این مقاله ادامه دارد اختصاص داده شده به ویژگی های راه اندازی تجهیزات شبکه های پالوآلتو . در اینجا می خواهیم در مورد تنظیمات صحبت کنیم IPSec سایت به سایت VPN روی تجهیزات شبکه های پالوآلتو و در مورد یک گزینه پیکربندی ممکن برای اتصال چندین ارائه دهنده اینترنت.
برای نمایش، از یک طرح استاندارد برای اتصال دفتر مرکزی به شعبه استفاده خواهد شد. به منظور ارائه یک اتصال اینترنتی بدون خطا، دفتر مرکزی از اتصال همزمان دو ارائه دهنده ISP-1 و ISP-2 استفاده می کند. این شعبه فقط به یک ارائه دهنده، ISP-3 متصل است. دو تونل بین فایروال های PA-1 و PA-2 ساخته شده است. تونل ها در حالت کار می کنند Active-Standbyتونل-1 فعال است، تونل-2 در صورت خرابی تونل-1 شروع به انتقال ترافیک می کند. Tunnel-1 از اتصال به ISP-1 استفاده می کند، Tunnel-2 از اتصال به ISP-2 استفاده می کند. تمام آدرس های IP به صورت تصادفی برای اهداف نمایشی تولید می شوند و هیچ ارتباطی با واقعیت ندارند.
برای ساخت سایت به سایت VPN استفاده خواهد شد IPSec - مجموعه ای از پروتکل ها برای اطمینان از حفاظت از داده های منتقل شده از طریق IP. IPSec با استفاده از پروتکل امنیتی کار خواهد کرد ESP (Encapsulating Security Payload)، که رمزگذاری داده های ارسال شده را تضمین می کند.
В IPSec وارد می شود IKE (Internet Key Exchange) پروتکلی است که مسئول مذاکره SA (اتحادات امنیتی)، پارامترهای امنیتی است که برای محافظت از داده های ارسال شده استفاده می شود. پشتیبانی از فایروال های PAN IKEv1 и IKEv2.
В IKEv1 اتصال VPN در دو مرحله ساخته می شود: IKEv1 فاز 1 (تونل IKE) و IKEv1 فاز 2 (تونل IPSec)، بنابراین دو تونل ایجاد می شود که یکی برای تبادل اطلاعات سرویس بین فایروال ها و دومی برای انتقال ترافیک استفاده می شود. که در IKEv1 فاز 1 دو حالت عملیاتی وجود دارد - حالت اصلی و حالت تهاجمی. حالت تهاجمی از پیامهای کمتری استفاده میکند و سریعتر است، اما از محافظت از هویت همتا پشتیبانی نمیکند.
IKEv2 جایگزین شده است IKEv1، و در مقایسه با IKEv1 مزیت اصلی آن نیاز به پهنای باند کمتر و مذاکره SA سریعتر است. که در IKEv2 پیامهای سرویس کمتری استفاده میشود (در مجموع ۴)، پروتکلهای EAP و MOBIKE پشتیبانی میشوند، و مکانیزمی برای بررسی در دسترس بودن همتا که با آن تونل ایجاد شده است، اضافه شده است - بررسی زنده بودن، جایگزین Dead Peer Detection در IKEv1. اگر چک با شکست مواجه شد، پس IKEv2 می تواند تونل را بازنشانی کند و سپس در اولین فرصت به طور خودکار آن را بازیابی کند. می توانید در مورد تفاوت ها بیشتر بدانید .
اگر یک تونل بین فایروال های سازنده های مختلف ساخته شود، ممکن است اشکالاتی در پیاده سازی وجود داشته باشد IKEv2، و برای سازگاری با چنین تجهیزاتی می توان از آن استفاده کرد IKEv1. در موارد دیگر بهتر است استفاده شود IKEv2.
مراحل راه اندازی:
• پیکربندی دو ارائه دهنده اینترنت در حالت ActiveStandby
راه های مختلفی برای پیاده سازی این تابع وجود دارد. یکی از آنها استفاده از مکانیسم است نظارت بر مسیر، که از نسخه در دسترس قرار گرفت PAN-OS 8.0.0. این مثال از نسخه 8.0.16 استفاده می کند. این ویژگی مشابه IP SLA در روترهای سیسکو است. پارامتر مسیر پیشفرض استاتیک ارسال بستههای پینگ را به یک آدرس IP خاص از یک آدرس منبع خاص پیکربندی میکند. در این حالت، رابط ethernet1/1 یک بار در ثانیه به دروازه پیش فرض پینگ می کند. اگر به سه پینگ پشت سر هم پاسخی داده نشد، مسیر شکسته در نظر گرفته شده و از جدول مسیریابی حذف می شود. همان مسیر به سمت ارائه دهنده اینترنت دوم پیکربندی شده است، اما با یک متریک بالاتر (این یک نسخه پشتیبان است). هنگامی که مسیر اول از جدول حذف شد، فایروال شروع به ارسال ترافیک از طریق مسیر دوم - می کند Fail-Over. هنگامی که ارائه دهنده اول شروع به پاسخ دادن به پینگ می کند، مسیر آن به جدول باز می گردد و به دلیل معیار بهتر جایگزین مورد دوم می شود - عدم موفقیت... روند Fail-Over بسته به فواصل تنظیم شده چند ثانیه طول می کشد، اما، در هر صورت، این فرآیند آنی نیست و در این مدت ترافیک از بین می رود. عدم موفقیت بدون از دست دادن ترافیک عبور می کند. فرصتی برای انجام وجود دارد Fail-Over سریع تر، با B.F.D.، اگر ارائه دهنده اینترنت چنین فرصتی را فراهم کند. B.F.D. با شروع از مدل پشتیبانی می شود سری PA-3000 и VM-100. بهتر است دروازه ارائه دهنده را نه به عنوان آدرس پینگ، بلکه یک آدرس اینترنتی عمومی و همیشه در دسترس را مشخص کنید.
• ایجاد رابط تونل
ترافیک داخل تونل از طریق رابط های مجازی ویژه منتقل می شود. هر یک از آنها باید با یک آدرس IP از شبکه حمل و نقل پیکربندی شوند. در این مثال، پست 1/172.16.1.0 برای Tunnel-30 و پست 2/172.16.2.0 برای Tunnel-30 استفاده خواهد شد.
رابط تونل در بخش ایجاد می شود شبکه -> رابط ها -> تونل. شما باید یک روتر مجازی و منطقه امنیتی و همچنین یک آدرس IP از شبکه حمل و نقل مربوطه را مشخص کنید. شماره رابط می تواند هر چیزی باشد.
در بخش فناوری ممکن است مشخصات مدیریتکه امکان پینگ روی رابط داده شده را فراهم می کند، این ممکن است برای آزمایش مفید باشد.
• راه اندازی نمایه IKE
نمایه IKE اولین مرحله ایجاد اتصال VPN را بر عهده دارد؛ پارامترهای تونل در اینجا مشخص شده است IKE فاز 1. نمایه در بخش ایجاد می شود Network -> Network Profiles -> IKE Crypto. لازم است الگوریتم رمزگذاری، الگوریتم هش، گروه Diffie-Hellman و طول عمر کلید را مشخص کنید. به طور کلی، هرچه الگوریتمها پیچیدهتر باشند، عملکرد بدتری دارند؛ آنها باید بر اساس الزامات امنیتی خاص انتخاب شوند. با این حال، استفاده از گروه Diffie-Hellman زیر 14 برای محافظت از اطلاعات حساس اکیداً توصیه نمی شود. این به دلیل آسیب پذیری پروتکل است که تنها با استفاده از اندازه ماژول های 2048 بیتی و بالاتر یا الگوریتم های رمزنگاری بیضوی که در گروه های 19، 20، 21، 24 استفاده می شود، قابل کاهش است. این الگوریتم ها عملکرد بیشتری نسبت به رمزنگاری سنتی . و .
• راه اندازی نمایه IPSec
مرحله دوم ایجاد اتصال VPN یک تونل IPSec است. پارامترهای SA برای آن در پیکربندی شده است Network -> Network Profiles -> IPSec Crypto Profile. در اینجا باید پروتکل IPSec را مشخص کنید - AH یا ESP، و همچنین پارامترها SA - الگوریتم های هش، رمزگذاری، گروه های Diffie-Hellman و طول عمر کلید. پارامترهای SA در IKE Crypto Profile و IPSec Crypto Profile ممکن است یکسان نباشند.
• پیکربندی IKE Gateway
دروازه IKE - این یک شی است که یک روتر یا فایروال را مشخص می کند که با آن یک تونل VPN ساخته شده است. برای هر تونل باید تونل خود را ایجاد کنید دروازه IKE. در این حالت دو تونل ایجاد می شود که یکی از طریق هر ارائه دهنده اینترنت می باشد. رابط خروجی مربوطه و آدرس IP، آدرس IP همتا، و کلید مشترک نشان داده شده است. گواهی ها را می توان به عنوان جایگزینی برای کلید مشترک استفاده کرد.
قبلا ایجاد شده در اینجا نشان داده شده است نمایه رمزنگاری IKE. پارامترهای شی دوم دروازه IKE مشابه، به جز آدرس های IP. اگر فایروال Palo Alto Networks پشت یک روتر NAT قرار دارد، باید مکانیزم را فعال کنید. پیمایش NAT.
• راه اندازی IPSec Tunnel
تونل IPSec همانطور که از نامش پیداست، یک شی است که پارامترهای تونل IPSec را مشخص می کند. در اینجا باید رابط تونل و اشیاء ایجاد شده قبلی را مشخص کنید دروازه IKE, نمایه رمزنگاری IPSec. برای اطمینان از تعویض خودکار مسیریابی به تونل پشتیبان، باید فعال کنید مانیتور تونل. این مکانیزمی است که بررسی می کند که آیا یک همتا با استفاده از ترافیک ICMP زنده است یا خیر. به عنوان آدرس مقصد، باید آدرس IP رابط تونل همتایی که تونل با آن ساخته می شود را مشخص کنید. نمایه تایمرها را مشخص می کند و در صورت قطع اتصال چه باید کرد. صبر کن بازیابی - صبر کنید تا اتصال بازیابی شود، شکست بیش از - در صورت وجود، ترافیک را در مسیر دیگری ارسال کنید. راه اندازی تونل دوم کاملا مشابه است؛ رابط تونل دوم و IKE Gateway مشخص شده است.
• راه اندازی مسیریابی
این مثال از مسیریابی ثابت استفاده می کند. در فایروال PA-1، علاوه بر دو مسیر پیش فرض، باید دو مسیر به زیر شبکه 10.10.10.0/24 در شعبه مشخص کنید. یکی از مسیرها از تونل-1 و دیگری از تونل-2 استفاده می کند. مسیر از طریق تونل-1 مسیر اصلی است زیرا متریک پایین تری دارد. سازوکار نظارت بر مسیر برای این مسیرها استفاده نمی شود. مسئول تعویض مانیتور تونل.
همان مسیرها برای زیرشبکه 192.168.30.0/24 باید روی PA-2 پیکربندی شوند.
• تنظیم قوانین شبکه
برای اینکه تونل کار کند، سه قانون لازم است:
- برای کار مانیتور مسیر اجازه ICMP در رابط های خارجی.
- برای IPSec اجازه دادن به برنامه ها آیک и ipsec در رابط های خارجی
- اجازه ترافیک بین زیرشبکه های داخلی و رابط های تونل.
نتیجه
این مقاله گزینه راه اندازی یک اتصال اینترنتی با تحمل خطا و VPN سایت به سایت. امیدواریم اطلاعات مفید بوده باشد و خواننده ایده ای از فناوری های مورد استفاده در آن به دست آورده باشد شبکه های پالوآلتو. اگر سؤالی در مورد راه اندازی و پیشنهاداتی در مورد موضوعات برای مقالات بعدی دارید، آنها را در نظرات بنویسید، ما خوشحال خواهیم شد که پاسخ دهیم.
منبع: www.habr.com