He hoʻomau kēia ʻatikala hoʻolaʻa i nā mea kiko'ī o ka hoʻonohonohoʻana i nā mea hana Palo Alto aʻeo ka hoʻolele ' . Maanei makemake mākou e kamaʻilio e pili ana i ka hoʻonohonoho IPSec Pūnaewele-i-Paena VPN ma luna o nā lako Palo Alto aʻeo ka hoʻolele ' a e pili ana i kahi koho hoʻonohonoho hiki ke hoʻohui i kekahi mau mea hoʻolako pūnaewele.
No ka hōʻikeʻike, e hoʻohanaʻia kahi papahana maʻamau no ka hoʻohuiʻana i ke keʻena poʻo i ka lālā. No ka hoʻolako ʻana i kahi pili pūnaewele ʻae hewa, hoʻohana ke keʻena poʻo i kahi pilina like o nā mea hoʻolako ʻelua: ISP-1 a me ISP-2. He pilina ko ka lālā i hoʻokahi mea hoʻolako, ISP-3. Kūkulu ʻia ʻelua tunnel ma waena o nā pā ahi PA-1 a me PA-2. Hana nā tunnels i ke ʻano Kū-kū ʻeleu, Hoʻomaka ʻo Tunnel-1, hoʻomaka ʻo Tunnel-2 e hoʻouna i nā kaʻa ke hāʻule ʻo Tunnel-1. Hoʻohana ʻo Tunnel-1 i kahi pilina me ISP-1, hoʻohana ʻo Tunnel-2 i kahi pilina me ISP-2. Hoʻokumu ʻia nā helu IP āpau no nā kumu hōʻikeʻike a ʻaʻohe pili i ka ʻoiaʻiʻo.
No ke kūkulu ʻana i kahi VPN Site-to-Site e hoʻohana ʻia IPsec - kahi hoʻonohonoho o nā protocols e hōʻoia i ka pale o ka ʻikepili i hoʻouna ʻia ma o IP. IPsec e hana me ka hoʻohana ʻana i kahi protocol palekana ESP (Encapsulating Security Payload), e hōʻoia i ka hoʻopili ʻana o ka ʻikepili i hoʻouna ʻia.
В IPsec komo i loko Ike (Internet Key Exchange) he protocol ke kuleana no ke kūkākūkā ʻana i ka SA (security associations), nā ʻāpana palekana i hoʻohana ʻia e pale i ka ʻikepili i hoʻouna ʻia. Kākoʻo nā pā ahi PAN IKEV1 и IKEV2.
В IKEV1 Kūkulu ʻia kahi pilina VPN i ʻelua mau pae: IKEv1 Māhele 1 (ike tunnel) a IKEv1 Māhele 2 (IPSec tunnel), no laila, ua hana ʻia ʻelua tunnels, hoʻohana ʻia kekahi no ka hoʻololi ʻana i ka ʻike lawelawe ma waena o nā pā ahi, ʻo ka lua no ka hoʻouna ʻana i nā kaʻa. IN IKEv1 Māhele 1 ʻElua mau ʻano hana - ke ʻano nui a me ke ʻano hakakā. Hoʻohana ka ʻano hana hoʻomāinoino i nā memo liʻiliʻi a ʻoi aku ka wikiwiki, akā ʻaʻole kākoʻo i ka Peer Identity Protection.
IKEV2 pani ʻia IKEV1, a hoohalikeia me IKEV1 ʻO kāna pono nui ka haʻahaʻa haʻahaʻa o ka bandwidth a me ka wikiwiki o ke kūkākūkā SA. IN IKEV2 Hoʻohana ʻia nā leka lawelawe liʻiliʻi (4 i ka huina), kākoʻo ʻia nā protocols EAP a me MOBIKE, a ua hoʻohui ʻia kahi mīkini e nānā i ka loaʻa ʻana o ka hoa i hana ʻia ai ka tunnel - Nānā Ola, e pani ana i ka Make Peer Detection ma IKEv1. Inā hāʻule ka māka, a laila IKEV2 hiki ke hoʻonohonoho hou i ka tunnel a laila hoʻihoʻi hou iā ia i ka manawa mua. Hiki iā ʻoe ke aʻo hou e pili ana i nā ʻokoʻa .
Inā kūkulu ʻia kahi tunnel ma waena o nā pā ahi mai nā mea hana like ʻole, a laila aia paha nā pōpoki i ka hoʻokō IKEV2, a no ka launa pū ʻana me ia mau lako hiki ke hoʻohana IKEV1. I nā hihia ʻē aʻe ʻoi aku ka maikaʻi o ka hoʻohana IKEV2.
Kaʻina hoʻonohonoho:
• Ka hoʻonohonoho ʻana i ʻelua mea hoʻolako pūnaewele ma ke ʻano ActiveStandby
Nui nā ala e hoʻokō ai i kēia hana. ʻO kekahi o lākou ka hoʻohana ʻana i ka mīkini Nānā Ala, i loaʻa i ka hoʻomaka ʻana mai ka mana PAN-OS 8.0.0. Hoʻohana kēia laʻana i ka mana 8.0.16. Ua like kēia hiʻohiʻona me IP SLA i nā mea hoʻokele Cisco. Hoʻonohonoho ka ʻāpana ala ala paʻa i ka hoʻouna ʻana i nā ʻeke ping i kahi helu IP kikoʻī mai kahi helu kumu kikoʻī. I kēia hihia, hoʻopili ka ethernet1/1 i ka ʻīpuka paʻamau i hoʻokahi manawa i kēlā me kēia kekona. Inā ʻaʻohe pane i ʻekolu pings i ka lālani, manaʻo ʻia ke ala he haki a wehe ʻia mai ka papa kuhikuhi. Hoʻonohonoho ʻia ke ala like i ka mea hoʻolako pūnaewele ʻelua, akā me kahi metric kiʻekiʻe (he mea hoʻihoʻi ia). Ke wehe ʻia ke ala mua mai ka papaʻaina, e hoʻomaka ka pā ahi e hoʻouna i nā kaʻa ma ke ala ʻelua − Haʻalele. Ke hoʻomaka ka mea hāʻawi mua e pane i nā pings, e hoʻi kona ala i ka papaʻaina a pani i ka lua ma muli o kahi metric ʻoi aku ka maikaʻi - Fail-Hoʻi. Kaʻina hana Haʻalele lawe i kekahi mau kekona ma muli o nā manawa i hoʻonohonoho ʻia, akā, i kēlā me kēia hihia, ʻaʻole koke ke kaʻina hana, a i kēia manawa ua nalowale ke kaʻa. Fail-Hoʻi hala me ka poho ole o ke kaa. Aia kahi manawa e hana ai Haʻalele wikiwiki, me B.F.D., inā hāʻawi ka mea hoʻolako pūnaewele i kahi manawa kūpono. B.F.D. kākoʻo ʻia e hoʻomaka ana mai ke kumu hoʻohālike PA-3000 Series и VM-100. ʻOi aku ka maikaʻi o ka wehewehe ʻana ʻaʻole i ka ʻīpuka o ka mea hoʻolako ma ke ʻano he helu ping, akā he helu lehulehu, hiki ke loaʻa mau.
• Ke hana ʻana i kahi awāwa
Hoʻouna ʻia ke kaʻa i loko o ka tunnel ma o nā kikowaena virtual kūikawā. Pono e hoʻonohonoho ʻia kēlā me kēia me kahi helu IP mai ka pūnaewele transit. Ma kēia laʻana, e hoʻohana ʻia ka substation 1/172.16.1.0 no Tunnel-30, a e hoʻohana ʻia ka substation 2/172.16.2.0 no Tunnel-30.
Hoʻokumu ʻia ka interface tunnel ma ka ʻāpana Pūnaehana -> Nā Interface -> Tunnel. Pono ʻoe e kuhikuhi i kahi router virtual a me kahi wahi palekana, a me kahi helu IP mai ka ʻoihana halihali pili. Hiki ke helu ʻia ka helu interface i kekahi mea.
pauku i hoʻomaka me hiki ke hoakakaia Palapala Hooponoponoka mea e ʻae ai i ka ping ma ka interface i hāʻawi ʻia, pono paha kēia no ka hoʻāʻo.
• Hoʻonohonoho i ka IKE Profile
Palapala IKE ʻO ia ke kuleana no ka pae mua o ka hana ʻana i kahi pilina VPN; ua kuhikuhi ʻia nā ʻāpana tunnel ma aneʻi IKE Māhele 1. Hana ʻia ka ʻaoʻao ma ka ʻāpana Pūnaewele -> Pūnaewele Pūnaewele -> IKE Crypto. Pono e kuhikuhi i ka algorithm encryption, hashing algorithm, hui Diffie-Hellman a me ke ola kī. Ma keʻano laulā, ʻoi aku ka paʻakikī o nā algorithm, ʻoi aku ka maikaʻi o ka hana; pono lākou e koho ʻia ma muli o nā koi palekana. Eia nō naʻe, ʻaʻole pono e hoʻohana i kahi hui Diffie-Hellman ma lalo o 14 e pale i ka ʻike pili. ʻO kēia ma muli o ka nāwaliwali o ka protocol, hiki ke hoʻemi wale ʻia me ka hoʻohana ʻana i ka nui o nā modules o 2048 bits a ʻoi aku ka nui, a i ʻole elliptic cryptography algorithms, i hoʻohana ʻia i nā hui 19, 20, 21, 24. ʻO kēia mau algorithm i ʻoi aku ka hana ma mua kuʻuna cryptography. . ^ E Ha yM. A .
• Hoʻonohonoho i ka IPSec Profile
ʻO ka lua o ka hana ʻana i kahi pilina VPN he tunnel IPSec. Hoʻonohonoho ʻia nā ʻāpana SA no ia Pūnaewele -> Pūnaewele Pūnaewele -> IPSec Crypto Profile. Maanei pono ʻoe e kuhikuhi i ka protocol IPSec - AH ai ole ia, ESP, a me nā palena SA - hashing algorithms, encryption, hui Diffie-Hellman a me ke ola nui. ʻAʻole like paha nā ʻāpana SA i ka IKE Crypto Profile a me IPSec Crypto Profile.
• Hoʻonohonoho ʻana i ka IKE Gateway
IKE Gateway - he mea kēia e kuhikuhi ana i kahi alalai a i ʻole firewall kahi i kūkulu ʻia ai kahi tunnel VPN. No kēlā me kēia tunnel pono ʻoe e hana i kāu iho IKE Gateway. I kēia hihia, hana ʻia ʻelua tunnels, hoʻokahi ma kēlā me kēia mea hoʻolako pūnaewele. Hōʻike ʻia ke kikowaena puka e pili ana a me kāna IP address, peer IP address, a me ke kī kaʻana like. Hiki ke hoʻohana ʻia nā palapala hōʻoia ma ke ʻano he ʻokoʻa i ke kī kaʻana like.
Hōʻike ʻia ka mea i hana mua ʻia ma aneʻi IKE Crypto Profile. Nā palena o ka mea ʻelua IKE Gateway like, koe wale no nā helu IP. Inā loaʻa ka pā ahi o Palo Alto Networks ma hope o kahi router NAT, a laila pono ʻoe e hoʻohana i ka mīkini NAT Kaahele.
• Hoʻonohonoho i ka IPSec Tunnel
IPSec Tunnel He mea ia e kuhikuhi ana i nā ʻāpana tunnel IPSec, e like me ka inoa. Maanei pono ʻoe e kuhikuhi i ka interface tunnel a me nā mea i hana mua ʻia IKE Gateway, IPSec Crypto Profile. No ka hōʻoia ʻana i ka hoʻololi ʻokoʻa ʻana o ke ala ala i ka tunnel backup, pono ʻoe e ʻae Nānā Tunnel. He ʻano hana kēia e nānā inā ola kekahi hoa me ka hoʻohana ʻana i ka ICMP traffic. E like me ka helu wahi e hele ai, pono ʻoe e kuhikuhi i ka IP address o ka tunnel interface o ka hoa me kahi e kūkulu ʻia ai ka tunnel. Hōʻike ka ʻaoʻao i nā manawa a me ka mea e hana ai inā nalowale ka pilina. E kali Ho'ōla - kali a hiki i ka hoʻihoʻi ʻana o ka pilina, Fail Over - hoʻouna i nā kaʻa ma kahi ala ʻē aʻe, inā loaʻa. ʻO ka hoʻonohonoho ʻana i ka tunnel lua ua like loa ia; ua kuhikuhi ʻia ka lua o ka tunnel a me IKE Gateway.
• Hoʻonohonoho i ke ala ala
Ke hoʻohana nei kēia hiʻohiʻona i ka static routing. Ma ka pā ahi PA-1, ma waho aʻe o nā ala paʻamau ʻelua, pono ʻoe e kuhikuhi i ʻelua ala i ka subnet 10.10.10.0/24 ma ka lālā. Hoʻohana kekahi ala i Tunnel-1, ʻo Tunnel-2 ʻē aʻe. ʻO ke ala ma o Tunnel-1 ka mea nui no ka mea he metric haʻahaʻa kona. Mechanism Nānā Ala ʻaʻole i hoʻohana ʻia no kēia mau ala. kuleana no ka hoololi ana Nānā Tunnel.
Pono e hoʻonohonoho ʻia nā ala like no ka subnet 192.168.30.0/24 ma PA-2.
• Hoʻonohonoho i nā lula pūnaewele
No ka hana ʻana o ka tunnel, pono ʻekolu mau lula:
- E hana Alanui kiai E ʻae iā ICMP ma nā kikowaena waho.
- no ka mea, IPsec ʻae i nā polokalamu Ike и ipsec ma nā ʻaoʻao waho.
- E ʻae i ke kaʻahele ma waena o nā subnets kūloko a me nā loulou tunnel.
hopena
Kūkākūkā kēia ʻatikala i ke koho o ka hoʻonohonoho ʻana i kahi pili pūnaewele hoʻomanawanui hewa a Pūnaewele-i-Pūnaewele VPN. Manaʻo mākou ua pono ka ʻike a loaʻa i ka mea heluhelu ka manaʻo o nā ʻenehana i hoʻohana ʻia Palo Alto aʻeo ka hoʻolele '. Inā he mau nīnau kāu e pili ana i ka hoʻonohonoho a me nā manaʻo e pili ana i nā kumuhana no nā ʻatikala e hiki mai ana, e kākau iā lākou i loko o nā manaʻo, e hauʻoli mākou e pane.
Source: www.habr.com