پرو ہوسٹر > بلاگ > انتظامیہ > IPSec کے ذریعے Beeline IPVPN تک کیسے پہنچیں۔ حصہ 1

IPSec کے ذریعے Beeline IPVPN تک کیسے پہنچیں۔ حصہ 1

ہیلو! میں پچھلی پوسٹ میں نے اپنی ملٹی سم سروس کے کام کو جزوی طور پر بیان کیا۔ تحفظات и توازن چینلز جیسا کہ ذکر کیا گیا ہے، ہم کلائنٹس کو VPN کے ذریعے نیٹ ورک سے جوڑتے ہیں، اور آج میں آپ کو VPN اور اس حصے میں ہماری صلاحیتوں کے بارے میں کچھ اور بتاؤں گا۔

یہ اس حقیقت سے شروع کرنے کے قابل ہے کہ ایک ٹیلی کام آپریٹر کے طور پر، ہمارے پاس اپنا بہت بڑا MPLS نیٹ ورک ہے، جو فکسڈ لائن صارفین کے لیے دو اہم حصوں میں تقسیم ہے - ایک جو براہ راست انٹرنیٹ تک رسائی کے لیے استعمال ہوتا ہے، اور دوسرا الگ تھلگ نیٹ ورکس بنانے کے لیے استعمال کیا جاتا ہے — اور اس MPLS سیگمنٹ کے ذریعے ہمارے کارپوریٹ کلائنٹس کے لیے IPVPN (L3 OSI) اور VPLAN (L2 OSI) ٹریفک کا بہاؤ ہوتا ہے۔

IPSec کے ذریعے Beeline IPVPN تک کیسے پہنچیں۔ حصہ 1
عام طور پر، ایک کلائنٹ کنکشن مندرجہ ذیل طور پر ہوتا ہے.

نیٹ ورک کے قریب ترین مقام (نوڈ MEN، RRL، BSSS، FTTB، وغیرہ) سے کلائنٹ کے دفتر تک رسائی کی لائن بچھائی جاتی ہے اور مزید، چینل کو ٹرانسپورٹ نیٹ ورک کے ذریعے متعلقہ PE-MPLS تک رجسٹر کیا جاتا ہے۔ راؤٹر، جس پر ہم اسے VRF کلائنٹ کے لیے خاص طور پر بنائے گئے ٹریفک پروفائل کو مدنظر رکھتے ہوئے آؤٹ پٹ کرتے ہیں جس کی کلائنٹ کو ضرورت ہوتی ہے (آئی پی ترجیحی اقدار 0,1,3,5 کی بنیاد پر ہر ایک رسائی پورٹ کے لیے پروفائل لیبل منتخب کیے جاتے ہیں، XNUMX)۔

اگر کسی وجہ سے ہم کلائنٹ کے لیے آخری میل کو مکمل طور پر منظم نہیں کر سکتے ہیں، مثال کے طور پر، کلائنٹ کا دفتر ایک کاروباری مرکز میں واقع ہے، جہاں ایک اور فراہم کنندہ کو ترجیح دی جاتی ہے، یا ہمارے پاس اپنی موجودگی کا مقام قریب ہی نہیں ہے، تو پہلے کلائنٹ مختلف فراہم کنندگان پر کئی IPVPN نیٹ ورکس بنانے ہوں گے (سب سے زیادہ سرمایہ کاری مؤثر فن تعمیر نہیں) یا انٹرنیٹ پر آپ کے VRF تک رسائی کو منظم کرنے کے مسائل کو آزادانہ طور پر حل کرنا تھا۔

بہت سے لوگوں نے یہ ایک IPVPN انٹرنیٹ گیٹ وے انسٹال کر کے کیا - انہوں نے ایک بارڈر روٹر (ہارڈ ویئر یا کچھ لینکس پر مبنی حل) نصب کیا، ایک IPVPN چینل کو ایک پورٹ سے اور دوسرے کے ساتھ ایک انٹرنیٹ چینل کے ساتھ منسلک کیا، اس پر اپنا VPN سرور لانچ کیا اور منسلک کیا صارفین اپنے VPN گیٹ وے کے ذریعے۔ قدرتی طور پر، اس طرح کی اسکیم بوجھ بھی پیدا کرتی ہے: اس طرح کے بنیادی ڈھانچے کو تعمیر کیا جانا چاہئے اور، سب سے زیادہ تکلیف کے طور پر، چلایا اور تیار کیا جانا چاہئے.

اپنے کلائنٹس کے لیے زندگی کو آسان بنانے کے لیے، ہم نے ایک مرکزی VPN حب انسٹال کیا اور IPSec کا استعمال کرتے ہوئے انٹرنیٹ پر کنکشنز کے لیے سپورٹ کو منظم کیا، یعنی اب کلائنٹس کو کسی بھی عوامی انٹرنیٹ پر IPSec سرنگ کے ذریعے ہمارے VPN حب کے ساتھ کام کرنے کے لیے اپنے روٹر کو کنفیگر کرنے کی ضرورت ہے۔ ، اور ہم اس کلائنٹ کی ٹریفک کو اس کے VRF پر جاری کرتے ہیں۔

جس کی ضرورت ہو گی۔

  • ان لوگوں کے لیے جن کے پاس پہلے سے ہی ایک بڑا IPVPN نیٹ ورک ہے اور انہیں مختصر وقت میں نئے کنکشن کی ضرورت ہے۔
  • کوئی بھی جو، کسی وجہ سے، ٹریفک کا کچھ حصہ عوامی انٹرنیٹ سے IPVPN میں منتقل کرنا چاہتا ہے، لیکن اسے پہلے کئی سروس فراہم کنندگان سے وابستہ تکنیکی حدود کا سامنا کرنا پڑا ہے۔
  • ان لوگوں کے لیے جن کے پاس فی الحال مختلف ٹیلی کام آپریٹرز میں متعدد مختلف VPN نیٹ ورکس ہیں۔ ایسے کلائنٹس ہیں جنہوں نے Beeline، Megafon، Rostelecom، وغیرہ سے IPVPN کو کامیابی سے منظم کیا ہے۔ اسے آسان بنانے کے لیے، آپ صرف ہمارے واحد VPN پر رہ سکتے ہیں، دوسرے آپریٹرز کے تمام چینلز کو انٹرنیٹ پر سوئچ کر سکتے ہیں، اور پھر ان آپریٹرز سے IPSec اور انٹرنیٹ کے ذریعے Beeline IPVPN سے جڑ سکتے ہیں۔
  • ان لوگوں کے لیے جن کے پاس پہلے سے ہی انٹرنیٹ پر ایک IPVPN نیٹ ورک موجود ہے۔

اگر آپ ہمارے ساتھ ہر چیز کو متعین کرتے ہیں، تو کلائنٹس کو مکمل VPN سپورٹ، بنیادی ڈھانچے کی سنگین فالتو پن، اور معیاری سیٹنگیں ملتی ہیں جو کسی بھی راؤٹر پر کام کریں گی جس کے وہ عادی ہوں (وہ سسکو ہو، میکروٹک بھی، اہم بات یہ ہے کہ یہ مناسب طریقے سے سپورٹ کر سکتا ہے۔ IPSec/IKEv2 معیاری تصدیقی طریقوں کے ساتھ)۔ ویسے، IPSec کے بارے میں - ابھی ہم صرف اس کی حمایت کرتے ہیں، لیکن ہم OpenVPN اور Wireguard دونوں کے مکمل آپریشن شروع کرنے کا ارادہ رکھتے ہیں، تاکہ کلائنٹس پروٹوکول پر انحصار نہ کر سکیں اور ہر چیز کو ہمارے پاس لے جانا اور منتقل کرنا اور بھی آسان ہو، اور ہم کلائنٹس کو کمپیوٹرز اور موبائل ڈیوائسز سے بھی جوڑنا شروع کرنا چاہتے ہیں (OS، Cisco AnyConnect اور strongSwan اور اس طرح کے حل)۔ اس نقطہ نظر کے ساتھ، بنیادی ڈھانچے کی ڈی فیکٹو تعمیر کو محفوظ طریقے سے آپریٹر کے حوالے کیا جا سکتا ہے، صرف CPE یا میزبان کی ترتیب کو چھوڑ کر۔

کنکشن کا عمل IPSec موڈ کے لیے کیسے کام کرتا ہے:

  1. کلائنٹ اپنے مینیجر کو ایک درخواست چھوڑتا ہے جس میں وہ سرنگ کے لیے مطلوبہ کنکشن کی رفتار، ٹریفک پروفائل اور آئی پی ایڈریسنگ پیرامیٹرز (بطور ڈیفالٹ، /30 ماسک والا سب نیٹ) اور روٹنگ کی قسم (جامد یا بی جی پی) کی نشاندہی کرتا ہے۔ منسلک دفتر میں کلائنٹ کے مقامی نیٹ ورکس میں روٹس کی منتقلی کے لیے، IPSec پروٹوکول فیز کے IKEv2 میکانزم کو کلائنٹ کے روٹر پر مناسب سیٹنگز کا استعمال کرتے ہوئے استعمال کیا جاتا ہے، یا ان کی تشہیر BGP کے ذریعے MPLS میں پرائیویٹ BGP AS سے کی جاتی ہے جو کلائنٹ کی درخواست میں بیان کی گئی ہے۔ . اس طرح، کلائنٹ نیٹ ورکس کے روٹس کے بارے میں معلومات کلائنٹ کے روٹر کی سیٹنگز کے ذریعے کلائنٹ کے ذریعے مکمل طور پر کنٹرول ہوتی ہے۔
  2. اس کے مینیجر کے جواب میں، کلائنٹ اپنے فارم کے VRF میں شامل کرنے کے لیے اکاؤنٹنگ ڈیٹا حاصل کرتا ہے:
    • VPN-HUB IP پتہ
    • لاگ ان
    • تصدیقی پاس ورڈ
  3. CPE کو ترتیب دیتا ہے، ذیل میں، مثال کے طور پر، ترتیب کے دو بنیادی اختیارات:

    سسکو کے لیے اختیار:
    crypto ikev2 keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    ایڈریس 62.141.99.183 -VPN مرکز Beeline
    pre-shared-key <Authentication password>
    !
    جامد روٹنگ آپشن کے لیے، Vpn-ہب کے ذریعے قابل رسائی نیٹ ورکس کے راستوں کو IKEv2 کنفیگریشن میں بیان کیا جا سکتا ہے اور وہ خود بخود CE روٹنگ ٹیبل میں جامد راستوں کے طور پر ظاہر ہوں گے۔ یہ ترتیبات جامد راستوں کو ترتیب دینے کا معیاری طریقہ استعمال کرتے ہوئے بھی بنایا جا سکتا ہے (نیچے دیکھیں)۔

    crypto ikev2 کی اجازت کی پالیسی FlexClient-author

    CE روٹر کے پیچھے نیٹ ورکس کا راستہ – CE اور PE کے درمیان جامد روٹنگ کے لیے ایک لازمی ترتیب۔ روٹ ڈیٹا کی پی ای میں منتقلی خود بخود ہو جاتی ہے جب سرنگ کو IKEv2 تعامل کے ذریعے اٹھایا جاتا ہے۔

    روٹ سیٹ ریموٹ ipv4 10.1.1.0 255.255.255.0 - دفتر کا مقامی نیٹ ورک
    !
    crypto ikev2 پروفائل BeelineIPSec_profile
    identity local <login>
    تصدیق مقامی پری شیئر
    تصدیق ریموٹ پری شیئر
    keyring مقامی BeelineIPsec_keyring
    aaa اجازت گروپ psk فہرست گروپ مصنف کی فہرست FlexClient-author
    !
    crypto ikev2 کلائنٹ flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    کلائنٹ کنیکٹ Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    موڈ سرنگ
    !
    crypto ipsec پروفائل ڈیفالٹ
    ٹرانسفارم سیٹ کریں TRANSFORM1
    ikev2-profile BeelineIPSec_profile سیٹ کریں۔
    !
    انٹرفیس ٹنل 1
    آئی پی ایڈریس 10.20.1.2 255.255.255.252 - سرنگ کا پتہ
    سرنگ کا ذریعہ GigabitEthernet0/2 - انٹرنیٹ تک رسائی کا انٹرفیس
    ٹنل موڈ ipsec ipv4
    سرنگ منزل متحرک
    ٹنل پروٹیکشن ipsec پروفائل ڈیفالٹ
    !
    Beeline VPN concentrator کے ذریعے قابل رسائی کلائنٹ کے نجی نیٹ ورکس کے راستوں کو مستحکم طور پر سیٹ کیا جا سکتا ہے۔

    آئی پی روٹ 172.16.0.0 255.255.0.0 ٹنل1
    آئی پی روٹ 192.168.0.0 255.255.255.0 ٹنل1

    Huawei کے لیے آپشن (ar160/120):
    ike local-name <login>
    #
    acl نام ipsec 3999
    اصول 1 پرمٹ آئی پی سورس 10.1.1.0 0.0.0.255 - دفتر کا مقامی نیٹ ورک
    #
    ییی
    سروس اسکیم IPSEC
    روٹ سیٹ acl 3999
    #
    ipsec تجویز ipsec
    esp توثیق الگورتھم sha2-256
    esp encryption-algorithm aes-256
    #
    ike تجویز ڈیفالٹ
    encryption-algorithm aes-256
    ڈی ایچ گروپ 2
    توثیق الگورتھم sha2-256
    تصدیق کا طریقہ پری شیئر
    integrity-algorithm hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    پہلے سے مشترکہ کلید سادہ <تصدیق پاس ورڈ>
    لوکل آئی ڈی ٹائپ ایف کی ڈی این
    remote-id-type ip
    ریموٹ ایڈریس 62.141.99.183 -VPN مرکز Beeline
    سروس اسکیم IPSEC
    config-تبادلے کی درخواست
    config-exchange set کو قبول کرتا ہے۔
    config-exchange سیٹ بھیجیں۔
    #
    ipsec پروفائل ipsecprof
    ike-peer ipsec
    تجویز ipsec
    #
    انٹرفیس ٹنل0/0/0
    آئی پی ایڈریس 10.20.1.2 255.255.255.252 - سرنگ کا پتہ
    ٹنل پروٹوکول ipsec
    ذریعہ GigabitEthernet0/0/1 - انٹرنیٹ تک رسائی کا انٹرفیس
    ipsec پروفائل ipsecprof
    #
    Beeline VPN concentrator کے ذریعے قابل رسائی کلائنٹ کے نجی نیٹ ورکس کے راستوں کو مستحکم طور پر سیٹ کیا جا سکتا ہے۔

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

نتیجے میں مواصلاتی خاکہ کچھ اس طرح نظر آتا ہے:

IPSec کے ذریعے Beeline IPVPN تک کیسے پہنچیں۔ حصہ 1

اگر کلائنٹ کے پاس بنیادی ترتیب کی کچھ مثالیں نہیں ہیں، تو ہم عام طور پر ان کی تشکیل میں مدد کرتے ہیں اور انہیں ہر کسی کے لیے دستیاب کراتے ہیں۔

بس سی پی ای کو انٹرنیٹ سے جوڑنا، VPN ٹنل کے رسپانس حصے اور VPN کے اندر موجود کسی بھی میزبان کو پنگ لگانا ہے، اور بس، ہم یہ فرض کر سکتے ہیں کہ کنکشن ہو گیا ہے۔

اگلے مضمون میں ہم آپ کو بتائیں گے کہ ہم نے Huawei CPE کا استعمال کرتے ہوئے اس سکیم کو IPSec اور MultiSIM Redundancy کے ساتھ کیسے ملایا: ہم اپنے Huawei CPE کو کلائنٹس کے لیے انسٹال کرتے ہیں، جو نہ صرف ایک وائرڈ انٹرنیٹ چینل، بلکہ 2 مختلف سم کارڈز، اور CPE بھی استعمال کر سکتے ہیں۔ خود بخود IPSec- سرنگ کو یا تو وائرڈ WAN کے ذریعے یا ریڈیو (LTE#1/LTE#2) کے ذریعے دوبارہ بناتا ہے، جس کے نتیجے میں آنے والی سروس کی اعلی غلطی برداشت ہوتی ہے۔

اس مضمون کی تیاری کے لیے ہمارے RnD ساتھیوں کا خصوصی شکریہ (اور درحقیقت ان تکنیکی حلوں کے مصنفین کا)!

ماخذ: www.habr.com

نیا تبصرہ شامل کریں