Atik sa a se yon kontinyasyon dedye a spesifik yo nan mete kanpe ekipman yo Rezo Palo Alto . Isit la nou vle pale sou konfigirasyon an VPN IPSec Sit-a-Site sou ekipman Rezo Palo Alto ak sou yon opsyon konfigirasyon posib pou konekte plizyè founisè entènèt.
Pou demonstrasyon an, yo pral itilize yon konplo estanda pou konekte biwo santral la ak filyal la. Pou bay yon koneksyon Entènèt toleran defo, biwo santral la itilize yon koneksyon similtane de founisè: ISP-1 ak ISP-2. Branch la gen yon koneksyon ak yon sèl founisè, ISP-3. Yo bati de tinèl ant firewall PA-1 ak PA-2. Tinèl yo opere nan mòd la Aktif-Sispann,Tunnel-1 aktif, Tunnel-2 ap kòmanse transmèt trafik lè Tunnel-1 echwe. Tinèl-1 sèvi ak yon koneksyon ak ISP-1, Tinèl-2 sèvi ak yon koneksyon ak ISP-2. Tout adrès IP yo pwodwi owaza pou rezon demonstrasyon epi yo pa gen okenn relasyon ak reyalite.
Pou konstwi yon VPN Site-a-Site yo pral itilize IPsec — yon seri pwotokòl pou asire pwoteksyon done ki transmèt atravè IP. IPsec pral travay lè l sèvi avèk yon pwotokòl sekirite Piseta (Encapsulating Security Payload), ki pral asire chifreman done transmèt yo.
В IPsec antre Ike (Entènèt Key Exchange) se yon pwotokòl ki responsab pou negosye SA (asosiyasyon sekirite), paramèt sekirite yo itilize pou pwoteje done transmèt yo. PAN pare-feu sipò IKEv1 и IKEv2.
В IKEv1 Yon koneksyon VPN bati nan de etap: IKEv1 Faz 1 (IKE tinèl) ak IKEv1 Faz 2 (IPSec tinèl), konsa, de tinèl yo kreye, youn nan yo ki itilize pou echanj enfòmasyon sèvis ant firewall, dezyèm lan pou transmisyon trafik. NAN IKEv1 Faz 1 Gen de mòd opere - mòd prensipal ak mòd agresif. Mòd agresif itilize mwens mesaj epi li pi vit, men li pa sipòte Pwoteksyon idantite kanmarad.
IKEv2 ranplase IKEv1, ak konpare ak IKEv1 avantaj prensipal li se pi ba kondisyon Pleasant ak pi vit SA negosyasyon. NAN IKEv2 Yo itilize mwens mesaj sèvis (4 an total), yo sipòte pwotokòl EAP ak MOBIKE, epi yo ajoute yon mekanis pou tcheke disponiblite kanmarad ki kreye tinèl la - Tcheke Liveness, ranplase Dead Peer Detection nan IKEv1. Si chèk la echwe, lè sa a IKEv2 ka Reyajiste tinèl la ak Lè sa a, otomatikman retabli li nan premye opòtinite a. Ou ka aprann plis sou diferans ki genyen .
Si yo bati yon tinèl ant firewall soti nan diferan manifaktirè, Lè sa a, ka gen pinèz nan aplikasyon an IKEv2, ak pou konpatibilite ak ekipman sa yo li posib pou itilize IKEv1. Nan lòt ka li pi bon pou itilize IKEv2.
Etap konfigirasyon:
• Konfigirasyon de founisè entènèt nan mòd ActiveStandby
Gen plizyè fason pou aplike fonksyon sa a. Youn nan yo se sèvi ak mekanis la Siveyans chemen, ki te vin disponib apati vèsyon an PAN-OS 8.0.0. Egzanp sa a itilize vèsyon 8.0.16. Karakteristik sa a sanble ak IP SLA nan routeurs Cisco. Paramèt wout default estatik la configured voye pake ping nan yon adrès IP espesifik ki soti nan yon adrès sous espesifik. Nan ka sa a, koòdone ethernet1/1 ping gateway default la yon fwa pa segonn. Si pa gen okenn repons a twa ping nan yon ranje, wout la konsidere kòm kase epi retire nan tab la routage. Se menm wout la configuré nan direksyon pou dezyèm founisè entènèt la, men ak yon metrik ki pi wo (li se yon sèl backup). Yon fwa yo retire premye wout la nan tab la, firewall la ap kòmanse voye trafik nan dezyèm wout la - Echèk-sou. Lè premye founisè a kòmanse reponn a ping, wout li pral retounen sou tab la epi ranplase dezyèm lan akòz yon pi bon metrik - Fail-Tounen. Pwosesis Echèk-sou pran yon kèk segonn depann sou entèval yo configuré, men, nan nenpòt ka, pwosesis la se pa enstantane, ak pandan tan sa a trafik pèdi. Fail-Tounen pase san pèdi trafik. Gen yon opòtinite pou fè Echèk-sou pi vit, avèk B.F.D., si founisè Entènèt la bay yon opòtinite konsa. B.F.D. sipòte kòmanse nan modèl PA-3000 Seri и VM-100. Li pi bon pou presize pa pòtay founisè a kòm adrès ping la, men yon adrès Entènèt piblik ki toujou aksesib.
• Kreye yon koòdone tinèl
Trafik andedan tinèl la transmèt atravè entèfas espesyal vityèl. Chak nan yo dwe configuré ak yon adrès IP ki soti nan rezo transpò piblik la. Nan egzanp sa a, yo pral itilize poste 1/172.16.1.0 pou Tinèl-30, epi yo pral itilize poste 2/172.16.2.0 pou Tinèl-30.
Se koòdone tinèl la kreye nan seksyon an Rezo -> Entèfas -> Tinèl. Ou dwe presize yon routeur vityèl ak zòn sekirite, osi byen ke yon adrès IP ki soti nan rezo transpò ki koresponn lan. Nimewo a koòdone ka nenpòt bagay.
Nan seksyon avanse ka espesifye Jesyon Profileki pral pèmèt ping sou koòdone bay la, sa a ka itil pou tès.
• Mete kanpe IKE Profile
IKE Profile se responsab premye etap la nan kreye yon koneksyon VPN; paramèt tinèl yo espesifye isit la IKE Faz 1. Se pwofil la kreye nan seksyon an Rezo -> Rezo pwofil -> IKE Crypto. Li nesesè presize algorithm nan chifreman, algorithm hashing, gwoup Diffie-Hellman ak lavi kle. An jeneral, pi konplèks algorithm yo, pi mal pèfòmans lan; yo ta dwe chwazi dapre kondisyon sekirite espesifik. Sepandan, li pa rekòmande pou itilize yon gwoup Diffie-Hellman anba 14 pou pwoteje enfòmasyon sansib. Sa a se akòz vilnerabilite nan pwotokòl la, ki ka sèlman bese lè l sèvi avèk gwosè modil 2048 Bits ak pi wo, oswa algoritm kriptografi eliptik, ki yo te itilize nan gwoup 19, 20, 21, 24. Algoritm sa yo gen pi gwo pèfòmans konpare ak kriptografi tradisyonèl yo. . Ak .
• Mete kanpe IPSec Profile
Dezyèm etap la nan kreye yon koneksyon VPN se yon tinèl IPSec. Paramèt SA pou li yo configuré nan Rezo -> Rezo pwofil -> IPSec Crypto Profile. Isit la ou bezwen presize pwotokòl la IPSec - AH oswa Piseta, osi byen ke paramèt SA — algoritm hashing, chifreman, gwoup Diffie-Hellman ak lavi kle. Paramèt SA yo nan IKE Crypto Profile ak IPSec Crypto Profile ka pa menm bagay la.
• Konfigirasyon IKE Gateway
IKE Gateway - sa a se yon objè ki deziyen yon routeur oswa firewall ak ki yon tinèl VPN bati. Pou chak tinèl ou bezwen kreye pwòp ou a IKE Gateway. Nan ka sa a, de tinèl yo kreye, youn nan chak founisè entènèt. Entèfas korespondan sòtan an ak adrès IP li yo, adrès IP kanmarad li yo, ak kle pataje yo endike. Sètifika yo ka itilize kòm yon altènativ a yon kle pataje.
Sa ki te kreye deja a endike isit la IKE Crypto Profile. Paramèt dezyèm objè a IKE Gateway menm jan an, eksepte pou adrès IP. Si pare-feu Palo Alto Networks la sitiye dèyè yon routeur NAT, Lè sa a, ou bezwen pèmèt mekanis la NAT Traversal.
• Mete kanpe Tinèl IPSec
Tinèl IPSec se yon objè ki espesifye paramèt tinèl IPSec yo, jan non an sijere. Isit la ou bezwen presize koòdone nan tinèl ak objè deja kreye IKE Gateway, IPSec Crypto Profile. Pou asire chanjman otomatik nan routage nan tinèl la backup, ou dwe pèmèt Tinèl ki monitè kè bebe. Sa a se yon mekanis ki tcheke si yon kanmarad vivan lè l sèvi avèk trafik ICMP. Kòm adrès destinasyon an, ou bezwen presize adrès IP la nan koòdone nan tinèl nan kanmarad la ak ki tinèl la ap bati. Pwofil la presize revèy ak sa pou w fè si koneksyon an pèdi. Tann Refè - tann jiskaske koneksyon an retabli, Echwe sou — voye trafik sou yon lòt wout, si sa disponib. Mete kanpe dezyèm tinèl la konplètman menm jan an; yo espesifye dezyèm koòdone tinèl la ak IKE Gateway.
• Mete kanpe routage
Egzanp sa a itilize routage estatik. Sou pare-feu PA-1, anplis de wout default yo, ou bezwen presize de wout nan subnet 10.10.10.0/24 nan branch lan. Yon wout sèvi ak Tinèl-1, lòt la Tinèl-2. Wout la atravè Tinèl-1 se youn prensipal la paske li gen yon metrik ki pi ba. Mekanis Siveyans chemen pa itilize pou wout sa yo. Responsab pou chanje Tinèl ki monitè kè bebe.
Menm wout yo pou subnet 192.168.30.0/24 bezwen konfigirasyon sou PA-2.
• Mete kanpe règ rezo yo
Pou tinèl la travay, twa règ yo nesesè:
- Pou travay Path ki monitè kè bebe Pèmèt ICMP sou entèfas ekstèn.
- Pou IPsec pèmèt aplikasyon yo Ike и ipsec sou entèfas ekstèn.
- Pèmèt trafik ant subnets entèn yo ak entèfas tinèl.
Konklizyon
Atik sa a diskite sou opsyon pou mete sou pye yon koneksyon Entènèt ak fay tolerans VPN sit-a-sit. Nou espere ke enfòmasyon an te itil ak lektè a te gen yon lide sou teknoloji yo itilize nan Rezo Palo Alto. Si ou gen kesyon sou konfigirasyon ak sijesyon sou sijè pou atik nan lavni, ekri yo nan kòmantè yo, nou pral kontan reponn.
Sous: www.habr.com