Bu məqalə davamıdır avadanlıqların qurulması xüsusiyyətlərinə həsr edilmişdir Palo Alto Networks . Burada tənzimləmə haqqında danışmaq istəyirik IPSec Saytdan Sayta VPN avadanlıq üzərində Palo Alto Networks və bir neçə İnternet provayderini birləşdirmək üçün mümkün konfiqurasiya seçimi haqqında.
Nümayiş üçün baş ofisin filiala qoşulması üçün standart sxemdən istifadə olunacaq. Səhvlərə davamlı İnternet bağlantısını təmin etmək üçün baş ofis iki provayderin eyni vaxtda qoşulmasından istifadə edir: ISP-1 və ISP-2. Filialın yalnız bir provayderlə, ISP-3 ilə əlaqəsi var. PA-1 və PA-2 firewallları arasında iki tunel tikilir. Tunellər işlək vəziyyətdədir. Aktiv Gözləmə, Tunel-1 işləyir, Tunel-2 uğursuz olduqda Tunel-1 trafiki yönləndirməyə başlayacaq. Tunel-1 ISP-1 ilə, Tunel-2 ISP-2 ilə əlaqədən istifadə edir. Bütün IP ünvanları nümayiş məqsədləri üçün təsadüfi yaradılır və reallıqla əlaqəli deyil.
Saytdan Sayta VPN qurmaq üçün istifadə olunacaq IPsec - İP protokolu üzərindən ötürülən məlumatların mühafizəsini təmin edən protokollar toplusu. IPsec təhlükəsizlik protokolundan istifadə edərək işləyəcək ESP (Encapsulating Security Payload), ötürülən məlumatların şifrələnməsini təmin edəcək.
В IPsec girir Ike (İnternet Açar Mübadiləsi) ötürülən məlumatların qorunması üçün istifadə edilən təhlükəsizlik parametrləri olan SA (təhlükəsizlik assosiasiyaları) danışıqlarına cavabdeh olan protokoldur. PAN firewall dəstəyi IKEv1 и IKEv2.
В IKEv1 VPN bağlantısı iki mərhələdə qurulur: IKEv1 Mərhələ 1 (IKE tuneli) və IKEv1 Mərhələ 2 (IPSec tuneli), beləliklə, iki tunel yaradılır, onlardan biri firewalllar arasında xidmət məlumatlarının mübadiləsinə, ikincisi isə trafikin ötürülməsinə xidmət edir. IN IKEv1 Mərhələ 1 İki iş rejimi var - əsas rejim və aqressiv rejim. Aqressiv rejim daha az mesajdan istifadə edir və daha sürətlidir, lakin Peer Identity Protection funksiyasını dəstəkləmir.
IKEv2 əvəz etdi IKEv1, və ilə müqayisədə IKEv1 onun əsas üstünlüyü aşağı bant genişliyi tələbləri və daha sürətli SA danışıqlarıdır. IN IKEv2 daha az yerüstü mesaj istifadə olunur (cəmi 4), EAP, MOBIKE protokolu dəstəklənir və tunelin yaradıldığı həmyaşıdın mövcudluğunu yoxlamaq üçün bir mexanizm əlavə olunur - canlılığın yoxlanılması, IKEv1-də Ölü Həmyaşıdların Təsbitini əvəz edir. Əgər yoxlama uğursuz olarsa, o zaman IKEv2 tuneli yenidən qura və sonra ilk fürsətdə avtomatik bərpa edə bilər. Fərqlər haqqında daha çox məlumat əldə edə bilərsiniz .
Tunel müxtəlif istehsalçıların firewallları arasında qurulursa, o zaman tətbiqetmədə səhvlər ola bilər IKEv2, və belə avadanlıqla uyğunluq üçün istifadə etmək mümkündür IKEv1. Digər hallarda istifadə etmək daha yaxşıdır IKEv2.
Quraşdırma addımları:
• ActiveStandby rejimində iki ISP-nin qurulması
Bu funksiyanı həyata keçirməyin bir neçə yolu var. Onlardan biri mexanizmdən istifadə etməkdir Yolun monitorinqiversiyasından başlayaraq əlçatan oldu PAN-OS 8.0.0. Bu nümunə 8.0.16 versiyasından istifadə edir. Bu xüsusiyyət Cisco marşrutlaşdırıcılarında IP SLA ilə oxşardır. Statik defolt marşrut parametri ping paketlərini müəyyən bir mənbə ünvanından müəyyən bir IP ünvanına göndərmək üçün konfiqurasiya edilmişdir. Bu halda, ethernet1/1 interfeysi defolt şlüzə saniyədə bir dəfə zəng edir. Ardıcıl üç ping üçün cavab yoxdursa, marşrut ölü sayılır və marşrutlaşdırma cədvəlindən çıxarılır. Eyni marşrut ikinci İnternet provayderinə doğru konfiqurasiya edilmişdir, lakin daha böyük ölçü ilə (bu ehtiyatdır). Birinci marşrut cədvəldən çıxarıldıqdan sonra firewall ikinci marşrut üzrə trafik göndərməyə başlayacaq - Fail Over. Birinci provayder pinglərə cavab verməyə başlayanda onun marşrutu cədvələ qayıdacaq və daha yaxşı metrikə görə ikincisini əvəz edəcək - Geri qayıt... Proses Fail Over konfiqurasiya edilmiş intervallardan asılı olaraq bir neçə saniyə çəkir, lakin istənilən halda proses ani olmur və bu müddət ərzində trafik itirilir. Geri qayıt trafik itkisi olmadan keçir. etmək imkanı var Fail Over ilə daha sürətli B.F.D.provayderiniz bunu etməyə icazə verirsə. B.F.D. modeldən dəstəklənir PA-3000 seriyası и VM-100. Ping üçün bir ünvan olaraq, provayderin şlüzünü deyil, ictimai, həmişə mövcud olan İnternet ünvanını göstərmək daha yaxşıdır.
• Tunel interfeysinin yaradılması
Tunel daxilində trafik xüsusi virtual interfeyslər vasitəsilə ötürülür. Onların hər biri tranzit şəbəkəsindən bir IP ünvanı ilə konfiqurasiya edilməlidir. Bu nümunədə Tunel-1 172.16.1.0/30 alt şəbəkəsindən, Tunel-2 isə 172.16.2.0/30 alt şəbəkəsindən istifadə edəcək.
Bölmədə tunel interfeysi yaradılmışdır Şəbəkə -> İnterfeyslər -> Tunel. Siz virtual marşrutlaşdırıcını və təhlükəsizlik zonasını, həmçinin müvafiq nəqliyyat şəbəkəsindən IP ünvanını göstərməlisiniz. İnterfeys nömrəsi hər hansı bir şey ola bilər.
Bölmədə Qabaqcıl olar İdarəetmə Profiliverilmiş interfeysə ping imkan verəcək, bu test üçün faydalı ola bilər.
• IKE Profilinin konfiqurasiyası
IKE Profili VPN bağlantısı yaratmağın ilk mərhələsindən məsul olan tunel parametrləri burada göstərilmişdir IKE Mərhələ 1. Profil bölmədə yaradılır Şəbəkə -> Şəbəkə Profilləri -> IKE Kripto. Şifrələmə alqoritmini, hashing, Diffie-Hellman qrupunu və açarın ömrünü göstərməlisiniz. Ümumiyyətlə, alqoritmlər nə qədər mürəkkəbdirsə, performans bir o qədər pisdir, onlar xüsusi təhlükəsizlik tələbləri əsasında seçilməlidir. Bununla belə, həssas məlumatları qorumaq üçün 14 yaşdan aşağı Diffie-Hellman qrupundan istifadə etmək qəti şəkildə tövsiyə edilmir. Bu, yalnız 2048 bit və ya daha yüksək modul ölçüsündən və ya 19, 20, 21, 24 qruplarında istifadə olunan elliptik kriptoqrafiya alqoritmlərindən istifadə etməklə düzəldilə bilən protokol zəifliyi ilə bağlıdır. Bu alqoritmlər ənənəvi kriptoqrafiya ilə müqayisədə daha yaxşı performansa malikdir. . . Və .
• IPSec Profil Parametri
VPN bağlantısı yaratmaqda ikinci addım IPSec tunelidir. Bunun üçün SA parametrləri konfiqurasiya edilmişdir Şəbəkə -> Şəbəkə Profilləri -> IPSec Kripto Profili. Burada IPSec protokolunu təyin etməlisiniz - AH və ya ESP, həmçinin parametrlər SA - hashing alqoritmləri, şifrələmə, Diffie-Hellman qrupları və açarın ömrü. IKE Kripto Profilində və IPSec Kripto Profilində SA parametrləri uyğun gəlməyə bilər.
• IKE Gateway-in konfiqurasiyası
IKE Gateway VPN tunelinin qurulduğu marşrutlaşdırıcı və ya təhlükəsizlik divarını bildirən obyektdir. Hər bir tunel üçün öz tunelinizi yaratmalısınız IKE Gateway. Bu halda, hər bir ISP vasitəsilə iki tunel yaradılır. Müvafiq gedən interfeys və onun ip-ünvanı, həmyaşıdının ip-ünvanı və paylaşılan açar müəyyən edilir. Əvvəlcədən paylaşılan açara alternativ olaraq sertifikatlardan istifadə edə bilərsiniz.
Bu, əvvəllər yaradılmışdır IKE Kripto Profili. İkinci obyektin parametrləri IKE Gateway IP ünvanları istisna olmaqla eynidir. Palo Alto Networks firewall NAT marşrutlaşdırıcısının arxasında yerləşirsə, onda siz mexanizmi işə salmalısınız NAT keçidi.
• IPSec Tunelinin qurulması
IPSec Tuneli - Bu, adından da göründüyü kimi IPSec tunelinin parametrlərini təyin edən obyektdir. Burada tunel interfeysini və əvvəllər yaradılmış obyektləri təyin etməlisiniz IKE Gateway, IPSec Kripto Profili. Marşrutun ehtiyat tunelinə avtomatik keçidini təmin etmək üçün aktivləşdirməlisiniz Tunel monitoru. Bu, ICMP trafikindən istifadə edərək həmyaşıdın sağ olub olmadığını yoxlayan mexanizmdir. Təyinat ünvanı olaraq, tunelin tikildiyi həmyaşıdın tunel interfeysinin IP ünvanını göstərməlisiniz. Profil taymerləri və əlaqənin itirilməsi ilə bağlı hərəkətləri müəyyən edir. Bərpanı gözləyin - əlaqə bərpa olunana qədər gözləyin, Fail Over — əgər varsa, başqa marşrut üzrə trafik göndərin. İkinci tunelin qurulması tamamilə oxşardır, ikinci tunel interfeysi və IKE Gateway göstərilir.
• Marşrutlaşdırmanın qurulması
Bu nümunə statik marşrutlaşdırmadan istifadə edir. PA-1 firewall-da, iki standart marşruta əlavə olaraq, filialda 10.10.10.0/24 alt şəbəkəsinə iki marşrut təyin etməlisiniz. Bir marşrut Tunel-1, digəri isə Tunel-2-dən istifadə edir. Tunel-1-dən keçən marşrut əsasdır, çünki daha aşağı metrikaya malikdir. Mexanizm Yolun monitorinqi bu marşrutlar üçün istifadə edilmir. Dəyişdirməyə cavabdehdir Tunel monitoru.
192.168.30.0/24 alt şəbəkəsi üçün eyni marşrutlar PA-2-də konfiqurasiya edilməlidir.
• Şəbəkə qaydalarının qurulması
Tunelin işləməsi üçün üç qayda var:
- İş üçün Yol monitoru xarici interfeyslərdə ICMP-yə icazə verin.
- Uğrunda IPsec proqramlara icazə verin ike и ipusek xarici interfeyslərdə.
- Daxili alt şəbəkələr və tunel interfeysləri arasında trafikə icazə verin.
Nəticə
Bu məqalə xətaya dözümlü İnternet bağlantısının qurulması variantını müzakirə edir və Saytdan-sayta VPN. Ümid edirik ki, məlumat faydalı oldu və oxucuda istifadə olunan texnologiyalar haqqında təsəvvür yarandı Palo Alto Networks. Quraşdırma ilə bağlı suallarınız və gələcək məqalələrin mövzuları ilə bağlı arzularınız varsa - şərhlərdə yazın, cavab verməkdən məmnun olarıq.
Mənbə: www.habr.com