Pẹlẹ o! IN Mo ṣe apejuwe iṣẹ ti iṣẹ MultiSIM wa ni apakan и awọn ikanni. Gẹgẹbi a ti sọ, a so awọn alabara pọ si nẹtiwọọki nipasẹ VPN, ati loni Emi yoo sọ fun ọ diẹ diẹ sii nipa VPN ati awọn agbara wa ni apakan yii.
O tọ lati bẹrẹ pẹlu otitọ pe awa, gẹgẹbi oniṣẹ telecom, ni nẹtiwọọki MPLS tiwa tiwa, eyiti awọn alabara laini ti pin si awọn apakan akọkọ meji - ọkan ti o lo taara lati wọle si Intanẹẹti, ati ọkan ti o jẹ. ti a lo lati ṣẹda awọn nẹtiwọọki ti o ya sọtọ - ati pe o jẹ nipasẹ apakan MPLS yii ni IPVPN (L3 OSI) ati VPLAN (L2 OSI) n ṣaja fun awọn alabara ile-iṣẹ wa.
Ni deede, asopọ alabara kan waye bi atẹle.
Laini iwọle ti gbe si ọfiisi alabara lati aaye ti o sunmọ julọ ti Nẹtiwọọki (node MEN, RRL, BSSS, FTTB, bbl) ati siwaju sii, ikanni ti forukọsilẹ nipasẹ nẹtiwọọki gbigbe si PE-MPLS ti o baamu olulana, lori eyiti a gbejade si apẹrẹ pataki fun alabara VRF, ni akiyesi profaili ijabọ ti alabara nilo (awọn aami profaili ti yan fun ibudo iwọle kọọkan, ti o da lori awọn iye iṣaaju ip 0,1,3,5, XNUMX).
Ti o ba jẹ fun idi kan a ko le ṣeto ni kikun maili to kẹhin fun alabara, fun apẹẹrẹ, ọfiisi alabara wa ni ile-iṣẹ iṣowo kan, nibiti olupese miiran jẹ pataki, tabi a ko ni aaye wiwa wa nitosi, lẹhinna awọn alabara iṣaaju. ni lati ṣẹda awọn nẹtiwọọki IPVPN pupọ ni awọn olupese oriṣiriṣi (kii ṣe faaji ti o munadoko julọ) tabi ni ominira yanju awọn ọran pẹlu siseto iraye si VRF rẹ lori Intanẹẹti.
Ọpọlọpọ ṣe eyi nipa fifi sori ẹrọ ẹnu-ọna Intanẹẹti IPVPN - wọn fi sori ẹrọ olulana aala (hardware tabi diẹ ninu ojutu orisun Linux), so ikanni IPVPN kan si pẹlu ibudo kan ati ikanni Intanẹẹti pẹlu ekeji, ṣe ifilọlẹ olupin VPN wọn lori rẹ ati sopọ awọn olumulo nipasẹ ẹnu-ọna VPN tiwọn. Nipa ti, iru ero yii tun ṣẹda awọn ẹru: iru awọn amayederun gbọdọ wa ni itumọ ati, lainirọrun, ṣiṣẹ ati idagbasoke.
Lati jẹ ki igbesi aye rọrun fun awọn alabara wa, a fi sori ẹrọ ibudo VPN aarin kan ati atilẹyin ṣeto fun awọn asopọ lori Intanẹẹti nipa lilo IPSec, iyẹn ni, ni bayi awọn alabara nilo lati tunto olulana wọn lati ṣiṣẹ pẹlu ibudo VPN wa nipasẹ oju eefin IPSec lori Intanẹẹti gbogbo eniyan. , ati pe a jẹ ki a tu ijabọ alabara yii si VRF rẹ.
Tani yoo nilo
- Fun awọn ti o ti ni nẹtiwọọki IPVPN nla ati nilo awọn asopọ tuntun ni igba diẹ.
- Ẹnikẹni ti o, fun idi kan, fẹ lati gbe apakan ti ijabọ naa lati Intanẹẹti ti gbogbo eniyan si IPVPN, ṣugbọn o ti ṣaju awọn idiwọn imọ-ẹrọ ti o ni nkan ṣe pẹlu ọpọlọpọ awọn olupese iṣẹ.
- Fun awọn ti o ni ọpọlọpọ awọn nẹtiwọọki VPN lọpọlọpọ kọja awọn oniṣẹ tẹlifoonu oriṣiriṣi. Awọn alabara wa ti o ti ṣeto IPVPN ni aṣeyọri lati Beeline, Megafon, Rostelecom, ati bẹbẹ lọ. Lati jẹ ki o rọrun, o le duro nikan lori VPN nikan wa, yipada gbogbo awọn ikanni miiran ti awọn oniṣẹ miiran si Intanẹẹti, lẹhinna sopọ si Beeline IPVPN nipasẹ IPSec ati Intanẹẹti lati ọdọ awọn oniṣẹ wọnyi.
- Fun awọn ti o ti ni nẹtiwọki IPVPN tẹlẹ lori Intanẹẹti.
Ti o ba fi ohun gbogbo ranṣẹ pẹlu wa, lẹhinna awọn alabara gba atilẹyin VPN ni kikun, apọju amayederun pataki, ati awọn eto boṣewa ti yoo ṣiṣẹ lori olulana eyikeyi ti wọn lo lati (jẹ Cisco, paapaa Mikrotik, ohun akọkọ ni pe o le ṣe atilẹyin daradara IPSec/IKEv2 pẹlu awọn ọna ijẹrisi idiwon). Nipa ọna, nipa IPSec - ni bayi a ṣe atilẹyin nikan, ṣugbọn a gbero lati ṣe ifilọlẹ iṣẹ kikun ti OpenVPN ati Wireguard, ki awọn alabara ko le dale lori ilana naa ati pe o rọrun paapaa lati mu ati gbe ohun gbogbo lọ si wa, ati pe a tun fẹ lati bẹrẹ sisopọ awọn alabara lati awọn kọnputa ati awọn ẹrọ alagbeka (awọn ojutu ti a ṣe sinu OS, Cisco AnyConnect ati strongSwan ati bii). Pẹlu ọna yii, iṣelọpọ de facto ti awọn amayederun le wa ni ifipamọ lailewu si oniṣẹ, nlọ nikan iṣeto ti CPE tabi agbalejo.
Bawo ni ilana asopọ naa ṣe n ṣiṣẹ fun ipo IPSec:
- Onibara fi ibeere kan silẹ fun oluṣakoso rẹ ninu eyiti o tọka iyara asopọ ti o nilo, profaili ijabọ ati awọn aye adirẹsi IP fun oju eefin (nipasẹ aiyipada, subnet pẹlu iboju 30) ati iru ipa-ọna (aimi tabi BGP). Lati gbe awọn ipa-ọna lọ si awọn nẹtiwọọki agbegbe ti alabara ni ọfiisi ti a ti sopọ, awọn ilana IKEv2 ti ipele ilana Ilana IPSec ni a lo nipa lilo awọn eto ti o yẹ lori olulana alabara, tabi wọn ṣe ipolowo nipasẹ BGP ni MPLS lati BGP AS ikọkọ ti a pato ninu ohun elo alabara. . Nitorinaa, alaye nipa awọn ipa-ọna ti awọn nẹtiwọọki alabara jẹ iṣakoso patapata nipasẹ alabara nipasẹ awọn eto ti olulana alabara.
- Ni idahun lati ọdọ oluṣakoso rẹ, alabara gba data iṣiro fun ifisi ninu VRF rẹ ti fọọmu naa:
- VPN-HUB adiresi IP
- Wiwọle
- Ọrọigbaniwọle ijẹrisi
- Ṣe atunto CPE, ni isalẹ, fun apẹẹrẹ, awọn aṣayan atunto ipilẹ meji:
Aṣayan fun Cisco:
crypto ikev2 keyring BeelineIPsec_keyring
ẹlẹgbẹ Beeline_VPNHub
adirẹsi 62.141.99.183 - VPN ibudo Beeline
kọkọrọ-iṣaaju
!
Fun aṣayan ipa-ọna aimi, awọn ipa-ọna si awọn nẹtiwọọki ti o wa nipasẹ Vpn-hub le jẹ pato ni iṣeto IKEv2 ati pe wọn yoo han laifọwọyi bi awọn ipa-ọna aimi ni tabili afisona CE. Awọn eto wọnyi tun le ṣe ni lilo ọna boṣewa ti ṣeto awọn ipa-ọna aimi (wo isalẹ).crypto ikev2 ašẹ imulo FlexClient-onkowe
Oju-ọna si awọn nẹtiwọọki lẹhin olulana CE – eto dandan fun ipa-ọna aimi laarin CE ati PE. Gbigbe data ipa-ọna si PE ni a ṣe laifọwọyi nigbati oju eefin ba dide nipasẹ ibaraenisepo IKEv2.
ipa ọna ṣeto latọna jijin ipv4 10.1.1.0 255.255.255.0 - Nẹtiwọọki agbegbe ọfiisi
!
crypto ikev2 profaili BeelineIPSec_profile
idamo agbegbe
ìfàṣẹsí agbegbe ami-pin
ìfàṣẹsí latọna jijin ami-pin
keyring agbegbe BeelineIPsec_keyring
aaa ẹgbẹ ašẹ psk akojọ ẹgbẹ-onkowe-akojọ FlexClient-onkowe
!
crypto ikev2 klient flexvpn BeelineIPsec_flex
ẹlẹgbẹ 1 Beeline_VPNHub
ose so Tunnel1
!
crypto ipsec yipada-ṣeto TRANSFORM1 esp-aes 256 esp-sha256-hmac
iho mode
!
crypto ipsec profaili aiyipada
ṣeto transform-ṣeto TRANSFORM1
ṣeto ikev2-profaili BeelineIPSec_profile
!
ni wiwo Tunnel1
adiresi IP 10.20.1.2 255.255.255.252 – Adirẹsi oju eefin
orisun eefin GigabitEthernet0/2 – Ni wiwo wiwọle Ayelujara
ipo oju eefin ipsec ipv4
oju eefin nlo ìmúdàgba
aabo oju eefin ipsec profaili aiyipada
!
Awọn ipa-ọna si awọn nẹtiwọọki ikọkọ ti alabara ti o wa nipasẹ ifọkansi Beeline VPN ni a le ṣeto ni iṣiro.ipa ọna ip 172.16.0.0 255.255.0.0 Tunnel1
ipa ọna ip 192.168.0.0 255.255.255.0 Tunnel1Aṣayan fun Huawei (ar160/120):
ike local-name
#
acl orukọ ipsec 3999
ofin 1 iyọọda ip orisun 10.1.1.0 0.0.0.255 - Nẹtiwọọki agbegbe ọfiisi
#
AAA
iṣẹ-eto IPSEC
ipa ọna acl 3999
#
ipsec igbero ipsec
esp ìfàṣẹsí-algoridimu sha2-256
esp ìsekóòdù-algoridimu aes-256
#
ike igbero aiyipada
ìsekóòdù-algoridimu aes-256
dh ẹgbẹ2
ìfàṣẹsí-algoridimu sha2-256
ìfàṣẹsí-ọna ami-pin
iyege-algoridimu hmac-sha2-256
prf hmac-sha2-256
#
ike ẹlẹgbẹ ipsec
pre-shared-bọtini o rọrun
agbegbe-id-iru fqdn
latọna-id-iru ip
latọna-adirẹsi 62.141.99.183 - VPN ibudo Beeline
iṣẹ-eto IPSEC
konfigi-paṣipaarọ ìbéèrè
konfigi-paṣipaarọ ṣeto gba
konfigi-paṣipaarọ ṣeto fi
#
ipsec profaili ipsecprof
ike-ẹlẹgbẹ ipsec
igbero ipsec
#
ni wiwo Tunnel0/0/0
adiresi IP 10.20.1.2 255.255.255.252 – Adirẹsi oju eefin
eefin-protocol ipsec
orisun GigabitEthernet0/0/1 – Ni wiwo wiwọle Ayelujara
ipsec profaili ipsecprof
#
Awọn ipa-ọna si awọn nẹtiwọọki ikọkọ ti alabara ti o wa nipasẹ ifọkansi Beeline VPN ni a le ṣeto ni iṣiroipa ọna ip-aimi 192.168.0.0 255.255.255.0 Tunnel0/0/0
ipa ọna ip-aimi 172.16.0.0 255.255.0.0 Tunnel0/0/0
Abajade aworan atọka ibaraẹnisọrọ wulẹ nkan bii eyi:
Ti alabara ko ba ni diẹ ninu awọn apẹẹrẹ ti iṣeto ipilẹ, lẹhinna a nigbagbogbo ṣe iranlọwọ pẹlu iṣelọpọ wọn ati jẹ ki wọn wa si gbogbo eniyan miiran.
Gbogbo ohun ti o ku ni lati so CPE pọ si Intanẹẹti, ping si apakan idahun ti oju eefin VPN ati eyikeyi ogun inu VPN, ati pe iyẹn ni, a le ro pe a ti ṣe asopọ naa.
Ninu nkan ti o tẹle a yoo sọ fun ọ bi a ṣe ṣe idapo ero yii pẹlu IPSec ati MultiSIM Redundancy lilo Huawei CPE: a fi sori ẹrọ Huawei CPE wa fun awọn alabara, eyiti o le lo kii ṣe ikanni Intanẹẹti ti firanṣẹ nikan, ṣugbọn tun awọn kaadi SIM oriṣiriṣi 2, ati CPE laifọwọyi tun IPSec- eefin boya nipasẹ ti firanṣẹ WAN tabi nipasẹ redio (LTE # 1/LTE # 2), mọ ga ẹbi ifarada ti awọn Abajade iṣẹ.
O ṣeun pataki si awọn ẹlẹgbẹ RnD wa fun murasilẹ nkan yii (ati, ni otitọ, si awọn onkọwe ti awọn solusan imọ-ẹrọ wọnyi)!
orisun: www.habr.com