlexClient-author

   CE రూటర్ వెనుక ఉన్న నెట్‌వర్క్‌లకు మార్గం - CE మరియు PE మధ్య స్టాటిక్ రూటింగ్ కోసం తప్పనిసరి సెట్టింగ్. IKEv2 పరస్పర చర్య ద్వారా సొరంగం పైకి లేచినప్పుడు PEకి మార్గం డేటా బదిలీ స్వయంచాలకంగా నిర్వహించబడుతుంది.

   రూట్ సెట్ రిమోట్ ipv4 10.1.1.0 255.255.255.0 -ఆఫీస్ లోకల్ నెట్‌వర్క్
   !
   క్రిప్టో ikev2 ప్రొఫైల్ BeelineIPSec_profile
   గుర్తింపు స్థానిక <login>
   ప్రామాణీకరణ స్థానిక ముందస్తు భాగస్వామ్యం
   ప్రమాణీకరణ రిమోట్ ప్రీ-షేర్
   కీరింగ్ స్థానిక BeelineIPsec_keyring
   aaa అధికార సమూహం psk జాబితా సమూహం-రచయిత-జాబితా FlexClient-రచయిత
   !
   crypto ikev2 క్లయింట్ flexvpn BeelineIPsec_flex
   పీర్ 1 Beeline_VPNHub
   క్లయింట్ టన్నెల్ 1 కనెక్ట్
   !
   క్రిప్టో ipsec ట్రాన్స్‌ఫార్మ్-సెట్ TRANSFORM1 esp-aes 256 esp-sha256-hmac
   మోడ్ సొరంగం
   !
   క్రిప్టో ipsec ప్రొఫైల్ డిఫాల్ట్
   పరివర్తన-సెట్ TRANSFORM1ని సెట్ చేయండి
   ikev2-profile BeelineIPSec_profileని సెట్ చేయండి
   !
   ఇంటర్ఫేస్ టన్నెల్1
   ip చిరునామా 10.20.1.2 255.255.255.252 - సొరంగం చిరునామా
   సొరంగం మూలం GigabitEthernet0/2 -ఇంటర్నెట్ యాక్సెస్ ఇంటర్ఫేస్
   టన్నెల్ మోడ్ ipsec ipv4
   సొరంగం గమ్యం డైనమిక్
   సొరంగం రక్షణ ipsec ప్రొఫైల్ డిఫాల్ట్
   !
   బీలైన్ VPN కాన్సంట్రేటర్ ద్వారా యాక్సెస్ చేయగల క్లయింట్ యొక్క ప్రైవేట్ నెట్‌వర్క్‌లకు రూట్‌లు స్థిరంగా సెట్ చేయబడతాయి.

   ip రూట్ 172.16.0.0 255.255.0.0 టన్నెల్1
   ip రూట్ 192.168.0.0 255.255.255.0 టన్నెల్1

   Huawei కోసం ఎంపిక (ar160/120):
   స్థానిక-పేరు <login>
   #
   acl పేరు ipsec 3999
   నియమం 1 అనుమతి ip మూలం 10.1.1.0 0.0.0.255 -ఆఫీస్ లోకల్ నెట్‌వర్క్
   #
   aaa
   సర్వీస్-స్కీమ్ IPSEC
   మార్గం సెట్ ACL 3999
   #
   ipsec ప్రతిపాదన ipsec
   esp ప్రమాణీకరణ-అల్గోరిథం sha2-256
   esp ఎన్క్రిప్షన్-అల్గోరిథం aes-256
   #
   ike ప్రతిపాదన డిఫాల్ట్
   ఎన్క్రిప్షన్-అల్గోరిథం aes-256
   dh సమూహం 2
   ప్రమాణీకరణ-అల్గోరిథం sha2-256
   ధృవీకరణ-పద్ధతి ముందస్తు భాగస్వామ్యం
   integrity-algorithm hmac-sha2-256
   prf hmac-sha2-256
   #
   ike పీర్ ipsec
   ప్రీ-షేర్డ్-కీ సింపుల్ <ప్రామాణీకరణ పాస్‌వర్డ్>
   స్థానిక-ఐడి-రకం fqdn
   రిమోట్-ఐడి-రకం ip
   రిమోట్-చిరునామా 62.141.99.183 -VPN హబ్ బీలైన్
   సర్వీస్-స్కీమ్ IPSEC
   config-exchange అభ్యర్థన
   config-exchange సెట్ అంగీకరించు
   config-exchange సెట్ పంపండి
   #
   ipsec ప్రొఫైల్ ipsecprof
   ike-peer ipsec
   ప్రతిపాదన ipsec
   #
   ఇంటర్ఫేస్ టన్నెల్0/0/0
   ip చిరునామా 10.20.1.2 255.255.255.252 - సొరంగం చిరునామా
   సొరంగం-ప్రోటోకాల్ ipsec
   మూలం GigabitEthernet0/0/1 -ఇంటర్నెట్ యాక్సెస్ ఇంటర్ఫేస్
   ipsec ప్రొఫైల్ ipsecprof
   #
   బీలైన్ VPN కాన్సంట్రేటర్ ద్వారా యాక్సెస్ చేయగల క్లయింట్ ప్రైవేట్ నెట్‌వర్క్‌లకు రూట్‌లు స్థిరంగా సెట్ చేయబడతాయి

   ip రూట్-స్టాటిక్ 192.168.0.0 255.255.255.0 టన్నెల్0/0/0
   ip రూట్-స్టాటిక్ 172.16.0.0 255.255.0.0 టన్నెల్0/0/0

ఫలితంగా కమ్యూనికేషన్ రేఖాచిత్రం ఇలా కనిపిస్తుంది:

క్లయింట్ వద్ద ప్రాథమిక కాన్ఫిగరేషన్‌కు సంబంధించిన కొన్ని ఉదాహరణలు లేకుంటే, మేము సాధారణంగా వాటి ఏర్పాటుకు సహాయం చేస్తాము మరియు వాటిని అందరికి అందుబాటులో ఉంచుతాము.

CPEని ఇంటర్నెట్‌కి కనెక్ట్ చేయడం, VPN టన్నెల్ యొక్క ప్రతిస్పందన భాగానికి మరియు VPN లోపల ఏదైనా హోస్ట్‌కి పింగ్ చేయడం మాత్రమే మిగిలి ఉంది మరియు అంతే, మేము కనెక్షన్ చేయబడిందని అనుకోవచ్చు.

మేము Huawei CPEని ఉపయోగించి IPSec మరియు MultiSIM రిడెండెన్సీతో ఈ పథకాన్ని ఎలా కలిపామో తదుపరి కథనంలో మీకు తెలియజేస్తాము: మేము క్లయింట్‌ల కోసం మా Huawei CPEని ఇన్‌స్టాల్ చేస్తాము, ఇది వైర్డు ఇంటర్నెట్ ఛానెల్‌ని మాత్రమే కాకుండా 2 విభిన్న SIM కార్డ్‌లు మరియు CPEని కూడా ఉపయోగించవచ్చు. IPSec- టన్నెల్‌ను వైర్డు WAN ద్వారా లేదా రేడియో (LTE#1/LTE#2) ద్వారా స్వయంచాలకంగా పునర్నిర్మిస్తుంది, ఫలితంగా సేవ యొక్క అధిక తప్పు సహనాన్ని తెలుసుకుంటుంది.

ఈ కథనాన్ని సిద్ధం చేసినందుకు మా RnD సహోద్యోగులకు ప్రత్యేక ధన్యవాదాలు (మరియు, వాస్తవానికి, ఈ సాంకేతిక పరిష్కారాల రచయితలకు)!

మూలం: www.habr.com