Այս հոդվածը շարունակությունն է նվիրված սարքավորումների տեղադրման առանձնահատկություններին Palo Alto Networks- ը . Այստեղ մենք ուզում ենք խոսել տեղադրման մասին IPSec Կայքից Կայք VPN սարքավորումների վրա Palo Alto Networks- ը և մի քանի ինտերնետ պրովայդերների միացման հնարավոր կազմաձևման տարբերակի մասին:
Ցուցադրության համար կկիրառվի գլխամասային գրասենյակը մասնաճյուղին միացնելու ստանդարտ սխեմա։ Անսարքությունների հանդուրժող ինտերնետ կապ ապահովելու համար գլխամասային գրասենյակը օգտագործում է երկու պրովայդերների միաժամանակյա միացում՝ ISP-1 և ISP-2: Մասնաճյուղը կապ ունի միայն մեկ մատակարարի՝ ISP-3-ի հետ: PA-1 և PA-2 firewalls-ի միջև կառուցված են երկու թունել: Թունելները գործում են ռեժիմով Ակտիվ-Սպասման,Թունել-1-ը ակտիվ է, Թունել-2-ը կսկսի երթևեկել, երբ Թունել-1-ը խափանվի: Թունել-1-ն օգտագործում է միացում ISP-1-ին, Թունել-2-ը օգտագործում է միացում ISP-2-ին: Բոլոր IP հասցեները պատահականորեն ստեղծվում են ցուցադրական նպատակներով և իրականության հետ կապ չունեն:
Կայքից Կայք ստեղծելու համար կօգտագործվի VPN IPsec — IP-ի միջոցով փոխանցված տվյալների պաշտպանությունն ապահովելու արձանագրությունների մի շարք: IPsec կաշխատի անվտանգության արձանագրության միջոցով ESP (Encapsulating Security Payload), որը կապահովի փոխանցված տվյալների կոդավորումը։
В IPsec մտնում է IKE (Ինտերնետ բանալիների փոխանակում) արձանագրություն է, որը պատասխանատու է SA-ի (անվտանգության ասոցիացիաների) բանակցությունների համար, անվտանգության պարամետրերը, որոնք օգտագործվում են փոխանցված տվյալները պաշտպանելու համար: PAN firewalls-ի աջակցություն IKEv1- ը и IKEv2- ը.
В IKEv1- ը VPN կապը կառուցված է երկու փուլով. IKEv1 Փուլ 1 (IKE թունել) և IKEv1 Փուլ 2 (IPSec թունել), այսպիսով, ստեղծվում է երկու թունել, որոնցից մեկը օգտագործվում է firewall-երի միջև սպասարկման տեղեկատվության փոխանակման համար, երկրորդը՝ երթևեկության փոխանցման համար։ IN IKEv1 Փուլ 1 Գործողության երկու ռեժիմ կա՝ հիմնական և ագրեսիվ ռեժիմ: Ագրեսիվ ռեժիմն օգտագործում է ավելի քիչ հաղորդագրություններ և ավելի արագ է, բայց չի աջակցում Հասակակիցների ինքնության պաշտպանությունը:
IKEv2- ը եկավ փոխարինելու IKEv1- ը, և համեմատած IKEv1- ը դրա հիմնական առավելությունը թողունակության ավելի ցածր պահանջներն են և SA-ի ավելի արագ բանակցությունները: IN IKEv2- ը Օգտագործվում են ավելի քիչ սպասարկման հաղորդագրություններ (ընդհանուր առմամբ 4), աջակցվում են EAP և MOBIKE արձանագրությունները, և ավելացվել է մեխանիզմ՝ ստուգելու այն գործընկերոջ առկայությունը, որով ստեղծվել է թունելը. Կենսունակության ստուգում, փոխարինելով Dead Peer Detection-ը IKEv1-ում: Եթե ստուգումը ձախողվի, ապա IKEv2- ը կարող է վերականգնել թունելը և այնուհետև առաջին իսկ հնարավորության դեպքում այն ավտոմատ կերպով վերականգնել: Դուք կարող եք ավելին իմանալ տարբերությունների մասին .
Եթե թունել է կառուցված տարբեր արտադրողների firewalls-ի միջև, ապա կարող են լինել սխալներ իրականացման մեջ IKEv2- ը, և նման սարքավորումների հետ համատեղելիության համար հնարավոր է օգտագործել IKEv1- ը. Այլ դեպքերում ավելի լավ է օգտագործել IKEv2- ը.
Կարգավորման քայլեր.
• Երկու ինտերնետ պրովայդերների կարգավորում ActiveStandby ռեժիմում
Այս ֆունկցիան իրականացնելու մի քանի եղանակ կա. Դրանցից մեկը մեխանիզմի կիրառումն է Ուղու մոնիտորինգ, որը հասանելի դարձավ տարբերակից սկսած PAN-OS 8.0.0. Այս օրինակը օգտագործում է 8.0.16 տարբերակը: Այս հատկությունը նման է IP SLA-ին Cisco երթուղիչներում: Ստատիկ լռելյայն երթուղու պարամետրը կարգավորում է պինգ փաթեթների ուղարկումը կոնկրետ IP հասցեի որոշակի աղբյուրի հասցեից: Այս դեպքում ethernet1/1 ինտերֆեյսը վայրկյանում մեկ անգամ զանգում է լռելյայն դարպասը: Եթե անընդմեջ երեք պինգին պատասխան չի լինում, երթուղին համարվում է կոտրված և հեռացված երթուղային աղյուսակից: Նույն երթուղին կազմաձևված է դեպի երկրորդ ինտերնետ պրովայդեր, բայց ավելի բարձր ցուցանիշով (դա պահուստային է): Երբ առաջին երթուղին հեռացվի աղյուսակից, firewall-ը կսկսի երթևեկություն ուղարկել երկրորդ երթուղու միջոցով − Fail-Over. Երբ առաջին մատակարարը սկսում է պատասխանել պինգերին, նրա երթուղին կվերադառնա աղյուսակ և կփոխարինի երկրորդը ավելի լավ չափման շնորհիվ. Fail-Back. Գործընթացը Fail-Over Կախված կազմաձևված միջակայքներից, տևում է մի քանի վայրկյան, բայց, ամեն դեպքում, գործընթացը ակնթարթային չէ, և այդ ընթացքում երթևեկությունը կորչում է: Fail-Back անցնում է առանց երթևեկության կորստի. Անելու հնարավորություն կա Fail-Over ավելի արագ, հետ Բ.Ֆ.Դ., եթե ինտերնետ մատակարարը նման հնարավորություն ընձեռի։ Բ.Ֆ.Դ. աջակցվում է մոդելից սկսած PA-3000 Series и VM-100. Ավելի լավ է որպես ping հասցե նշել ոչ թե մատակարարի դարպասը, այլ հանրային, միշտ հասանելի ինտերնետային հասցե:
• Թունելի ինտերֆեյսի ստեղծում
Թունելի ներսում երթևեկությունը փոխանցվում է հատուկ վիրտուալ միջերեսների միջոցով: Նրանցից յուրաքանչյուրը պետք է կազմաձևվի տարանցիկ ցանցից IP հասցեով: Այս օրինակում 1/172.16.1.0 ենթակայանը կօգտագործվի Թունել-30-ի համար, իսկ 2/172.16.2.0 ենթակայանը՝ Թունել-30-ի համար:
Թունելի ինտերֆեյսը ստեղծվում է բաժնում Ցանց -> Ինտերֆեյս -> Թունել. Դուք պետք է նշեք վիրտուալ երթուղիչ և անվտանգության գոտի, ինչպես նաև համապատասխան տրանսպորտային ցանցի IP հասցե: Ինտերֆեյսի համարը կարող է լինել ցանկացած բան:
Բաժին Առաջադեմ կարելի է ճշտել Կառավարման պրոֆիլորը թույլ կտա ping կատարել տվյալ ինտերֆեյսի վրա, սա կարող է օգտակար լինել թեստավորման համար:
• IKE պրոֆիլի կարգավորում
IKE պրոֆիլ պատասխանատու է VPN կապի ստեղծման առաջին փուլի համար, թունելի պարամետրերը նշված են այստեղ IKE Փուլ 1. Պրոֆիլը ստեղծվում է բաժնում Ցանց -> Ցանցային պրոֆիլներ -> IKE Crypto. Անհրաժեշտ է նշել գաղտնագրման ալգորիթմը, հեշինգի ալգորիթմը, Diffie-Hellman խումբը և բանալու ժամկետը: Ընդհանուր առմամբ, որքան բարդ են ալգորիթմները, այնքան ավելի վատ է կատարումը, դրանք պետք է ընտրվեն՝ ելնելով անվտանգության հատուկ պահանջներից: Այնուամենայնիվ, խստիվ խորհուրդ չի տրվում օգտագործել 14-ից ցածր Diffie-Hellman խումբ՝ զգայուն տեղեկատվությունը պաշտպանելու համար: Դա պայմանավորված է արձանագրության խոցելիությամբ, որը կարող է մեղմվել միայն 2048 բիթ և ավելի բարձր մոդուլի չափերի կամ էլիպսային ծածկագրման ալգորիթմների միջոցով, որոնք օգտագործվում են 19, 20, 21, 24 խմբերում: Այս ալգորիթմներն ունեն ավելի մեծ կատարողականություն՝ համեմատած ավանդական ծածկագրություն. . Եվ .
• IPSec պրոֆիլի կարգավորում
VPN կապ ստեղծելու երկրորդ փուլը IPSec թունելն է։ SA պարամետրերը դրա համար կազմաձևված են Ցանց -> Ցանցային պրոֆիլներ -> IPSec Crypto Profile. Այստեղ դուք պետք է նշեք IPSec արձանագրությունը - AH կամ ESP, ինչպես նաև պարամետրեր SA — հեշավորման ալգորիթմներ, գաղտնագրում, Diffie-Hellman խմբեր և բանալիների կյանքի տևողությունը: SA պարամետրերը IKE Crypto Profile-ում և IPSec Crypto Profile-ում կարող են նույնը չլինել:
• IKE Gateway-ի կարգավորում
IKE Gateway - սա օբյեկտ է, որը նշանակում է երթուղիչ կամ firewall, որով կառուցված է VPN թունել: Յուրաքանչյուր թունելի համար դուք պետք է ստեղծեք ձեր սեփականը IKE Gateway. Այս դեպքում ստեղծվում է երկու թունել՝ յուրաքանչյուր ինտերնետ պրովայդերի միջոցով: Նշված են համապատասխան ելքային ինտերֆեյսը և դրա IP հասցեն, գործընկերների IP հասցեն և ընդհանուր բանալին: Վկայականները կարող են օգտագործվել որպես ընդհանուր բանալու այլընտրանք:
Այստեղ նշված է նախկինում ստեղծվածը IKE Crypto պրոֆիլը. Երկրորդ օբյեկտի պարամետրերը IKE Gateway նմանատիպ, բացառությամբ IP հասցեների: Եթե Palo Alto Networks firewall-ը գտնվում է NAT երթուղիչի հետևում, ապա դուք պետք է միացնեք մեխանիզմը NAT Traversal.
• IPSec թունելի կարգավորում
IPSec թունել օբյեկտ է, որը նշում է IPSec թունելի պարամետրերը, ինչպես հուշում է անունը: Այստեղ դուք պետք է նշեք թունելի միջերեսը և նախկինում ստեղծված օբյեկտները IKE Gateway, IPSec ծպտյալ պրոֆիլ. Պահուստային թունել երթուղիների ավտոմատ անցումն ապահովելու համար դուք պետք է միացնեք Թունելի մոնիտոր. Սա մեխանիզմ է, որը ստուգում է, թե արդյոք հասակակիցը ողջ է, օգտագործելով ICMP տրաֆիկը: Որպես նպատակակետ հասցե, դուք պետք է նշեք թունելի միջերեսի IP հասցեն, որով կառուցվում է թունելը: Պրոֆիլը սահմանում է ժամաչափեր և գործողություն, երբ կապը կորչում է: Սպասեք Վերականգնել - սպասեք, մինչև կապը վերականգնվի, Fail Over — ուղարկել երթևեկությունը այլ երթուղու երկայնքով, եթե առկա է: Երկրորդ թունելի տեղադրումը լիովին նման է, նշված են երկրորդ թունելի միջերեսը և IKE Gateway-ը:
• երթուղավորման կարգավորում
Այս օրինակը օգտագործում է ստատիկ երթուղում: PA-1 firewall-ում, բացի երկու լռելյայն երթուղիներից, դուք պետք է ճյուղում նշեք երկու երթուղի դեպի 10.10.10.0/24 ենթացանց: Մի երթուղին օգտագործում է Թունել-1, մյուսը՝ Թունել-2: Թունել-1-ով անցնող երթուղին հիմնականն է, քանի որ այն ունի ավելի ցածր ցուցանիշ: Մեխանիզմ Ուղու մոնիտորինգ չի օգտագործվում այս երթուղիների համար: Փոխանցման համար պատասխանատու Թունելի մոնիտոր.
Նույն երթուղիները 192.168.30.0/24 ենթացանկի համար պետք է կազմաձևվեն PA-2-ում:
• Ցանցի կանոնների կարգավորում
Թունելի աշխատանքի համար անհրաժեշտ է երեք կանոն.
- Աշխատանքի համար Ուղու մոնիտոր Թույլատրել ICMP-ն արտաքին միջերեսների վրա:
- Համար IPsec թույլատրել հավելվածները ike и ipsec արտաքին ինտերֆեյսների վրա:
- Թույլատրել երթևեկությունը ներքին ենթացանցերի և թունելի միջերեսների միջև:
Ամփոփում
Այս հոդվածը քննարկում է անսարքությունների հանդուրժող ինտերնետ կապի ստեղծման տարբերակը և Կայքից Կայք VPN. Հուսով ենք, որ տեղեկատվությունը օգտակար էր, և ընթերցողը պատկերացում կազմեց այն տեխնոլոգիաների մասին, որոնք օգտագործվում են Palo Alto Networks- ը. Եթե ունեք հարցեր տեղադրման և ապագա հոդվածների թեմաների վերաբերյալ առաջարկների վերաբերյալ, գրեք դրանք մեկնաբանություններում, մենք սիրով կպատասխանենք:
Source: www.habr.com