પાલો અલ્ટો નેટવર્ક્સ સાધનો પર IPSec સાઇટ-ટુ-સાઇટ VPN સેટ કરવું

આ લેખ ચાલુ છે અગાઉની સામગ્રીસાધનો સેટ કરવાની વિશિષ્ટતાઓને સમર્પિત પાલો અલ્ટો નેટવર્ક્સ . અહીં આપણે સેટઅપ વિશે વાત કરવા માંગીએ છીએ IPSec સાઇટ-ટુ-સાઇટ VPN સાધનો પર પાલો અલ્ટો નેટવર્ક્સ અને કેટલાક ઈન્ટરનેટ પ્રદાતાઓને કનેક્ટ કરવા માટેના સંભવિત રૂપરેખાંકન વિકલ્પ વિશે.

નિદર્શન માટે, મુખ્ય કચેરીને શાખા સાથે જોડવા માટેની પ્રમાણભૂત યોજનાનો ઉપયોગ કરવામાં આવશે. ફોલ્ટ-ટોલરન્ટ ઈન્ટરનેટ કનેક્શન પ્રદાન કરવા માટે, હેડ ઓફિસ બે પ્રદાતાઓના એક સાથે જોડાણનો ઉપયોગ કરે છે: ISP-1 અને ISP-2. શાખાનું જોડાણ માત્ર એક જ પ્રદાતા, ISP-3 સાથે છે. ફાયરવોલ PA-1 અને PA-2 વચ્ચે બે ટનલ બનાવવામાં આવી છે. ટનલ મોડમાં કામ કરે છે સક્રિય-સ્ટેન્ડબાય, ટનલ-1 સક્રિય છે, જ્યારે ટનલ-2 નિષ્ફળ જશે ત્યારે ટનલ-1 ટ્રાફિક ટ્રાન્સમિટ કરવાનું શરૂ કરશે. ટનલ-1 એ ISP-1 સાથે જોડાણનો ઉપયોગ કરે છે, ટનલ-2 એ ISP-2 સાથે જોડાણનો ઉપયોગ કરે છે. બધા IP સરનામાઓ પ્રદર્શન હેતુઓ માટે રેન્ડમલી જનરેટ કરવામાં આવે છે અને તેનો વાસ્તવિકતા સાથે કોઈ સંબંધ નથી.

સાઇટ-ટુ-સાઇટ બનાવવા માટે VPN નો ઉપયોગ કરવામાં આવશે આઈપીસેક — IP દ્વારા પ્રસારિત ડેટાના રક્ષણની ખાતરી કરવા માટે પ્રોટોકોલનો સમૂહ. આઈપીસેક સુરક્ષા પ્રોટોકોલનો ઉપયોગ કરીને કામ કરશે ખાસ કરીને (એનકેપ્સ્યુલેટીંગ સિક્યોરિટી પેલોડ), જે ટ્રાન્સમિટેડ ડેટાના એન્ક્રિપ્શનની ખાતરી કરશે.

В આઈપીસેક પ્રવેશે છે આઇકેઇ (ઇન્ટરનેટ કી એક્સચેન્જ) એ એક પ્રોટોકોલ છે જે SA (સુરક્ષા એસોસિએશનો), સુરક્ષા પરિમાણોને વાટાઘાટ કરવા માટે જવાબદાર છે જેનો ઉપયોગ પ્રસારિત ડેટાને સુરક્ષિત કરવા માટે થાય છે. PAN ફાયરવોલ સપોર્ટ IKEv1 и IKEv2.

В IKEv1 VPN કનેક્શન બે તબક્કામાં બનેલ છે: IKEv1 તબક્કો 1 (IKE ટનલ) અને IKEv1 તબક્કો 2 (IPSec ટનલ), આમ, બે ટનલ બનાવવામાં આવે છે, જેમાંથી એકનો ઉપયોગ ફાયરવોલ વચ્ચે સેવાની માહિતીના વિનિમય માટે થાય છે, બીજી ટ્રાફિક ટ્રાન્સમિશન માટે. IN IKEv1 તબક્કો 1 ત્યાં બે ઓપરેટિંગ મોડ્સ છે - મુખ્ય મોડ અને આક્રમક મોડ. આક્રમક મોડ ઓછા સંદેશાઓ વાપરે છે અને ઝડપી છે, પરંતુ પીઅર આઇડેન્ટિટી પ્રોટેક્શનને સપોર્ટ કરતું નથી.

IKEv2 બદલી IKEv1, અને સરખામણીમાં IKEv1 તેનો મુખ્ય ફાયદો ઓછી બેન્ડવિડ્થ જરૂરિયાતો અને ઝડપી SA વાટાઘાટો છે. IN IKEv2 ઓછા સેવા સંદેશાઓનો ઉપયોગ કરવામાં આવે છે (કુલ 4), EAP અને MOBIKE પ્રોટોકોલ્સ સપોર્ટેડ છે, અને પીઅરની ઉપલબ્ધતા ચકાસવા માટે એક મિકેનિઝમ ઉમેરવામાં આવ્યું છે જેની સાથે ટનલ બનાવવામાં આવી છે - જીવંતતા તપાસો, IKEv1 માં ડેડ પીઅર ડિટેક્શનને બદલીને. જો ચેક નિષ્ફળ જાય, તો પછી IKEv2 ટનલ રીસેટ કરી શકે છે અને પછી પ્રથમ તક પર તેને આપમેળે પુનઃસ્થાપિત કરી શકે છે. તમે તફાવતો વિશે વધુ જાણી શકો છો અહીં વાંચો.

જો વિવિધ ઉત્પાદકોના ફાયરવોલ વચ્ચે ટનલ બનાવવામાં આવી હોય, તો અમલીકરણમાં ભૂલો હોઈ શકે છે IKEv2, અને આવા સાધનો સાથે સુસંગતતા માટે તેનો ઉપયોગ કરવો શક્ય છે IKEv1. અન્ય કિસ્સાઓમાં તેનો ઉપયોગ કરવો વધુ સારું છે IKEv2.

સેટઅપ પગલાં:

• ActiveStandby મોડમાં બે ઈન્ટરનેટ પ્રદાતાઓને ગોઠવી રહ્યા છીએ

આ કાર્યને અમલમાં મૂકવાની ઘણી રીતો છે. તેમાંથી એક પદ્ધતિનો ઉપયોગ કરવાનો છે પાથ મોનીટરીંગ, જે સંસ્કરણથી શરૂ કરીને ઉપલબ્ધ બન્યું PAN-OS 8.0.0. આ ઉદાહરણ સંસ્કરણ 8.0.16 નો ઉપયોગ કરે છે. આ સુવિધા સિસ્કો રાઉટર્સમાં IP SLA જેવી જ છે. સ્ટેટિક ડિફોલ્ટ રૂટ પેરામીટર ચોક્કસ સ્ત્રોત સરનામાંમાંથી ચોક્કસ IP સરનામાં પર પિંગ પેકેટો મોકલવાનું ગોઠવે છે. આ કિસ્સામાં, ઈથરનેટ1/1 ઈન્ટરફેસ ડિફોલ્ટ ગેટવેને સેકન્ડ દીઠ એકવાર પિંગ કરે છે. જો એક પંક્તિમાં ત્રણ પિંગ્સનો કોઈ પ્રતિસાદ ન હોય, તો રૂટ તૂટેલા ગણવામાં આવે છે અને રૂટીંગ ટેબલમાંથી દૂર કરવામાં આવે છે. સમાન રૂટ બીજા ઈન્ટરનેટ પ્રદાતા તરફ ગોઠવેલ છે, પરંતુ ઉચ્ચ મેટ્રિક સાથે (તે એક બેકઅપ છે). એકવાર ટેબલમાંથી પ્રથમ રૂટ દૂર થઈ જાય, પછી ફાયરવોલ બીજા રૂટ દ્વારા ટ્રાફિક મોકલવાનું શરૂ કરશે − ફેલ-ઓવર. જ્યારે પ્રથમ પ્રદાતા પિંગ્સને પ્રતિસાદ આપવાનું શરૂ કરે છે, ત્યારે તેનો માર્ગ ટેબલ પર પાછો આવશે અને વધુ સારા મેટ્રિકને કારણે બીજાને બદલશે - ફેલ-બેક. પ્રક્રિયા ફેલ-ઓવર રૂપરેખાંકિત અંતરાલો પર આધાર રાખીને થોડી સેકન્ડો લે છે, પરંતુ, કોઈપણ કિસ્સામાં, પ્રક્રિયા તાત્કાલિક નથી, અને આ સમય દરમિયાન ટ્રાફિક ખોવાઈ જાય છે. ફેલ-બેક ટ્રાફિકના નુકશાન વિના પસાર થાય છે. કરવાની તક છે ફેલ-ઓવર ઝડપી, સાથે બી.એફ.ડી., જો ઇન્ટરનેટ પ્રદાતા આવી તક પૂરી પાડે છે. બી.એફ.ડી. મોડેલથી શરૂ કરીને સપોર્ટેડ PA-3000 શ્રેણી и VM-100. પિંગ એડ્રેસ તરીકે પ્રદાતાના ગેટવેને નહીં, પરંતુ સાર્વજનિક, હંમેશા સુલભ ઈન્ટરનેટ સરનામું દર્શાવવું વધુ સારું છે.

• ટનલ ઈન્ટરફેસ બનાવવું

ટનલની અંદરનો ટ્રાફિક ખાસ વર્ચ્યુઅલ ઇન્ટરફેસ દ્વારા પ્રસારિત થાય છે. તેમાંના દરેકને ટ્રાન્ઝિટ નેટવર્કમાંથી IP એડ્રેસ સાથે ગોઠવેલું હોવું જોઈએ. આ ઉદાહરણમાં, સબસ્ટેશન 1/172.16.1.0 નો ઉપયોગ ટનલ-30 માટે થશે, અને સબસ્ટેશન 2/172.16.2.0 નો ઉપયોગ ટનલ-30 માટે થશે.
ટનલ ઈન્ટરફેસ વિભાગમાં બનાવેલ છે નેટવર્ક -> ઇન્ટરફેસ -> ટનલ. તમારે વર્ચ્યુઅલ રાઉટર અને સિક્યોરિટી ઝોન તેમજ સંબંધિત ટ્રાન્સપોર્ટ નેટવર્કમાંથી IP એડ્રેસનો ઉલ્લેખ કરવો આવશ્યક છે. ઈન્ટરફેસ નંબર કંઈપણ હોઈ શકે છે.

કલમ ઉન્નત સ્પષ્ટ કરી શકાય છે મેનેજમેન્ટ પ્રોફાઇલજે આપેલ ઈન્ટરફેસ પર પિંગ કરવાની પરવાનગી આપશે, આ પરીક્ષણ માટે ઉપયોગી થઈ શકે છે.

• IKE પ્રોફાઇલ સેટ કરી રહ્યું છે

IKE પ્રોફાઇલ VPN કનેક્શન બનાવવાના પ્રથમ તબક્કા માટે જવાબદાર છે; ટનલ પરિમાણો અહીં ઉલ્લેખિત છે IKE તબક્કો 1. પ્રોફાઇલ વિભાગમાં બનાવવામાં આવી છે નેટવર્ક -> નેટવર્ક પ્રોફાઇલ્સ -> IKE ક્રિપ્ટો. એન્ક્રિપ્શન અલ્ગોરિધમ, હેશિંગ અલ્ગોરિધમ, ડિફી-હેલમેન જૂથ અને કી જીવનકાળનો ઉલ્લેખ કરવો જરૂરી છે. સામાન્ય રીતે, એલ્ગોરિધમ્સ જેટલા જટિલ હશે, તેટલું ખરાબ પ્રદર્શન; તેઓ ચોક્કસ સુરક્ષા જરૂરિયાતોને આધારે પસંદ કરવા જોઈએ. જો કે, સંવેદનશીલ માહિતીને સુરક્ષિત રાખવા માટે 14 વર્ષથી નીચેના ડિફી-હેલમેન જૂથનો ઉપયોગ કરવાની સખત ભલામણ કરવામાં આવતી નથી. આ પ્રોટોકોલની નબળાઈને કારણે છે, જે ફક્ત 2048 બિટ્સ અને તેનાથી વધુના મોડ્યુલ માપો અથવા લંબગોળ સંકેતલિપી અલ્ગોરિધમનો ઉપયોગ કરીને ઘટાડી શકાય છે, જેનો ઉપયોગ જૂથ 19, 20, 21, 24માં થાય છે. આ અલ્ગોરિધમ્સની સરખામણીમાં વધુ પ્રદર્શન છે. પરંપરાગત સંકેતલિપી. અહીં વધુ વાંચો. અને અહીં.

• IPSec પ્રોફાઇલ સેટ કરી રહ્યું છે

VPN કનેક્શન બનાવવાનો બીજો તબક્કો IPSec ટનલ છે. તેના માટે SA પરિમાણો રૂપરેખાંકિત થયેલ છે નેટવર્ક -> નેટવર્ક પ્રોફાઇલ્સ -> IPSec ક્રિપ્ટો પ્રોફાઇલ. અહીં તમારે IPSec પ્રોટોકોલનો ઉલ્લેખ કરવાની જરૂર છે - AH અથવા ખાસ કરીને, તેમજ પરિમાણો SA — હેશિંગ અલ્ગોરિધમ્સ, એન્ક્રિપ્શન, ડિફી-હેલમેન જૂથો અને મુખ્ય જીવનકાળ. IKE ક્રિપ્ટો પ્રોફાઇલ અને IPSec ક્રિપ્ટો પ્રોફાઇલમાંના SA પરિમાણો સમાન ન હોઈ શકે.

• IKE ગેટવે ગોઠવી રહ્યું છે

IKE ગેટવે - આ એક ઑબ્જેક્ટ છે જે રાઉટર અથવા ફાયરવોલને નિયુક્ત કરે છે જેની સાથે VPN ટનલ બનાવવામાં આવે છે. દરેક ટનલ માટે તમારે તમારી પોતાની બનાવવાની જરૂર છે IKE ગેટવે. આ કિસ્સામાં, બે ટનલ બનાવવામાં આવે છે, દરેક ઇન્ટરનેટ પ્રદાતા દ્વારા એક. અનુરૂપ આઉટગોઇંગ ઇન્ટરફેસ અને તેનું IP સરનામું, પીઅર IP સરનામું અને શેર કરેલી કી સૂચવવામાં આવે છે. પ્રમાણપત્રોનો ઉપયોગ શેર કરેલી કીના વિકલ્પ તરીકે થઈ શકે છે.

અગાઉ બનાવેલ એક અહીં દર્શાવેલ છે IKE ક્રિપ્ટો પ્રોફાઇલ. બીજા ઑબ્જેક્ટના પરિમાણો IKE ગેટવે સમાન, IP સરનામાઓ સિવાય. જો પાલો અલ્ટો નેટવર્ક્સ ફાયરવોલ NAT રાઉટરની પાછળ સ્થિત છે, તો તમારે મિકેનિઝમને સક્ષમ કરવાની જરૂર છે. NAT ટ્રાવર્સલ.

• IPSec ટનલ સેટ કરી રહ્યું છે

IPSec ટનલ એક ઑબ્જેક્ટ છે જે IPSec ટનલ પરિમાણોને સ્પષ્ટ કરે છે, જેમ કે નામ સૂચવે છે. અહીં તમારે ટનલ ઇન્ટરફેસ અને અગાઉ બનાવેલ ઑબ્જેક્ટ્સનો ઉલ્લેખ કરવાની જરૂર છે IKE ગેટવે, IPSec ક્રિપ્ટો પ્રોફાઇલ. બેકઅપ ટનલ પર રૂટીંગનું સ્વચાલિત સ્વિચિંગ સુનિશ્ચિત કરવા માટે, તમારે સક્ષમ કરવું આવશ્યક છે ટનલ મોનિટર. આ એક મિકેનિઝમ છે જે ICMP ટ્રાફિકનો ઉપયોગ કરીને પીઅર જીવંત છે કે કેમ તે તપાસે છે. ગંતવ્ય સરનામાં તરીકે, તમારે પીઅરના ટનલ ઇન્ટરફેસનું IP સરનામું સ્પષ્ટ કરવાની જરૂર છે જેની સાથે ટનલ બનાવવામાં આવી રહી છે. પ્રોફાઇલ ટાઈમરનો ઉલ્લેખ કરે છે અને જો કનેક્શન ખોવાઈ જાય તો શું કરવું. પુનઃપ્રાપ્તિની રાહ જુઓ - કનેક્શન પુનઃસ્થાપિત થાય ત્યાં સુધી રાહ જુઓ, ફેલ ઓવર — જો ઉપલબ્ધ હોય, તો અલગ માર્ગે ટ્રાફિક મોકલો. બીજી ટનલનું સેટઅપ સંપૂર્ણપણે સમાન છે; બીજી ટનલ ઈન્ટરફેસ અને IKE ગેટવે ઉલ્લેખિત છે.

• રાઉટીંગ સુયોજિત કરી રહ્યા છીએ

આ ઉદાહરણ સ્ટેટિક રૂટીંગનો ઉપયોગ કરે છે. PA-1 ફાયરવોલ પર, બે ડિફોલ્ટ રૂટ ઉપરાંત, તમારે બ્રાન્ચમાં 10.10.10.0/24 સબનેટ માટેના બે રૂટનો ઉલ્લેખ કરવાની જરૂર છે. એક માર્ગ ટનલ-1નો ઉપયોગ કરે છે, બીજો ટનલ-2. ટનલ-1માંથી પસાર થતો માર્ગ મુખ્ય છે કારણ કે તેની મેટ્રિક ઓછી છે. મિકેનિઝમ પાથ મોનીટરીંગ આ માર્ગો માટે ઉપયોગ થતો નથી. સ્વિચ કરવા માટે જવાબદાર ટનલ મોનિટર.

સબનેટ 192.168.30.0/24 માટે સમાન રૂટ્સ PA-2 પર ગોઠવવાની જરૂર છે.

• નેટવર્ક નિયમો સુયોજિત કરી રહ્યા છીએ

ટનલ કામ કરવા માટે, ત્રણ નિયમોની જરૂર છે:

1. કામ કરવા માટે પાથ મોનિટર બાહ્ય ઇન્ટરફેસ પર ICMP ને મંજૂરી આપો.
2. માટે આઈપીસેક એપ્લિકેશનોને મંજૂરી આપો Ike и ipsec બાહ્ય ઇન્ટરફેસ પર.
3. આંતરિક સબનેટ અને ટનલ ઇન્ટરફેસ વચ્ચે ટ્રાફિકને મંજૂરી આપો.

નિષ્કર્ષ

આ લેખ ફોલ્ટ-ટોલરન્ટ ઈન્ટરનેટ કનેક્શન સેટ કરવાના વિકલ્પની ચર્ચા કરે છે અને સાઇટ-ટુ-સાઇટ VPN. અમે આશા રાખીએ છીએ કે માહિતી ઉપયોગી હતી અને વાચકને તેમાં ઉપયોગમાં લેવાતી તકનીકોનો ખ્યાલ મળ્યો પાલો અલ્ટો નેટવર્ક્સ. જો તમને ભાવિ લેખો માટેના વિષયો પર સેટઅપ અને સૂચનો વિશે પ્રશ્નો હોય, તો તેમને ટિપ્પણીઓમાં લખો, અમને જવાબ આપવામાં આનંદ થશે.

સોર્સ: www.habr.com