Kini nga artikulo usa ka pagpadayon gipahinungod sa mga bahin sa pag-set up sa mga ekipo Palo Alto Networks . Dinhi gusto namon maghisgot bahin sa setting IPSec Site-to-Site VPN sa kagamitan Palo Alto Networks ug mahitungod sa posible nga opsyon sa pag-configure alang sa pagkonektar sa pipila ka mga Internet providers.
Alang sa demonstrasyon, usa ka sumbanan nga laraw alang sa pagkonektar sa punoan nga opisina sa sanga ang gamiton. Aron makahatag og fault-tolerant nga koneksyon sa Internet, ang ulohang buhatan naggamit sa dungan nga koneksyon sa duha ka providers: ISP-1 ug ISP-2. Ang sanga adunay koneksyon sa usa lamang ka provider, ang ISP-3. Duha ka tunnel ang gitukod taliwala sa mga firewall nga PA-1 ug PA-2. Ang mga tunel naglihok. Aktibo-Stanby, Tunnel-1 kay, Tunnel-2 magsugod sa pagpasa sa trapiko sa diha nga ang Tunnel-1 mapakyas. Ang Tunnel-1 naggamit ug koneksyon sa ISP-1, ang Tunnel-2 naggamit ug koneksyon sa ISP-2. Ang tanan nga mga adres sa IP random nga gihimo alang sa mga katuyoan sa pagpakita ug walaβy kalabutan sa reyalidad.
Sa paghimo sa Site-to-Site VPN gamiton Ang IPSec - usa ka hugpong sa mga protocol alang sa pagsiguro sa pagpanalipod sa datos nga gipasa sa IP protocol. Ang IPSec magtrabaho gamit ang security protocol ESP (Encapsulating Security Payload), nga magsiguro sa pag-encrypt sa gipasa nga datos.
Π Ang IPSec gilakip Ike (Internet Key Exchange) usa ka protocol nga responsable sa negosasyon sa SA (mga asosasyon sa seguridad), mga parameter sa seguridad nga gigamit aron mapanalipdan ang gipasa nga datos. Suporta sa PAN firewalls IKEv1 ΠΈ IKEv2.
Π IKEv1 Ang koneksyon sa VPN gitukod sa duha ka yugto: IKEv1 Phase 1 (IKE tunnel) ug IKEv1 Phase 2 (IPSec tunnel), sa ingon, duha ka tunnel ang gibuhat, ang usa niini nagsilbi sa pagbinayloay sa impormasyon sa serbisyo tali sa mga firewall, ang ikaduha - sa pagbalhin sa trapiko. SA IKEv1 Phase 1 Adunay duha ka mga paagi sa operasyon - main mode ug agresibo mode. Ang agresibo nga mode naggamit og mas gamay nga mga mensahe ug mas paspas, apan wala nagsuporta sa Peer Identity Protection.
IKEv2 gipulihan IKEv1, ug itandi sa IKEv1 ang nag-unang bentaha niini mao ang ubos nga mga kinahanglanon sa bandwidth ug mas paspas nga negosasyon sa SA. SA IKEv2 mas gamay nga overhead nga mga mensahe ang gigamit (4 sa kinatibuk-an), ang EAP, MOBIKE protocol gisuportahan, ug usa ka mekanismo sa pagsusi sa pagkaanaa sa peer diin ang tunnel gihimo gidugang - liveness check, nga mipuli sa Dead Peer Detection sa IKEv1. Kung ang tseke mapakyas, nan IKEv2 mahimong i-reset ang tunnel ug dayon awtomatikong ibalik sa unang higayon. Makakat-on ka og dugang mahitungod sa mga kalainan .
Kung ang tunel gitukod taliwala sa mga firewall gikan sa lainlaing mga tiggama, mahimoβg adunay mga bug sa pagpatuman IKEv2, ug alang sa pagkaangay sa ingon nga kagamitan posible nga gamiton IKEv1. Sa ubang mga kaso mas maayo nga gamiton IKEv2.
Mga lakang sa pag-setup:
β’ Pagbutang og duha ka ISP sa ActiveStandby mode
Adunay daghang mga paagi sa pagpatuman niini nga bahin. Usa niini mao ang paggamit sa mekanismo Pagsubay sa Dalan, nga nahimong magamit sugod sa bersyon PAN-OS 8.0.0. Kini nga pananglitan naggamit sa bersyon 8.0.16. Kini nga bahin susama sa IP SLA sa Cisco routers. Ang static default nga parameter sa ruta gi-configure aron ipadala ang mga ping packet sa usa ka piho nga IP address gikan sa usa ka piho nga gigikanan nga adres. Sa kini nga kaso, ang ethernet1/1 interface nag-ping sa default gateway kausa matag segundo. Kung walay tubag alang sa tulo ka ping sa usa ka laray, nan ang ruta giisip nga patay ug gikuha gikan sa routing table. Ang parehas nga ruta gi-configure padulong sa ikaduha nga tighatag sa Internet, apan adunay mas dako nga sukatan (kini usa ka backup). Sa higayon nga ang unang rota matangtang gikan sa lamesa, ang firewall magsugod sa pagpadala sa trapiko subay sa ikaduhang rota - Napakyas. Kung ang una nga provider nagsugod sa pagtubag sa mga ping, ang ruta niini mobalik sa lamesa ug pulihan ang ikaduha tungod sa mas maayo nga sukatan - Fail Back. Proseso Napakyas nagkinahanglan og pipila ka segundo depende sa gi-configure nga mga agwat, apan sa bisan unsa nga kaso, ang proseso dili dayon, ug ang trapiko nawala niining panahona. Fail Back molabay nga walay pagkawala sa trapiko. Adunay usa ka oportunidad sa pagbuhat Napakyas mas paspas uban sa BFDkung gitugotan ka sa imong ISP nga buhaton kini. BFD gisuportahan gikan sa modelo PA-3000 nga Serye ΠΈ VM-100. Isip usa ka ping address, mas maayo nga ipiho dili ang gateway sa provider, apan usa ka publiko, kanunay nga magamit nga adres sa Internet.
β’ Paghimo og tunnel interface
Ang trapiko sa sulod sa tunel gipasa pinaagi sa mga espesyal nga virtual interface. Ang matag usa kanila kinahanglan nga ma-configure sa usa ka IP address gikan sa transit network. Niini nga pananglitan, ang Tunnel-1 mogamit sa subnet 172.16.1.0/30, ug ang Tunnel-2 mogamit sa subnet 172.16.2.0/30.
Ang interface sa tunnel gihimo sa seksyon Network -> Mga Interface -> Tunnel. Kinahanglan nimong ipiho ang virtual router ug security zone, ingon man usa ka IP address gikan sa katugbang nga network sa transportasyon. Ang numero sa interface mahimong bisan unsa.
seksyon advanced mahimo nimong espesipiko Profile sa Pagdumalanga magtugot sa ping sa gihatag nga interface, kini mahimong mapuslanon alang sa pagsulay.
β’ Pag-configure sa IKE Profile
Profile sa IKE responsable sa unang yugto sa paghimo og koneksyon sa VPN, ang mga parameter sa tunel gipiho dinhi IKE Phase 1. Ang profile gihimo sa seksyon Network -> Mga Profile sa Network -> IKE Crypto. Kinahanglan nimong ipiho ang algorithm sa pag-encrypt, pag-hash, grupo sa Diffie-Hellman ug yawe nga kinabuhi. Sa kinatibuk-an, ang mas komplikado nga mga algorithm, ang mas grabe nga performance, sila kinahanglan nga mapili base sa piho nga mga kinahanglanon sa seguridad. Bisan pa, kini kusganon nga nawad-an sa kadasig sa paggamit sa usa ka grupo sa Diffie-Hellman nga ubos sa 14 aron mapanalipdan ang sensitibo nga kasayuran. Kini tungod sa usa ka pagkahuyang sa protocol, nga mahimo ra nga ma-level pinaagi sa paggamit sa usa ka modulus nga gidak-on sa 2048 bits o labaw pa, o elliptic cryptography algorithms nga gigamit sa mga grupo 19, 20, 21, 24. Kini nga mga algorithm adunay mas maayo nga performance kon itandi sa tradisyonal nga cryptography . . Ug .
β’ Setting sa Profile sa IPSec
Ang ikaduhang lakang sa paghimo og koneksyon sa VPN usa ka IPSec tunnel. Ang mga parameter sa SA alang niini gi-configure sa Network -> Mga Profile sa Network -> Profile sa IPSec Crypto. Dinhi kinahanglan nimo nga ipiho ang IPSec protocol - AH o ESP, ingon man ang mga parameter SA - hashing algorithm, encryption, Diffie-Hellman nga mga grupo ug yawe nga tibuok kinabuhi. Ang mga setting sa SA sa IKE Crypto Profile ug IPSec Crypto Profile mahimong dili magkatugma.
β’ Pag-configure sa IKE Gateway
IKE Gateway mao ang usa ka butang nga nagpaila sa router o firewall diin ang VPN tunnel gitukod. Alang sa matag tunel, kinahanglan nimo nga maghimo sa imong kaugalingon IKE Gateway. Niini nga kaso, duha ka tunnel ang gihimo, usa pinaagi sa matag ISP. Ang katugbang nga outgoing interface ug ang ip-address niini, ang ip-address sa peer, ug ang shared key gipiho. Isip alternatibo sa usa ka pre-shared nga yawe, mahimo nimong gamiton ang mga sertipiko.
Dinhi diin ang kaniadto gibuhat Profile sa IKE Crypto. Parameter sa ikaduhang butang IKE Gateway pareho ra gawas sa mga IP address. Kung ang Palo Alto Networks firewall nahimutang sa luyo sa usa ka NAT router, nan kinahanglan nimo nga palihokon ang mekanismo NAT Traversal.
β’ Pagpahimutang sa IPSec Tunnel
Tunnel sa IPSec usa ka butang nga nagtino sa mga parameter sa IPSec sa tunel, ingon sa gisugyot sa ngalan. Dinhi kinahanglan nimo nga ipiho ang interface sa tunnel ug kaniadto nga gibuhat nga mga butang IKE Gateway, Profile sa IPSec Crypto. Aron masiguro ang awtomatik nga pagbalhin sa ruta sa backup nga tunel, kinahanglan nimo nga palihokon Tunnel Monitor. Kini usa ka mekanismo nga nagsusi kung ang usa ka kaedad buhi gamit ang trapiko sa ICMP. Ingon nga adres sa destinasyon, kinahanglan nimo nga ipiho ang IP address sa interface sa tunnel sa kaedad diin gitukod ang tunel. Ang profile nagtino sa mga timer ug aksyon sa pagkawala sa koneksyon. Paghulat sa Pagbawi - paghulat hangtod mabalik ang koneksyon, Napakyas β magpadala ug trapiko subay sa laing ruta, kon aduna man. Ang pag-set up sa ikaduhang tunel hingpit nga susama, ang ikaduhang tunnel interface ug IKE Gateway gipakita.
β’ Pag-setup sa ruta
Kini nga pananglitan naggamit sa static nga ruta. Sa PA-1 nga firewall, dugang sa duha ka default nga mga ruta, kinahanglan nimo nga ipiho ang duha ka ruta sa 10.10.10.0/24 subnet sa sanga. Ang usa ka ruta naggamit sa Tunnel-1, ang lain naggamit sa Tunnel-2. Ang ruta agi sa Tunnel-1 mao ang nag-una tungod kay kini adunay mas ubos nga metric. Mekanismo Pagsubay sa Dalan wala gigamit alang niini nga mga ruta. Responsable sa pagbalhin Tunnel Monitor.
Ang parehas nga mga ruta alang sa 192.168.30.0/24 subnet kinahanglan nga ma-configure sa PA-2.
β’ Pagpahimutang sa mga lagda sa network
Adunay tulo ka mga lagda alang sa tunnel sa pagtrabaho:
- Pagtrabaho Path Monitor tugoti ang ICMP sa mga eksternal nga interface.
- Sa Ang IPSec tugoti ang mga app Ike ΠΈ ipsec sa gawas nga mga interface.
- Tugoti ang trapiko tali sa internal nga mga subnet ug mga interface sa tunel.
konklusyon
Kini nga artikulo naghisgot sa kapilian sa pag-set up sa usa ka fault-tolerant nga koneksyon sa Internet ug Site ngadto sa Site VPN. Kami nanghinaut nga ang kasayuran mapuslanon, ug ang magbabasa nakakuha usa ka ideya bahin sa mga teknolohiya nga gigamit sa Palo Alto Networks. Kung adunay ka mga pangutana bahin sa pag-set up ug mga pangandoy sa mga hilisgutan sa umaabot nga mga artikulo - isulat kini sa mga komento, malipay kami nga motubag.
Source: www.habr.com