ProHoster > Blog > Rianachd > A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

Tha an artaigil seo a’ leantainn stuth roimhecoisrigte do na mion-fhiosrachadh mu bhith a’ stèidheachadh uidheamachd Palo Alto Lìonraidhean . An seo tha sinn airson bruidhinn mun rèiteachadh IPSec Làrach-gu-Làrach VPN air uidheam Palo Alto Lìonraidhean agus mu roghainn rèiteachaidh airson grunn sholaraichean eadar-lìn a cheangal.

Airson an taisbeanaidh, thèid sgeama àbhaisteach a chleachdadh airson a’ phrìomh oifis a cheangal ris a’ mheur. Gus ceangal eadar-lìn fulangach ri lochdan a thoirt seachad, bidh a’ phrìomh oifis a’ cleachdadh dà sholaraiche aig an aon àm: ISP-1 agus ISP-2. Tha ceangal aig a’ mheur ri dìreach aon sholaraiche, ISP-3. Tha dà thunail air an togail eadar ballachan teine ​​​​PA-1 agus PA-2. Bidh na tunailean ag obair sa mhodh Gnìomhach-Fuirich, Tha Tunnel-1 gnìomhach, tòisichidh Tunnel-2 a’ sgaoileadh trafaic nuair a dh’ fhailicheas Tunnel-1. Bidh Tunnel-1 a’ cleachdadh ceangal ri ISP-1, bidh Tunnel-2 a’ cleachdadh ceangal ri ISP-2. Tha a h-uile seòladh IP air a chruthachadh air thuaiream airson adhbharan taisbeanaidh agus chan eil dàimh sam bith aca ri fìrinn.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

Gus làrach-gu-làraich a thogail thèid VPN a chleachdadh Ipsec - seata de phròtacalan gus dèanamh cinnteach à dìon dàta a thèid a ghluasad tro IP. Ipsec obraichidh e a’ cleachdadh protocol tèarainteachd gu sòn- raichte (A’ toirt a-steach uallach pàighidh tèarainteachd), a nì cinnteach gu bheil dàta air a chraoladh air a chrioptachadh.

В Ipsec dol a-steach IKE (Internet Key Exchange) na phròtacal le uallach airson a bhith a’ barganachadh SA (comainn tèarainteachd), paramadairean tèarainteachd a thathas a’ cleachdadh gus dàta tar-chuir a dhìon. Taic PAN firewalls IKEv1 и IKEv2.

В IKEv1 Tha ceangal VPN air a thogail ann an dà ìre: IKEv1 ìre 1 a-nuas (tunail IKE) agus IKEv1 ìre 2 a-nuas (tunail IPSec), mar sin, tha dà thunail air an cruthachadh, aon dhiubh air a chleachdadh airson iomlaid fiosrachaidh seirbheis eadar ballachan teine, an dàrna fear airson sgaoileadh trafaic. ANNS IKEv1 ìre 1 a-nuas Tha dà mhodh obrachaidh ann - prìomh mhodh agus modh ionnsaigheach. Bidh modh ionnsaigheach a’ cleachdadh nas lugha de theachdaireachdan agus tha e nas luaithe, ach chan eil e a’ toirt taic do Dìon Dearbh-aithne Co-aoisean.

IKEv2 thàinig na àite IKEv1, agus an coimeas ri IKEv1 is e a phrìomh bhuannachd riatanasan leud-bann nas ìsle agus co-rèiteachadh SA nas luaithe. ANNS IKEv2 Tha nas lugha de theachdaireachdan seirbheis gan cleachdadh (4 gu h-iomlan), tha protocolaidhean EAP agus MOBIKE a’ faighinn taic, agus chaidh uidheamachd a chuir ris gus dèanamh cinnteach gu bheil an co-aoisean ri fhaighinn leis a bheil an tunail air a chruthachadh - Sgrùdadh beòthalachd, a’ dol an àite Dead Peer Detection ann an IKEv1. Ma dh'fhàillig an t-seic, an uairsin IKEv2 comasach air an tunail ath-shuidheachadh agus an uairsin a thoirt air ais gu fèin-ghluasadach aig a’ chiad chothrom. Faodaidh tu barrachd ionnsachadh mu na h-eadar-dhealachaidhean Leugh an seo.

Ma thèid tunail a thogail eadar ballachan teine ​​​​bho luchd-saothrachaidh eadar-dhealaichte, is dòcha gum bi biastagan ann a bhith ga bhuileachadh IKEv2, agus airson co-chòrdalachd le uidheamachd mar sin tha e comasach a chleachdadh IKEv1. Ann an cùisean eile tha e nas fheàrr a chleachdadh IKEv2.

Ceumannan rèiteachaidh:

• A' rèiteachadh dà sholaraiche eadar-lìn ann am modh ActiveStandby

Tha grunn dhòighean ann gus an gnìomh seo a chuir an gnìomh. Is e aon dhiubh an uidheamachd a chleachdadh Rianachd slighe, a bha ri fhaighinn a’ tòiseachadh bhon dreach PAN-OS 8.0.0. Tha an eisimpleir seo a’ cleachdadh dreach 8.0.16. Tha am feart seo coltach ri IP SLA ann an routers Cisco. Bidh am paramadair slighe àbhaisteach statach a’ rèiteachadh a bhith a’ cur phasganan ping gu seòladh IP sònraichte bho sheòladh stòr sònraichte. Anns a 'chùis seo, bidh an eadar-aghaidh ethernet1/1 a' putadh a 'gheata àbhaisteach uair san diog. Mura h-eil freagairt ann do thrì pings ann an sreath, thathas den bheachd gu bheil an t-slighe briste agus air a thoirt air falbh bhon chlàr seòlaidh. Tha an aon shlighe air a rèiteachadh a dh'ionnsaigh an dàrna solaraiche eadar-lìn, ach le meatrach nas àirde (tha e na chùl-taic). Cho luath ‘s a thèid a’ chiad shlighe a thoirt air falbh bhon bhòrd, tòisichidh am balla-teine ​​​​a ’cur trafaic tron ​​​​dàrna slighe - Fail-thairis. Nuair a thòisicheas a 'chiad sholaraiche a' freagairt pings, tillidh an t-slighe aige chun bhòrd agus cuiridh e an dàrna fear na àite air sgàth meatrach nas fheàrr - Fail-Air ais. Pròiseas Fail-thairis bheir e beagan dhiog a rèir na h-amannan rèiteachaidh, ach, co-dhiù, chan eil am pròiseas sa bhad, agus aig an àm seo tha trafaic air chall. Fail-Air ais a’ dol seachad gun a bhith a’ call trafaic. Tha cothrom ann a dhèanamh Fail-thairis nas luaithe, le B.F.D., ma bheir an solaraiche eadar-lìn cothrom mar sin. B.F.D. le taic a’ tòiseachadh bhon mhodail Sreath PA-3000 и VM- 100. Tha e nas fheàrr a shònrachadh chan e geata an t-solaraiche mar an seòladh ping, ach seòladh eadar-lìn poblach a tha an-còmhnaidh ruigsinneach.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

• Cruthachadh tunail eadar-aghaidh

Tha trafaic taobh a-staigh an tunail air a ghluasad tro eadar-aghaidh brìgheil sònraichte. Feumaidh gach fear dhiubh a bhith air a rèiteachadh le seòladh IP bhon lìonra gluasaid. Anns an eisimpleir seo, thèid an fho-stèisean 1 / 172.16.1.0 a chleachdadh airson Tunnel-30, agus thèid an fho-stèisean 2 / 172.16.2.0 a chleachdadh airson Tunnel-30.
Tha an eadar-aghaidh tunail air a chruthachadh anns an roinn Lìonra -> Eadar-aghaidh -> Tunail. Feumaidh tu router brìgheil agus sòn tèarainteachd a shònrachadh, a bharrachd air seòladh IP bhon lìonra còmhdhail co-fhreagarrach. Faodaidh an àireamh eadar-aghaidh a bhith rud sam bith.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

earrann adhartach faodar a shònrachadh Pròifil Stiùiridha leigeas le ping air an eadar-aghaidh a chaidh a thoirt seachad, is dòcha gum bi seo feumail airson deuchainn.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

• A' stèidheachadh Pròifil IKE

Pròifil IKE an urra ris a’ chiad ìre de bhith a’ cruthachadh ceangal VPN; tha paramadairean tunail air an sònrachadh an seo IKE ìre 1 a-nuas. Tha am pròifil air a chruthachadh anns an roinn Lìonra -> Pròifilean Lìonra -> IKE Crypto. Feumar an algairim crioptachaidh, algairim hashing, buidheann Diffie-Hellman agus prìomh bheatha a shònrachadh. San fharsaingeachd, mar as iom-fhillte na h-algorithms, is ann as miosa an coileanadh; bu chòir an taghadh a rèir riatanasan tèarainteachd sònraichte. Ach, chan eilear a’ moladh buidheann Diffie-Hellman fo 14 a chleachdadh gus fiosrachadh mothachail a dhìon. Tha seo mar thoradh air so-leòntachd a’ phròtacal, nach urrainnear a lasachadh ach le bhith a’ cleachdadh meudan modal de 2048 bits agus algoirmean crioptachaidh elliptic, a tha air an cleachdadh ann am buidhnean 19, 20, 21, 24. Tha coileanadh nas motha aig na h-algorithms sin an coimeas ri cryptography traidiseanta. Barrachd an seoS an Iar- Agus an seo.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

• A' stèidheachadh Pròifil IPSec

Is e an dàrna ìre de bhith a’ cruthachadh ceangal VPN tunail IPSec. Tha crìochan na SA air a shon air an rèiteachadh ann Lìonra -> Pròifilean Lìonra -> Pròifil Crypto IPSec. An seo feumaidh tu am protocol IPSec a shònrachadh - AH no gu sòn- raichte, a bharrachd air crìochan SA - algorithms hashing, crioptachadh, buidhnean Diffie-Hellman agus prìomh bheatha. Is dòcha nach bi na paramadairean SA ann am Pròifil IKE Crypto agus IPSec Crypto Profile mar an ceudna.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

• A' rèiteachadh Geata IKE

Geata IKE - is e seo rud a tha ag ainmeachadh router no balla-teine ​​​​leis a bheil tunail VPN air a thogail. Airson gach tunail feumaidh tu do chuid fhèin a chruthachadh Geata IKE. Anns a 'chùis seo, thèid dà thunail a chruthachadh, aon tro gach solaraiche eadar-lìn. Tha an eadar-aghaidh co-fhreagarrach a-mach agus an seòladh IP aige, an seòladh IP co-aoisean, agus an iuchair roinnte air an comharrachadh. Faodar teisteanasan a chleachdadh mar roghainn eile an àite iuchair roinnte.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

Tha am fear a chaidh a chruthachadh roimhe air a chomharrachadh an seo Pròifil IKE Crypto. Paramadairean an dàrna nì Geata IKE coltach, ach a-mhàin seòlaidhean IP. Ma tha balla-teine ​​​​Palo Alto Networks suidhichte air cùl router NAT, feumaidh tu an uidheamachd a chomasachadh NAT Traversal.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

• A' stèidheachadh Tunail IPSec

Tunail IPSec na nì a tha a’ sònrachadh crìochan tunail IPSec, mar a tha an t-ainm a’ moladh. An seo feumaidh tu eadar-aghaidh an tunail agus nithean a chaidh a chruthachadh roimhe seo a shònrachadh Geata IKE, Pròifil Crypto IPSec. Gus dèanamh cinnteach gun tèid an t-slighe gu tunail cùl-taic atharrachadh gu fèin-ghluasadach, feumaidh tu a chomasachadh Monitor Tunail. Is e inneal a tha seo a nì sgrùdadh a bheil co-aoisean beò a’ cleachdadh trafaic ICMP. Mar an seòladh ceann-uidhe, feumaidh tu seòladh IP eadar-aghaidh tunail an co-aoisean leis a bheil an tunail ga thogail. Bidh a’ phròifil a’ sònrachadh timers agus dè nì thu ma thèid an ceangal a chall. Fuirich air ais - feitheamh gus an tèid an ceangal ath-nuadhachadh, Fail thairis - cuir trafaic air slighe eile, ma tha sin ri fhaighinn. Tha stèidheachadh an dàrna tunail gu tur coltach; tha an dàrna eadar-aghaidh tunail agus IKE Gateway air an sònrachadh.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

• A' stèidheachadh slighe

Bidh an eisimpleir seo a’ cleachdadh slighe statach. Air balla-teine ​​​​PA-1, a bharrachd air an dà shlighe àbhaisteach, feumaidh tu dà shlighe a shònrachadh don subnet 10.10.10.0 / 24 sa mheur. Bidh aon shlighe a’ cleachdadh Tunnel-1, agus am fear eile Tunnel-2. Is e an t-slighe tro Thunail-1 am prìomh fhear leis gu bheil meatrach nas ìsle aige. Uidheamachd Rianachd slighe nach eil air a chleachdadh airson na slighean seo. Freagarrach airson tionndadh Monitor Tunail.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

Feumaidh na h-aon shlighean airson an subnet 192.168.30.0/24 a bhith air an rèiteachadh air PA-2.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

• A 'stèidheachadh riaghailtean lìonra

Airson an tunail a bhith ag obair, tha feum air trì riaghailtean:

  1. A bhith ag obair Monitor slighe Leig le ICMP air eadar-aghaidh taobh a-muigh.
  2. airson Ipsec leig le aplacaidean Ike и ipsec air eadar-aghaidh taobh a-muigh.
  3. Leig le trafaic eadar subnets a-staigh agus eadar-aghaidh tunail.

A’ stèidheachadh VPN làrach-gu-làrach IPSec air uidheamachd Palo Alto Networks

co-dhùnadh

Tha an artaigil seo a’ beachdachadh air an roghainn ceangal eadar-lìn a tha fulangach le lochdan a stèidheachadh agus VPN làrach-gu-làrach. Tha sinn an dòchas gun robh am fiosrachadh feumail agus gun d’ fhuair an leughadair beachd air na teicneòlasan a thathar a’ cleachdadh ann Palo Alto Lìonraidhean. Ma tha ceistean agad mu shuidheachadh agus molaidhean air cuspairean airson artaigilean san àm ri teachd, sgrìobh iad anns na beachdan, bidh sinn toilichte am freagairt.

Source: www.habr.com

Cuir beachd ann