Dalam versi klasik Reservasi MultiSIM, saat menyediakan layanan IPVPN melalui dua jaringan seluler, ada masalah berikut ini:
- Untuk setiap klien, Anda perlu membuat APN pribadi Anda sendiri, mengkonfigurasi BGP atau perutean statis di dalamnya, segera menghitung jumlah host yang diperlukan untuk paket pengalamatan IP yang benar.
- , , .
- ().
- IPVPN LTE , , โ IPVPN LTE ยซยป.
Di sisi lain, kami memiliki IPSec, di mana semua pengaturan perutean dan klien dipisahkan dari transportasi, apakah itu saluran Internet kabel atau LTE dari operator yang berbeda, dan label lalu lintas dapat disimpan di dalam terowongan, meskipun tanpa memastikan SLA, karena Internet dan terutama LTE / 3G adalah media yang agak tidak terduga untuk transmisi data.
Oleh karena itu, kami mendapat ide - "Mengapa tidak menggunakan IPsec melalui LTE juga?" Masukkan kartu SIM standar dengan APN yang telah dibuat sebelumnya ke dalam router dan bangun IPSEC melalui mereka ke VPN HUB kami dan lepaskan klien ke VRF-nya. Dan jika ada saluran berkabel, gunakan sambungan berkabel sebagai transportasi utama, dan jika terjadi kecelakaan, alihkan lalu lintas ke LTE.
Dengan demikian, diagram jaringan mulai terlihat seperti ini:
Dapat Diklik
Klien mendapatkan hingga tiga saluran WAN sekaligus, yang akan memainkan peran "mendasari" untuk lalu lintas IPSec:
- Saluran akses Internet kabel.
- Jaringan LTE (utama) pertama.
- Jaringan LTE (Cadangan) kedua (jika perlu).
Sekarang tinggal memilih dan mengkonfigurasi router untuk opsi pengiriman layanan ini.
Mengonfigurasi router
Saat memilih router, kami tertarik pada dua model dari Huawei - AR161 dan AR129. Mereka memiliki dukungan IPSec, modem LTE dengan dukungan untuk dua kartu SIM, 4 port LAN Ethernet + 1 Ethernet WAN, dan AR129 juga memiliki WiFi, yaitu, semua yang diperlukan agar sirkuit kami berfungsi, dan bahkan lebih banyak lagi.
Tetapi dengan pengaturan, semuanya ternyata jauh lebih rumit.
Saat mengkonfigurasi router untuk Multisim Redundancy, kami menghadapi masalah prioritas antara WAN berkabel dan dua jaringan LTE untuk memilih rute lalu lintas terbaik.
Huawei AR161 / 129 memiliki dua alat untuk ini:
- Fungsi Analisis Kualitas Jaringan (alias NQA-test).
Melakukan pengujian dasar dengan permintaan icmp ke host yang ditentukan untuk menentukan ketersediaannya. - Buka fungsi Programmability System (OPS) + Python.
Alat yang sangat kuat, memungkinkan Anda untuk menyimpan informasi dalam log dan melakukan peralihan "cerdas" berdasarkan statistik icmp, tetapi juga sulit untuk dipelajari.
Untuk mengatasi masalah kami, kami memilih fungsionalitas OPS + Python untuk mengaktifkan hanya dua SIM LTE, dan mode campuran untuk Internet + dua SIM LTE.
Perkiraan konfigurasi pada router adalah sebagai berikut:
Dalam kasus koneksi hanya 2x Sim LTE
# IP WAN ( DHCP)
interface GigabitEthernet0/0/4
ip address dhcp-alloc
# APN , Cellular0/0/0
apn profile [APN #1]
apn [APN 1 NAME]
apn profile [APN #2]
apn [APN 2 NAME]
sim-id 2
# Cellular0/0/0
interface Cellular0/0/0
dialer enable-circular
apn-profile [APN #1] priority 120
apn-profile [APN #2]
dialer timer autodial 60
profile create lte-default [APN #1] sim-id 1
profile create lte-default [APN #2] sim-id 2
ip address negotiate
modem reboot
# IPSec
ipsec authentication sha2 compatible enable
ike local-name [IPSEC_LOGIN]
# IPSec
ipsec proposal ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
# IPSec
ike peer ipsec_1
pre-shared-key simple [IPSEC_PASSWORD]
ike-proposal 1
local-id-type fqdn
remote-id-type ip
dpd type periodic
dpd idle-time 10
dpd retransmit-interval 2
remote-address 100.64.0.100
route accept
config-exchange request
config-exchange set accept
config-exchange set send
ipsec profile ipsecprof_1
ike-peer ipsec_1
proposal ipsec
# IPSec -
interface Tunnel0/0/0
tunnel-protocol ipsec
ip address [ IP - Huawei] 255.255.255.252
source Cellular0/0/0
ipsec profile ipsecprof_1
#
ip route-static 0.0.0.0 0.0.0.0 Tunnel0/0/0
ip route-static [VPN HUB INTERNAL ADDRESS] 255.255.0.0 Cellular0/0/0 Dalam kasus Internet + 2x Sim LTE-inklusi
# IP WAN ( DHCP)
interface GigabitEthernet0/0/4
ip address dhcp-alloc
# APN , Cellular0/0/0
apn profile [APN #1]
apn [APN 1 NAME]
apn profile [APN #2]
apn [APN 2 NAME]
sim-id 2
# Cellular0/0/0
interface Cellular0/0/0
dialer enable-circular
apn-profile [APN #1] priority 120
apn-profile [APN #2]
dialer timer autodial 60
profile create lte-default [APN #1] sim-id 1
profile create lte-default [APN #2] sim-id 2
ip address negotiate
modem reboot
# IPSec
ipsec authentication sha2 compatible enable
ike local-name [IPSEC_LOGIN]
# IPSec
ipsec proposal ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
# IPSec
ike peer ipsec_1
pre-shared-key simple [IPSEC_PASSWORD]
ike-proposal 1
local-id-type fqdn
remote-id-type ip
dpd type periodic
dpd idle-time 10
dpd retransmit-interval 2
remote-address 81.211.80.50
route accept
config-exchange request
config-exchange set accept
config-exchange set send
ipsec profile ipsecprof_1
ike-peer ipsec_1
proposal ipsec
ike peer ipsec_2
pre-shared-key simple [IPSEC_PASSWORD]
ike-proposal 1
local-id-type fqdn
remote-id-type ip
dpd type periodic
dpd idle-time 10
dpd retransmit-interval 2
remote-address [VPN HUB INTERNAL ADDRESS]
route accept
config-exchange request
config-exchange set accept
config-exchange set send
ipsec profile ipsecprof_2
ike-peer ipsec_2
proposal ipsec
# IPSec-
interface LoopBack32
ip address [ IP - Huawei] 255.255.255.252
interface Tunnel0/0/0
ip address unnumbered interface LoopBack32
tunnel-protocol ipsec
source GigabitEthernet0/0/1
ipsec profile ipsecprof_1
interface Tunnel0/0/1
ip address unnumbered interface LoopBack32
tunnel-protocol ipsec
source Cellular0/0/0
ipsec profile ipsecprof_2
# ( )
nqa test-instance [username] inet
test-type icmp
destination-address ipv4 81.211.80.50
source-interface GigabitEthernet0/0/4
frequency 16
probe-count 2
start now
#
ip route-static 81.211.80.50 255.255.255.255 GigabitEthernet 0/0/4 dhcp track nqa [username] inet
ip route-static [VPN HUB INTERNAL ADDRESS] 255.255.255.255 NULL0 track nqa [username] inet
ip route-static [VPN HUB INTERNAL ADDRESS] 255.255.0.0 Cellular0/0/0 preference 70
ip route-static 80.240.216.155 255.255.255.255 GigabitEthernet 0/0/4 dhcp
ip route-static 194.67.0.206 255.255.255.255 GigabitEthernet 0/0/4 dhcpSemuanya, router yang dikonfigurasi dapat diinstal ke klien.
Rencana
Dari rencana untuk mengembangkan solusi ini:
- Lakukan hal yang sama, tetapi pada router Cisco / Mikrotik.
- Terjemahkan semua logika switching ke OPS + Python saja
Dalam artikel berikut, kami akan memberi tahu Anda bagaimana kami berteman dengan layanan Reservasi Multisim dengan Cloud PBX kami , membuat mode L2-over-L3 pada Huawei yang sama menggunakan x-connect, menyusun skrip untuk mengganti kartu SIM dengan Python dan memberi tahu tentang Penyebaran USB di router.
Terima kasih kepada rekan-rekan saya dari RnD, terutama Denis Zinchenko (Dzinch) dan Andrey Voronov dalam mempersiapkan solusi teknis ini dan membantu menulis artikel!
PS: Bagian pertama dari postingan ada di sini .