Artikel iki minangka tutugan khusus kanggo nyetel peralatan Palo Alto Networks . Kene kita arep kanggo pirembagan bab persiyapan IPSec Site-to-Site VPN ing peralatan Palo Alto Networks lan babagan opsi konfigurasi sing bisa kanggo nyambungake sawetara panyedhiya Internet.
Kanggo demonstrasi, skema standar kanggo nyambungake kantor pusat menyang cabang bakal digunakake. Kanggo nyedhiyakake sambungan Internet sing tahan kesalahan, kantor pusat nggunakake sambungan simultan saka rong panyedhiya: ISP-1 lan ISP-2. Cabang kasebut nduweni sambungan menyang mung siji panyedhiya, ISP-3. Loro terowongan dibangun ing antarane firewall PA-1 lan PA-2. Terowongan beroperasi ing mode Aktif-Siaga,Tunnel-1 aktif, Tunnel-2 bakal miwiti ngirim lalu lintas nalika Tunnel-1 gagal. Tunnel-1 nggunakake sambungan menyang ISP-1, Tunnel-2 nggunakake sambungan menyang ISP-2. Kabeh alamat IP digawe kanthi acak kanggo tujuan demonstrasi lan ora ana hubungane karo kasunyatan.
Kanggo mbangun Site-to-Site VPN bakal digunakake IPSec — sakumpulan protokol kanggo njamin pangayoman data sing dikirim liwat IP. IPSec bakal bisa nggunakake protokol keamanan ESP (Encapsulating Security Payload), sing bakal njamin enkripsi data sing dikirim.
В IPSec lumebu IKE (Internet Key Exchange) minangka protokol sing tanggung jawab kanggo rembugan SA (asosiasi keamanan), paramèter keamanan sing digunakake kanggo nglindhungi data sing dikirim. Dhukungan firewall PAN IKEv1 и IKEv2.
В IKEv1 Sambungan VPN dibangun ing rong tahap: IKEv1 Fase 1 (IKE trowongan) lan IKEv1 Fase 2 (IPSec tunnel), saéngga, rong terowongan digawe, salah sijine digunakake kanggo ijol-ijolan informasi layanan antarane firewall, sing liya kanggo transmisi lalu lintas. ING IKEv1 Fase 1 Ana rong mode operasi - mode utama lan mode agresif. Mode agresif nggunakake pesen sing luwih sithik lan luwih cepet, nanging ora ndhukung Peer Identity Protection.
IKEv2 diganti IKEv1, lan dibandhingake karo IKEv1 kauntungan utama iku syarat bandwidth ngisor lan rembugan SA luwih cepet. ING IKEv2 Pesen layanan sing luwih sithik digunakake (total 4), protokol EAP lan MOBIKE didhukung, lan mekanisme wis ditambahake kanggo mriksa kasedhiyan peer sing nggawe trowongan - Priksa Liveness, ngganti Deteksi Peer Mati ing IKEv1. Yen mriksa gagal, banjur IKEv2 bisa ngreset trowongan lan banjur mulihake kanthi otomatis ing kesempatan pisanan. Sampeyan bisa sinau luwih akeh babagan bedane .
Yen trowongan dibangun ing antarane firewall saka manufaktur sing beda-beda, mula bisa uga ana kewan omo ing implementasine IKEv2, lan kanggo kompatibilitas karo peralatan kuwi bisa digunakake IKEv1. Ing kasus liyane iku luwih apik kanggo nggunakake IKEv2.
Langkah-langkah persiyapan:
• Konfigurasi loro panyedhiya Internet ing mode ActiveStandby
Ana sawetara cara kanggo ngleksanakake fungsi iki. Salah sijine yaiku nggunakake mekanisme kasebut Path Monitoring, sing kasedhiya wiwit saka versi PAN-OS 8.0.0. Conto iki nggunakake versi 8.0.16. Fitur iki padha IP SLA ing router Cisco. Parameter rute standar statis ngonfigurasi ngirim paket ping menyang alamat IP tartamtu saka alamat sumber tartamtu. Ing kasus iki, antarmuka ethernet1/1 ping gateway standar sapisan saben detik. Yen ora ana respon kanggo telung ping saurutan, rute dianggep rusak lan dibusak saka meja nuntun. Rute sing padha dikonfigurasi menyang panyedhiya Internet kapindho, nanging kanthi metrik sing luwih dhuwur (iku minangka cadangan). Sawise rute pisanan dibusak saka meja, firewall bakal miwiti ngirim lalu lintas liwat rute kapindho - Gagal-Over. Nalika panyedhiya pisanan wiwit nanggapi ping, rute kasebut bakal bali menyang meja lan ngganti sing nomer loro amarga metrik sing luwih apik - Gagal-Mbalik. Proses Gagal-Over njupuk sawetara detik gumantung ing interval diatur, nanging, ing kasus, proses ora cepet, lan sak iki lalu lintas ilang. Gagal-Mbalik liwat tanpa mundhut lalu lintas. Ana kesempatan kanggo nindakake Gagal-Over luwih cepet, karo B.F.D., yen panyedhiya Internet nyedhiyakake kesempatan kasebut. B.F.D. didhukung wiwit saka model Seri PA-3000 и VM-100. Iku luwih apik kanggo nemtokake ora gateway panyedhiya minangka alamat ping, nanging umum, tansah bisa diakses alamat Internet.
• Nggawe antarmuka trowongan
Lalu lintas ing jero trowongan ditularake liwat antarmuka virtual khusus. Saben wong kudu dikonfigurasi nganggo alamat IP saka jaringan transit. Ing conto iki, gardu 1/172.16.1.0 bakal digunakake kanggo Tunnel-30, lan gardu 2/172.16.2.0 bakal digunakake kanggo Tunnel-30.
Antarmuka trowongan digawe ing bagean kasebut Jaringan -> Antarmuka -> Tunnel. Sampeyan kudu nemtokake router virtual lan zona keamanan, uga alamat IP saka jaringan transportasi sing cocog. Nomer antarmuka bisa apa wae.
bagean Linuwih bisa ditemtokake Profil Manajemensing bakal ngidini ping ing antarmuka diwenehi, iki bisa migunani kanggo testing.
• Nyetel Profil IKE
Profil IKE tanggung jawab kanggo tahap pertama nggawe sambungan VPN; paramèter trowongan ditemtokake ing kene IKE Fase 1. Profil digawe ing bagean Jaringan -> Profil Jaringan -> IKE Crypto. Sampeyan kudu nemtokake algoritma enkripsi, algoritma hashing, grup Diffie-Hellman lan umur kunci. Umumé, algoritma sing luwih rumit, kinerja sing luwih elek, kudu dipilih adhedhasar syarat keamanan tartamtu. Nanging, ora dianjurake kanggo nggunakake grup Diffie-Hellman ing ngisor 14 kanggo nglindhungi informasi sensitif. Iki amarga kerentanan protokol, sing mung bisa dikurangi kanthi nggunakake ukuran modul 2048 bit lan luwih dhuwur, utawa algoritma kriptografi eliptik, sing digunakake ing grup 19, 20, 21, 24. Algoritma kasebut nduweni kinerja sing luwih gedhe dibandhingake karo kriptografi tradisional. . Lan .
• Nyetel Profil IPSec
Tahap kapindho nggawe sambungan VPN yaiku terowongan IPSec. paramèter SA kanggo iku diatur ing Jaringan -> Profil Jaringan -> Profil Crypto IPSec. Ing kene sampeyan kudu nemtokake protokol IPSec - AH utawa ESP, uga paramèter SA - algoritma hashing, enkripsi, grup Diffie-Hellman lan umur kunci. Parameter SA ing IKE Crypto Profile lan IPSec Crypto Profile bisa uga ora padha.
• Konfigurasi IKE Gateway
IKE Gateway - iki minangka obyek sing nemtokake router utawa firewall sing dibangun trowongan VPN. Kanggo saben trowongan sampeyan kudu nggawe dhewe IKE Gateway. Ing kasus iki, rong trowongan digawe, siji liwat saben panyedhiya Internet. Antarmuka metu sing cocog lan alamat IP, alamat IP peer, lan tombol bareng dituduhake. Sertifikat bisa digunakake minangka alternatif kanggo kunci sing dienggo bareng.
Sing digawe sadurunge dituduhake ing kene Profil Crypto IKE. Parameter saka obyek kapindho IKE Gateway padha, kajaba kanggo alamat IP. Yen firewall Palo Alto Networks ana ing mburi router NAT, sampeyan kudu ngaktifake mekanisme kasebut NAT Traversal.
• Nggawe Tunnel IPSec
IPSec Tunnel iku obyek sing nemtokake paramèter trowongan IPSec, minangka jeneng tabet. Ing kene sampeyan kudu nemtokake antarmuka trowongan lan obyek sing digawe sadurunge IKE Gateway, Profil Crypto IPSec. Kanggo mesthekake ngoper otomatis saka nuntun menyang trowongan serep, sampeyan kudu ngaktifake Monitor Terowongan. Iki minangka mekanisme sing mriksa apa peer urip nggunakake lalu lintas ICMP. Minangka alamat tujuan, sampeyan kudu nemtokake alamat IP antarmuka trowongan saka peer sing dibangun trowongan. Profil kasebut nemtokake wektu lan apa sing kudu ditindakake yen sambungan kasebut ilang. Enteni Waras – ngenteni nganti sambungan dibalèkaké, Gagal liwat - ngirim lalu lintas ing rute sing beda, yen kasedhiya. Nyetel trowongan kapindho meh padha; antarmuka trowongan kapindho lan IKE Gateway wis ditemtokake.
• Nyetel rute
Conto iki nggunakake rute statis. Ing firewall PA-1, saliyane loro rute standar, sampeyan kudu nemtokake rong rute menyang subnet 10.10.10.0/24 ing cabang kasebut. Siji rute nggunakake Tunnel-1, Tunnel-2 liyane. Rute liwat Tunnel-1 minangka sing utama amarga nduweni metrik sing luwih murah. Mekanisme Path Monitoring ora digunakake kanggo rute kasebut. Tanggung jawab kanggo ngalih Monitor Terowongan.
Rute sing padha kanggo subnet 192.168.30.0/24 kudu diatur ing PA-2.
• Nyetel aturan jaringan
Supaya trowongan bisa digunakake, telung aturan dibutuhake:
- Kanggo karya Path Monitor Ngidini ICMP ing antarmuka eksternal.
- Kanggo IPSec ngidini app ike и ipsec ing antarmuka njaba.
- Ngidini lalu lintas antarane subnet internal lan antarmuka trowongan.
kesimpulan
Artikel iki mbahas pilihan kanggo nyetel sambungan Internet fault-tolerant lan VPN Situs-menyang-Situs. Muga-muga informasi kasebut migunani lan sing maca entuk ide babagan teknologi sing digunakake Palo Alto Networks. Yen sampeyan duwe pitakon babagan persiyapan lan saran babagan topik kanggo artikel sing bakal teka, tulisen ing komentar, kita bakal seneng njawab.
Source: www.habr.com