Mae'r erthygl hon yn barhad ymroddedig i nodweddion gosod offer Rhwydweithiau Alto Palo . Yma rydyn ni eisiau siarad am osod IPSec VPN Safle-i-Safle ar offer Rhwydweithiau Alto Palo ac am opsiwn cyfluniad posibl ar gyfer cysylltu sawl darparwr Rhyngrwyd.
Ar gyfer yr arddangosiad, defnyddir cynllun safonol ar gyfer cysylltu'r brif swyddfa â'r gangen. Er mwyn darparu cysylltiad Rhyngrwyd sy'n goddef diffygion, mae'r brif swyddfa'n defnyddio cysylltiad cydamserol dau ddarparwr: ISP-1 ac ISP-2. Mae gan y gangen gysylltiad ag un darparwr yn unig, sef ISP-3. Mae dau dwnnel yn cael eu hadeiladu rhwng waliau tân PA-1 a PA-2. Mae'r twneli ar waith. Wrth Gefn Actif, Mae Twnnel-1 i fyny, bydd Twnnel-2 yn dechrau anfon traffig ymlaen pan fydd Twnnel-1 yn methu. Mae Twnnel-1 yn defnyddio cysylltiad ag ISP-1, mae Twnnel-2 yn defnyddio cysylltiad ag ISP-2. Cynhyrchir pob cyfeiriad IP ar hap at ddibenion arddangos ac nid ydynt yn gysylltiedig â realiti.
I adeiladu Safle-i-Safle bydd VPN yn cael ei ddefnyddio IPsec - set o brotocolau ar gyfer sicrhau diogelwch data a drosglwyddir dros y protocol IP. IPsec yn gweithio gan ddefnyddio protocol diogelwch CSA (Amgįu Llwyth Tâl Diogelwch), a fydd yn sicrhau amgryptio data a drosglwyddir.
В IPsec yn mynd i mewn IKE Mae (Internet Key Exchange) yn brotocol sy'n gyfrifol am drafod SA (cymdeithasau diogelwch), paramedrau diogelwch a ddefnyddir i ddiogelu data a drosglwyddir. Cefnogaeth waliau tân PAN IKEv1 и IKEv2.
В IKEv1 Mae cysylltiad VPN wedi'i adeiladu mewn dau gam: IKEv1 Cam 1 (twnnel IKE) a IKEv1 Cam 2 (twnnel IPSec), felly, mae dau dwnnel yn cael eu creu, a defnyddir un ohonynt i gyfnewid gwybodaeth gwasanaeth rhwng waliau tân, yr ail - i drosglwyddo traffig. YN IKEv1 Cam 1 Mae dau ddull gweithredu - prif fodd a modd ymosodol. Mae modd ymosodol yn defnyddio llai o negeseuon ac mae'n gyflymach, ond nid yw'n cefnogi Diogelu Hunaniaeth Cymheiriaid.
IKEv2 disodli IKEv1, ac o'i gymharu â IKEv1 ei brif fantais yw gofynion lled band is a thrafod SA cyflymach. YN IKEv2 defnyddir llai o negeseuon uwchben (4 i gyd), cefnogir y protocol EAP, MOBIKE, ac ychwanegir mecanwaith ar gyfer gwirio argaeledd y cymar y mae'r twnnel yn cael ei greu ag ef - gwiriad bywiogrwydd, sy'n disodli Dead Peer Detection yn IKEv1. Os bydd y siec yn methu, yna IKEv2 yn gallu ailosod y twnnel ac yna adfer yn awtomatig ar y cyfle cyntaf. Gallwch ddysgu mwy am y gwahaniaethau .
Os yw'r twnnel wedi'i adeiladu rhwng waliau tân gan weithgynhyrchwyr gwahanol, yna efallai y bydd bygiau yn y gweithredu IKEv2, ac ar gyfer cydnawsedd ag offer o'r fath mae'n bosibl ei ddefnyddio IKEv1. Mewn achosion eraill, mae'n well ei ddefnyddio IKEv2.
Camau gosod:
• Sefydlu dau ISP yn y modd ActiveStandby
Mae sawl ffordd o weithredu'r nodwedd hon. Un ohonynt yw defnyddio'r mecanwaith Monitro Llwybr, a ddaeth ar gael gan ddechrau o'r fersiwn PAN-OS 8.0.0. Mae'r enghraifft hon yn defnyddio fersiwn 8.0.16. Mae'r nodwedd hon yn debyg i IP SLA mewn llwybryddion Cisco. Mae'r paramedr llwybr rhagosodedig sefydlog wedi'i ffurfweddu i anfon pecynnau ping i gyfeiriad IP penodol o gyfeiriad ffynhonnell benodol. Yn yr achos hwn, mae'r rhyngwyneb ethernet1/1 yn gosod y porth rhagosodedig unwaith yr eiliad. Os nad oes ymateb am dri phing yn olynol, yna ystyrir bod y llwybr wedi marw a'i dynnu oddi ar y bwrdd llwybro. Mae'r un llwybr wedi'i ffurfweddu tuag at yr ail ddarparwr Rhyngrwyd, ond gyda metrig mwy (mae'n gopi wrth gefn). Unwaith y bydd y llwybr cyntaf yn cael ei dynnu oddi ar y bwrdd, bydd y wal dân yn dechrau anfon traffig ar hyd yr ail lwybr - Methu Drosodd. Pan fydd y darparwr cyntaf yn dechrau ymateb i pings, bydd ei lwybr yn dychwelyd at y bwrdd ac yn disodli'r ail un oherwydd gwell metrig − Methu Nôl. Proses Methu Drosodd yn cymryd ychydig eiliadau yn dibynnu ar y cyfnodau ffurfweddu, ond beth bynnag, nid yw'r broses yn syth, ac mae traffig yn cael ei golli yn ystod yr amser hwn. Methu Nôl yn mynd heibio heb golli traffig. Mae cyfle i wneud Methu Drosodd gyflymach gyda Mae B.F.D.os yw eich ISP yn caniatáu ichi wneud hynny. Mae B.F.D. cefnogi gan fodel Cyfres PA-3000 и VM-100. Fel cyfeiriad ping, mae'n well nodi nid porth y darparwr, ond cyfeiriad Rhyngrwyd cyhoeddus sydd bob amser ar gael.
• Creu rhyngwyneb twnnel
Mae traffig y tu mewn i'r twnnel yn cael ei drosglwyddo trwy ryngwynebau rhithwir arbennig. Rhaid i bob un ohonynt gael ei ffurfweddu gyda chyfeiriad IP o'r rhwydwaith tramwy. Yn yr enghraifft hon, bydd Twnnel-1 yn defnyddio is-rwydwaith 172.16.1.0/30, a bydd Twnnel-2 yn defnyddio is-rwydwaith 172.16.2.0/30.
Mae'r rhyngwyneb twnnel yn cael ei greu yn yr adran Rhwydwaith -> Rhyngwynebau -> Twnnel. Rhaid i chi nodi'r llwybrydd rhithwir a'r parth diogelwch, yn ogystal â chyfeiriad IP o'r rhwydwaith trafnidiaeth cyfatebol. Gall rhif y rhyngwyneb fod yn unrhyw beth.
Yn adran Uwch gallwch chi nodi Proffil Rheolia fydd yn caniatáu ping i'r rhyngwyneb a roddir, gall hyn fod yn ddefnyddiol ar gyfer profi.
• Ffurfweddu'r Proffil IKE
Proffil IKE yn gyfrifol am y cam cyntaf o greu cysylltiad VPN, nodir paramedrau twnnel yma Cam 1 IKE. Mae'r proffil yn cael ei greu yn yr adran Rhwydwaith -> Proffiliau Rhwydwaith -> IKE Crypto. Rhaid i chi nodi'r algorithm amgryptio, stwnsio, grŵp Diffie-Hellman ac oes allweddol. Yn gyffredinol, po fwyaf cymhleth yw'r algorithmau, y gwaethaf yw'r perfformiad, dylid eu dewis yn seiliedig ar ofynion diogelwch penodol. Fodd bynnag, anogir yn gryf i ddefnyddio grŵp Diffie-Hellman o dan 14 i ddiogelu gwybodaeth sensitif. Mae hyn oherwydd bregusrwydd protocol, y gellir ei lefelu dim ond trwy ddefnyddio modwlws maint 2048 did neu uwch, neu algorithmau cryptograffeg eliptig a ddefnyddir mewn grwpiau 19, 20, 21, 24. Mae gan yr algorithmau hyn berfformiad gwell o gymharu â cryptograffeg traddodiadol . . Ac .
• Gosod Proffil IPSec
Yr ail gam wrth greu cysylltiad VPN yw twnnel IPSec. Mae'r paramedrau SA ar ei gyfer wedi'u ffurfweddu i mewn Rhwydwaith -> Proffiliau Rhwydwaith -> IPSec Crypto Profile. Yma mae angen i chi nodi'r protocol IPSec - AH neu CSA, yn ogystal â'r paramedrau SA - algorithmau stwnsio, amgryptio, grwpiau Diffie-Hellman ac oes allweddol. Efallai na fydd y gosodiadau SA yn y Proffil IKE Crypto a'r IPSec Crypto Profile yn cyfateb.
• Ffurfweddu Porth IKE
Porth IKE yn wrthrych sy'n dynodi'r llwybrydd neu'r wal dân y mae'r twnnel VPN yn cael ei adeiladu ag ef. Ar gyfer pob twnnel, mae angen i chi greu un eich hun Porth IKE. Yn yr achos hwn, mae dau dwnnel yn cael eu creu, un trwy bob ISP. Nodir y rhyngwyneb cyfatebol sy'n mynd allan a'i gyfeiriad ip, cyfeiriad ip y cyfoedion, a'r allwedd a rennir. Fel dewis arall yn lle allwedd a rennir ymlaen llaw, gallwch ddefnyddio tystysgrifau.
Dyma lle y crewyd yn flaenorol Proffil Crypto IKE. Paramedrau'r ail wrthrych Porth IKE yr un peth ac eithrio'r cyfeiriadau IP. Os yw wal dân Palo Alto Networks wedi'i lleoli y tu ôl i lwybrydd NAT, yna mae angen i chi alluogi'r mecanwaith NAT Traversal.
• Sefydlu Twnnel IPSec
Twnnel IPSec yn wrthrych sy'n pennu paramedrau IPSec y twnnel, fel mae'r enw'n awgrymu. Yma mae angen i chi nodi'r rhyngwyneb twnnel a gwrthrychau a grëwyd yn flaenorol Porth IKE, Proffil Crypto IPSec. Er mwyn sicrhau newid llwybro'n awtomatig i'r twnnel wrth gefn, mae angen i chi alluogi Monitor Twnnel. Mae hwn yn fecanwaith sy'n gwirio a yw cyfoedion yn fyw gan ddefnyddio traffig ICMP. Fel y cyfeiriad cyrchfan, mae angen i chi nodi cyfeiriad IP rhyngwyneb twnnel y cyfoedion y mae'r twnnel yn cael ei adeiladu ag ef. Mae'r proffil yn nodi amseryddion a chamau gweithredu ar golli cysylltiad. Arhoswch Adfer - aros nes bod y cysylltiad yn cael ei adfer, Methu Drosodd — anfon traffig ar hyd llwybr gwahanol, os o gwbl. Mae sefydlu'r ail dwnnel yn hollol debyg, nodir yr ail ryngwyneb twnnel a Phorth IKE.
• Gosod llwybro
Mae'r enghraifft hon yn defnyddio llwybro statig. Ar y wal dân PA-1, yn ychwanegol at y ddau lwybr rhagosodedig, mae angen i chi nodi dau lwybr i'r is-rwydwaith 10.10.10.0/24 yn y gangen. Mae un llwybr yn defnyddio Twnnel-1, a'r llall yn defnyddio Twnnel-2. Y llwybr trwy Dwnnel-1 yw'r prif un oherwydd bod ganddo fetrig is. Mecanwaith Monitro Llwybr nas defnyddir ar gyfer y llwybrau hyn. Yn gyfrifol am newid Monitor Twnnel.
Rhaid ffurfweddu'r un llwybrau ar gyfer is-rwydwaith 192.168.30.0/24 ar PA-2.
• Sefydlu rheolau rhwydwaith
Mae tair rheol i'r twnnel weithio:
- I weithio Monitor Llwybr caniatáu ICMP ar ryngwynebau allanol.
- I IPsec caniatáu apps Ike и ipsec ar ryngwynebau allanol.
- Caniatáu traffig rhwng is-rwydweithiau mewnol a rhyngwynebau twnnel.
Casgliad
Mae'r erthygl hon yn trafod yr opsiwn o sefydlu cysylltiad Rhyngrwyd sy'n goddef namau a VPN Safle i Safle. Gobeithiwn fod y wybodaeth yn ddefnyddiol, a chafodd y darllenydd syniad am y technolegau a ddefnyddiwyd Rhwydweithiau Alto Palo. Os oes gennych gwestiynau am sefydlu a dymuniadau ar bynciau erthyglau yn y dyfodol - ysgrifennwch nhw yn y sylwadau, byddwn yn hapus i ateb.
Ffynhonnell: hab.com