ይህ ጽሑፍ ቀጣይ ነው። መሣሪያዎችን ለማቀናበር ባህሪያት የተሰጡ ፓሎ አልቶ መረቦች . እዚህ ስለ ቅንብር መነጋገር እንፈልጋለን IPSec ከጣቢያ-ወደ-ጣቢያ VPN በመሳሪያዎች ላይ ፓሎ አልቶ መረቦች እና ብዙ የበይነመረብ አቅራቢዎችን ለማገናኘት ስለሚቻል የማዋቀር አማራጭ።
ለሠርቶ ማሳያው, ዋናውን ቢሮ ከቅርንጫፉ ጋር ለማገናኘት መደበኛ እቅድ ጥቅም ላይ ይውላል. ስህተትን የሚቋቋም የኢንተርኔት ግንኙነት ለማቅረብ ዋና መሥሪያ ቤቱ የሁለት አቅራቢዎችን በአንድ ጊዜ ግንኙነት ይጠቀማል፡ ISP-1 እና ISP-2። ቅርንጫፉ ከአንድ አቅራቢ ISP-3 ጋር ግንኙነት አለው። ሁለት ዋሻዎች በፋየርዎል PA-1 እና PA-2 መካከል ተሠርተዋል። ዋሻዎቹ በአገልግሎት ላይ ናቸው። ንቁ-ተጠባባቂ, Tunnel-1 ተነስቷል፣ Tunnel-2 Tunnel-1 ሲወድቅ ትራፊክ ማስተላለፍ ይጀምራል። Tunnel-1 ከ ISP-1 ጋር ግንኙነትን ይጠቀማል፣ Tunnel-2 ከ ISP-2 ጋር ግንኙነትን ይጠቀማል። ሁሉም የአይፒ አድራሻዎች በዘፈቀደ የተፈጠሩት ለማሳያ ዓላማዎች እንጂ ከእውነታው ጋር የተገናኙ አይደሉም።
ከጣቢያ-ወደ-ጣቢያ VPN ለመገንባት ጥቅም ላይ ይውላል አይ.ፒ.ኤስ. - በአይፒ ፕሮቶኮል ላይ የሚተላለፉ መረጃዎችን ጥበቃን ለማረጋገጥ የፕሮቶኮሎች ስብስብ። አይ.ፒ.ኤስ. የደህንነት ፕሮቶኮልን በመጠቀም ይሰራል በተለይም, (የደህንነት ክፍያን ማሸግ)፣ ይህም የተላለፈውን መረጃ ምስጠራ ያረጋግጣል።
В አይ.ፒ.ኤስ. ገብቷል IKE (የኢንተርኔት ቁልፍ ልውውጥ) ኤስኤ (የደህንነት ማህበራት)፣ የሚተላለፉ መረጃዎችን ለመጠበቅ ጥቅም ላይ የሚውሉ የደህንነት መለኪያዎችን ለመደራደር ኃላፊነት ያለው ፕሮቶኮል ነው። የ PAN ፋየርዎል ድጋፍ IKEV1 и IKEV2.
В IKEV1 የቪፒኤን ግንኙነት በሁለት ደረጃዎች የተገነባ ነው. IKEv1 ደረጃ 1 (IKE ዋሻ) እና IKEv1 ደረጃ 2 (IPSec ዋሻ), ስለዚህ, ሁለት ዋሻዎች ይፈጠራሉ, አንደኛው በፋየርዎል መካከል የአገልግሎት መረጃ ለመለዋወጥ ያገለግላል, ሁለተኛው - ትራፊክን ለማስተላለፍ. ውስጥ IKEv1 ደረጃ 1 ሁለት የአሠራር ዘዴዎች አሉ - ዋና ሁነታ እና ኃይለኛ ሁነታ. ኃይለኛ ሁነታ ጥቂት መልዕክቶችን ይጠቀማል እና ፈጣን ነው፣ ነገር ግን የአቻ ማንነት ጥበቃን አይደግፍም።
IKEV2 ተተካ IKEV1, እና ጋር ሲነጻጸር IKEV1 ዋነኛው ጠቀሜታ ዝቅተኛ የመተላለፊያ ይዘት መስፈርቶች እና ፈጣን የኤስኤ ድርድር ነው። ውስጥ IKEV2 ያነሱ የላይ መልእክቶች ጥቅም ላይ ይውላሉ (በአጠቃላይ 4)፣ የEAP፣ MOBIKE ፕሮቶኮል ይደገፋል፣ እና ዋሻው የተፈጠረበት እኩያ መገኘቱን የሚፈትሽበት ዘዴ ተጨምሯል። የአኗኗር ሁኔታን ማረጋገጥበ IKEv1 ውስጥ የሙት አቻ ማወቅን የሚተካ። ቼኩ ካልተሳካ, ከዚያ IKEV2 መሿለኪያውን እንደገና ማስጀመር እና ከዚያም በራስ-ሰር በመጀመሪያው አጋጣሚ ወደነበረበት መመለስ ይችላል። ስለ ልዩነቶቹ የበለጠ ማወቅ ይችላሉ .
ዋሻው የተገነባው ከተለያዩ አምራቾች በፋየርዎል መካከል ከሆነ በአተገባበሩ ውስጥ ስህተቶች ሊኖሩ ይችላሉ IKEV2, እና ከእንደዚህ አይነት መሳሪያዎች ጋር ተኳሃኝነትን መጠቀም ይቻላል IKEV1. በሌሎች ሁኔታዎች መጠቀም የተሻለ ነው IKEV2.
የማዋቀር ደረጃዎች፡-
• ሁለት አይኤስፒዎችን በActiveStandby ሁነታ ማዋቀር
ይህንን ባህሪ ለመተግበር በርካታ መንገዶች አሉ. ከመካከላቸው አንዱ ዘዴውን መጠቀም ነው የመንገድ ክትትልከስሪት ጀምሮ የሚገኝ ሆነ PAN-OS 8.0.0. ይህ ምሳሌ ስሪት 8.0.16 ይጠቀማል. ይህ ባህሪ በሲስኮ ራውተሮች ውስጥ ከአይፒ SLA ጋር ተመሳሳይ ነው። የቋሚ ነባሪ መስመር መለኪያው የፒንግ ፓኬቶችን ከአንድ የተወሰነ ምንጭ አድራሻ ወደ አንድ የተወሰነ አይፒ አድራሻ ለመላክ ተዋቅሯል። በዚህ አጋጣሚ የኤተርኔት1/1 በይነገጽ ነባሪው መተላለፊያውን በሰከንድ አንድ ጊዜ ይሰበስባል። በተከታታይ ለሶስት ፒንግዎች ምንም ምላሽ ከሌለ, መንገዱ እንደሞተ ይቆጠራል እና ከማዞሪያ ጠረጴዛው ይወገዳል. ተመሳሳዩ መንገድ ወደ ሁለተኛው የበይነመረብ አቅራቢነት ተዋቅሯል ፣ ግን በትልቁ ልኬት (ምትኬ ነው)። የመጀመሪያው መንገድ ከጠረጴዛው ላይ ከተወገደ በኋላ ፋየርዎል በሁለተኛው መንገድ ትራፊክ መላክ ይጀምራል - አልተሳካም።. የመጀመሪያው አቅራቢ ለፒንግስ ምላሽ መስጠት ሲጀምር መንገዱ ወደ ጠረጴዛው ይመለሳል እና ሁለተኛውን በተሻለ መለኪያ ይተካዋል - መመለስ አልተሳካም።. ሂደት አልተሳካም። በተዋቀሩ ክፍተቶች ላይ በመመስረት ጥቂት ሰከንዶች ይወስዳል, ነገር ግን በማንኛውም ሁኔታ, ሂደቱ ወዲያውኑ አይደለም, እና በዚህ ጊዜ ውስጥ ትራፊክ ይጠፋል. መመለስ አልተሳካም። ያለ የትራፊክ መጥፋት ያልፋል። ለማድረግ እድሉ አለ አልተሳካም። ጋር በፍጥነት ቢኤፍዲየእርስዎ አይኤስፒ ይህን እንዲያደርጉ የሚፈቅድልዎ ከሆነ። ቢኤፍዲ ከ ሞዴል የተደገፈ PA-3000 ተከታታይ и ቪኤም -100. የፒንግ አድራሻ እንደመሆኖ፣ የአቅራቢውን መግቢያ በር ሳይሆን የህዝብ፣ ሁል ጊዜ የሚገኝ የኢንተርኔት አድራሻን መግለጽ ይሻላል።
• የመሿለኪያ በይነገጽ መፍጠር
በዋሻው ውስጥ ያለው ትራፊክ በልዩ ምናባዊ መገናኛዎች ይተላለፋል። እያንዳንዳቸው ከመተላለፊያው አውታረመረብ በአይፒ አድራሻ ጋር መዋቀር አለባቸው. በዚህ ምሳሌ Tunnel-1 ንዑስኔት 172.16.1.0/30 ይጠቀማል፣ እና Tunnel-2 ንኡስኔት 172.16.2.0/30 ይጠቀማል።
የዋሻው በይነገጽ በክፍሉ ውስጥ ተፈጥሯል አውታረ መረብ -> በይነገጽ -> መሿለኪያ. ቨርቹዋል ራውተር እና ሴኪዩሪቲ ዞን እንዲሁም ከተዛማጅ የትራንስፖርት አውታር የአይፒ አድራሻን መግለጽ አለቦት። የበይነገጽ ቁጥሩ ማንኛውም ሊሆን ይችላል.
ክፍል የላቀ መግለጽ ትችላለህ የአስተዳደር መገለጫለተሰጠው በይነገጽ ፒንግን ይፈቅዳል, ይህ ለሙከራ ጠቃሚ ሊሆን ይችላል.
• የ IKE መገለጫን በማዋቀር ላይ
የ IKE መገለጫ የ VPN ግንኙነትን ለመፍጠር ለመጀመሪያው ደረጃ ኃላፊነት ያለው ፣ የዋሻው መለኪያዎች እዚህ ተገልጸዋል። IKE ደረጃ 1. መገለጫው በክፍሉ ውስጥ ተፈጥሯል አውታረ መረብ -> የአውታረ መረብ መገለጫዎች -> IKE Crypto. የኢንክሪፕሽን አልጎሪዝምን፣ ሀሺንግን፣ Diffie-Hellman ቡድንን እና ቁልፍ የህይወት ዘመንን መግለጽ አለቦት። በአጠቃላይ, ስልተ ቀመሮቹ ይበልጥ ውስብስብ ሲሆኑ አፈፃፀሙ እየባሰ ይሄዳል, በተወሰኑ የደህንነት መስፈርቶች መሰረት መምረጥ አለባቸው. ነገር ግን ሚስጥራዊነት ያለው መረጃን ለመጠበቅ ከ14 በታች የሆነ የDiffie-Hellman ቡድንን መጠቀም በጥብቅ አይበረታታም። ይህ የሆነበት ምክንያት በፕሮቶኮል ተጋላጭነት ምክንያት ሲሆን ይህም 2048 ቢት ወይም ከዚያ በላይ የሆነ የሞጁል መጠን ወይም ኤሊፕቲክ ክሪፕቶግራፊ አልጎሪዝም በመጠቀም በቡድን 19 ፣ 20 ፣ 21 ፣ 24 ውስጥ ጥቅም ላይ ይውላል ። እነዚህ ስልተ ቀመሮች ከባህላዊ ክሪፕቶግራፊ ጋር ሲነፃፀሩ የተሻለ አፈፃፀም አላቸው። . . እና .
• IPSec መገለጫ ቅንብር
የቪፒኤን ግንኙነት ለመፍጠር ሁለተኛው እርምጃ IPSec ዋሻ ነው። ለእሱ የSA መለኪያዎች የተዋቀሩ ናቸው። አውታረ መረብ -> የአውታረ መረብ መገለጫዎች -> IPSec Crypto መገለጫ. እዚህ የ IPSec ፕሮቶኮልን መግለጽ ያስፈልግዎታል- AH ወይም በተለይም,, እንዲሁም መለኪያዎች SA - ሃሺንግ ስልተ ቀመሮች፣ ምስጠራ፣ Diffie-Hellman ቡድኖች እና ቁልፍ የህይወት ዘመን። በ IKE ክሪፕቶ ፕሮፋይል እና IPSec ክሪፕቶ ፕሮፋይል ውስጥ ያሉት የSA ቅንጅቶች አይዛመዱም።
• የIKE ጌትዌይን በማዋቀር ላይ
IKE ጌትዌይ የቪፒኤን ዋሻ እየተሠራበት ያለውን ራውተር ወይም ፋየርዎልን የሚያመለክት ዕቃ ነው። ለእያንዳንዱ ዋሻ, የራስዎን መፍጠር ያስፈልግዎታል IKE ጌትዌይ. በዚህ ሁኔታ, በእያንዳንዱ አይኤስፒ በኩል ሁለት ዋሻዎች ይፈጠራሉ. ተዛማጁ የወጪ በይነገጽ እና የአይ ፒ አድራሻው፣ የአቻ አይፒ አድራሻው እና የተጋራው ቁልፍ ተገልጸዋል። ከቅድመ-የተጋራ ቁልፍ እንደ አማራጭ፣ የምስክር ወረቀቶችን መጠቀም ይችላሉ።
ከዚህ በፊት የተፈጠረው እዚህ ነው IKE Crypto መገለጫ. የሁለተኛው ነገር መለኪያዎች IKE ጌትዌይ ከአይፒ አድራሻዎች በስተቀር አንድ አይነት ናቸው. የ Palo Alto Networks ፋየርዎል ከ NAT ራውተር በስተጀርባ የሚገኝ ከሆነ ስልቱን ማንቃት ያስፈልግዎታል NAT መሻገር.
• IPSec Tunnel በማዘጋጀት ላይ
IPSec ዋሻ - ይህ እንደ ስሙ እንደሚያመለክተው የ IPSec ዋሻ መለኪያዎችን የሚገልጽ ነገር ነው። እዚህ የዋሻው በይነገጽ እና ቀደም ሲል የተፈጠሩ ነገሮችን መግለጽ ያስፈልግዎታል IKE ጌትዌይ, IPSec Crypto መገለጫ. ወደ መጠባበቂያ ዋሻው የማዞሪያን በራስ ሰር መቀያየርን ለማረጋገጥ ማንቃት አለብዎት ዋሻ መቆጣጠሪያ. ይህ የICMP ትራፊክን በመጠቀም እኩያ በህይወት መኖሩን የሚፈትሽ ዘዴ ነው። የመድረሻ አድራሻ እንደመሆኖ, ዋሻው እየተገነባበት ያለውን የእኩያውን ዋሻ በይነገጽ የአይፒ አድራሻን መግለጽ ያስፈልግዎታል. መገለጫው በግንኙነት ማጣት ላይ የሰዓት ቆጣሪዎችን እና እርምጃዎችን ይገልጻል። መልሶ ማግኛን ይጠብቁ - ግንኙነቱ እስኪመለስ ድረስ ይጠብቁ; አልተሳካም። - ትራፊክን በተለየ መንገድ ይላኩ ፣ ካለ። የሁለተኛውን መሿለኪያ ማዋቀር ሙሉ ለሙሉ ተመሳሳይ ነው፣ የሁለተኛው መሿለኪያ በይነገጽ እና IKE ጌትዌይ ይጠቁማሉ።
• ማዘዣ ማዋቀር
ይህ ምሳሌ የማይንቀሳቀስ ማዘዋወርን ይጠቀማል። በ PA-1 ፋየርዎል ላይ፣ ከሁለቱ ነባሪ መንገዶች በተጨማሪ፣ በቅርንጫፍ ውስጥ ወደ 10.10.10.0/24 ሳብኔት ሁለት መንገዶችን መግለጽ ያስፈልግዎታል። አንዱ መንገድ Tunnel-1 ይጠቀማል፣ ሌላኛው ደግሞ Tunnel-2 ይጠቀማል። በ Tunnel-1 በኩል ያለው መንገድ ዋናው ነው ምክንያቱም ዝቅተኛ ልኬት ስላለው። ሜካኒዝም የመንገድ ክትትል ለእነዚህ መንገዶች ጥቅም ላይ አልዋለም. ለመቀያየር ኃላፊነት ያለው ዋሻ መቆጣጠሪያ.
ለ 192.168.30.0/24 ንኡስ መረብ ተመሳሳይ መስመሮች በ PA-2 ላይ መዋቀር አለባቸው.
• የአውታረ መረብ ደንቦችን ማዋቀር
ዋሻው እንዲሠራ ሦስት ሕጎች አሉ፡-
- ለመስራት የመንገድ መቆጣጠሪያ በውጫዊ መገናኛዎች ላይ ICMP ፍቀድ።
- ለ አይ.ፒ.ኤስ. መተግበሪያዎችን ፍቀድ ike и ipsec በውጫዊ መገናኛዎች ላይ.
- በውስጥ ሳብኔት እና መሿለኪያ መገናኛዎች መካከል ትራፊክ ፍቀድ።
መደምደሚያ
ይህ መጣጥፍ ስህተትን የሚቋቋም የበይነመረብ ግንኙነት የማዋቀር አማራጭን እና ከጣቢያ-ወደ-ጣቢያ VPN. መረጃው ጠቃሚ ነበር ብለን ተስፋ እናደርጋለን፣ እና አንባቢው ስለተጠቀሙባቸው ቴክኖሎጂዎች ሀሳብ አግኝቷል ፓሎ አልቶ መረቦች. ስለወደፊቱ መጣጥፎች ርእሶች ስለማዋቀር እና ምኞቶች ካሉዎት - በአስተያየቶቹ ውስጥ ይፃፉ ፣ መልስ ለመስጠት ደስተኞች ነን ።
ምንጭ: hab.com