Бұл мақала жалғасы болып табылады жабдықты орнату ерекшеліктеріне арналған Palo Alto Networks . Мұнда біз орнату туралы сөйлескіміз келеді IPSec Сайттан Сайтқа VPN жабдықта Palo Alto Networks және бірнеше Интернет провайдерлерін қосуға арналған ықтимал конфигурация опциясы туралы.
Демонстрация үшін бас кеңсені филиалға қосудың стандартты схемасы пайдаланылады. Ақауларға төзімді интернет қосылымын қамтамасыз ету үшін бас кеңсе екі провайдердің: ISP-1 және ISP-2 бір мезгілде қосылуын пайдаланады. Филиалда тек бір провайдермен, ISP-3 байланысы бар. PA-1 және PA-2 брандмауэрлері арасында екі туннель салынған. Туннельдер режимде жұмыс істейді Белсенді-Күту режимі,Туннель-1 белсенді, Туннель-2 істен шыққан кезде трафикті жібере бастайды. Туннель-1 ISP-1 қосылымын пайдаланады, Туннель-1 ISP-2 қосылымын пайдаланады. Барлық IP мекенжайлары демонстрациялық мақсаттар үшін кездейсоқ түрде жасалады және шындыққа ешқандай қатысы жоқ.
Сайттан сайтқа VPN құру үшін пайдаланылады IPsec — IP арқылы берілетін мәліметтерді қорғауды қамтамасыз ететін хаттамалар жиынтығы. IPsec қауіпсіздік протоколы арқылы жұмыс істейді ESP (Encapsulating Security Payload), ол жіберілетін деректерді шифрлауды қамтамасыз етеді.
В IPsec входит IKE (Internet Key Exchange) – SA (қауіпсіздік бірлестіктері), жіберілетін деректерді қорғау үшін пайдаланылатын қауіпсіздік параметрлері туралы келіссөздерге жауапты хаттама. PAN брандмауэрін қолдау IKEv1 и IKEv2.
В IKEv1 VPN қосылымы екі кезеңде құрылады: IKEv1 1-кезең (IKE туннелі) және IKEv1 2-кезең (IPSec туннелі), осылайша екі туннель жасалады, олардың бірі желіаралық қалқандар арасында қызметтік ақпарат алмасу үшін, екіншісі трафикті тасымалдау үшін пайдаланылады. IN IKEv1 1-кезең Екі жұмыс режимі бар - негізгі режим және агрессивті режим. Агрессивті режим хабарларды азырақ пайдаланады және жылдамырақ, бірақ теңдесті тұлғаны қорғауды қолдамайды.
IKEv2 орнына келді IKEv1, және салыстырғанда IKEv1 оның басты артықшылығы - өткізу қабілеттілігінің төмен талаптары және жылдамырақ SA келіссөздері. IN IKEv2 Азырақ қызметтік хабарламалар пайдаланылады (барлығы 4), EAP және MOBIKE протоколдарына қолдау көрсетіледі және туннель жасалған теңдестірудің қолжетімділігін тексеру механизмі қосылды - Тіршілікті тексеру, IKEv1 жүйесінде өлі теңдесті анықтау функциясын ауыстыру. Тексеру сәтсіз болса, онда IKEv2 туннельді қалпына келтіре алады, содан кейін оны бірінші мүмкіндікте автоматты түрде қалпына келтіре алады. Сіз айырмашылықтар туралы көбірек біле аласыз .
Егер әртүрлі өндірушілердің брандмауэрлері арасында туннель салынған болса, онда іске асыруда қателер болуы мүмкін IKEv2, және мұндай жабдықпен үйлесімділік үшін оны пайдалануға болады IKEv1. Басқа жағдайларда қолданған дұрыс IKEv2.
Орнату кезеңдері:
• ActiveStandby режимінде екі интернет провайдерін конфигурациялау
Бұл функцияны жүзеге асырудың бірнеше жолы бар. Солардың бірі механизмді пайдалану болып табылады Жолды бақылаунұсқасынан бастап қолжетімді болды PAN-OS 8.0.0. Бұл мысал 8.0.16 нұсқасын пайдаланады. Бұл мүмкіндік Cisco маршрутизаторларындағы IP SLA-ға ұқсас. Статикалық әдепкі маршрут параметрі пинг пакеттерін белгілі бір бастапқы мекенжайдан белгілі бір IP мекенжайына жіберуді конфигурациялайды. Бұл жағдайда ethernet1/1 интерфейсі әдепкі шлюзге секундына бір рет пинг жібереді. Егер қатарынан үш пингке жауап болмаса, маршрут бұзылған болып саналады және маршруттау кестесінен жойылады. Дәл сол маршрут екінші Интернет провайдеріне конфигурацияланған, бірақ жоғарырақ көрсеткішпен (бұл сақтық көшірме). Бірінші бағыт кестеден жойылғаннан кейін брандмауэр трафикті екінші маршрут арқылы жібере бастайды - Сәтсіздік. Бірінші провайдер пингтерге жауап бере бастағанда, оның бағыты кестеге оралады және жақсырақ көрсеткішке байланысты екіншісін ауыстырады - Қайта оралу. Процесс Сәтсіздік конфигурацияланған аралықтарға байланысты бірнеше секунд кетеді, бірақ, кез келген жағдайда, процесс лезде болмайды және осы уақыт ішінде трафик жоғалады. Қайта оралу көлік қозғалысын жоғалтпай өтеді. жасауға мүмкіндік бар Сәтсіздік жылдамырақ, бірге Bfd, егер Интернет-провайдер мұндай мүмкіндікті берсе. Bfd үлгіден бастап қолдау көрсетіледі PA-3000 сериясы и ВМ-100. Пинг мекенжайы ретінде провайдердің шлюзін емес, жалпыға қолжетімді, әрқашан қол жетімді Интернет мекенжайын көрсеткен дұрыс.
• Туннель интерфейсін құру
Туннель ішіндегі трафик арнайы виртуалды интерфейстер арқылы тасымалданады. Олардың әрқайсысы транзиттік желіден IP мекенжайымен конфигурациялануы керек. Бұл мысалда 1/172.16.1.0 қосалқы станциясы Туннель-30 үшін, ал 2/172.16.2.0 қосалқы станциясы Туннель-30 үшін пайдаланылады.
Бөлімде туннель интерфейсі жасалған Желі -> Интерфейстер -> Туннель. Виртуалды маршрутизатор мен қауіпсіздік аймағын, сондай-ақ сәйкес көлік желісінен IP мекенжайын көрсетуіңіз керек. Интерфейс нөмірі кез келген нәрсе болуы мүмкін.
бөлім озат нақтылауға болады Басқару профилібұл берілген интерфейсте пингке мүмкіндік береді, бұл тестілеу үшін пайдалы болуы мүмкін.
• IKE профилін орнату
IKE профилі VPN қосылымын құрудың бірінші кезеңіне жауап береді, туннель параметрлері осында көрсетілген IKE 1-кезең. Профиль бөлімде жасалады Желі -> Желі профильдері -> IKE Crypto. Шифрлау алгоритмін, хэштеу алгоритмін, Диффи-Хеллман тобын және кілттің қызмет ету мерзімін көрсету қажет. Тұтастай алғанда, алгоритмдер неғұрлым күрделі болса, өнімділігі соғұрлым нашар болады, олар арнайы қауіпсіздік талаптары негізінде таңдалуы керек. Дегенмен, құпия ақпаратты қорғау үшін 14 жастан төмен Диффи-Хеллман тобын пайдалану қатаң ұсынылмайды. Бұл 2048 бит және одан жоғары модуль өлшемдерін немесе 19, 20, 21, 24 топтарда қолданылатын эллиптикалық криптографиялық алгоритмдерді пайдалану арқылы ғана жұмсартуға болатын хаттаманың осалдығына байланысты. Бұл алгоритмдер басқалармен салыстырғанда жоғары өнімділікке ие. дәстүрлі криптография. . Және .
• IPSec профилін орнату
VPN қосылымын құрудың екінші кезеңі - IPSec туннелі. Ол үшін SA параметрлері конфигурацияланған Желі -> Желі профильдері -> IPSec криптографиялық профилі. Мұнда IPSec протоколын көрсету керек - AH немесе ESP, сонымен қатар параметрлер SA — хэштеу алгоритмдері, шифрлау, Диффи-Хеллман топтары және кілттің қызмет ету мерзімі. IKE крипто профиліндегі және IPSec крипто профиліндегі SA параметрлері бірдей болмауы мүмкін.
• IKE шлюзін конфигурациялау
IKE шлюзі - бұл VPN туннелі салынған маршрутизаторды немесе брандмауэрді белгілейтін нысан. Әрбір туннель үшін өзіңізді жасауыңыз керек IKE шлюзі. Бұл жағдайда әрбір Интернет-провайдер арқылы екі туннель жасалады. Сәйкес шығыс интерфейсі және оның IP мекенжайы, тең IP мекенжайы және ортақ кілт көрсетіледі. Сертификаттарды ортақ кілтке балама ретінде пайдалануға болады.
Мұнда бұрын жасалғаны көрсетілген IKE крипто профилі. Екінші объектінің параметрлері IKE шлюзі ұқсас, IP мекенжайларын қоспағанда. Palo Alto Networks брандмауэрі NAT маршрутизаторының артында орналасқан болса, онда механизмді қосу керек NAT өту.
• IPSec туннелі орнатылуда
IPSec туннелі аты айтып тұрғандай, IPSec туннель параметрлерін көрсететін нысан. Мұнда туннель интерфейсін және бұрын жасалған нысандарды көрсету керек IKE шлюзі, IPSec крипто профилі. Маршрутты резервтік туннельге автоматты түрде ауыстыруды қамтамасыз ету үшін қосу керек Туннель мониторы. Бұл ICMP трафигі арқылы құрдастың тірі екенін тексеретін механизм. Тағайындалған мекенжай ретінде туннель салынып жатқан құрдастың туннель интерфейсінің IP мекенжайын көрсету керек. Профиль таймерлерді және байланыс жоғалған жағдайда не істеу керектігін көрсетеді. Қалпына келтіруді күтіңіз – байланыс қалпына келгенше күтіңіз, Сәтсіздік — егер бар болса, басқа бағыт бойынша трафикті жіберу. Екінші туннельді орнату толығымен ұқсас; екінші туннель интерфейсі және IKE шлюзі көрсетілген.
• Маршрутизацияны орнату
Бұл мысал статикалық маршруттауды пайдаланады. PA-1 брандмауэрінде екі әдепкі маршрутқа қосымша филиалдағы 10.10.10.0/24 ішкі желіге екі бағытты көрсету керек. Бір бағыт туннель-1, екіншісі туннель-2 пайдаланады. Туннель-1 арқылы өтетін маршрут негізгі болып табылады, себебі оның метрикасы төмен. Механизм Жолды бақылау бұл бағыттар үшін пайдаланылмайды. Ауыстыруға жауапты Туннель мониторы.
PA-192.168.30.0 жүйесінде 24/2 ішкі желі үшін бірдей маршруттарды конфигурациялау қажет.
• Желі ережелерін орнату
Туннель жұмыс істеуі үшін үш ереже қажет:
- Жұмыс үшін Жол мониторы Сыртқы интерфейстерде ICMP рұқсат беріңіз.
- үшін IPsec қолданбаларға рұқсат ету ike и ипсек сыртқы интерфейстерде.
- Ішкі ішкі желілер мен туннель интерфейстері арасындағы трафикке рұқсат беріңіз.
қорытынды
Бұл мақалада ақауға төзімді интернет қосылымын орнату опциясы талқыланады және Сайттан сайтқа VPN. Ақпарат пайдалы болды және оқырман қолданылатын технологиялар туралы түсінік алды деп үміттенеміз Palo Alto Networks. Егер сізде орнату туралы сұрақтарыңыз болса және болашақ мақалаларға арналған тақырыптар бойынша ұсыныстарыңыз болса, оларды түсініктемелерде жазыңыз, біз жауап беруге қуаныштымыз.
Ақпарат көзі: www.habr.com