Ev gotar berdewamiyek e ji bo taybetmendiyên sazkirina amûran ve girêdayî ye Networkên Palo Alto . Li vir em dixwazin li ser sazkirinê biaxivin IPSec Malper-to-Malper VPN li ser alavên Networkên Palo Alto û li ser vebijarkek vesazkirinê ya gengaz ji bo girêdana çend pêşkêşkerên Înternetê.
Ji bo xwenîşandanê, dê nexşeyek standard ji bo girêdana ofîsa sereke bi şaxê re were bikar anîn. Ji bo peydakirina pêwendiyek Internetnternetê ya bi xeletî peyda bike, nivîsgeha sereke pêwendiyek hevdem a du pêşkêşvanan bikar tîne: ISP-1 û ISP-2. Şax bi tenê yek pêşkêşker, ISP-3 ve têkiliyek heye. Di navbera dîwarên PA-1 û PA-2 de du tunel têne çêkirin. Tunel di modê de dixebitin Active-Standby,Tunnel-1 çalak e, Tunnel-2 dê dest bi veguheztina trafîkê bike dema Tunnel-1 têk biçe. Tunnel-1 pêwendiyek bi ISP-1-ê re bikar tîne, Tunnel-2 pêwendiyek bi ISP-2-ê re bikar tîne. Hemî navnîşanên IP-ê ji bo mebestên xwenîşandanê bi korfelaqî têne çêkirin û ti têkiliya wan bi rastiyê re tune.
Ji bo avakirina Site-to-Site VPN dê were bikar anîn IPsec - komek protokol ji bo misogerkirina parastina daneyên ku bi IP-ê ve hatî veguheztin. IPsec dê bi karanîna protokola ewlehiyê bixebite ESP (Encapsulating Ewlekariya Payload), ku dê şîfrekirina daneyên hatine veguheztin misoger bike.
В IPsec bikeve IKE (Kevguhertina Mifteya Înternetê) protokolek e ku berpirsiyarê danûstendina SA (hevalên ewlehiyê), pîvanên ewlehiyê ye ku ji bo parastina daneyên hatine şandin têne bikar anîn. Piştgiriya dîwarên PAN-ê IKEv1 и IKEv2.
В IKEv1 Têkiliyek VPN di du qonaxan de tête çêkirin: IKEv1 Qonaxa 1 (Tunela IKE) û IKEv1 Qonaxa 2 (Tunela IPSec), bi vî rengî, du tunel têne afirandin, yek ji wan ji bo pevguhertina agahdariya karûbarê di navbera dîwarên agir de, ya duyemîn jî ji bo veguheztina trafîkê tê bikar anîn. LI IKEv1 Qonaxa 1 Du awayên xebitandinê hene - moda sereke û moda êrîşkar. Moda Aggressive kêmtir peyaman bikar tîne û zûtir e, lê Parastina Nasnameya Peer piştgirî nake.
IKEv2 veguherandin IKEv1, û li gorî IKEv1 avantaja wê ya sereke daxwazên bandwidth kêmtir û danûstandina SA zûtir e. LI IKEv2 Kêmtir peyamên karûbarê têne bikar anîn (bi tevahî 4), protokolên EAP û MOBIKE têne piştgirî kirin, û mekanîzmayek hate zêdekirin da ku hebûna hevalê ku tunel pê re hatî çêkirin kontrol bike - Liveness Check, di IKEv1 de şûna Dead Peer Detection. Ger kontrol bi ser nekeve, wê demê IKEv2 dikare tunelê ji nû ve saz bike û dûv re di fersenda yekem de bixweber vegerîne. Hûn dikarin di derbarê cûdahiyan de bêtir fêr bibin .
Ger tunelek di navbera dîwarên agir ên ji hilberînerên cihêreng de were çêkirin, wê hingê dibe ku di pêkanînê de xeletî hebin IKEv2, û ji bo lihevhatina bi alavên weha re gengaz e ku were bikar anîn IKEv1. Di rewşên din de çêtir e ku meriv bikar bîne IKEv2.
Gavên sazkirinê:
• Veavakirina du pêşkêşkerên Înternetê di moda ActiveStandby de
Gelek awayên pêkanîna vê fonksiyonê hene. Yek ji wan jî bikaranîna mekanîzmayê ye Şopandina Rê, ku ji versiyonê dest pê kir peyda bû PAN-OS 8.0.0. Ev nimûne guhertoya 8.0.16 bikar tîne. Ev taybetmendî di rêgezên Cisco de mîna IP SLA ye. Parametreya rêça xwerû ya statîk şandina pakêtên ping ji navnîşanek IP-ya taybetî ji navnîşanek çavkaniyek taybetî mîheng dike. Di vê rewşê de, pêwendiya ethernet1/1 her çirkeyek carekê deriyê xwerû ping dike. Ger bersivek ji sê pingên li pey hev re nebe, rê şikestî tê hesibandin û ji tabloya rêwîtiyê tê derxistin. Heman rê ber bi pêşkêşvanê Înternetê yê duyemîn ve hatî mîheng kirin, lê bi metrikek bilindtir (ew paşvekêşek e). Dema ku riya yekem ji tabloyê were rakirin, dîwarê agir dê dest bi şandina trafîkê bi riya duyemîn - bike Fail-Over. Gava ku pêşkêşkarê yekem dest bi bersivdana pingan dike, riya wê dê vegere ser sifrê û ji ber metrîka çêtir ya duyemîn biguhezîne - Fail-Back. Doz Fail-Over Li gorî navberên mîhengkirî çend saniyeyan digire, lê, di her rewşê de, pêvajo ne tavilê ye, û di vê demê de seyrûsefer winda dibe. Fail-Back bêyî windakirina trafîkê derbas dibe. Derfetek ji bo kirin heye Fail-Over leztir, bi B.F.D., heke pêşkêşkarê Înternetê derfetek weha peyda bike. B.F.D. destek ji modelê dest pê dike PA-3000 Series и VM-100. Çêtir e ku hûn ne deriyê pêşkêşkerê wekî navnîşana ping, lê navnîşek Internetnternetê ya gelemperî, her gav gihîştî diyar bikin.
• Çêkirina navrûya tunelê
Trafîka di hundurê tunelê de bi navgînên virtual yên taybetî ve tê veguheztin. Pêdivî ye ku her yek ji wan bi navnîşana IP-ya ji tora veguhastinê were mîheng kirin. Di vê nimûneyê de, îstasyona 1/172.16.1.0 dê ji bo Tunnel-30, û binstasyona 2/172.16.2.0 ji bo Tunnel-30 were bikar anîn.
Têkiliya tunelê di beşê de tête çêkirin Tor -> Navber -> Tunel. Pêdivî ye ku hûn routerek virtual û herêmek ewlehiyê, û her weha navnîşek IP-ya ji tora veguhastinê ya têkildar diyar bikin. Hejmara navberê dikare her tişt be.
beşa Pêşveçû dikare were diyar kirin Profîla Rêveberiyêku dê destûrê bide ping-ê li ser navbeynkariya diyarkirî, ev dibe ku ji bo ceribandinê bikêr be.
• Sazkirina Profîla IKE
Profîla IKE berpirsiyariya qonaxa yekem a afirandina pêwendiyek VPN ye; Parametreyên tunelê li vir têne destnîşan kirin IKE Qonaxa 1. Profîl di beşê de tête çêkirin Tor -> Profîlên Torê -> IKE Crypto. Pêdivî ye ku algorîtmaya şîfrekirinê, algorîtmaya haşkirinê, koma Diffie-Hellman û jiyana mifteyê were destnîşankirin. Bi gelemperî, algorîtmayên tevlihevtir, performansa xirabtir e; divê ew li gorî hewcedariyên ewlehiyê yên taybetî bêne hilbijartin. Lêbelê, bi tundî nayê pêşniyar kirin ku hûn komek Diffie-Hellman li jêr 14-an bikar bînin da ku agahdariya hesas biparêzin. Ev ji ber lawaziya protokolê ye, ku tenê bi karanîna pîvanên modulên 2048 bit û bilindtir, an algorîtmayên krîptografiya elîptîk, ku di komên 19, 20, 21, 24 de têne bikar anîn, dikare were kêm kirin. Van algorîtmayan li gorî cryptography kevneşop. . û .
• Sazkirina Profîla IPSec
Qonaxa duyemîn a afirandina girêdanek VPN tunelek IPSec e. Parametreyên SA ji bo wê di nav de têne mîheng kirin Tor -> Profîlên Torê -> Profîla Crypto IPSec. Li vir hûn hewce ne ku protokola IPSec-ê diyar bikin - AH Ð »DD о ± ESP, û her weha parametre SA - algorîtmayên haşkirinê, şîfrekirin, komên Diffie-Hellman û jiyana key. Dibe ku parametreyên SA-yê di Profîla IKE Crypto û Profîla IPSec Crypto ne yek bin.
• Veavakirina IKE Gateway
IKE Gateway - ev hêmanek e ku rêwerek an dîwarek dîwarê ku pê re tunelek VPN hatî çêkirin destnîşan dike. Ji bo her tunelê hûn hewce ne ku xweya xwe biafirînin IKE Gateway. Di vê rewşê de, du tunel têne çêkirin, yek bi rêya her pêşkêşvanê Înternetê. Têkiliya derketinê ya têkildar û navnîşana IP-ya wê, navnîşana IP-ya peer, û mifteya hevpar têne destnîşan kirin. Sertîfîka dikare wekî alternatîfek ji mifteyek hevpar re were bikar anîn.
Ya ku berê hatî afirandin li vir tê destnîşan kirin Profîla Crypto IKE. Parametreyên tiştê duyemîn IKE Gateway wekhev, ji bilî navnîşanên IP-ê. Ger dîwarê dîwarê Palo Alto Networks li pişt routerek NAT-ê ye, wê hingê hûn hewce ne ku mekanîzmayê çalak bikin. NAT Traversal.
• Sazkirina IPSec Tunnel
IPSec Tunnel Tiştek e ku wekî ku nav diyar dike, pîvanên tunelê IPSec diyar dike. Li vir hûn hewce ne ku pêwendiya tunelê û tiştên berê hatine afirandin diyar bikin IKE Gateway, Profîla Crypto IPSec. Ji bo ku hûn guheztina otomatîkî ya rêvekirinê berbi tunela hilanînê ve piştrast bikin, divê hûn çalak bikin Çavdêriya Tunêlê. Ev mekanîzmayek e ku kontrol dike ka hevalek bi karanîna seyrûsefera ICMP sax e. Wekî navnîşana meqsedê, hûn hewce ne ku navnîşana IP-ya navgîniya tunelê ya peer ku tunel pê tê çêkirin diyar bikin. Profîl demjimêran diyar dike û heke girêdan winda bibe dê çi bikin. Bisekine Recover - li bendê bimînin heya ku pêwendiya nû vegere, Fail Over - ger hebe, trafîkê bi rêyek cûda bişînin. Sazkirina tunela duyemîn bi tevahî dişibihe; pêwendiya tunela duyemîn û IKE Gateway têne destnîşan kirin.
• Sazkirina rêgezê
Ev nimûne rêgeza statîk bikar tîne. Li ser dîwarê dîwarê PA-1, ji bilî du rêgezên xwerû, hûn hewce ne ku di şaxê de du rêgezên bineneta 10.10.10.0/24 diyar bikin. Rêyek Tunnel-1, ya din Tunnel-2 bikar tîne. Rêya ku di nav Tunel-1 re derbas dibe ya sereke ye ji ber ku metrîka wê ya jêrîn heye. Mekanîk Şopandina Rê ji bo van rêyan nayên bikaranîn. Berpirsiyar ji bo guhertinê Çavdêriya Tunêlê.
Heman rêyên ji bo subnet 192.168.30.0/24 hewce ne ku li ser PA-2 werin mîheng kirin.
• Sazkirina qaîdeyên torê
Ji bo ku tunel bixebite, sê rêbaz hewce ne:
- Kar bikin Path Monitor Destûrê bide ICMP li ser navgînên derveyî.
- bo IPsec destûr apps ike и ipsec li ser pêwendiyên derveyî.
- Destûrê bide seyrûsefera di navbera jêrtorên hundurîn û navgînên tunelê de.
encamê
Ev gotar li ser vebijarka sazkirina pêwendiyek Internetnternetê ya tolerans û xeletî nîqaş dike VPN Malper-Malper. Em hêvî dikin ku agahdarî kêrhatî bû û xwendevan li ser teknolojiyên ku tê de têne bikar anîn ramanek bi dest xist Networkên Palo Alto. Ger pirsên we li ser sazkirin û pêşniyarên li ser mijarên gotarên pêşerojê hebin, wan di şîroveyan de binivîsin, em ê kêfxweş bibin ku bersiv bidin.
Source: www.habr.com