Artikulu hau jarraipena da ekipamenduak konfiguratzeko berezitasunei eskainia Palo Alto Sareak . Hemen konfigurazioari buruz hitz egin nahi dugu IPSec gunez gune VPN ekipoetan Palo Alto Sareak eta hainbat Interneteko hornitzaile konektatzeko konfigurazio aukera posible bati buruz.
Erakustaldia egiteko, egoitza nagusia bulegoarekin lotzeko eskema estandar bat erabiliko da. Akatsak jasaten dituen Interneteko konexioa eskaintzeko, egoitza nagusiak bi hornitzaileren aldibereko konexioa erabiltzen du: ISP-1 eta ISP-2. Adarrak hornitzaile bakarrarekin dauka konexioa, ISP-3rekin. Bi tunel eraikitzen dira PA-1 eta PA-2 suebakien artean. Tunelak moduan funtzionatzen dute Aktiboa-Esatea,Tunnel-1 aktibo dago, Tunnel-2 trafikoa transmititzen hasiko da Tunnel-1 huts egiten duenean. Tunnel-1 ISP-1 konexioa erabiltzen du, Tunnel-2 ISP-2 konexioa. IP helbide guztiak ausaz sortzen dira erakustaldietarako eta ez dute errealitatearekin erlaziorik.
Site-to-Site VPN bat eraikitzeko erabiliko da IPSek β IP bidez transmititutako datuen babesa bermatzeko protokolo multzoa. IPSek segurtasun protokolo bat erabiliz funtzionatuko du ESP (Encapsulating Security Payload), transmititutako datuen enkriptatzea bermatuko duena.
Π IPSek barne hartzen ditu IKE (Internet Key Exchange) SA negoziatzeko ardura duen protokoloa da (segurtasun elkarteak), transmititutako datuak babesteko erabiltzen diren segurtasun-parametroak. PAN suebakien laguntza IKEv1 ΠΈ IKEv2.
Π IKEv1 VPN konexioa bi fasetan eraikitzen da: IKEv1 1. fasea (IKE tunela) eta IKEv1 2. fasea (IPSec tunela), horrela, bi tunel sortzen dira, horietako bat suebakien arteko zerbitzu-informazioa trukatzeko erabiltzen da, bigarrena trafikoa transmititzeko. IN IKEv1 1. fasea Bi funtzionamendu modu daude: modu nagusia eta modu oldarkorra. Modu oldarkorrak mezu gutxiago erabiltzen ditu eta azkarragoa da, baina ez du Peer Identity Protection onartzen.
IKEv2 ordezkatu IKEv1, eta aldean IKEv1 bere abantaila nagusia banda zabalera eskakizun txikiagoa eta SA negoziazio azkarragoa da. IN IKEv2 Zerbitzu-mezu gutxiago erabiltzen dira (4 guztira), EAP eta MOBIKE protokoloak onartzen dira, eta tunela sortu den parekidearen erabilgarritasuna egiaztatzeko mekanismo bat gehitu da - Bizitasuna egiaztatzea, Dead Peer Detection ordezkatuz IKEv1-en. Egiaztapenak huts egiten badu, orduan IKEv2 tunela berrezarri eta gero automatikoki lehengo aukeran berrezarri dezake. Desberdintasunei buruz gehiago ikas dezakezu .
Fabrikatzaile ezberdinetako suebakien artean tunel bat eraikitzen bada, inplementazioan akatsak egon daitezke IKEv2, eta ekipo horiekin bateragarritasunerako erabil daiteke IKEv1. Beste kasu batzuetan hobe da erabiltzea IKEv2.
Konfiguratzeko urratsak:
β’ Bi Interneteko hornitzaile konfiguratzea ActiveStandby moduan
Funtzio hau ezartzeko hainbat modu daude. Horietako bat mekanismoa erabiltzea da Bideen jarraipena, bertsiotik hasita eskuragarri egon zena PAN-OS 8.0.0. Adibide honek 8.0.16 bertsioa erabiltzen du. Ezaugarri hau Cisco bideratzaileetako IP SLAren antzekoa da. Ibilbide lehenetsi estatikoko parametroak ping paketeak bidaltzea konfiguratzen du IP helbide zehatz batera iturburu helbide zehatz batetik. Kasu honetan, ethernet1/1 interfazeak atebide lehenetsiari ping egiten dio segundoko behin. Hiru ping jarraian erantzunik ez badago, ibilbidea hautsitzat joko da eta bideratze-taulatik kenduko da. Ibilbide bera konfiguratuta dago bigarren Internet hornitzailearekin, baina metrika altuago batekin (backup bat da). Lehenengo ibilbidea taulatik kendu ondoren, suebakia trafikoa bidaltzen hasiko da bigarren bidetik - Hutsegitea. Lehen hornitzailea ping-ei erantzuten hasten denean, bere ibilbidea taulara itzuliko da eta bigarrena ordezkatuko du metrika hobea dela eta - Fail-Back. Prozesua Hutsegitea segundo batzuk hartzen ditu konfiguratutako tarteen arabera, baina, nolanahi ere, prozesua ez da berehalakoa, eta denbora horretan trafikoa galtzen da. Fail-Back igarotzen da trafikoa galdu gabe. Badago egiteko aukera Hutsegitea azkarrago, ekin B.F.D., Interneteko hornitzaileak aukera hori ematen badu. B.F.D. eredutik abiatuta onartzen da PA-3000 seriea ΠΈ VM-100. Hobe da hornitzailearen atea ez zehaztea ping helbide gisa, baizik eta Interneteko helbide publiko eta beti eskuragarria.
β’ Tunelaren interfazea sortzea
Tunel barruko trafikoa interfaze birtual berezien bidez transmititzen da. Horietako bakoitza garraio-sareko IP helbide batekin konfiguratu behar da. Adibide honetan, 1/172.16.1.0 azpiestazioa erabiliko da Tunnel-30erako, eta 2/172.16.2.0 azpiestazioa Tunnel-30rako.
Tunelaren interfazea atalean sortzen da Sarea -> Interfazeak -> Tunela. Bideratzaile birtual bat eta segurtasun eremua zehaztu behar dituzu, baita dagokion garraio-sareko IP helbide bat ere. Interfazearen zenbakia edozein izan daiteke.
Atalean Aurreratua zehaztu daiteke Kudeaketa-profilaEmandako interfazean ping-a ahalbidetuko duena, hau probak egiteko erabilgarria izan daiteke.
β’ IKE Profila konfiguratzea
IKE Profila VPN konexioa sortzeko lehen faseaz arduratzen da; hemen tunelaren parametroak zehazten dira IKE 1. fasea. Profila atalean sortzen da Sarea -> Sareko profilak -> IKE Crypto. Beharrezkoa da enkriptatze algoritmoa, hashing algoritmoa, Diffie-Hellman taldea eta gakoen iraupena zehaztea. Oro har, algoritmoak zenbat eta konplexuagoak izan, orduan eta errendimendu okerragoa izango da; segurtasun-baldintza zehatzen arabera hautatu behar dira. Hala ere, ez da gomendagarria 14 urtetik beherako Diffie-Hellman talde bat erabiltzea informazio sentikorra babesteko. Hau protokoloaren ahultasunagatik da, 2048 biteko eta hortik gorako moduluen tamainak soilik arindu daitezkeenak, edo 19, 20, 21, 24 taldeetan erabiltzen diren kriptografia-algoritmo eliptikoak erabiliz. Algoritmo hauek errendimendu handiagoa dute. kriptografia tradizionala. . eta .
β’ IPSec profila konfiguratzea
VPN konexio bat sortzeko bigarren etapa IPSec tunel bat da. Horretarako SA parametroak konfiguratuta daude Sarea -> Sareko profilak -> IPSec Crypto Profile. Hemen IPSec protokoloa zehaztu behar duzu - AH edo ESP, baita parametroak ere SA β hashing algoritmoak, enkriptatzea, Diffie-Hellman taldeak eta gakoen iraupena. Baliteke IKE Crypto Profile eta IPSec Crypto Profile-ko SA parametroak berdinak ez izatea.
β’ IKE Gateway konfiguratzen
IKE Gateway - VPN tunel bat eraikitzeko bideratzaile edo suebaki bat izendatzen duen objektua da. Tunel bakoitzeko zurea sortu behar duzu IKE Gateway. Kasu honetan, bi tunel sortzen dira, bat Internet hornitzaile bakoitzaren bitartez. Dagokion irteerako interfazea eta bere IP helbidea, pareko IP helbidea eta partekatutako gakoa adierazten dira. Ziurtagiriak partekatutako gako baten alternatiba gisa erabil daitezke.
Aurretik sortutakoa hemen adierazten da IKE Crypto Profile. Bigarren objektuaren parametroak IKE Gateway antzekoa, IP helbideak izan ezik. Palo Alto Networks suebakia NAT bideratzaile baten atzean badago, orduan mekanismoa gaitu behar duzu NAT zeharkaldia.
β’ IPSec Tunela konfiguratzea
IPSec tunela IPSec tunelaren parametroak zehazten dituen objektua da, izenak dioen bezala. Hemen tunelaren interfazea eta aurrez sortutako objektuak zehaztu behar dituzu IKE Gateway, IPSec Crypto Profile. Bideraketa babeskopiko tunelera automatikoki aldatzea ziurtatzeko, gaitu behar duzu Tunelaren monitorea. ICMP trafikoa erabiliz parekide bat bizirik dagoen ala ez egiaztatzen duen mekanismoa da. Helmuga helbide gisa, tunela eraikitzen ari den parekoaren tunelaren interfazearen IP helbidea zehaztu behar duzu. Profilak tenporizadoreak eta ekintzak zehazten ditu konexioa galtzen denean. Itxaron Berreskuratu - itxaron konexioa berrezarri arte, Hutsegitea β bidali trafikoa beste bide batetik, erabilgarri badago. Bigarren tunelaren konfigurazioa guztiz antzekoa da; bigarren tunelaren interfazea eta IKE Gateway zehaztuta daude.
β’ Bideraketa konfiguratzea
Adibide honek bideratze estatikoa erabiltzen du. PA-1 suebakian, lehenetsitako bi bideez gain, 10.10.10.0/24 azpisarerako bi bide zehaztu behar dituzu adarrean. Ibilbide batek Tunela-1 erabiltzen du, besteak Tunela-2. Tunnel-1 bidezko ibilbidea da nagusia metrika baxuagoa duelako. Mekanismoa Bideen jarraipena bide horietarako erabiltzen ez direnak. Aldaketaren arduraduna Tunelaren monitorea.
192.168.30.0/24 azpisarerako bide berdinak konfiguratu behar dira PA-2n.
β’ Sare-arauak ezartzea
Tunelak funtziona dezan, hiru arau behar dira:
- Lanerako Bide-monitorea Baimendu ICMP kanpoko interfazeetan.
- For IPSek baimendu aplikazioak ike ΠΈ ipsec kanpoko interfazeetan.
- Onartu barruko azpisareen eta tuneleko interfazeen arteko trafikoa.
Ondorioa
Artikulu honek akats-tolerantzia Interneteko konexioa konfiguratzeko aukera aztertzen du eta Gunez gune VPN. Espero dugu informazioa erabilgarria izatea eta irakurleak erabiltzen diren teknologien ideia bat izatea Palo Alto Sareak. Etorkizuneko artikuluetarako konfigurazioari eta iradokizunei buruzko galderarik baduzu, idatzi iruzkinetan, pozik erantzungo dugu.
Iturria: www.habr.com