Akụkọ a bụ ihe na-aga n'ihu raara onwe ya nye nkọwapụta nke ịtọ akụrụngwa Palo Alto Networks . N'ebe a, anyị chọrọ ikwu maka nhazi IPSec Saịtị-na-saịtị VPN na akụrụngwa Palo Alto Networks yana gbasara nhọrọ nhazi enwere ike ijikọ ọtụtụ ndị na-eweta ịntanetị.
Maka ihe ngosi ahụ, a ga-eji ụkpụrụ ọkọlọtọ jikọọ isi ụlọ ọrụ na alaka ụlọ ọrụ. Iji nye njikọ ịntanetị na-anabataghị mmejọ, isi ụlọ ọrụ na-eji njikọ otu oge nke ndị na-eweta abụọ: ISP-1 na ISP-2. Alaka ahụ nwere njikọ na naanị otu onye na-eweta, ISP-3. A na-ewu ọwara abụọ n'etiti firewalls PA-1 na PA-2. Tunnels na-arụ ọrụ na ọnọdụ Na-arụ ọrụ-njikere, Ọwara-1 na-arụ ọrụ, Ọwara-2 ga-amalite na-ebufe okporo ụzọ mgbe Ọwara-1 dara. Ọwara-1 na-eji njikọ na ISP-1, Ọwara-2 na-eji njikọ na ISP-2. A na-emepụta adreesị IP niile na-enweghị usoro maka ebumnuche ngosi yana enweghị njikọ na eziokwu.
A ga-eji VPN rụọ saịtị-na saịtị IPsec - usoro usoro iji hụ na nchekwa data na-ebufe site na IP. IPsec ga-arụ ọrụ site na iji a nche protocol ESP (Encapsulating Security Payload), nke ga-ahụ na izo ya ezo nke ebutere data.
В IPsec agụnyere Ike (Internet Key Exchange) bụ protocol na-ahụ maka ịkparịta ụka n'Ịntanet SA (òtù nchekwa), ihe nchekwa nke a na-eji echekwa data ebutere. PAN na-akwado firewalls IKEV1 и IKEV2.
В IKEV1 Ewubere njikọ VPN n'ụzọ abụọ: IKEv1 Nkeji 1 (IKE tunnel) na IKEv1 Nkeji 2 (IPSec tunnel), ya mere, a na-emepụta ọwara abụọ, otu n'ime ha na-eji maka mgbanwe ozi ọrụ n'etiti firewalls, nke abụọ maka nnyefe okporo ụzọ. N'ime IKEv1 Nkeji 1 Enwere ụdị ọrụ abụọ - ọnọdụ isi na ọnọdụ ike ike. Ụdị ike ike na-eji ozi pere mpe ma na-adị ngwa ngwa, mana anaghị akwado Nchedo njirimara ndị ọgbọ.
IKEV2 bịara dochie IKEV1, ma tụnyere ya IKEV1 Ya isi uru bụ ala bandwit chọrọ na ngwa ngwa SA mkparita uka. N'ime IKEV2 A na-eji ozi ọrụ ole na ole (4 n'ozuzu), akwadoro usoro EAP na MOBIKE, tinyekwa usoro iji chọpụta na ndị ọgbọ e ji emepụta ọwara ahụ - Nyochaa ịdị ndụ, dochie Nchọpụta ndị ọgbọ nwụrụ anwụ na IKEv1. Ọ bụrụ na nlele ahụ ada, yabụ IKEV2 nwere ike ịtọgharịa ọwara ahụ wee weghachi ya ozugbo na ohere mbụ. Ị nwere ike ịmụtakwu banyere ndịiche .
Ọ bụrụ na e wuru ọwara n'etiti firewalls sitere na ndị nrụpụta dị iche iche, mgbe ahụ enwere ike inwe ahụhụ na mmejuputa ya IKEV2, na maka ndakọrịta na akụrụngwa dị otú ahụ ọ ga-ekwe omume iji IKEV1. N'ọnọdụ ndị ọzọ ọ ka mma iji IKEV2.
Nhazi usoro:
• Ịhazi ndị na-eweta ịntanetị na ọnọdụ ActiveStandby
Enwere ụzọ dị iche iche isi mejuputa ọrụ a. Otu n'ime ha bụ iji usoro Nyochaa ụzọ, nke ghọrọ dị malite na ụdị PAN-OS 8.0.0. Ihe atụ a na-eji ụdị 8.0.16. Njirimara a yiri IP SLA na Cisco routers. Oke ụzọ ndabara kwụ ọtọ na-ahazi izipu ngwugwu ping na adreesị IP akọwapụtara site na adreesị isi mmalite. N'okwu a, ethernet1/1 interface pings ụzọ ndabara otu ugboro kwa sekọnd. Ọ bụrụ na enweghị nzaghachi na pings atọ n'usoro, a na-ewere ụzọ ahụ gbajiri ma wepụ ya na tebụl ntụgharị. A na-ahazi otu ụzọ ahụ gaa na onye na-eweta ịntanetị nke abụọ, mana yana metric dị elu (ọ bụ ndabere). Ozugbo e wepụrụ ụzọ mbụ na tebụl, firewall ga-amalite izipu okporo ụzọ site na ụzọ nke abụọ - Ọdịda-Gafere. Mgbe onye na-eweta mbụ malitere ịza pings, ụzọ ya ga-alaghachi na tebụl wee dochie nke abụọ n'ihi metric ka mma - Ọdịda-Azụ. Usoro Ọdịda-Gafere na-ewe sekọnd ole na ole dabere na etiti oge ahaziri, ma, n'ọnọdụ ọ bụla, usoro ahụ abụghị ngwa ngwa, na n'oge a na-efunahụ okporo ụzọ. Ọdịda-Azụ na-agafe na-enweghị ọnwụ nke okporo ụzọ. Enwere ohere ime Ọdịda-Gafere ngwa ngwa, na B.F.D., ma ọ bụrụ na onye na-ahụ maka ịntanetị na-enye ohere dị otú ahụ. B.F.D. kwadoro malite na ihe nlereanya Usoro PA-3000 и NKM-100. Ọ ka mma ịkọwapụta ọ bụghị ọnụ ụzọ onye na-eweta dị ka adreesị ping, mana ọhaneze, adreesị ịntanetị enwere ike ịnweta mgbe niile.
• Ịmepụta oghere ọwara
A na-ebufe okporo ụzọ n'ime ọwara ahụ site na oghere mebere pụrụ iche. A ga-ahazi nke ọ bụla n'ime ha na adreesị IP sitere na netwọk njem. N'ihe atụ a, a ga-eji ọdụ ụgbọ mmiri 1/172.16.1.0 mee ihe maka Ọwara-30, a ga-eji ọdụ ụgbọ ala 2/172.16.2.0 mee ihe maka Ọwara-30.
A na-emepụta oghere ọwara na ngalaba Netwọk -> Interface -> Ọwara. Ị ga-ezipụta nke ọma rawụta na mpaghara nchekwa, yana adreesị IP sitere na netwọk njem kwekọrọ. Nọmba interface nwere ike ịbụ ihe ọ bụla.
ngalaba Advanced enwere ike ịkọwapụta Profaịlụ njikwanke ga-ekwe ka ping na interface nyere, nke a nwere ike ịba uru maka ule.
• Ịtọlite profaịlụ IKE
Profaịlụ IKE na-ahụ maka ọkwa mbụ nke ịmepụta njikọ VPN; akọwapụtala paramita ọwara ebe a IKE Nkeji 1. A na-emepụta profaịlụ na ngalaba Netwọk -> Profaịlụ netwọkụ -> IKE Crypto. Ọ dị mkpa ịkọwapụta algọridim nzuzo, hashing algọridim, otu Diffie-Hellman na isi oge ndụ. N'ozuzu, ka algọridim dị mgbagwoju anya, na-arụ ọrụ na-akawanye njọ; a ga-ahọrọ ha dabere na ihe nchekwa dị iche iche. Agbanyeghị, a naghị atụ aro ka iji otu Diffie-Hellman dị n'okpuru 14 iji chekwaa ozi nwere mmetụta. Nke a bụ n'ihi adịghị ike nke protocol, nke nwere ike ibelata naanị site na iji modul nha nke 2048 bits na elu, ma ọ bụ elliptical cryptography algọridim, nke a na-eji na otu 19, 20, 21, 24. Algọridim ndị a nwere nnukwu arụmọrụ ma e jiri ya tụnyere ya. cryptography omenala. . Na .
• Ịtọlite profaịlụ IPSec
Usoro nke abụọ nke ịmepụta njikọ VPN bụ ọwara IPSec. A na-ahazi parampat SA maka ya Netwọk -> Profaịlụ netwọkụ -> Profaịlụ Crypto IPSec. Ebe ị ga-ezipụta IPSec protocol - AH ma ọ bụ ESP, yana paramita SA - algọridim hashing, izo ya ezo, otu Diffie-Hellman na isi oge ndụ. Usoro SA dị na profaịlụ IKE Crypto na Profaịlụ Crypto IPSec nwere ike ọ gaghị abụ otu.
• Ịhazi ọnụ ụzọ ámá IKE
Ọnụ ụzọ IKE - nke a bụ ihe na-akọwa rawụta ma ọ bụ firewall nke ejiri rụọ ọwara VPN. Maka ọwara ọ bụla ịkwesịrị ịmepụta nke gị Ọnụ ụzọ IKE. N'okwu a, a na-emepụta ọwara abụọ, otu site na onye na-eweta ịntanetị ọ bụla. Egosiputara ihe ọ na-apụ apụ kwekọrọ na adreesị IP ya, adreesị IP ndị ọgbọ, na igodo nkekọrịta. Enwere ike iji asambodo dị ka ihe ọzọ na igodo ekekọrịtara.
Egosiri nke mbụ emepụtara ebe a Profaịlụ IKE Crypto. Oke ihe nke abụọ Ọnụ ụzọ IKE yiri, ewezuga adreesị IP. Ọ bụrụ na Palo Alto Networks firewall dị n'azụ rawụta NAT, mgbe ahụ ịkwesịrị ịme ka usoro ahụ rụọ ọrụ Njegharị NAT.
• Ịtọlite ọwara IPSec
Ọwara IPSec bụ ihe na-akọwapụta paramita ọwara IPSec, dịka aha ahụ na-egosi. N'ebe a, ịkwesịrị ịkọwapụta oghere ọwara na ihe ndị emeburu Ọnụ ụzọ IKE, Profaịlụ Crypto IPSec. Iji hụ na ịgbanwee ụzọ na-akpaghị aka na ọwara nkwado ndabere na mpaghara, ị ga-emerịrị ya Nyochaa ọwara. Nke a bụ usoro na-enyocha ma onye ọgbọ ọ dị ndụ site na iji okporo ụzọ ICMP. Dị ka ebe adreesị, ị kwesịrị ezipụta adreesị IP nke ọwara interface nke ọgbọ nke a na-ewu ọwara. Profaịlụ ahụ na-akọwapụta ngụ oge yana ime ihe mgbe njikọ kwụsịrị. Chere Naghachi - chere ruo mgbe e weghachiri njikọ ahụ, Daalụ - zipu okporo ụzọ n'ụzọ dị iche, ọ bụrụ na ọ dị. Ịtọlite ọwara nke abụọ yiri nke ọma; a kapịrị ọnụ ụzọ ọwara nke abụọ na IKE Gateway.
• Ịtọlite ụzọ ụzọ
Ọmụmaatụ a na-eji ụzọ kwụ ọtọ. Na firewall PA-1, na mgbakwunye na ụzọ abụọ ndabara, ịkwesịrị ịkọwapụta ụzọ abụọ na subnet 10.10.10.0/24 na alaka. Otu ụzọ na-eji Tunnel-1, nke ọzọ Ọwara-2. Ụzọ site na Ọwara-1 bụ nke bụ isi n'ihi na ọ nwere metric dị ala. Mechanism Nyochaa ụzọ ejighi ya maka uzo ndia. Ọ dịịrị maka ịgbanwee Nyochaa ọwara.
Otu ụzọ maka subnet 192.168.30.0/24 kwesịrị ịhazi na PA-2.
• Ịtọlite iwu netwọkụ
Ka ọwara ahụ rụọ ọrụ, iwu atọ dị mkpa:
- Na-arụ ọrụ Nyochaa ụzọ Kwe ka ICMP na oghere mpụga.
- Iji IPsec ekwe ngwa ike и ipsec na mpụga interfaces.
- Kwe ka okporo ụzọ n'etiti subnets dị n'ime na oghere ọwara.
nkwubi
Edemede a na-atụle nhọrọ nke ịtọlite njikọ ịntanetị na-anabataghị mmejọ yana VPN saịtị-na saịtị. Anyị na-atụ anya na ozi ahụ bara uru ma onye na-agụ ya nwetara echiche nke teknụzụ ndị eji Palo Alto Networks. Ọ bụrụ na ị nwere ajụjụ gbasara nhazi na aro maka isiokwu maka isiokwu n'ọdịnihu, dee ha na nkwupụta, anyị ga-enwe obi ụtọ ịza.
isi: www.habr.com