ಈ ಲೇಖನವು ಅದರ ಮುಂದುವರಿಕೆಯಾಗಿದೆ ಸಲಕರಣೆಗಳನ್ನು ಸ್ಥಾಪಿಸುವ ನಿಶ್ಚಿತಗಳಿಗೆ ಸಮರ್ಪಿಸಲಾಗಿದೆ ಪಾಲೋ ಆಲ್ಟೊ ನೆಟ್ವರ್ಕ್ಸ್ . ಇಲ್ಲಿ ನಾವು ಸೆಟಪ್ ಬಗ್ಗೆ ಮಾತನಾಡಲು ಬಯಸುತ್ತೇವೆ IPSec ಸೈಟ್-ಟು-ಸೈಟ್ VPN ಸಲಕರಣೆಗಳ ಮೇಲೆ ಪಾಲೋ ಆಲ್ಟೊ ನೆಟ್ವರ್ಕ್ಸ್ ಮತ್ತು ಹಲವಾರು ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರನ್ನು ಸಂಪರ್ಕಿಸಲು ಸಂಭವನೀಯ ಸಂರಚನಾ ಆಯ್ಕೆಯ ಬಗ್ಗೆ.
ಪ್ರಾತ್ಯಕ್ಷಿಕೆಗಾಗಿ, ಪ್ರಧಾನ ಕಛೇರಿಯನ್ನು ಶಾಖೆಗೆ ಸಂಪರ್ಕಿಸುವ ಪ್ರಮಾಣಿತ ಯೋಜನೆಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ದೋಷ-ಸಹಿಷ್ಣು ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕವನ್ನು ಒದಗಿಸುವ ಸಲುವಾಗಿ, ಮುಖ್ಯ ಕಛೇರಿಯು ಎರಡು ಪೂರೈಕೆದಾರರ ಏಕಕಾಲಿಕ ಸಂಪರ್ಕವನ್ನು ಬಳಸುತ್ತದೆ: ISP-1 ಮತ್ತು ISP-2. ಶಾಖೆಯು ISP-3 ಎಂಬ ಒಬ್ಬ ಪೂರೈಕೆದಾರರಿಗೆ ಮಾತ್ರ ಸಂಪರ್ಕವನ್ನು ಹೊಂದಿದೆ. ಫೈರ್ವಾಲ್ಗಳ PA-1 ಮತ್ತು PA-2 ನಡುವೆ ಎರಡು ಸುರಂಗಗಳನ್ನು ನಿರ್ಮಿಸಲಾಗಿದೆ. ಸುರಂಗಗಳು ಕ್ರಮದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಸಕ್ರಿಯ-ಸ್ಟ್ಯಾಂಡ್ಬೈ,ಸುರಂಗ-1 ಸಕ್ರಿಯವಾಗಿದೆ, ಸುರಂಗ-2 ವಿಫಲವಾದಾಗ ಸುರಂಗ-1 ಸಂಚಾರವನ್ನು ರವಾನಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. ಸುರಂಗ-1 ISP-1 ಗೆ ಸಂಪರ್ಕವನ್ನು ಬಳಸುತ್ತದೆ, ಸುರಂಗ-2 ISP-2 ಗೆ ಸಂಪರ್ಕವನ್ನು ಬಳಸುತ್ತದೆ. ಎಲ್ಲಾ IP ವಿಳಾಸಗಳನ್ನು ಯಾದೃಚ್ಛಿಕವಾಗಿ ಪ್ರದರ್ಶನ ಉದ್ದೇಶಗಳಿಗಾಗಿ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ವಾಸ್ತವಿಕತೆಗೆ ಯಾವುದೇ ಸಂಬಂಧವಿಲ್ಲ.
ಸೈಟ್-ಟು-ಸೈಟ್ ನಿರ್ಮಿಸಲು VPN ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ ಐಪಿಎಸ್ಸೆಕ್ - ಐಪಿ ಮೂಲಕ ರವಾನೆಯಾಗುವ ಡೇಟಾದ ರಕ್ಷಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಪ್ರೋಟೋಕಾಲ್ಗಳ ಒಂದು ಸೆಟ್. ಐಪಿಎಸ್ಸೆಕ್ ಭದ್ರತಾ ಪ್ರೋಟೋಕಾಲ್ ಬಳಸಿ ಕೆಲಸ ಮಾಡುತ್ತದೆ ಇಎಸ್ಪಿ (ಎನ್ಕ್ಯಾಪ್ಸುಲೇಟಿಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಪೇಲೋಡ್), ಇದು ರವಾನೆಯಾದ ಡೇಟಾದ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಖಚಿತಪಡಿಸುತ್ತದೆ.
В ಐಪಿಎಸ್ಸೆಕ್ ಪ್ರವೇಶಿಸುತ್ತದೆ ಐಕೆಇ (ಇಂಟರ್ನೆಟ್ ಕೀ ವಿನಿಮಯ) SA (ಭದ್ರತಾ ಸಂಘಗಳು), ರವಾನೆಯಾದ ಡೇಟಾವನ್ನು ರಕ್ಷಿಸಲು ಬಳಸಲಾಗುವ ಭದ್ರತಾ ನಿಯತಾಂಕಗಳನ್ನು ಮಾತುಕತೆಗೆ ಜವಾಬ್ದಾರರಾಗಿರುವ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದೆ. PAN ಫೈರ್ವಾಲ್ಗಳ ಬೆಂಬಲ IKEv1 и IKEv2.
В IKEv1 VPN ಸಂಪರ್ಕವನ್ನು ಎರಡು ಹಂತಗಳಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ: IKEv1 ಹಂತ 1 (IKE ಸುರಂಗ) ಮತ್ತು IKEv1 ಹಂತ 2 (IPSec ಸುರಂಗ), ಹೀಗಾಗಿ, ಎರಡು ಸುರಂಗಗಳನ್ನು ರಚಿಸಲಾಗಿದೆ, ಅವುಗಳಲ್ಲಿ ಒಂದನ್ನು ಫೈರ್ವಾಲ್ಗಳ ನಡುವೆ ಸೇವಾ ಮಾಹಿತಿಯ ವಿನಿಮಯಕ್ಕಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ, ಎರಡನೆಯದು ಸಂಚಾರ ಪ್ರಸರಣಕ್ಕೆ. IN IKEv1 ಹಂತ 1 ಎರಡು ಕಾರ್ಯ ವಿಧಾನಗಳಿವೆ - ಮುಖ್ಯ ಮೋಡ್ ಮತ್ತು ಆಕ್ರಮಣಕಾರಿ ಮೋಡ್. ಆಕ್ರಮಣಕಾರಿ ಮೋಡ್ ಕಡಿಮೆ ಸಂದೇಶಗಳನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ವೇಗವಾಗಿರುತ್ತದೆ, ಆದರೆ ಪೀರ್ ಐಡೆಂಟಿಟಿ ಪ್ರೊಟೆಕ್ಷನ್ ಅನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ.
IKEv2 ಬದಲಾಯಿಸಲಾಗಿದೆ IKEv1, ಮತ್ತು ಹೋಲಿಸಿದರೆ IKEv1 ಇದರ ಮುಖ್ಯ ಪ್ರಯೋಜನವೆಂದರೆ ಕಡಿಮೆ ಬ್ಯಾಂಡ್ವಿಡ್ತ್ ಅವಶ್ಯಕತೆಗಳು ಮತ್ತು ವೇಗವಾದ SA ಸಮಾಲೋಚನೆ. IN IKEv2 ಕಡಿಮೆ ಸೇವಾ ಸಂದೇಶಗಳನ್ನು ಬಳಸಲಾಗಿದೆ (ಒಟ್ಟು 4), EAP ಮತ್ತು MOBIKE ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸುರಂಗವನ್ನು ರಚಿಸಲಾದ ಪೀರ್ನ ಲಭ್ಯತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಕಾರ್ಯವಿಧಾನವನ್ನು ಸೇರಿಸಲಾಗಿದೆ - ಲೈವ್ನೆಸ್ ಚೆಕ್, IKEv1 ನಲ್ಲಿ ಡೆಡ್ ಪೀರ್ ಡಿಟೆಕ್ಷನ್ ಅನ್ನು ಬದಲಾಯಿಸಲಾಗುತ್ತಿದೆ. ಚೆಕ್ ವಿಫಲವಾದರೆ, ನಂತರ IKEv2 ಸುರಂಗವನ್ನು ಮರುಹೊಂದಿಸಬಹುದು ಮತ್ತು ನಂತರ ಅದನ್ನು ಮೊದಲ ಅವಕಾಶದಲ್ಲಿ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಮರುಸ್ಥಾಪಿಸಬಹುದು. ವ್ಯತ್ಯಾಸಗಳ ಬಗ್ಗೆ ನೀವು ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಬಹುದು .
ವಿಭಿನ್ನ ತಯಾರಕರ ಫೈರ್ವಾಲ್ಗಳ ನಡುವೆ ಸುರಂಗವನ್ನು ನಿರ್ಮಿಸಿದರೆ, ಅನುಷ್ಠಾನದಲ್ಲಿ ದೋಷಗಳು ಇರಬಹುದು IKEv2, ಮತ್ತು ಅಂತಹ ಸಲಕರಣೆಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಗಾಗಿ ಅದನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಿದೆ IKEv1. ಇತರ ಸಂದರ್ಭಗಳಲ್ಲಿ ಅದನ್ನು ಬಳಸುವುದು ಉತ್ತಮ IKEv2.
ಸೆಟಪ್ ಹಂತಗಳು:
• ActiveStandby ಮೋಡ್ನಲ್ಲಿ ಎರಡು ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗುತ್ತಿದೆ
ಈ ಕಾರ್ಯವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಹಲವಾರು ಮಾರ್ಗಗಳಿವೆ. ಅವುಗಳಲ್ಲಿ ಒಂದು ಯಾಂತ್ರಿಕ ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸುವುದು ಮಾರ್ಗ ಮಾನಿಟರಿಂಗ್, ಇದು ಆವೃತ್ತಿಯಿಂದ ಪ್ರಾರಂಭವಾಗಿ ಲಭ್ಯವಾಯಿತು PAN-OS 8.0.0. ಈ ಉದಾಹರಣೆಯು ಆವೃತ್ತಿ 8.0.16 ಅನ್ನು ಬಳಸುತ್ತದೆ. ಈ ವೈಶಿಷ್ಟ್ಯವು ಸಿಸ್ಕೋ ಮಾರ್ಗನಿರ್ದೇಶಕಗಳಲ್ಲಿ IP SLA ಅನ್ನು ಹೋಲುತ್ತದೆ. ಸ್ಟ್ಯಾಟಿಕ್ ಡೀಫಾಲ್ಟ್ ರೂಟ್ ಪ್ಯಾರಾಮೀಟರ್ ನಿರ್ದಿಷ್ಟ ಮೂಲ ವಿಳಾಸದಿಂದ ನಿರ್ದಿಷ್ಟ IP ವಿಳಾಸಕ್ಕೆ ಪಿಂಗ್ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಕಳುಹಿಸುವುದನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಈಥರ್ನೆಟ್1/1 ಇಂಟರ್ಫೇಸ್ ಪ್ರತಿ ಸೆಕೆಂಡಿಗೆ ಒಮ್ಮೆ ಡೀಫಾಲ್ಟ್ ಗೇಟ್ವೇ ಅನ್ನು ಪಿಂಗ್ ಮಾಡುತ್ತದೆ. ಸತತವಾಗಿ ಮೂರು ಪಿಂಗ್ಗಳಿಗೆ ಯಾವುದೇ ಪ್ರತಿಕ್ರಿಯೆ ಇಲ್ಲದಿದ್ದರೆ, ಮಾರ್ಗವು ಮುರಿದುಹೋಗಿದೆ ಎಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ರೂಟಿಂಗ್ ಟೇಬಲ್ನಿಂದ ತೆಗೆದುಹಾಕಲಾಗುತ್ತದೆ. ಅದೇ ಮಾರ್ಗವನ್ನು ಎರಡನೇ ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರ ಕಡೆಗೆ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ, ಆದರೆ ಹೆಚ್ಚಿನ ಮೆಟ್ರಿಕ್ನೊಂದಿಗೆ (ಇದು ಬ್ಯಾಕಪ್ ಆಗಿದೆ). ಟೇಬಲ್ನಿಂದ ಮೊದಲ ಮಾರ್ಗವನ್ನು ತೆಗೆದುಹಾಕಿದ ನಂತರ, ಫೈರ್ವಾಲ್ ಎರಡನೇ ಮಾರ್ಗದ ಮೂಲಕ ಸಂಚಾರವನ್ನು ಕಳುಹಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ - ಫೇಲ್-ಓವರ್. ಮೊದಲ ಪೂರೈಕೆದಾರರು ಪಿಂಗ್ಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಲು ಪ್ರಾರಂಭಿಸಿದಾಗ, ಅದರ ಮಾರ್ಗವು ಟೇಬಲ್ಗೆ ಹಿಂತಿರುಗುತ್ತದೆ ಮತ್ತು ಉತ್ತಮ ಮೆಟ್ರಿಕ್ನಿಂದಾಗಿ ಎರಡನೆಯದನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ - ಫೇಲ್-ಬ್ಯಾಕ್. ಪ್ರಕ್ರಿಯೆ ಫೇಲ್-ಓವರ್ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ ಮಧ್ಯಂತರಗಳನ್ನು ಅವಲಂಬಿಸಿ ಕೆಲವು ಸೆಕೆಂಡುಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ, ಆದರೆ, ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ಪ್ರಕ್ರಿಯೆಯು ತಕ್ಷಣವೇ ಅಲ್ಲ, ಮತ್ತು ಈ ಸಮಯದಲ್ಲಿ ದಟ್ಟಣೆಯು ಕಳೆದುಹೋಗುತ್ತದೆ. ಫೇಲ್-ಬ್ಯಾಕ್ ಸಂಚಾರ ನಷ್ಟವಿಲ್ಲದೆ ಹಾದುಹೋಗುತ್ತದೆ. ಮಾಡಲು ಅವಕಾಶವಿದೆ ಫೇಲ್-ಓವರ್ ವೇಗವಾಗಿ, ಜೊತೆಗೆ ಬಿಎಫ್ಡಿ, ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರು ಅಂತಹ ಅವಕಾಶವನ್ನು ಒದಗಿಸಿದರೆ. ಬಿಎಫ್ಡಿ ಮಾದರಿಯಿಂದ ಪ್ರಾರಂಭಿಸಿ ಬೆಂಬಲಿತವಾಗಿದೆ PA-3000 ಸರಣಿ и ವಿಎಂ -100. ಒದಗಿಸುವವರ ಗೇಟ್ವೇ ಅನ್ನು ಪಿಂಗ್ ವಿಳಾಸದಂತೆ ಸೂಚಿಸುವುದು ಉತ್ತಮ, ಆದರೆ ಸಾರ್ವಜನಿಕ, ಯಾವಾಗಲೂ ಪ್ರವೇಶಿಸಬಹುದಾದ ಇಂಟರ್ನೆಟ್ ವಿಳಾಸ.
• ಸುರಂಗ ಇಂಟರ್ಫೇಸ್ ರಚಿಸಲಾಗುತ್ತಿದೆ
ಸುರಂಗದೊಳಗಿನ ಸಂಚಾರವು ವಿಶೇಷ ವರ್ಚುವಲ್ ಇಂಟರ್ಫೇಸ್ಗಳ ಮೂಲಕ ಹರಡುತ್ತದೆ. ಅವುಗಳಲ್ಲಿ ಪ್ರತಿಯೊಂದನ್ನು ಟ್ರಾನ್ಸಿಟ್ ನೆಟ್ವರ್ಕ್ನಿಂದ IP ವಿಳಾಸದೊಂದಿಗೆ ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕು. ಈ ಉದಾಹರಣೆಯಲ್ಲಿ, ಸಬ್ಸ್ಟೇಷನ್ 1/172.16.1.0 ಅನ್ನು ಸುರಂಗ-30 ಗಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸಬ್ಸ್ಟೇಷನ್ 2/172.16.2.0 ಅನ್ನು ಸುರಂಗ-30 ಗಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.
ಸುರಂಗ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ವಿಭಾಗದಲ್ಲಿ ರಚಿಸಲಾಗಿದೆ ನೆಟ್ವರ್ಕ್ -> ಇಂಟರ್ಫೇಸ್ಗಳು -> ಸುರಂಗ. ನೀವು ವರ್ಚುವಲ್ ರೂಟರ್ ಮತ್ತು ಭದ್ರತಾ ವಲಯವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು, ಜೊತೆಗೆ ಅನುಗುಣವಾದ ಸಾರಿಗೆ ನೆಟ್ವರ್ಕ್ನಿಂದ IP ವಿಳಾಸವನ್ನು ಸೂಚಿಸಬೇಕು. ಇಂಟರ್ಫೇಸ್ ಸಂಖ್ಯೆ ಯಾವುದಾದರೂ ಆಗಿರಬಹುದು.
ವಿಭಾಗದಲ್ಲಿ ಸುಧಾರಿತ ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು ನಿರ್ವಹಣೆ ಪ್ರೊಫೈಲ್ನೀಡಿರುವ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ಪಿಂಗ್ ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ, ಇದು ಪರೀಕ್ಷೆಗೆ ಉಪಯುಕ್ತವಾಗಬಹುದು.
• IKE ಪ್ರೊಫೈಲ್ ಅನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
IKE ಪ್ರೊಫೈಲ್ VPN ಸಂಪರ್ಕವನ್ನು ರಚಿಸುವ ಮೊದಲ ಹಂತಕ್ಕೆ ಕಾರಣವಾಗಿದೆ; ಸುರಂಗ ನಿಯತಾಂಕಗಳನ್ನು ಇಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ IKE ಹಂತ 1. ವಿಭಾಗದಲ್ಲಿ ಪ್ರೊಫೈಲ್ ಅನ್ನು ರಚಿಸಲಾಗಿದೆ ನೆಟ್ವರ್ಕ್ -> ನೆಟ್ವರ್ಕ್ ಪ್ರೊಫೈಲ್ಗಳು -> IKE ಕ್ರಿಪ್ಟೋ. ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್, ಹ್ಯಾಶಿಂಗ್ ಅಲ್ಗಾರಿದಮ್, ಡಿಫಿ-ಹೆಲ್ಮ್ಯಾನ್ ಗುಂಪು ಮತ್ತು ಪ್ರಮುಖ ಜೀವಿತಾವಧಿಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದು ಅವಶ್ಯಕ. ಸಾಮಾನ್ಯವಾಗಿ, ಅಲ್ಗಾರಿದಮ್ಗಳು ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾದಷ್ಟೂ ಕಾರ್ಯಕ್ಷಮತೆ ಕೆಟ್ಟದಾಗಿರುತ್ತದೆ; ನಿರ್ದಿಷ್ಟ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳ ಆಧಾರದ ಮೇಲೆ ಅವುಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಬೇಕು. ಆದಾಗ್ಯೂ, ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಯನ್ನು ರಕ್ಷಿಸಲು 14 ಕ್ಕಿಂತ ಕೆಳಗಿನ ಡಿಫಿ-ಹೆಲ್ಮ್ಯಾನ್ ಗುಂಪನ್ನು ಬಳಸಲು ಕಟ್ಟುನಿಟ್ಟಾಗಿ ಶಿಫಾರಸು ಮಾಡಲಾಗಿಲ್ಲ. ಇದು ಪ್ರೋಟೋಕಾಲ್ನ ದುರ್ಬಲತೆಯಿಂದಾಗಿ, 2048 ಬಿಟ್ಗಳು ಮತ್ತು ಹೆಚ್ಚಿನ ಮಾಡ್ಯೂಲ್ ಗಾತ್ರಗಳನ್ನು ಅಥವಾ 19, 20, 21, 24 ಗುಂಪುಗಳಲ್ಲಿ ಬಳಸಲಾಗುವ ಎಲಿಪ್ಟಿಕ್ ಕ್ರಿಪ್ಟೋಗ್ರಫಿ ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಮಾತ್ರ ತಗ್ಗಿಸಬಹುದು. ಈ ಅಲ್ಗಾರಿದಮ್ಗಳು ಹೋಲಿಸಿದರೆ ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆಯನ್ನು ಹೊಂದಿವೆ. ಸಾಂಪ್ರದಾಯಿಕ ಗುಪ್ತ ಲಿಪಿಶಾಸ್ತ್ರ. ... ಮತ್ತು .
• IPSec ಪ್ರೊಫೈಲ್ ಅನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
VPN ಸಂಪರ್ಕವನ್ನು ರಚಿಸುವ ಎರಡನೇ ಹಂತವು IPSec ಸುರಂಗವಾಗಿದೆ. ಅದಕ್ಕೆ SA ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ ನೆಟ್ವರ್ಕ್ -> ನೆಟ್ವರ್ಕ್ ಪ್ರೊಫೈಲ್ಗಳು -> IPSec ಕ್ರಿಪ್ಟೋ ಪ್ರೊಫೈಲ್. ಇಲ್ಲಿ ನೀವು IPSec ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕಾಗಿದೆ - AH ಅಥವಾ ಇಎಸ್ಪಿ, ಹಾಗೆಯೇ ನಿಯತಾಂಕಗಳು SA - ಹ್ಯಾಶಿಂಗ್ ಅಲ್ಗಾರಿದಮ್ಗಳು, ಎನ್ಕ್ರಿಪ್ಶನ್, ಡಿಫಿ-ಹೆಲ್ಮ್ಯಾನ್ ಗುಂಪುಗಳು ಮತ್ತು ಪ್ರಮುಖ ಜೀವಿತಾವಧಿ. IKE ಕ್ರಿಪ್ಟೋ ಪ್ರೊಫೈಲ್ ಮತ್ತು IPSec ಕ್ರಿಪ್ಟೋ ಪ್ರೊಫೈಲ್ನಲ್ಲಿನ SA ನಿಯತಾಂಕಗಳು ಒಂದೇ ಆಗಿರುವುದಿಲ್ಲ.
• IKE ಗೇಟ್ವೇ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗುತ್ತಿದೆ
IKE ಗೇಟ್ವೇ - ಇದು VPN ಸುರಂಗವನ್ನು ನಿರ್ಮಿಸಿದ ರೂಟರ್ ಅಥವಾ ಫೈರ್ವಾಲ್ ಅನ್ನು ಗೊತ್ತುಪಡಿಸುವ ವಸ್ತುವಾಗಿದೆ. ಪ್ರತಿ ಸುರಂಗಕ್ಕೆ ನೀವು ನಿಮ್ಮದೇ ಆದದನ್ನು ರಚಿಸಬೇಕಾಗಿದೆ IKE ಗೇಟ್ವೇ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಎರಡು ಸುರಂಗಗಳನ್ನು ರಚಿಸಲಾಗಿದೆ, ಪ್ರತಿ ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರ ಮೂಲಕ. ಅನುಗುಣವಾದ ಹೊರಹೋಗುವ ಇಂಟರ್ಫೇಸ್ ಮತ್ತು ಅದರ IP ವಿಳಾಸ, ಪೀರ್ IP ವಿಳಾಸ ಮತ್ತು ಹಂಚಿದ ಕೀಲಿಯನ್ನು ಸೂಚಿಸಲಾಗುತ್ತದೆ. ಹಂಚಿದ ಕೀಗೆ ಪರ್ಯಾಯವಾಗಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಬಹುದು.
ಹಿಂದೆ ರಚಿಸಲಾದ ಒಂದನ್ನು ಇಲ್ಲಿ ಸೂಚಿಸಲಾಗುತ್ತದೆ IKE ಕ್ರಿಪ್ಟೋ ಪ್ರೊಫೈಲ್. ಎರಡನೇ ವಸ್ತುವಿನ ನಿಯತಾಂಕಗಳು IKE ಗೇಟ್ವೇ ಇದೇ ರೀತಿಯ, IP ವಿಳಾಸಗಳನ್ನು ಹೊರತುಪಡಿಸಿ. Palo Alto Networks ಫೈರ್ವಾಲ್ NAT ರೂಟರ್ನ ಹಿಂದೆ ಇದ್ದರೆ, ನೀವು ಯಾಂತ್ರಿಕ ವ್ಯವಸ್ಥೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕಾಗುತ್ತದೆ NAT ಟ್ರಾವರ್ಸಲ್.
• IPSec ಸುರಂಗವನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
IPSec ಸುರಂಗ ಹೆಸರೇ ಸೂಚಿಸುವಂತೆ, IPSec ಸುರಂಗದ ನಿಯತಾಂಕಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಒಂದು ವಸ್ತುವಾಗಿದೆ. ಇಲ್ಲಿ ನೀವು ಸುರಂಗ ಇಂಟರ್ಫೇಸ್ ಮತ್ತು ಹಿಂದೆ ರಚಿಸಿದ ವಸ್ತುಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕಾಗಿದೆ IKE ಗೇಟ್ವೇ, IPSec ಕ್ರಿಪ್ಟೋ ಪ್ರೊಫೈಲ್. ಬ್ಯಾಕಪ್ ಸುರಂಗಕ್ಕೆ ರೂಟಿಂಗ್ ಅನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಬದಲಾಯಿಸುವುದನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು, ನೀವು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕು ಸುರಂಗ ಮಾನಿಟರ್. ಇದು ICMP ಟ್ರಾಫಿಕ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪೀರ್ ಜೀವಂತವಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುವ ಕಾರ್ಯವಿಧಾನವಾಗಿದೆ. ಗಮ್ಯಸ್ಥಾನದ ವಿಳಾಸವಾಗಿ, ಸುರಂಗವನ್ನು ನಿರ್ಮಿಸುತ್ತಿರುವ ಪೀರ್ನ ಸುರಂಗ ಇಂಟರ್ಫೇಸ್ನ IP ವಿಳಾಸವನ್ನು ನೀವು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕಾಗಿದೆ. ಪ್ರೊಫೈಲ್ ಟೈಮರ್ಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ ಮತ್ತು ಸಂಪರ್ಕವು ಕಳೆದುಹೋದರೆ ಏನು ಮಾಡಬೇಕು. ಚೇತರಿಸಿಕೊಳ್ಳಲು ನಿರೀಕ್ಷಿಸಿ - ಸಂಪರ್ಕವನ್ನು ಪುನಃಸ್ಥಾಪಿಸುವವರೆಗೆ ಕಾಯಿರಿ, ಫೇಲ್ ಓವರ್ - ಲಭ್ಯವಿದ್ದರೆ ಬೇರೆ ಮಾರ್ಗದಲ್ಲಿ ಸಂಚಾರವನ್ನು ಕಳುಹಿಸಿ. ಎರಡನೇ ಸುರಂಗವನ್ನು ಹೊಂದಿಸುವುದು ಸಂಪೂರ್ಣವಾಗಿ ಹೋಲುತ್ತದೆ; ಎರಡನೇ ಸುರಂಗ ಇಂಟರ್ಫೇಸ್ ಮತ್ತು IKE ಗೇಟ್ವೇ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ.
• ರೂಟಿಂಗ್ ಅನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
ಈ ಉದಾಹರಣೆಯು ಸ್ಥಿರ ರೂಟಿಂಗ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. PA-1 ಫೈರ್ವಾಲ್ನಲ್ಲಿ, ಎರಡು ಡೀಫಾಲ್ಟ್ ಮಾರ್ಗಗಳ ಜೊತೆಗೆ, ನೀವು ಶಾಖೆಯಲ್ಲಿ 10.10.10.0/24 ಸಬ್ನೆಟ್ಗೆ ಎರಡು ಮಾರ್ಗಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕಾಗಿದೆ. ಒಂದು ಮಾರ್ಗವು ಸುರಂಗ-1, ಇನ್ನೊಂದು ಸುರಂಗ-2 ಅನ್ನು ಬಳಸುತ್ತದೆ. ಕಡಿಮೆ ಮೆಟ್ರಿಕ್ ಹೊಂದಿರುವ ಕಾರಣ ಸುರಂಗ-1 ಮೂಲಕ ಮಾರ್ಗವು ಮುಖ್ಯವಾದುದು. ಯಾಂತ್ರಿಕತೆ ಮಾರ್ಗ ಮಾನಿಟರಿಂಗ್ ಈ ಮಾರ್ಗಗಳಿಗೆ ಬಳಸಲಾಗುವುದಿಲ್ಲ. ಬದಲಾಯಿಸುವ ಜವಾಬ್ದಾರಿ ಸುರಂಗ ಮಾನಿಟರ್.
192.168.30.0/24 ಸಬ್ನೆಟ್ಗಾಗಿ ಅದೇ ಮಾರ್ಗಗಳನ್ನು PA-2 ನಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕು.
• ನೆಟ್ವರ್ಕ್ ನಿಯಮಗಳನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
ಸುರಂಗ ಕೆಲಸ ಮಾಡಲು, ಮೂರು ನಿಯಮಗಳು ಅಗತ್ಯವಿದೆ:
- ಕೆಲಸ ಮಾಡಲು ಮಾರ್ಗ ಮಾನಿಟರ್ ಬಾಹ್ಯ ಇಂಟರ್ಫೇಸ್ಗಳಲ್ಲಿ ICMP ಅನ್ನು ಅನುಮತಿಸಿ.
- ಗೆ ಐಪಿಎಸ್ಸೆಕ್ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಅನುಮತಿಸಿ IKE и ipsec ಬಾಹ್ಯ ಇಂಟರ್ಫೇಸ್ಗಳಲ್ಲಿ.
- ಆಂತರಿಕ ಸಬ್ನೆಟ್ಗಳು ಮತ್ತು ಸುರಂಗ ಇಂಟರ್ಫೇಸ್ಗಳ ನಡುವೆ ಸಂಚಾರವನ್ನು ಅನುಮತಿಸಿ.
ತೀರ್ಮಾನಕ್ಕೆ
ಈ ಲೇಖನವು ದೋಷ-ಸಹಿಷ್ಣು ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕವನ್ನು ಹೊಂದಿಸುವ ಆಯ್ಕೆಯನ್ನು ಚರ್ಚಿಸುತ್ತದೆ ಮತ್ತು ಸೈಟ್ನಿಂದ ಸೈಟ್ ವಿಪಿಎನ್. ಮಾಹಿತಿಯು ಉಪಯುಕ್ತವಾಗಿದೆ ಮತ್ತು ಓದುಗರು ಬಳಸಿದ ತಂತ್ರಜ್ಞಾನಗಳ ಕಲ್ಪನೆಯನ್ನು ಪಡೆದರು ಎಂದು ನಾವು ಭಾವಿಸುತ್ತೇವೆ ಪಾಲೋ ಆಲ್ಟೊ ನೆಟ್ವರ್ಕ್ಸ್. ಭವಿಷ್ಯದ ಲೇಖನಗಳಿಗೆ ವಿಷಯಗಳ ಕುರಿತು ಸೆಟಪ್ ಮತ್ತು ಸಲಹೆಗಳ ಕುರಿತು ನೀವು ಪ್ರಶ್ನೆಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ಅವುಗಳನ್ನು ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ಬರೆಯಿರಿ, ನಾವು ಉತ್ತರಿಸಲು ಸಂತೋಷಪಡುತ್ತೇವೆ.
ಮೂಲ: www.habr.com