Ĉi tiu artikolo estas daŭrigo dediĉita al la specifaĵoj de starigo de ekipaĵo Palo Alto Retoj . Ĉi tie ni volas paroli pri la aranĝo IPSec-reteja VPN sur ekipaĵo Palo Alto Retoj kaj pri ebla agorda opcio por konekti plurajn Interretajn provizantoj.
Por la manifestacio, estos uzata norma skemo por konekti la ĉefsidejon al la branĉo. Por disponigi mistoleran interretan konekton, la ĉefsidejo uzas samtempan konekton de du provizantoj: ISP-1 kaj ISP-2. La branĉo havas ligon al nur unu provizanto, ISP-3. Du tuneloj estas konstruitaj inter fajromuroj PA-1 kaj PA-2. La tuneloj funkcias en la reĝimo Aktiva-Ŝtendo,Tunelo-1 estas aktiva, Tunelo-2 komencos elsendi trafikon kiam Tunelo-1 malsukcesos. Tunelo-1 uzas konekton al ISP-1, Tunelo-2 uzas ligon al ISP-2. Ĉiuj IP-adresoj estas hazarde generitaj por pruvaj celoj kaj havas neniun rilaton al realeco.
Por konstrui retejon VPN estos uzata IPSek — aro da protokoloj por certigi la protekton de datumoj transdonitaj per IP. IPSek funkcios uzante sekurecan protokolon ESP (Encapsulating Security Payload), kiu certigos ĉifradon de transdonitaj datumoj.
В IPSek eniras Ike (Interreta Ŝlosilo-Interŝanĝo) estas protokolo respondeca pri intertraktado de SA (sekurecaj asocioj), sekurecaj parametroj, kiuj estas uzataj por protekti transdonitajn datumojn. Subteno de fajroŝirmiloj PAN IKEv1 и IKEv2.
В IKEv1 VPN-konekto estas konstruita en du stadioj: IKEv1 Fazo 1 (IKE-tunelo) kaj IKEv1 Fazo 2 (IPSec-tunelo), tiel, du tuneloj estas kreitaj, unu el kiu estas uzita por la interŝanĝo de servinformoj inter fajromuroj, la dua por trafiktranssendo. EN IKEv1 Fazo 1 Estas du operaciaj reĝimoj - ĉefa reĝimo kaj agresema reĝimo. Agresema reĝimo uzas malpli da mesaĝoj kaj estas pli rapida, sed ne subtenas Peer Identity Protection.
IKEv2 anstataŭigita IKEv1, kaj kompare kun IKEv1 ĝia ĉefa avantaĝo estas pli malaltaj bendolarĝaj postuloj kaj pli rapida SA-intertraktado. EN IKEv2 Pli malmultaj servomesaĝoj estas uzataj (4 entute), EAP kaj MOBIKE-protokoloj estas subtenataj, kaj mekanismo estis aldonita por kontroli la haveblecon de la samulo kun kiu la tunelo estas kreita - Kontrolo de Vivo, anstataŭigante Dead Peer Detection en IKEv1. Se la ĉeko malsukcesas, tiam IKEv2 povas restarigi la tunelon kaj poste aŭtomate restarigi ĝin je la unua ŝanco. Vi povas lerni pli pri la diferencoj .
Se tunelo estas konstruita inter fajroŝirmiloj de malsamaj produktantoj, tiam povas esti eraroj en la efektivigo IKEv2, kaj por kongruo kun tia ekipaĵo eblas uzi IKEv1. En aliaj kazoj estas pli bone uzi IKEv2.
Agordaj paŝoj:
• Agordante du interretajn provizantoj en ActiveStandby-reĝimo
Estas pluraj manieroj efektivigi ĉi tiun funkcion. Unu el ili estas uzi la mekanismon Voja Monitorado, kiu iĝis havebla ekde versio PAN-OS 8.0.0. Ĉi tiu ekzemplo uzas version 8.0.16. Ĉi tiu funkcio estas simila al IP SLA en Cisco-enkursigiloj. La senmova defaŭlta itinera parametro agordas sendi ping-pakojn al specifa IP-adreso de specifa fontadreso. En ĉi tiu kazo, la interfaco ethernet1/1 pingas la defaŭltan enirejon unufoje por sekundo. Se ne estas respondo al tri ping-oj en vico, la itinero estas konsiderita rompita kaj forigita de la vojtabelo. La sama itinero estas agordita al la dua interreta provizanto, sed kun pli alta metriko (ĝi estas rezerva). Post kiam la unua itinero estas forigita de la tablo, la fajroŝirmilo komencos sendi trafikon tra la dua itinero − Malsukceso. Kiam la unua provizanto komencas respondi al ping-oj, ĝia itinero revenos al la tablo kaj anstataŭigos la duan pro pli bona metriko - Malsukceso-Reen. Procezo Malsukceso daŭras kelkajn sekundojn depende de la agorditaj intervaloj, sed, ĉiukaze, la procezo ne estas tuja, kaj dum ĉi tiu tempo trafiko perdiĝas. Malsukceso-Reen pasas sen perdo de trafiko. Estas ŝanco por fari Malsukceso pli rapida, kun B.F.D., se la interreta provizanto donas tian ŝancon. B.F.D. subtenata ekde modelo PA-3000 Serio и VM-100. Estas pli bone specifi ne la enirejon de la provizanto kiel la ping-adreson, sed publikan, ĉiam alireblan Interretan adreson.
• Krei tunelan interfacon
Trafiko ene de la tunelo estas elsendita tra specialaj virtualaj interfacoj. Ĉiu el ili devas esti agordita kun IP-adreso de la transita reto. En ĉi tiu ekzemplo, la substacio 1/172.16.1.0 estos uzata por Tunelo-30, kaj la substacio 2/172.16.2.0 estos uzata por Tunelo-30.
La tunela interfaco estas kreita en la sekcio Reto -> Interfacoj -> Tunelo. Vi devas specifi virtualan enkursigilon kaj sekurecan zonon, kaj ankaŭ IP-adreson de la responda transportreto. La interfaca numero povas esti io ajn.
sekcio Altnivelaj povas esti specifita Administra Profilokiu permesos ping sur la donita interfaco, tio povas esti utila por testado.
• Agordo de IKE-Profilo
IKE-Profilo respondecas pri la unua etapo de kreado de VPN-konekto; tunelaj parametroj estas specifitaj ĉi tie IKE Fazo 1. La profilo estas kreita en la sekcio Reto -> Retaj Profiloj -> IKE Crypto. Necesas specifi la ĉifradan algoritmon, haŝan algoritmon, Diffie-Hellman-grupon kaj ŝlosilan vivdaŭron. Ĝenerale, ju pli kompleksaj la algoritmoj, des pli malbona la agado; ili devus esti elektitaj surbaze de specifaj sekurecaj postuloj. Tamen, estas strikte ne rekomendite uzi Diffie-Hellman-grupon sub 14 por protekti sentemajn informojn. Ĉi tio estas pro la vundebleco de la protokolo, kiu povas esti mildigita nur per uzado de modulaj grandecoj de 2048 bitoj kaj pli altaj, aŭ elipsaj kriptografiaj algoritmoj, kiuj estas uzataj en grupoj 19, 20, 21, 24. Ĉi tiuj algoritmoj havas pli grandan rendimenton kompare kun tradicia kriptografio. . Kaj .
• Agordi IPSec-Profilo
La dua etapo de kreado de VPN-konekto estas IPSec-tunelo. SA-parametroj por ĝi estas agorditaj en Reto -> Retaj Profiloj -> IPSec Crypto Profile. Ĉi tie vi devas specifi la IPSec-protokolon - AH aŭ ESP, same kiel parametrojn SA - algoritmoj de haĉado, ĉifrado, Diffie-Hellman-grupoj kaj ŝlosila vivdaŭro. La SA-parametroj en la IKE Crypto Profile kaj IPSec Crypto Profile eble ne estas la samaj.
• Agordante IKE-Enirejon
IKE Enirejo - ĉi tio estas objekto, kiu indikas enkursigilon aŭ fajroŝirmilon per kiu VPN-tunelo estas konstruita. Por ĉiu tunelo vi devas krei vian propran IKE Enirejo. En ĉi tiu kazo, du tuneloj estas kreitaj, unu per ĉiu interreta provizanto. La responda eksiĝinta interfaco kaj ĝia IP-adreso, samranga IP-adreso kaj komuna ŝlosilo estas indikitaj. Atestiloj povas esti uzataj kiel alternativo al komuna ŝlosilo.
La antaŭe kreita estas ĉi tie indikita IKE Kripta Profilo. Parametroj de la dua objekto IKE Enirejo similaj, krom IP-adresoj. Se la fajroŝirmilo de Palo Alto Networks situas malantaŭ NAT-enkursigilo, tiam vi devas ebligi la mekanismon NAT Traversal.
• Agordi IPSec-Tunelon
IPSec Tunelo estas objekto, kiu precizigas la IPSec-tunajn parametrojn, kiel la nomo sugestas. Ĉi tie vi devas specifi la tunelan interfacon kaj antaŭe kreitajn objektojn IKE Enirejo, IPSec Crypto Profile. Por certigi aŭtomatan ŝanĝadon de vojigo al la rezerva tunelo, vi devas ebligi Tunela Monitoro. Ĉi tio estas mekanismo kiu kontrolas ĉu kunulo vivas uzante ICMP-trafikon. Kiel la cel-adreso, vi devas specifi la IP-adreson de la tunela interfaco de la samulo kun kiu la tunelo estas konstruita. La profilo specifas tempigilojn kaj kion fari se la konekto estas perdita. Atendu Reakiri - atendu ĝis la konekto estas restarigita, Malsukceso — sendu trafikon laŭ alia itinero, se disponebla. Agordi la duan tunelon estas tute simila; la dua tunela interfaco kaj IKE Gateway estas precizigitaj.
• Agordo de vojigo
Ĉi tiu ekzemplo uzas senmovan vojigon. Sur la PA-1 fajroŝirmilo, krom la du defaŭltaj itineroj, vi devas specifi du itinerojn al la 10.10.10.0/24 subreto en la branĉo. Unu itinero uzas Tunnel-1, la alian Tunnel-2. La itinero tra Tunnel-1 estas la ĉefa ĉar ĝi havas pli malaltan metrikon. Mekanismo Voja Monitorado ne uzata por ĉi tiuj itineroj. Respondeca pri ŝanĝado Tunela Monitoro.
La samaj itineroj por la subreto 192.168.30.0/24 devas esti agorditaj sur PA-2.
• Starigante retajn regulojn
Por ke la tunelo funkciu, tri reguloj estas necesaj:
- Por laboro Voja Monitoro Permesu ICMP sur eksteraj interfacoj.
- Por IPSek permesi apojn ike и ipsec sur eksteraj interfacoj.
- Permesu trafikon inter internaj subretoj kaj tunelaj interfacoj.
konkludo
Ĉi tiu artikolo diskutas la opcion agordi mistoleran interretan konekton kaj VPN de retejo-al-ejo. Ni esperas, ke la informoj estis utilaj kaj la leganto ekhavis ideon pri la teknologioj uzataj Palo Alto Retoj. Se vi havas demandojn pri aranĝo kaj sugestoj pri temoj por estontaj artikoloj, skribu ilin en la komentoj, ni volonte respondos.
fonto: www.habr.com