See artikkel on jätk pühendatud seadmete seadistamise spetsiifikale Palo Alto Networks . Siin tahame rääkida seadistamisest IPSec Site-to-Site VPN seadmete peal Palo Alto Networks ja võimaliku konfiguratsioonivaliku kohta mitme Interneti-teenuse pakkuja ühendamiseks.
Demonstreerimiseks kasutatakse peakontori ja filiaali ühendamise standardskeemi. Veataluva Interneti-ühenduse tagamiseks kasutab peakontor kahe teenusepakkuja samaaegset ühendust: ISP-1 ja ISP-2. Filiaalil on ühendus ainult ühe pakkujaga, ISP-3. Tulemüüride PA-1 ja PA-2 vahele on ehitatud kaks tunnelit. Tunnelid töötavad režiimis Aktiivne-ooterežiim,Tunnel-1 on aktiivne, Tunnel-2 hakkab liiklust edastama, kui Tunnel-1 ebaõnnestub. Tunnel-1 kasutab ühendust ISP-1-ga, Tunnel-2 kasutab ühendust ISP-2-ga. Kõik IP-aadressid genereeritakse juhuslikult tutvustamise eesmärgil ja neil pole tegelikkusega mingit seost.
Site-Site loomiseks kasutatakse VPN-i IPsec — protokollide kogum IP kaudu edastatavate andmete kaitse tagamiseks. IPsec töötab turvaprotokolli kasutades ESP (Encapsulating Security Payload), mis tagab edastatavate andmete krüptimise.
В IPsec входит IKE (Internet Key Exchange) on protokoll, mis vastutab SA (turbeühenduste) läbirääkimiste eest, turvaparameetrite üle, mida kasutatakse edastatud andmete kaitsmiseks. PAN-tulemüüride tugi IKEv1 и IKEv2.
В IKEv1 VPN-ühendus luuakse kahes etapis: IKEv1 1. faas (IKE tunnel) ja IKEv1 2. faas (IPSec tunnel), seega luuakse kaks tunnelit, millest ühte kasutatakse tulemüüride vaheliseks teenuseinfo vahetamiseks, teist liikluse edastamiseks. IN IKEv1 1. faas On kaks töörežiimi - põhirežiim ja agressiivne režiim. Agressiivne režiim kasutab vähem sõnumeid ja on kiirem, kuid ei toeta kaaslaste identiteedi kaitset.
IKEv2 asendatud IKEv1, ja võrreldes IKEv1 selle peamine eelis on madalamad ribalaiuse nõuded ja kiirem SA läbirääkimine. IN IKEv2 Kasutatakse vähem teenuseteateid (kokku 4), toetatud on EAP ja MOBIKE protokollid ning lisatud on mehhanism tunneli loomise kaaslase saadavuse kontrollimiseks - Elavduse kontroll, asendades IKEv1-s surnud kaaslaste tuvastamise. Kui kontroll ebaõnnestub, siis IKEv2 saab tunneli lähtestada ja seejärel esimesel võimalusel automaatselt taastada. Erinevuste kohta saate lisateavet .
Kui tunnel rajatakse erinevate tootjate tulemüüride vahele, siis võib juurutamisel esineda vigu IKEv2, ja selliste seadmetega ühilduvuse tagamiseks on seda võimalik kasutada IKEv1. Muudel juhtudel on parem kasutada IKEv2.
Seadistamise sammud:
• Kahe Interneti-teenuse pakkuja konfigureerimine ActiveStandby režiimis
Selle funktsiooni rakendamiseks on mitu võimalust. Üks neist on mehhanismi kasutamine Tee jälgimine, mis sai kättesaadavaks alates versioonist PAN-OS 8.0.0. See näide kasutab versiooni 8.0.16. See funktsioon sarnaneb Cisco ruuterite IP SLA-ga. Staatiline vaikemarsruudi parameeter konfigureerib ping-pakettide saatmise kindlale IP-aadressile kindlast lähteaadressist. Sel juhul pingib ethernet1/1 liides vaikelüüsi üks kord sekundis. Kui kolmele järjestikusele pingile ei reageerita, loetakse marsruut katkiseks ja eemaldatakse marsruutimistabelist. Sama marsruut on konfigureeritud teise Interneti-teenuse pakkuja poole, kuid kõrgema mõõdikuga (see on varu). Kui esimene marsruut on tabelist eemaldatud, hakkab tulemüür liiklust saatma läbi teise marsruudi − Fail-Over. Kui esimene pakkuja hakkab pingitele reageerima, naaseb tema marsruut tabelisse ja asendab parema mõõdiku tõttu teise – Fail-Back. Protsess Fail-Over See võtab olenevalt konfigureeritud intervallidest mõne sekundi, kuid igal juhul ei toimu protsess hetkega ja selle aja jooksul kaob liiklus. Fail-Back möödub liiklust kaotamata. Võimalus on teha Fail-Over kiiremini, koos BFD, kui Interneti-teenuse pakkuja sellise võimaluse pakub. BFD toetatud alates mudelist PA-3000 seeria и VM-100. Ping-aadressiks on parem määrata mitte teenusepakkuja lüüs, vaid avalik, alati juurdepääsetav Interneti-aadress.
• Tunneli liidese loomine
Tunnelisisene liiklus edastatakse spetsiaalsete virtuaalsete liideste kaudu. Igaüks neist peab olema konfigureeritud ühistranspordivõrgu IP-aadressiga. Selles näites kasutatakse Tunnel-1 jaoks alajaama 172.16.1.0/30 ja Tunnel-2 jaoks alajaama 172.16.2.0/30.
Tunneli liides luuakse jaotises Võrk -> Liidesed -> Tunnel. Peate määrama virtuaalse ruuteri ja turvatsooni ning IP-aadressi vastavast transpordivõrgust. Liidese number võib olla ükskõik milline.
Jaotises edasijõudnud saab täpsustada Juhtimisprofiilmis võimaldab antud liidesel pingida, võib see testimisel kasulik olla.
• IKE profiili seadistamine
IKE profiil vastutab VPN-ühenduse loomise esimese etapi eest, siin määratakse tunneli parameetrid IKE 1. faas. Profiil luuakse jaotises Võrk -> Võrguprofiilid -> IKE krüpto. On vaja määrata krüpteerimisalgoritm, räsimisalgoritm, Diffie-Hellmani rühm ja võtme eluiga. Üldiselt, mida keerulisemad on algoritmid, seda halvem on jõudlus, need tuleks valida konkreetsete turvanõuete alusel. Siiski ei ole rangelt soovitatav kasutada tundliku teabe kaitsmiseks alla 14-aastast Diffie-Hellmani rühma. Selle põhjuseks on protokolli haavatavus, mida saab leevendada ainult 2048-bitise ja suurema mooduli või elliptiliste krüptograafia algoritmidega, mida kasutatakse rühmades 19, 20, 21, 24. Nendel algoritmidel on suurem jõudlus võrreldes traditsiooniline krüptograafia. . Ja .
• IPSec-profiili seadistamine
VPN-ühenduse loomise teine etapp on IPSec-tunnel. Selle SA parameetrid on konfigureeritud Võrk -> Võrguprofiilid -> IPSec-krüptoprofiil. Siin peate määrama IPSec-protokolli - AH või ESP, samuti parameetrid SA — räsimisalgoritmid, krüptimine, Diffie-Hellmani rühmad ja võtme eluiga. SA parameetrid IKE krüptoprofiilis ja IPSec krüptoprofiilis ei pruugi olla samad.
• IKE lüüsi konfigureerimine
IKE värav - see on objekt, mis määrab ruuteri või tulemüüri, millega VPN-tunnel on ehitatud. Iga tunneli jaoks peate looma oma IKE värav. Sel juhul luuakse kaks tunnelit, üks iga Interneti-teenuse pakkuja kaudu. Näidatud on vastav väljuv liides ja selle IP-aadress, kaaslase IP-aadress ja jagatud võti. Sertifikaate saab kasutada alternatiivina jagatud võtmele.
Siin näidatakse varem loodud IKE krüptoprofiil. Teise objekti parameetrid IKE värav sarnased, välja arvatud IP-aadressid. Kui Palo Alto Networksi tulemüür asub NAT-ruuteri taga, peate selle mehhanismi lubama NAT-i läbimine.
• IPSec-tunneli seadistamine
IPSec tunnel on objekt, mis määrab IPSec tunneli parameetrid, nagu nimigi ütleb. Siin tuleb määrata tunneli liides ja varem loodud objektid IKE värav, IPSec krüptoprofiil. Marsruutimise automaatse ümberlülitamise tagamiseks varutunnelisse peate lubama Tunneli monitor. See on mehhanism, mis kontrollib ICMP-liikluse abil, kas partner on elus. Sihtkoha aadressina peate määrama tunneli ehitamise kaaslase tunneli liidese IP-aadressi. Profiil määrab taimerid ja tegevuse ühenduse katkemise korral. Oodake taastamist - oodake, kuni ühendus taastub, Ebaõnnestumine — saata liiklust mööda teist marsruuti, kui see on saadaval. Teise tunneli seadistamine on täiesti sarnane; teine tunneli liides ja IKE lüüs on määratud.
• Marsruutimise seadistamine
See näide kasutab staatilist marsruutimist. PA-1 tulemüüris peate lisaks kahele vaikemarsruudile määrama harus kaks marsruuti alamvõrku 10.10.10.0/24. Üks marsruut kasutab Tunnel-1, teine Tunnel-2. Tunnel-1 läbiv marsruut on peamine, kuna sellel on madalam mõõdik. mehhanism Tee jälgimine ei kasutata nendel marsruutidel. Vastutab ümberlülitamise eest Tunneli monitor.
Samad marsruudid alamvõrgu 192.168.30.0/24 jaoks tuleb konfigureerida PA-2-s.
• Võrgureeglite seadistamine
Tunneli toimimiseks on vaja kolme reeglit:
- Tööks Tee jälgija ICMP lubamine välistel liidestel.
- eest IPsec luba rakendusi ike и ipsec välistel liidestel.
- Luba liiklus sisemiste alamvõrkude ja tunneli liideste vahel.
Järeldus
Selles artiklis käsitletakse tõrketaluva Interneti-ühenduse seadistamise võimalust ja Saitidevaheline VPN. Loodame, et teave oli kasulik ja lugeja sai aimu kasutatavatest tehnoloogiatest Palo Alto Networks. Kui teil on seadistamise kohta küsimusi ja ettepanekuid tulevaste artiklite teemade kohta, kirjutage need kommentaaridesse, vastame hea meelega.
Allikas: www.habr.com