Leanann an t-alt seo tiomanta do na sonraí a bhaineann le trealamh a bhunú Palo Alto Líonraí . Anseo ba mhaith linn labhairt faoin socrú IPSec VPN ó shuíomh go suíomh ar threalamh Palo Alto Líonraí agus faoi rogha cumraíochta féideartha chun roinnt soláthraithe Idirlín a nascadh.
Don léiriú, úsáidfear scéim chaighdeánach chun an phríomhoifig a nascadh leis an mbrainse. Chun nasc Idirlín locht-fhulangach a sholáthar, úsáideann an phríomhoifig nasc comhuaineach de dhá sholáthraí: ISP-1 agus ISP-2. Níl baint ag an mbrainse ach le soláthraí amháin, ISP-3. Tógtar dhá thollán idir ballaí dóiteáin PA-1 agus PA-2. Feidhmíonn na tolláin sa mhodh Gníomhach-Fuireachas,Tá Tollán-1 gníomhach, tosóidh Tollán-2 ag tarchur tráchta nuair a theipeann ar Thollán-1. Úsáideann Tollán-1 nasc le ISP-1, úsáideann Tollán-2 nasc le ISP-2. Gintear na seoltaí IP go léir go randamach chun críocha taispeána agus níl aon bhaint acu leis an réaltacht.
Chun Suíomh go Suíomh a thógáil bainfear úsáid as VPN IPsec — sraith prótacal chun cosaint sonraí arna dtarchur trí IP a áirithiú. IPsec oibreoidh sé ag baint úsáide as prótacal slándála ESP (Ag cuimsiú Ualach Slándála), a áiritheoidh criptiú na sonraí tarchurtha.
В IPsec san áireamh IKE Is prótacal é (Malartú Eochracha Idirlín) atá freagrach as SA (cumainn slándála) a chaibidil, paraiméadair slándála a úsáidtear chun sonraí tarchurtha a chosaint. Tacaíocht balla dóiteáin PAN IKEv1 и IKEv2.
В IKEv1 Tógtar nasc VPN in dhá chéim: IKEv1 Céim 1 (tollán IKE) agus IKEv1 Céim 2 (tollán IPSec), dá bhrí sin, cruthaítear dhá thollán, a úsáidtear ceann acu le haghaidh malartú faisnéise seirbhíse idir ballaí dóiteáin, an dara ceann le haghaidh tarchur tráchta. IN IKEv1 Céim 1 Tá dhá mhodh oibriúcháin ann - príomh-mhodh agus modh ionsaitheach. Úsáideann mód ionsaitheach níos lú teachtaireachtaí agus tá sé níos tapúla, ach ní thacaíonn sé le Cosaint Aitheantais Piaraí.
IKEv2 curtha ina ionad IKEv1, agus i gcomparáid le IKEv1 is é an príomhbhuntáiste a bhaineann leis ná ceanglais bandaleithead níos ísle agus idirbheartaíocht SA níos tapúla. IN IKEv2 Úsáidtear níos lú teachtaireachtaí seirbhíse (4 san iomlán), tacaítear le prótacail EAP agus MOBIKE, agus cuireadh meicníocht leis chun infhaighteacht an phiara lena gcruthaítear an tollán a sheiceáil - Seiceáil Beo, in ionad Braite Piaraí Marbh in IKEv1. Má theipeann ar an seic, ansin IKEv2 Is féidir leis an tollán a athshocrú agus ansin é a chur ar ais go huathoibríoch ag an gcéad deis. Is féidir leat níos mó a fhoghlaim faoi na difríochtaí .
Má thógtar tollán idir ballaí dóiteáin ó mhonaróirí éagsúla, ansin d'fhéadfadh go mbeadh fabhtanna sa chur i bhfeidhm IKEv2, agus chun comhoiriúnacht le trealamh den sórt sin is féidir é a úsáid IKEv1. I gcásanna eile tá sé níos fearr a úsáid IKEv2.
Céimeanna socraithe:
• Dhá sholáthraí Idirlín a chumrú i mód ActiveStandby
Tá bealaí éagsúla ann chun an fheidhm seo a chur i bhfeidhm. Is é ceann acu an mheicníocht a úsáid Monatóireacht Conair, a bhí ar fáil ag tosú ón leagan PAN-OS 8.0.0. Úsáideann an sampla seo leagan 8.0.16. Tá an ghné seo cosúil le IP SLA i ródairí Cisco. Cumraíonn an paraiméadar bealaigh réamhshocraithe statach seoladh paicéid ping chuig seoladh IP sonrach ó sheoladh foinse ar leith. Sa chás seo, cuireann an comhéadan ethernet1/1 an geata réamhshocraithe uair sa soicind. Mura bhfuil aon fhreagra ar thrí pings as a chéile, meastar go bhfuil an bealach briste agus é a bhaint as an tábla ródaithe. Tá an bealach céanna cumraithe i dtreo an dara soláthraí Idirlín, ach le méadrach níos airde (is ceann cúltaca é). Nuair a bheidh an chéad bhealach bainte den tábla, tosóidh an balla dóiteáin ag seoladh tráchta tríd an dara bealach − Teip-thar. Nuair a thosaíonn an chéad soláthraí ag freagairt pings, fillfidh a bhealach ar an tábla agus cuirfear in ionad an dara ceann mar gheall ar mhéadrach níos fearr - Teip-Ar Ais. Próiseas Teip-thar Tógann sé cúpla soicind ag brath ar na tréimhsí cumraithe, ach, in aon chás, níl an próiseas meandarach, agus le linn an ama seo cailltear trácht. Teip-Ar Ais pasanna gan chailliúint tráchta. Tá deis a dhéanamh Teip-thar níos tapúla, le BFD, má sholáthraíonn an soláthraí Idirlín deis den sórt sin. BFD tacaithe ag tosú ón múnla Sraith PA-3000 и VM-100. Is fearr a shonrú ní mar gheata an tsoláthraí mar an seoladh ping, ach seoladh Idirlín poiblí a mbíonn rochtain air i gcónaí.
• Comhéadan tolláin a chruthú
Tarchuirtear trácht taobh istigh den tollán trí chomhéadain fhíorúla speisialta. Ní mór gach ceann acu a chumrú le seoladh IP ón líonra idirthurais. Sa sampla seo, úsáidfear an fostáisiún 1/172.16.1.0 le haghaidh Tollán-30, agus úsáidfear an fostáisiún 2/172.16.2.0 le haghaidh Tollán-30.
Cruthaítear comhéadan an tolláin sa chuid Líonra -> Comhéadain -> Tollán. Ní mór duit ródaire fíorúil agus crios slándála a shonrú, chomh maith le seoladh IP ón líonra iompair comhfhreagrach. Is féidir leis an uimhir comhéadan a bheith rud ar bith.
In alt Advanced is féidir a shonrú Próifíl Bainistíochtaa cheadóidh ping ar an gcomhéadan tugtha, d'fhéadfadh sé seo a bheith úsáideach le haghaidh tástála.
• Próifíl IKE a shocrú
Próifíl IKE freagrach as an gcéad chéim de nasc VPN a chruthú; sonraítear paraiméadair tolláin anseo IKE Céim 1. Cruthaítear an phróifíl sa rannóg Líonra -> Próifílí Líonra -> IKE Crypto. Is gá a shonrú ar an algartam criptithe, algartam hashing, grúpa Diffie-Hellman agus saolré eochair. Go ginearálta, dá casta na halgartaim, is amhlaidh is measa an fheidhmíocht, ba cheart iad a roghnú bunaithe ar shainriachtanais slándála. Mar sin féin, ní mholtar go docht grúpa Diffie-Hellman faoi bhun 14 a úsáid chun faisnéis íogair a chosaint. Tá sé seo mar gheall ar leochaileacht an phrótacail, nach féidir a mhaolú ach trí úsáid a bhaint as méideanna modúl de 2048 giotán agus níos airde, nó halgartaim cripteagrafaíochta éilipseacha, a úsáidtear i ngrúpaí 19, 20, 21, 24. Tá feidhmíocht níos mó ag na halgartaim seo i gcomparáid le cripteagrafaíocht thraidisiúnta. . Agus .
• Próifíl IPSec a bhunú
Is é an dara céim de nasc VPN a chruthú ná tollán IPSec. Tá paraiméadair SA dó cumraithe i Líonra -> Próifílí Líonra -> Próifíl Crypto IPSec. Anseo ní mór duit an prótacal IPSec a shonrú - AH nó ESP, chomh maith le paraiméadair SA - halgartaim hashing, criptiú, grúpaí Diffie-Hellman agus saolré eochair. B'fhéidir nach bhfuil na paraiméadair SA i bPróifíl IKE Crypto agus Próifíl Crypto IPSec mar an gcéanna.
• Geata IKE a chumrú
Geata IKE - is rud é seo a shainíonn ródaire nó balla dóiteáin lena dtógtar tollán VPN. I gcás gach tollán is gá duit do chuid féin a chruthú Geata IKE. Sa chás seo, cruthaítear dhá thollán, ceann amháin trí gach soláthraí Idirlín. Léirítear an comhéadan comhfhreagrach atá ag dul as oifig agus a sheoladh IP, a sheoladh IP piaraí, agus an eochair roinnte. Is féidir teastais a úsáid mar mhalairt ar eochair chomhroinnte.
Léirítear an ceann a cruthaíodh roimhe seo anseo Próifíl IKE Crypto. Paraiméadair an dara réad Geata IKE den chineál céanna, ach amháin i gcás seoltaí IP. Má tá balla dóiteáin Palo Alto Networks suite taobh thiar de ródaire NAT, ní mór duit an mheicníocht a chumasú Trasnú NAT.
• Tollán IPSec a bhunú
Tollán IPSec is réad é a shonraíonn paraiméadair thollán IPSec, mar a thugann an t-ainm le fios. Anseo ní mór duit comhéadan an tolláin agus na rudaí a cruthaíodh roimhe seo a shonrú Geata IKE, Próifíl Crypto IPSec. Chun a chinntiú go n-aistrítear an ródú go huathoibríoch chuig an tollán cúltaca, ní mór duit é a chumasú Monatóireacht Tollán. Is meicníocht é seo a sheiceálann an bhfuil piaraí beo ag baint úsáide as trácht ICMP. Mar an seoladh ceann scríbe, ní mór duit seoladh IP comhéadan tollán an phiaraí lena bhfuil an tollán á thógáil a shonrú. Sonraíonn an phróifíl amadóirí agus gníomh nuair a chailltear nasc. Fan Aisghabháil – fan go mbeidh an nasc athchóirithe, Teip Thar — trácht a sheoladh feadh bealaigh eile, má tá sé ar fáil. Tá bunú an dara tollán go hiomlán cosúil leis; sonraítear an dara comhéadan tollán agus Geata IKE.
• Ródú a shocrú
Úsáideann an sampla seo ródú statach. Ar an balla dóiteáin PA-1, chomh maith leis an dá bhealach réamhshocraithe, ní mór duit dhá bhealach a shonrú chuig an subnet 10.10.10.0/24 sa bhrainse. Úsáideann bealach amháin Tollán-1, an ceann eile Tollán-2. Is é an bealach trí Thollán-1 an príomhbhealach toisc go bhfuil méadrach níos ísle aige. Meicníocht Monatóireacht Conair nach n-úsáidtear do na bealaí seo. Freagrach as aistriú Monatóireacht Tollán.
Is gá na bealaí céanna don subnet 192.168.30.0/24 a chumrú ar PA-2.
• Rialacha líonra a bhunú
Chun go n-oibreoidh an tollán, tá trí riail ag teastáil:
- A bheith ag obair Monatóir Conair Ceadaigh ICMP ar chomhéadain sheachtracha.
- Chun IPsec apps a cheadú ike и ipsec ar chomhéadain sheachtracha.
- Ceadaigh trácht idir folíonta inmheánacha agus comhéadain tolláin.
Conclúid
Pléann an t-alt seo an rogha chun nasc Idirlín locht-fhulangach a bhunú agus VPN Suíomh-go-Suíomh. Tá súil againn go raibh an fhaisnéis úsáideach agus go bhfuair an léitheoir smaoineamh ar na teicneolaíochtaí a úsáidtear i Palo Alto Líonraí. Má tá ceisteanna agat maidir le socrú agus moltaí ar ábhair le haghaidh ailt sa todhchaí, scríobh iad sna tuairimí, beidh áthas orainn a fhreagairt.
Foinse: will.com