هذه المقالة هي استمرار مخصصة لميزات إعداد المعدات بالو ألتو شبكات . هنا نريد التحدث عن الإعداد IPSec VPN من موقع إلى موقع على المعدات بالو ألتو شبكات وحول خيار التكوين المحتمل لربط العديد من مزودي خدمة الإنترنت.
للعرض ، سيتم استخدام مخطط قياسي لربط المكتب الرئيسي بالفرع. من أجل توفير اتصال إنترنت متسامح مع الأخطاء ، يستخدم المكتب الرئيسي الاتصال المتزامن لمزودي الخدمة: ISP-1 و ISP-2. الفرع متصل بمزود واحد فقط ، ISP-3. تم بناء نفقين بين جدار الحماية PA-1 و PA-2. الأنفاق قيد التشغيل. جاهز للبدء، Tunnel-1 قيد التشغيل ، سيبدأ Tunnel-2 في إعادة توجيه حركة المرور عندما يفشل Tunnel-1. يستخدم Tunnel-1 اتصالاً بـ ISP-1 ، ويستخدم Tunnel-2 اتصالاً بـ ISP-2. يتم إنشاء جميع عناوين IP بشكل عشوائي لأغراض توضيحية وليست مرتبطة بالواقع.
لبناء Site-to-Site VPN سوف تستخدم أمن بروتوكول الإنترنت - مجموعة من البروتوكولات لضمان حماية البيانات المنقولة عبر بروتوكول IP. أمن بروتوكول الإنترنت ستعمل باستخدام بروتوكول الأمان ESP (تغليف الحمولة الأمنية) ، والذي سيضمن تشفير البيانات المرسلة.
В أمن بروتوكول الإنترنت متضمن IKE (Internet Key Exchange) هو بروتوكول مسؤول عن التفاوض على SA (ارتباطات الأمان) ، معلمات الأمان المستخدمة لحماية البيانات المرسلة. دعم جدران الحماية PAN IKEv1 и IKEv2.
В IKEv1 تم بناء اتصال VPN على مرحلتين: IKEv1 المرحلة 1 (نفق IKE) و IKEv1 المرحلة 2 (نفق IPSec) ، وبالتالي ، يتم إنشاء نفقين ، أحدهما يعمل على تبادل معلومات الخدمة بين جدران الحماية ، والثاني - لنقل حركة المرور. في IKEv1 المرحلة 1 هناك نوعان من طرق التشغيل - الوضع الرئيسي والوضع العدواني. يستخدم الوضع العدواني عددًا أقل من الرسائل وهو أسرع ، لكنه لا يدعم حماية هوية النظراء.
IKEv2 جاء ليحل محل IKEv1، ومقارنتها بـ IKEv1 ميزتها الرئيسية هي انخفاض متطلبات النطاق الترددي وتفاوض SA أسرع. في IKEv2 يتم استخدام عدد أقل من الرسائل العلوية (4 في المجموع) ، ويدعم بروتوكول EAP ، وبروتوكول MOBIKE ، وتتم إضافة آلية للتحقق من توفر النظير الذي تم إنشاء النفق به - فحص الحيوية، الذي يحل محل Dead Peer Detection في IKEv1. إذا فشل الشيك ، إذن IKEv2 يمكن إعادة ضبط النفق ثم استعادته تلقائيًا في أول فرصة. يمكنك معرفة المزيد عن الاختلافات .
إذا تم بناء النفق بين جدران الحماية من جهات تصنيع مختلفة ، فقد تكون هناك أخطاء في التنفيذ IKEv2، وللتوافق مع هذه المعدات يمكن استخدامها IKEv1. في حالات أخرى من الأفضل استخدامه IKEv2.
خطوات الإعداد:
• إعداد اثنين من مزودي خدمة الإنترنت في وضع ActiveStandby
هناك عدة طرق لتنفيذ هذه الميزة. واحد منهم هو استخدام الآلية مراقبة المسار، والتي أصبحت متاحة بدءًا من الإصدار بان-OS 8.0.0. يستخدم هذا المثال الإصدار 8.0.16. تشبه هذه الميزة IP SLA في أجهزة توجيه Cisco. تم تكوين معلمة المسار الافتراضية الثابتة لإرسال حزم ping إلى عنوان IP محدد من عنوان مصدر محدد. في هذه الحالة ، تقوم واجهة ethernet1 / 1 باختبار اتصال البوابة الافتراضية مرة واحدة في الثانية. إذا لم تكن هناك استجابة لثلاثة أصوات متتالية ، فسيتم اعتبار المسار ميتًا وإزالته من جدول التوجيه. يتم تكوين نفس المسار تجاه مزود الإنترنت الثاني ، ولكن بمقياس أكبر (يعد نسخة احتياطية). بمجرد إزالة المسار الأول من الجدول ، سيبدأ جدار الحماية في إرسال حركة المرور على طول المسار الثاني - انتهى الفشل. عندما يبدأ الموفر الأول في الاستجابة للأصوات ، سيعود مساره إلى الجدول ويحل محل الثاني نظرًا لمقياس أفضل - فشل في العودة. عملية انتهى الفشل يستغرق الأمر بضع ثوانٍ بناءً على الفواصل الزمنية التي تم تكوينها ، ولكن على أي حال ، فإن العملية ليست فورية ، ويتم فقد حركة المرور خلال هذا الوقت. فشل في العودة يمر دون فقدان حركة المرور. هناك فرصة للقيام بها انتهى الفشل أسرع مع BFDإذا كان موفر خدمة الإنترنت الخاص بك يسمح لك بالقيام بذلك. BFD مدعوم من النموذج سلسلة PA-3000 и VM-100. كعنوان ping ، من الأفضل تحديد ليس بوابة الموفر ، ولكن عنوان الإنترنت العام المتاح دائمًا.
• إنشاء واجهة نفق
تنتقل حركة المرور داخل النفق من خلال واجهات افتراضية خاصة. يجب تكوين كل واحد منهم بعنوان IP من شبكة النقل. في هذا المثال ، سيستخدم Tunnel-1 الشبكة الفرعية 172.16.1.0/30 ، وسيستخدم Tunnel-2 الشبكة الفرعية 172.16.2.0/30.
يتم إنشاء واجهة النفق في القسم الشبكة -> الواجهات -> النفق. يجب عليك تحديد جهاز التوجيه الظاهري ومنطقة الأمان ، بالإضافة إلى عنوان IP من شبكة النقل المقابلة. يمكن أن يكون رقم الواجهة أي شيء.
في القسم متقدم يمكنك تحديدها الملف الإدارةمما سيسمح باستخدام ping للواجهة المحددة ، يمكن أن يكون هذا مفيدًا للاختبار.
• تكوين ملف تعريف IKE
ملف تعريف IKE مسؤولة عن المرحلة الأولى من إنشاء اتصال VPN ، يتم تحديد معلمات النفق هنا IKE المرحلة 1. يتم إنشاء ملف التعريف في القسم الشبكة -> ملفات تعريف الشبكة -> تشفير IKE. يجب تحديد خوارزمية التشفير والتجزئة ومجموعة Diffie-Hellman وعمر المفتاح. بشكل عام ، كلما كانت الخوارزميات أكثر تعقيدًا ، كان الأداء أسوأ ، يجب اختيارها بناءً على متطلبات أمنية محددة. ومع ذلك ، لا نشجع بشدة على استخدام مجموعة Diffie-Hellman أقل من 14 لحماية المعلومات الحساسة. ويرجع ذلك إلى ثغرة في البروتوكول ، والتي لا يمكن تسويتها إلا باستخدام حجم معامل يبلغ 2048 بت أو أكثر ، أو خوارزميات التشفير البيضاوي المستخدمة في المجموعات 19 و 20 و 21 و 24. تتمتع هذه الخوارزميات بأداء أفضل مقارنة بالتشفير التقليدي . . و .
• إعداد ملف تعريف IPSec
الخطوة الثانية في إنشاء اتصال VPN هي نفق IPSec. تم تكوين معلمات SA الخاصة به في الشبكة -> ملفات تعريف الشبكة -> ملف تعريف تشفير IPSec. هنا تحتاج إلى تحديد بروتوكول IPSec - AH أو ESP، فضلا عن المعلمات SA - خوارزميات التجزئة والتشفير ومجموعات Diffie-Hellman وعمر المفتاح. قد لا تتطابق إعدادات SA في ملف تعريف تشفير IKE وملف تعريف تشفير IPSec.
• تكوين بوابة IKE
بوابة IKE هو كائن يشير إلى جهاز التوجيه أو جدار الحماية الذي يتم من خلاله بناء نفق VPN. لكل نفق ، تحتاج إلى إنشاء نفق خاص بك بوابة IKE. في هذه الحالة ، يتم إنشاء نفقين ، أحدهما عبر كل مزود خدمة إنترنت. يتم تحديد الواجهة الصادرة المقابلة وعنوان IP الخاص بها وعنوان IP للنظير والمفتاح المشترك. كبديل لمفتاح مشترك مسبقًا ، يمكنك استخدام الشهادات.
هذا هو المكان الذي تم إنشاؤه مسبقًا ملف تعريف تشفير IKE. معلمات الكائن الثاني بوابة IKE هي نفسها باستثناء عناوين IP. إذا كان جدار الحماية Palo Alto Networks موجودًا خلف موجه NAT ، فأنت بحاجة إلى تمكين الآلية اجتياز NAT.
• إعداد IPSec Tunnel
نفق IPSec هو كائن يحدد معلمات IPSec للنفق ، كما يوحي الاسم. هنا تحتاج إلى تحديد واجهة النفق والكائنات التي تم إنشاؤها مسبقًا بوابة IKE, ملف تشفير IPSec. لضمان التحويل التلقائي للتوجيه إلى النفق الاحتياطي ، تحتاج إلى التمكين مراقبة النفق. هذه آلية تتحقق مما إذا كان النظير على قيد الحياة باستخدام حركة مرور ICMP. كعنوان الوجهة ، تحتاج إلى تحديد عنوان IP لواجهة النفق للنظير الذي يتم بناء النفق بواسطته. يحدد ملف التعريف أجهزة ضبط الوقت والعمل على فقدان الاتصال. انتظر الانتعاش - انتظر حتى يتم استعادة الاتصال ، انتهى الفشل - إرسال حركة المرور على طول طريق مختلف ، إن وجد. إنشاء النفق الثاني مشابه تمامًا ، يشار إلى واجهة النفق الثانية وبوابة IKE.
• إعداد التوجيه
يستخدم هذا المثال التوجيه الثابت. على جدار الحماية PA-1 ، بالإضافة إلى المسارين الافتراضيين ، تحتاج إلى تحديد مسارين للشبكة الفرعية 10.10.10.0/24 في الفرع. يستخدم أحدهما Tunnel-1 والآخر يستخدم Tunnel-2. الطريق عبر Tunnel-1 هو الطريق الرئيسي لأنه يحتوي على مقياس أقل. آلية مراقبة المسار لا تستخدم لهذه الطرق. مسؤول عن التبديل مراقبة النفق.
يجب تكوين نفس المسارات للشبكة الفرعية 192.168.30.0/24 على PA-2.
• إعداد قواعد الشبكة
هناك ثلاث قواعد لعمل النفق:
- للعمل مراقب المسار السماح لـ ICMP على الواجهات الخارجية.
- إلى أمن بروتوكول الإنترنت السماح بالتطبيقات آيك и IPSec على الواجهات الخارجية.
- السماح بحركة المرور بين الشبكات الفرعية الداخلية وواجهات النفق.
اختتام
تتناول هذه المقالة خيار إعداد اتصال إنترنت متسامح مع الأخطاء و موقع إلى موقع VPN. نأمل أن تكون المعلومات مفيدة ، وأن يكون لدى القارئ فكرة عن التقنيات المستخدمة فيها بالو ألتو شبكات. إذا كانت لديك أسئلة حول الإعداد ورغبات في مواضيع المقالات المستقبلية - اكتبها في التعليقات ، وسنكون سعداء بالإجابة.
المصدر: www.habr.com