Ez a cikk a folytatás a berendezések beállításának sajátosságainak szentelték Palo Alto Networks . Itt a beállításról szeretnénk beszélni IPSec Site-to-Site VPN a felszerelésen Palo Alto Networks valamint egy lehetséges konfigurációs lehetőségről több internetszolgáltató összekapcsolására.
A demonstrációhoz a központi iroda és a fióktelep összekötésére szolgáló szabványos sémát alkalmazzák. A központi iroda a hibatűrő internetkapcsolat biztosítása érdekében két szolgáltató egyidejű kapcsolatát használja: ISP-1 és ISP-2. A fióktelep csak egy szolgáltatóhoz kapcsolódik, az ISP-3-hoz. Két alagút épül a PA-1 és PA-2 tűzfalak közé. Az alagutak üzemmódban működnek Aktív készenlét,Alagút-1 aktív, Alagút-2 elkezdi továbbítani a forgalmat, ha az Alagút-1 meghibásodik. Az Tunnel-1 kapcsolatot használ az ISP-1-gyel, az Tunnel-2 pedig az ISP-2-vel. Az összes IP-cím véletlenszerűen jön létre demonstrációs célból, és nincs összefüggésben a valósággal.
A Site-to-Site VPN-t használjuk IPSec — az IP-n keresztül továbbított adatok védelmét biztosító protokollok. IPSec biztonsági protokoll használatával fog működni ESP (Encapsulating Security Payload), amely biztosítja a továbbított adatok titkosítását.
В IPSec benne van IKE (Internet Key Exchange) egy protokoll, amely az SA (biztonsági asszociációk) egyeztetéséért felelős, az átvitt adatok védelmére használt biztonsági paraméterekért. PAN tűzfal támogatás IKEv1 и IKEv2.
В IKEv1 A VPN-kapcsolat két szakaszban épül fel: IKEv1 1. fázis (IKE alagút) és IKEv1 2. fázis (IPSec alagút), így két alagút jön létre, amelyek közül az egyik a tűzfalak közötti szolgáltatási információcserére, a másik a forgalom továbbítására szolgál. BAN BEN IKEv1 1. fázis Két üzemmód van - fő mód és agresszív mód. Az agresszív mód kevesebb üzenetet használ és gyorsabb, de nem támogatja a Peer Identity Protectiont.
IKEv2 lecserélték IKEv1, és ehhez képest IKEv1 fő előnye az alacsonyabb sávszélesség-igény és a gyorsabb SA-egyeztetés. BAN BEN IKEv2 Kevesebb szolgáltatási üzenetet használnak (összesen 4), az EAP és MOBIKE protokollok támogatottak, és egy olyan mechanizmus került hozzáadásra, amely ellenőrzi az alagutat létrehozó társ elérhetőségét - Életesség ellenőrzése, felváltja a Dead Peer Detection funkciót az IKEv1-ben. Ha az ellenőrzés sikertelen, akkor IKEv2 visszaállíthatja az alagutat, majd az első adandó alkalommal automatikusan visszaállíthatja. A különbségekről többet megtudhat .
Ha alagutat építenek a különböző gyártók tűzfalai közé, akkor előfordulhatnak hibák a megvalósításban IKEv2, és az ilyen berendezésekkel való kompatibilitás érdekében használható IKEv1. Más esetekben jobb használni IKEv2.
Beállítás lépései:
• Két internetszolgáltató konfigurálása ActiveStandby módban
Számos módja van ennek a funkciónak a megvalósítására. Az egyik a mechanizmus használata Útvonal figyeléseverziótól kezdve elérhetővé vált PAN-OS 8.0.0. Ez a példa a 8.0.16-os verziót használja. Ez a szolgáltatás hasonló a Cisco útválasztók IP SLA-jához. A statikus alapértelmezett útvonalparaméter konfigurálja a ping-csomagok elküldését egy adott IP-címre egy adott forráscímről. Ebben az esetben az ethernet1/1 interfész másodpercenként egyszer pingeli az alapértelmezett átjárót. Ha három egymás utáni pingre nem érkezik válasz, az útvonal megszakadtnak minősül, és eltávolítjuk az útválasztási táblából. Ugyanez az útvonal van konfigurálva a második internetszolgáltató felé, de magasabb mutatóval (ez egy tartalék). Miután az első útvonalat eltávolította a táblázatból, a tűzfal elkezdi továbbítani a forgalmat a második útvonalon − Fail-Over. Amikor az első szolgáltató elkezd válaszolni a pingekre, az útvonala visszatér a táblázathoz, és a jobb mutató miatt lecseréli a másodikat - Fail-Back. Folyamat Fail-Over a beállított időközöktől függően néhány másodpercet vesz igénybe, de mindenesetre a folyamat nem azonnali, és ezalatt a forgalom elvész. Fail-Back forgalomcsökkenés nélkül halad át. Van rá lehetőség Fail-Over gyorsabban, azzal BFD, ha az internetszolgáltató biztosít ilyen lehetőséget. BFD modelltől kezdve támogatott PA-3000 sorozat и VM-100. Jobb, ha nem a szolgáltató átjáróját adjuk meg ping címként, hanem egy nyilvános, mindig elérhető internetcímet.
• Alagút interfész létrehozása
Az alagúton belüli forgalom speciális virtuális interfészeken keresztül történik. Mindegyiket a tranzithálózatból származó IP-címmel kell konfigurálni. Ebben a példában a 1/172.16.1.0 alállomást az 30. alagúthoz, a 2/172.16.2.0 alállomást pedig a 30. alagúthoz használjuk.
Az alagút interfész a szakaszban jön létre Hálózat -> Interfészek -> Alagút. Meg kell adnia egy virtuális útválasztót és biztonsági zónát, valamint egy IP-címet a megfelelő szállítási hálózatból. Az interfész száma bármi lehet.
Szakaszban Részletes megadható Menedzsment profilamely lehetővé teszi a ping-et az adott felületen, ez hasznos lehet a teszteléshez.
• Az IKE-profil beállítása
IKE profil felelős a VPN-kapcsolat létrehozásának első szakaszáért, itt adjuk meg az alagút paramétereit IKE 1. fázis. A profil a szakaszban jön létre Hálózat -> Hálózati profilok -> IKE Crypto. Meg kell adni a titkosítási algoritmust, a kivonatolási algoritmust, a Diffie-Hellman csoportot és a kulcs élettartamát. Általánosságban elmondható, hogy minél összetettebbek az algoritmusok, annál rosszabb a teljesítmény, ezért azokat speciális biztonsági követelmények alapján kell kiválasztani. Azonban szigorúan nem ajánlott a 14 év alatti Diffie-Hellman csoport használata az érzékeny információk védelme érdekében. Ennek oka a protokoll sérülékenysége, amelyet csak 2048 bites és annál nagyobb modulméretekkel, vagy elliptikus kriptográfiai algoritmusokkal lehet csökkenteni, amelyeket a 19., 20., 21., 24. csoportban használnak. Ezek az algoritmusok teljesítménye nagyobb a hagyományos kriptográfia. . és .
• Az IPSec-profil beállítása
A VPN-kapcsolat létrehozásának második szakasza egy IPSec-alagút. A hozzá tartozó SA paraméterek be vannak állítva Hálózat -> Hálózati profilok -> IPSec Crypto Profile. Itt meg kell adnia az IPSec protokollt - AH vagy ESP, valamint a paramétereket SA — kivonatolási algoritmusok, titkosítás, Diffie-Hellman csoportok és kulcsok élettartama. Előfordulhat, hogy az IKE Crypto Profile és az IPSec Crypto Profile SA paraméterei nem egyeznek meg.
• Az IKE átjáró konfigurálása
IKE átjáró - ez egy olyan objektum, amely egy útválasztót vagy tűzfalat jelöl ki, amellyel VPN alagút épül. Minden alagúthoz létre kell hoznia egy sajátot IKE átjáró. Ebben az esetben két alagút jön létre, mindegyik internetszolgáltatón keresztül. Megjelenik a megfelelő kimenő interfész és annak IP-címe, egyenrangú IP-címe és megosztott kulcsa. A tanúsítványok a megosztott kulcs alternatívájaként használhatók.
Itt látható a korábban létrehozott IKE kriptográfiai profil. A második objektum paraméterei IKE átjáró hasonló, kivéve az IP-címeket. Ha a Palo Alto Networks tűzfala egy NAT útválasztó mögött található, akkor engedélyeznie kell a mechanizmust NAT átjárás.
• IPSec Tunnel beállítása
IPSec alagút egy olyan objektum, amely megadja az IPSec alagút paramétereit, ahogy a neve is sugallja. Itt meg kell adni az alagút felületet és a korábban létrehozott objektumokat IKE átjáró, IPSec kriptográfiai profil. Az útválasztás tartalék alagútba való automatikus átváltásának biztosításához engedélyeznie kell Tunnel Monitor. Ez egy olyan mechanizmus, amely az ICMP-forgalom segítségével ellenőrzi, hogy egy partner életben van-e. Cél címként meg kell adnia annak a partnernek az alagút interfészének IP-címét, amellyel az alagút épül. A profil meghatározza az időzítőket és a teendőket, ha a kapcsolat megszakad. Várjon, felépüljön – várja meg, amíg a kapcsolat helyreáll, Fail Over — a forgalom más útvonalon történő továbbítása, ha elérhető. A második alagút beállítása teljesen hasonló, a második alagút interfész és az IKE átjáró meg van adva.
• Útválasztás beállítása
Ez a példa statikus útválasztást használ. A PA-1 tűzfalon a két alapértelmezett útvonalon kívül meg kell adni két útvonalat az ágban a 10.10.10.0/24 alhálózathoz. Az egyik útvonal alagút-1-et, a másik alagút-2-t használja. Az 1-es alagúton keresztül vezető útvonal a fő, mert alacsonyabb a mérőszáma. Gépezet Útvonal figyelése nem használják ezeken az útvonalakon. A váltásért felelős Tunnel Monitor.
A 192.168.30.0/24 alhálózathoz ugyanazokat az útvonalakat kell konfigurálni a PA-2-n.
• Hálózati szabályok beállítása
Az alagút működéséhez három szabályra van szükség:
- Dolgozni Path Monitor Az ICMP engedélyezése a külső interfészeken.
- mert IPSec alkalmazások engedélyezése ike и ipsec külső interfészeken.
- Forgalom engedélyezése a belső alhálózatok és az alagút interfészek között.
Következtetés
Ez a cikk a hibatűrő internetkapcsolat beállításának lehetőségét tárgyalja és Helyek közötti VPN. Reméljük, hogy az információ hasznos volt, és az olvasó képet alkotott a felhasznált technológiákról Palo Alto Networks. Ha kérdése van a beállítással kapcsolatban, és javaslatai vannak a jövőbeli cikkek témáival kapcsolatban, írja meg őket a megjegyzésekben, szívesen válaszolunk.
Forrás: will.com