Palo Alto Networks 장비에 IPSec Site-to-Site VPN 설정

이 글은 계속됩니다 이전 자료장비 설정의 세부 사항에 전념 팔로 알토 네트웍스 . 여기서는 설정에 대해 이야기하고 싶습니다. IPSec 사이트 간 VPN 장비에 팔로 알토 네트웍스 여러 인터넷 공급자를 연결하는 데 가능한 구성 옵션에 대해 설명합니다.

시연을 위해 본사와 지점을 연결하는 표준 방식이 사용됩니다. 내결함성 인터넷 연결을 제공하기 위해 본사에서는 ISP-1과 ISP-2라는 두 공급자의 동시 연결을 사용합니다. 지점은 ISP-3라는 단 하나의 공급자에만 연결되어 있습니다. 방화벽 PA-1과 PA-2 사이에 XNUMX개의 터널이 구축됩니다. 터널은 모드에서 작동 액티브-스탠바이,Tunnel-1이 활성 상태이고 Tunnel-2이 실패하면 Tunnel-1가 트래픽 전송을 시작합니다. Tunnel-1은 ISP-1에 대한 연결을 사용하고, Tunnel-2는 ISP-2에 대한 연결을 사용합니다. 모든 IP 주소는 데모 목적으로 무작위로 생성되며 실제와는 아무런 관련이 없습니다.

Site-to-Site VPN을 구축하는 데 사용됩니다. IPSec을 — IP를 통해 전송되는 데이터의 보호를 보장하는 프로토콜 세트입니다. IPSec을 보안 프로토콜을 사용하여 작동합니다 ESP (보안 페이로드 캡슐화)는 전송된 데이터의 암호화를 보장합니다.

В IPSec을 들어가다 IKE (인터넷 키 교환)은 전송된 데이터를 보호하는 데 사용되는 보안 매개변수인 SA(보안 연결) 협상을 담당하는 프로토콜입니다. PAN 방화벽 지원 IKEv1 и IKEv2.

В IKEv1 VPN 연결은 두 단계로 구축됩니다. IKEv1 1단계 (IKE 터널) 및 IKEv1 2단계 (IPSec 터널)에 따라 두 개의 터널이 생성되는데, 그 중 하나는 방화벽 간의 서비스 정보 교환에 사용되고 두 번째는 트래픽 전송에 사용됩니다. 안에 IKEv1 1단계 기본 모드와 공격적 모드의 두 가지 작동 모드가 있습니다. 공격적 모드는 더 적은 수의 메시지를 사용하고 더 빠르지만 피어 ID 보호를 지원하지 않습니다.

IKEv2 교체하러 왔습니다 IKEv1, 그리고 비교 IKEv1 주요 장점은 대역폭 요구 사항이 낮고 SA 협상이 더 빠르다는 것입니다. 안에 IKEv2 더 적은 수의 서비스 메시지가 사용되며(총 4개) EAP 및 MOBIKE 프로토콜이 지원되며 터널이 생성되는 피어의 가용성을 확인하는 메커니즘이 추가되었습니다. 활동성 확인, IKEv1에서 데드 피어 감지를 대체합니다. 검사에 실패하면 IKEv2 터널을 재설정한 다음 기회가 있을 때 자동으로 복원할 수 있습니다. 차이점에 대해 자세히 알아볼 수 있습니다. 여기를 읽으십시오..

서로 다른 제조업체의 방화벽 사이에 터널을 구축하면 구현에 버그가 있을 수 있습니다. IKEv2, 이러한 장비와의 호환성을 위해 다음을 사용할 수 있습니다. IKEv1. 다른 경우에는 다음을 사용하는 것이 좋습니다. IKEv2.

설정 단계:

• ActiveStandby 모드에서 두 개의 인터넷 공급자 구성

이 기능을 구현하는 방법에는 여러 가지가 있습니다. 그 중 하나는 메커니즘을 사용하는 것입니다. 경로 모니터링, 버전부터 사용할 수 있게 되었습니다. 팬OS 8.0.0. 이 예에서는 버전 8.0.16을 사용합니다. 이 기능은 Cisco 라우터의 IP SLA와 유사합니다. 정적 기본 경로 매개변수는 특정 소스 주소에서 특정 IP 주소로 ping 패킷을 보내도록 구성합니다. 이 경우 ethernet1/1 인터페이스는 초당 한 번씩 기본 게이트웨이를 ping합니다. 세 번 연속으로 ping을 보내도 응답이 없으면 경로가 손상된 것으로 간주되어 라우팅 테이블에서 제거됩니다. 동일한 경로가 두 번째 인터넷 제공자를 향해 구성되지만 더 높은 메트릭을 사용합니다(백업 경로임). 첫 번째 경로가 테이블에서 제거되면 방화벽은 두 번째 경로를 통해 트래픽을 보내기 시작합니다. 장애 조치. 첫 번째 공급자가 핑에 응답하기 시작하면 해당 경로가 테이블로 돌아가고 더 나은 메트릭으로 인해 두 번째 공급자를 대체합니다. 장애 복구. 프로세스 장애 조치 구성된 간격에 따라 몇 초 정도 걸리지만 어떤 경우에도 프로세스는 즉각적이지 않으며 이 시간 동안 트래픽이 손실됩니다. 장애 복구 트래픽 손실 없이 통과됩니다. 할 수 있는 기회가 있습니다 장애 조치 더 빠르게, 함께 BFD, 인터넷 제공업체가 그러한 기회를 제공하는 경우. BFD 모델부터 지원됨 PA-3000 시리즈 и VM-100. 공급자의 게이트웨이를 핑 주소로 지정하는 것이 아니라 항상 액세스할 수 있는 공개 인터넷 주소를 지정하는 것이 좋습니다.

• 터널 인터페이스 생성

터널 내부의 트래픽은 특수한 가상 인터페이스를 통해 전송됩니다. 각각은 전송 네트워크의 IP 주소로 구성되어야 합니다. 이 예에서는 변전소 1/172.16.1.0이 Tunnel-30에 사용되고 변전소 2/172.16.2.0이 Tunnel-30에 사용됩니다.
터널 인터페이스는 섹션에서 생성됩니다. 네트워크 -> 인터페이스 -> 터널. 가상 라우터와 보안 영역은 물론 해당 전송 네트워크의 IP 주소도 지정해야 합니다. 인터페이스 번호는 무엇이든 될 수 있습니다.

섹션에서 Advnaced 지정할 수 있습니다 관리 프로필이는 주어진 인터페이스에서 ping을 허용하므로 테스트에 유용할 수 있습니다.

• IKE 프로필 설정

IKE 프로필 VPN 연결 생성의 첫 번째 단계를 담당하며 터널 매개변수는 여기에서 지정됩니다. IKE 1단계. 섹션에 프로필이 생성됩니다. 네트워크 -> 네트워크 프로필 -> IKE 암호화. 암호화 알고리즘, 해싱 알고리즘, Diffie-Hellman 그룹 및 키 수명을 지정해야 합니다. 일반적으로 알고리즘이 복잡할수록 성능은 저하되므로 특정 보안 요구 사항에 따라 선택해야 합니다. 그러나 민감한 정보를 보호하기 위해 14 미만의 Diffie-Hellman 그룹을 사용하는 것은 엄격히 권장되지 않습니다. 이는 2048비트 이상의 모듈 크기나 그룹 19, 20, 21, 24에서 사용되는 타원 암호화 알고리즘을 통해서만 완화될 수 있는 프로토콜의 취약성 때문입니다. 이러한 알고리즘은 다른 알고리즘에 비해 성능이 뛰어납니다. 전통적인 암호화. 자세한 내용은 여기를 참조하십시오.. 그리고 여기에.

• IPSec 프로필 설정

VPN 연결을 만드는 두 번째 단계는 IPSec 터널입니다. 이에 대한 SA 매개변수는 다음에서 구성됩니다. 네트워크 -> 네트워크 프로필 -> IPSec 암호화 프로필. 여기에서 IPSec 프로토콜을 지정해야 합니다. AH 또는 ESP및 매개변수 SA — 해싱 알고리즘, 암호화, Diffie-Hellman 그룹 및 키 수명. IKE 암호화 프로필과 IPSec 암호화 프로필의 SA 매개변수는 동일하지 않을 수 있습니다.

• IKE 게이트웨이 구성

IKE 게이트웨이 - VPN 터널이 구축되는 라우터나 방화벽을 지정하는 객체이다. 각 터널마다 자신만의 터널을 만들어야 합니다. IKE 게이트웨이. 이 경우 각 인터넷 공급자를 통해 하나씩 두 개의 터널이 생성됩니다. 해당 발신 인터페이스와 해당 IP 주소, 피어 IP 주소 및 공유 키가 표시됩니다. 인증서는 공유 키 대신 사용할 수 있습니다.

이전에 생성된 것이 여기에 표시됩니다. IKE 암호화 프로필. 두 번째 객체의 매개변수 IKE 게이트웨이 IP 주소를 제외하고는 유사합니다. Palo Alto Networks 방화벽이 NAT 라우터 뒤에 있는 경우 해당 메커니즘을 활성화해야 합니다. NAT 순회.

• IPSec 터널 설정

IPSec 터널 이름에서 알 수 있듯이 IPSec 터널 매개변수를 지정하는 개체입니다. 여기에서는 터널 인터페이스와 이전에 생성된 개체를 지정해야 합니다. IKE 게이트웨이, IPSec 암호화 프로필. 백업 터널로의 라우팅 자동 전환을 보장하려면 다음을 활성화해야 합니다. 터널 모니터. ICMP 트래픽을 이용하여 피어가 살아 있는지 확인하는 메커니즘입니다. 대상 주소로는 터널이 구축되는 피어의 터널 인터페이스 IP 주소를 지정해야 합니다. 프로필은 타이머와 연결이 끊어진 경우 수행할 작업을 지정합니다. 복구 대기 – 연결이 복원될 때까지 기다리십시오. 장애 조치 — 가능한 경우 다른 경로를 따라 트래픽을 보냅니다. 두 번째 터널 설정은 완전히 유사하며 두 번째 터널 인터페이스와 IKE 게이트웨이가 지정됩니다.

• 라우팅 설정

이 예에서는 정적 라우팅을 사용합니다. PA-1 방화벽에서는 두 개의 기본 경로 외에도 분기의 10.10.10.0/24 서브넷에 대한 두 개의 경로를 지정해야 합니다. 한 경로는 Tunnel-1을 사용하고 다른 경로는 Tunnel-2를 사용합니다. Tunnel-1을 통과하는 경로는 미터법이 더 낮기 때문에 주요 경로입니다. 기구 경로 모니터링 이 경로에는 사용되지 않습니다. 전환을 담당합니다. 터널 모니터.

서브넷 192.168.30.0/24에 대한 동일한 경로를 PA-2에서 구성해야 합니다.

• 네트워크 규칙 설정

터널이 작동하려면 세 가지 규칙이 필요합니다.

1. 일을 위해서 경로 모니터 외부 인터페이스에서 ICMP를 허용합니다.
2. 에 IPSec을 앱 허용 이케 и IPSEC 외부 인터페이스에서.
3. 내부 서브넷과 터널 인터페이스 간의 트래픽을 허용합니다.

결론

이 문서에서는 내결함성 인터넷 연결을 설정하는 옵션에 대해 설명하고 사이트 간 VPN. 정보가 유용했고 독자가 사용된 기술에 대한 아이디어를 얻었기를 바랍니다. 팔로 알토 네트웍스. 향후 기사의 주제에 대한 설정 및 제안에 대한 질문이 있는 경우 댓글에 적어주시면 기꺼이 답변해 드리겠습니다.

출처 : habr.com