Þessi grein er framhald tileinkað sérstöðu við uppsetningu búnaðar Palo Alto Networks . Hér viljum við tala um uppsetninguna IPSec Site-to-Site VPN á búnaði Palo Alto Networks og um mögulegan stillingarvalkost til að tengja saman nokkrar netveitur.
Fyrir sýninguna verður notað staðlað kerfi til að tengja aðalskrifstofuna við útibúið. Til að tryggja bilunarþolna nettengingu notar aðalskrifstofan samtímis tengingu tveggja veitenda: ISP-1 og ISP-2. Útibúið hefur aðeins tengingu við eina þjónustuveitu, ISP-3. Tvö göng eru byggð á milli eldvegganna PA-1 og PA-2. Göngin starfa í ham Virkur biðstaða,Göng-1 er virkt, Tunnel-2 mun byrja að senda umferð þegar Tunnel-1 bilar. Tunnel-1 notar tengingu við ISP-1, Tunnel-2 notar tengingu við ISP-2. Allar IP tölur eru búnar til af handahófi í sýningarskyni og hafa engin tengsl við raunveruleikann.
Til að byggja upp Site-to-Site VPN verður notað IPsec — sett af samskiptareglum til að tryggja vernd gagna sem send eru um IP. IPsec mun virka með því að nota öryggissamskiptareglur ESP (Encapsulating Security Payload), sem mun tryggja dulkóðun sendra gagna.
В IPsec er innifalinn Allt í lagi (Internet Key Exchange) er samskiptaregla sem ber ábyrgð á samningum um SA (öryggissamtök), öryggisbreytur sem eru notaðar til að vernda send gögn. PAN eldveggir styðja IKEV1 и IKEV2.
В IKEV1 VPN tenging er byggð í tveimur áföngum: IKEv1 áfangi 1 (IKE göng) og IKEv1 áfangi 2 (IPSec göng), þannig verða til tvö göng, annað þeirra er notað til að skiptast á þjónustuupplýsingum milli eldveggja, annað fyrir umferðarflutninga. IN IKEv1 áfangi 1 Það eru tvær rekstrarhamir - aðalstilling og árásargjarn stilling. Árásargjarn háttur notar færri skilaboð og er hraðari, en styður ekki Peer Identity Protection.
IKEV2 skipt út IKEV1, og miðað við IKEV1 Helsti kostur þess er minni bandbreiddarkröfur og hraðari SA samningaviðræður. IN IKEV2 Færri þjónustuskilaboð eru notuð (4 alls), EAP og MOBIKE samskiptareglur eru studdar og kerfi hefur verið bætt við til að athuga hvort jafningi sé tiltækt sem göngin eru búin til með - Liveness Check, í stað Dead Peer Detection í IKEv1. Ef athugunin mistekst, þá IKEV2 getur endurstillt göngin og endurstillt þau síðan sjálfkrafa við fyrsta tækifæri. Þú getur lært meira um muninn .
Ef göng eru byggð á milli eldveggja frá mismunandi framleiðendum, þá geta verið gallar í útfærslunni IKEV2, og fyrir samhæfni við slíkan búnað er hægt að nota IKEV1. Í öðrum tilvikum er betra að nota IKEV2.
Uppsetningarskref:
• Stilla tvær netveitur í virkum biðstöðu
Það eru nokkrar leiðir til að útfæra þessa aðgerð. Eitt af því er að nota vélbúnaðinn Vegaeftirlit, sem varð fáanlegt frá og með útgáfu PAN-OS 8.0.0. Þetta dæmi notar útgáfu 8.0.16. Þessi eiginleiki er svipaður og IP SLA í Cisco beinum. Staða sjálfgefna leiðarbreytan stillir sendingu ping-pakka á tiltekið IP-tölu frá tilteknu upprunavistfangi. Í þessu tilviki smellir ethernet1/1 viðmótið sjálfgefna gáttinni einu sinni á sekúndu. Ef ekki er svarað við þremur pingum í röð telst leiðin biluð og fjarlægð af leiðartöflunni. Sama leið er stillt í átt að annarri netveitunni, en með hærri mæligildi (það er öryggisafrit). Þegar fyrsta leiðin hefur verið fjarlægð úr töflunni mun eldveggurinn byrja að senda umferð um aðra leiðina - Fail-Over. Þegar fyrsti veitandinn byrjar að svara pingum mun leiðin fara aftur í töfluna og koma í stað hinnar vegna betri mælikvarða - Fail-Back. Ferli Fail-Over tekur nokkrar sekúndur eftir stilltu millibili, en í öllum tilvikum er ferlið ekki samstundis og á þessum tíma tapast umferð. Fail-Back fer framhjá án þess að missa umferð. Það er tækifæri til að gera Fail-Over hraðar, með B.F.D., ef netveitan gefur slíkt tækifæri. B.F.D. stutt frá fyrirmynd PA-3000 röð и VM-100. Það er betra að tilgreina ekki gátt þjónustuveitunnar sem ping heimilisfang, heldur opinbert, alltaf aðgengilegt netfang.
• Að búa til göngviðmót
Umferð inni í göngunum er send í gegnum sérstök sýndarviðmót. Hver þeirra verður að vera stilltur með IP tölu frá flutningsnetinu. Í þessu dæmi verður tengivirkið 1/172.16.1.0 notað fyrir Göng-30 og tengivirkið 2/172.16.2.0 verður notað fyrir Göng-30.
Viðmót ganganna er búið til í kaflanum Net -> Tengi -> Göng. Þú verður að tilgreina sýndarbeini og öryggissvæði, sem og IP tölu frá samsvarandi flutningsneti. Viðmótsnúmerið getur verið hvað sem er.
Í kafla Ítarlegri hægt að tilgreina Stjórnunarsniðsem mun leyfa ping á tilteknu viðmóti, þetta gæti verið gagnlegt til að prófa.
• Setja upp IKE prófíl
IKE prófíl er ábyrgur fyrir fyrsta áfanga að búa til VPN-tengingu; færibreytur jarðganga eru tilgreindar hér IKE áfangi 1. Snið er búið til í hlutanum Net -> Netsnið -> IKE Crypto. Nauðsynlegt er að tilgreina dulkóðunaralgrím, kjötkássa reiknirit, Diffie-Hellman hóp og líftíma lykils. Almennt séð, því flóknari sem reikniritin eru, því verri er frammistaðan; þau ættu að vera valin út frá sérstökum öryggiskröfum. Hins vegar er stranglega ekki mælt með því að nota Diffie-Hellman hóp undir 14 til að vernda viðkvæmar upplýsingar. Þetta er vegna varnarleysis samskiptareglunnar, sem aðeins er hægt að draga úr með því að nota einingastærðir 2048 bita og hærri, eða sporöskjulaga dulritunaralgrím, sem eru notuð í hópum 19, 20, 21, 24. Þessi reiknirit hafa meiri frammistöðu miðað við hefðbundin dulmál. . Og .
• Setja upp IPSec prófíl
Annað stig við að búa til VPN tengingu eru IPSec göng. SA breytur fyrir það eru stilltar í Net -> Netsnið -> IPSec dulritunarsnið. Hér þarftu að tilgreina IPSec samskiptareglur - AH eða ESP, sem og breytur SA - Hasjunaralgrím, dulkóðun, Diffie-Hellman hópar og líftími lykils. SA breytur í IKE Crypto Profile og IPSec Crypto Profile eru hugsanlega ekki þær sömu.
• Stilla IKE Gateway
IKE hlið - þetta er hlutur sem tilgreinir bein eða eldvegg sem VPN göng eru byggð með. Fyrir hver göng þarftu að búa til þín eigin IKE hlið. Í þessu tilviki eru tvö göng búin til, eitt í gegnum hverja netþjónustu. Tilgreint er samsvarandi útgangsviðmót og IP-tala þess, IP-tölu jafningja og samnýtt lykill. Hægt er að nota skírteini sem valkost við sameiginlegan lykil.
Sá sem áður var búinn til er tilgreindur hér IKE Crypto prófíl. Færibreytur seinni hlutarins IKE hlið svipað, nema IP tölur. Ef Palo Alto Networks eldveggurinn er staðsettur á bak við NAT bein, þá þarftu að virkja vélbúnaðinn NAT Traversal.
• Uppsetning IPSec Tunnel
IPSec göng er hlutur sem tilgreinir IPSec tunnel færibreyturnar, eins og nafnið gefur til kynna. Hér þarf að tilgreina viðmót ganganna og áður búna hluti IKE hlið, IPSec dulritunarsnið. Til að tryggja sjálfvirka skiptingu leiðar yfir í varagöngin verður þú að virkja Tunnel Monitor. Þetta er vélbúnaður sem athugar hvort jafningi sé á lífi með því að nota ICMP umferð. Sem áfangastað þarf að tilgreina IP-tölu göngviðmóts jafningjans sem verið er að byggja göngin með. Snið tilgreinir tímamæla og hvað á að gera ef tengingin rofnar. Bíddu Batna - bíddu þar til tengingin er endurheimt, Fail Over — senda umferð eftir annarri leið, ef hún er tiltæk. Að setja upp seinni göngin er algjörlega svipuð; annað göngviðmótið og IKE Gateway eru tilgreind.
• Uppsetning leiðar
Þetta dæmi notar fasta leið. Á PA-1 eldveggnum, til viðbótar við tvær sjálfgefnar leiðir, þarftu að tilgreina tvær leiðir að 10.10.10.0/24 undirnetinu í útibúinu. Önnur leiðin notar Tunnel-1, hin Tunnel-2. Leiðin í gegnum göng-1 er aðalleiðin vegna þess að hún hefur lægri mæligildi. Vélbúnaður Vegaeftirlit ekki notað fyrir þessar leiðir. Ber ábyrgð á skiptum Tunnel Monitor.
Sömu leiðir fyrir undirnetið 192.168.30.0/24 þarf að stilla á PA-2.
• Setja upp netreglur
Til að göngin virki þarf þrjár reglur:
- Til að vinna Path Monitor Leyfa ICMP á ytri tengi.
- Fyrir IPsec leyfa öpp ike и ipsec á ytri viðmótum.
- Leyfa umferð milli innri undirneta og gangnaviðmóta.
Ályktun
Þessi grein fjallar um möguleikann á að setja upp bilunarþolna nettengingu og VPN frá síðu til staðar. Við vonum að upplýsingarnar hafi verið gagnlegar og að lesandinn hafi fengið hugmynd um tæknina sem notuð er í Palo Alto Networks. Ef þú hefur spurningar um uppsetningu og tillögur um efni fyrir greinar í framtíðinni, skrifaðu þær í athugasemdirnar, við munum vera fús til að svara.
Heimild: www.habr.com