Бул макала уландысы болуп саналат жабдууларды орнотуунун өзгөчөлүгүнө арналган Palo Alto Networks . Бул жерде биз орнотуу жөнүндө сүйлөшкүбүз келет IPSec Сайттан Сайтка VPN жабдуулар боюнча Palo Alto Networks жана бир нече Интернет провайдерлерин туташтыруу үчүн мүмкүн болгон конфигурация опциясы жөнүндө.
Демонстрация үчүн башкы кеңсени филиалга кошуунун типтүү схемасы колдонулат. Мүчүлүштүктөргө чыдамдуу интернет байланышын камсыз кылуу үчүн башкы кеңсе бир убакта эки провайдердин: ISP-1 жана ISP-2 байланышын колдонот. Филиал бир гана провайдер менен, ISP-3 менен байланышы бар. PA-1 жана PA-2 брандмауэрлеринин ортосунда эки туннель курулган. Туннелдер режимде иштейт Active-Standby,Туннель-1 активдүү, Туннель-2 иштебей калганда трафик өткөрө баштайт. Туннель-1 ISP-1 менен байланышты колдонот, Туннель-1 ISP-2 менен байланышты колдонот. Бардык IP даректер демонстрациялоо максатында туш келди түзүлөт жана чындыкка эч кандай тиешеси жок.
Сайттан Сайтка VPN куруу үчүн колдонулат IPSec — IP аркылуу берилүүчү маалыматтарды коргоону камсыз кылуучу протоколдордун жыйындысы. IPSec коопсуздук протоколун колдонуу менен иштейт ESP (Инкапсуляциялоочу коопсуздук жүк), бул өткөрүлүп берилүүчү маалыматтарды шифрлөөнү камсыз кылат.
В IPSec камтыйт ике (Интернет ачкыч алмашуу) SA (коопсуздук бирикмелери) сүйлөшүүлөрү үчүн жооптуу протокол, өткөрүлүп берилүүчү маалыматтарды коргоо үчүн колдонулат коопсуздук параметрлери. PAN брандмауэрлерин колдоо IKEv1 и IKEv2.
В IKEv1 VPN байланышы эки этапта курулат: IKEv1 1-фаза (IKE туннели) жана IKEv1 2-фаза (IPSec туннели), ошентип, эки туннель түзүлөт, алардын бири брандмауэрлердин ортосунда кызматтык маалымат алмашуу үчүн, экинчиси трафикти өткөрүү үчүн колдонулат. IN IKEv1 1-фаза Эки иштөө режими бар - негизги режим жана агрессивдүү режим. Агрессивдүү режим азыраак билдирүүлөрдү колдонот жана ылдамыраак, бирок Peer Identity Protection колдоого алынбайт.
IKEv2 алмаштырылды IKEv1, жана салыштырганда IKEv1 анын негизги артыкчылыгы - өткөрүү жөндөмдүүлүгүнүн төмөн талаптары жана тезирээк SA сүйлөшүүлөрү. IN IKEv2 Кызмат билдирүүлөрү азыраак колдонулат (жалпысынан 4), EAP жана MOBIKE протоколдору колдоого алынат жана туннель түзүлгөн теңдештин бар экендигин текшерүү үчүн механизм кошулду - Жашоону текшерүү, IKEv1деги Dead Peer Detection функциясын алмаштыруу. Эгер текшерүү ийгиликсиз болсо, анда IKEv2 туннелди баштапкы абалга келтирип, анан биринчи мүмкүнчүлүктө автоматтык түрдө калыбына келтире алат. Сиз айырмачылыктар жөнүндө көбүрөөк биле алабыз .
Ар кандай өндүрүүчүлөрдүн брандмауэрлеринин ортосунда туннель курулса, анда ишке ашырууда мүчүлүштүктөр болушу мүмкүн IKEv2, жана мындай жабдуулар менен шайкештиги үчүн аны колдонууга болот IKEv1. Башка учурларда аны колдонуу жакшы IKEv2.
Орнотуу кадамдары:
• ActiveStandby режиминде эки Интернет провайдерлерин конфигурациялоо
Бул функцияны ишке ашыруунун бир нече жолу бар. Алардын бири механизмди колдонуу Жол мониторингиверсиясынан баштап жеткиликтүү болуп калды PAN-OS 8.0.0. Бул мисал 8.0.16 версиясын колдонот. Бул функция Cisco роутерлеринде IP SLAга окшош. Статикалык демейки маршрут параметри пинг пакеттерин белгилүү бир булак дарегинен белгилүү IP дарекке жөнөтүүнү конфигурациялайт. Бул учурда, ethernet1/1 интерфейси демейки шлюзду секундасына бир жолу пинглейт. Катары менен үч пингге жооп болбосо, маршрут бузулган деп эсептелет жана маршруттук таблицадан алынып салынат. Ошол эле маршрут экинчи Интернет провайдерине конфигурацияланган, бирок көрсөткүчү жогору (ал резервдик). Биринчи маршрут таблицадан алынып салынгандан кийин, брандмауэр экинчи маршрут аркылуу трафикти жөнөтө баштайт Fail-over. Биринчи провайдер пингдерге жооп бере баштаганда, анын маршруту таблицага кайтып келип, жакшыраак метрикадан улам экинчисин алмаштырат - Fail-Back. Процесс Fail-over конфигурацияланган интервалдарга жараша бир нече секунд талап кылынат, бирок, кандай болгон күндө да, процесс бир заматта болбойт жана бул убакыттын ичинде трафик жоголот. Fail-Back кыймылын жоготпой өтөт. жасоого мумкунчулук бар Fail-over менен тезирээк Bfd, Интернет-провайдер ушундай мүмкүнчүлүк берсе. Bfd моделинен баштап колдоого алынат PA-3000 сериясы и VM-100. Пинг дареги катары провайдердин шлюзун эмес, жалпыга ачык, ар дайым жеткиликтүү Интернет дарегин көрсөтүңүз.
• Туннелдин интерфейсин түзүү
Туннелдин ичиндеги трафик атайын виртуалдык интерфейстер аркылуу өткөрүлөт. Алардын ар бири транзиттик тармактын IP дареги менен конфигурацияланышы керек. Бул мисалда Туннель-1 үчүн 172.16.1.0/30 көмөкчордону, ал эми Туннель-2 үчүн 172.16.2.0/30 көмөкчордону колдонулат.
Бөлүмдө туннелдин интерфейси түзүлгөн Тармак -> Интерфейстер -> Туннел. Сиз виртуалдык роутерди жана коопсуздук зонасын, ошондой эле тиешелүү транспорт тармагынан IP дарегин көрсөтүшүңүз керек. Interface номери каалаган нерсе болушу мүмкүн.
Бөлүмүндө алдынкы көрсөтүүгө болот Башкаруу профилиберилген интерфейсте пинг жүргүзүүгө мүмкүндүк берет, бул тестирлөө үчүн пайдалуу болушу мүмкүн.
• IKE профилин орнотуу
IKE профили VPN туташуусун түзүүнүн биринчи этабына жооптуу; туннелдин параметрлери бул жерде көрсөтүлгөн IKE 1 фазасы. Профиль бөлүмдө түзүлөт Тармак -> Тармак профилдери -> IKE Crypto. Шифрлөө алгоритмин, хэширлөө алгоритмин, Диффи-Хеллман тобун жана ачкычтын иштөө мөөнөтүн көрсөтүү зарыл. Жалпысынан алганда, алгоритмдер канчалык татаал болсо, натыйжалуулугу ошончолук начар, алар атайын коопсуздук талаптарынын негизинде тандалышы керек. Бирок, купуя маалыматты коргоо үчүн 14 жаштан төмөн Диффи-Хеллман тобун колдонуу сунушталбайт. Бул 2048 бит жана андан жогору модулдун өлчөмдөрүн же 19, 20, 21, 24-топтордо колдонулган эллиптикалык криптографиялык алгоритмдерди колдонуу менен гана жумшартылышы мүмкүн болгон протоколдун аялуулугуна байланыштуу. салттуу криптография. . жана .
• IPSec профилин орнотуу
VPN байланышын түзүүнүн экинчи этабы - IPSec туннели. Анын SA параметрлери конфигурацияланган Тармак -> Тармак профилдери -> IPSec крипто профили. Бул жерде сиз IPSec протоколун көрсөтүшүңүз керек - AH же ESP, ошондой эле параметрлер SA — хэширлөө алгоритмдери, шифрлөө, Диффи-Хеллман топтору жана ачкычтын иштөө мөөнөтү. IKE крипто профилиндеги жана IPSec крипто профилиндеги SA параметрлери бирдей болбошу мүмкүн.
• IKE Gateway конфигурацияланууда
IKE Gateway - бул VPN туннели курулган роутерди же брандмауэрди белгилеген объект. Ар бир туннель үчүн сиз өзүңүздүнүңүздү түзүшүңүз керек IKE Gateway. Бул учурда, ар бир интернет-провайдер аркылуу эки туннель түзүлөт. Тиешелүү чыгуучу интерфейс жана анын IP дареги, теңдүү IP дареги жана жалпы ачкыч көрсөтүлөт. Сертификаттар жалпы ачкычка альтернатива катары колдонулушу мүмкүн.
Мурда түзүлгөн бул жерде көрсөтүлгөн IKE крипто профили. Экинчи объекттин параметрлери IKE Gateway окшош, IP даректерди кошпогондо. Palo Alto Networks брандмауэр NAT роутердин артында жайгашкан болсо, анда механизмди иштетүү керек NAT Traversal.
• IPSec туннелин орнотуу
IPSec туннели аты айтып тургандай, IPSec туннелинин параметрлерин белгилеген объект. Бул жерде сиз туннелдин интерфейсин жана мурда түзүлгөн объекттерди көрсөтүшүңүз керек IKE Gateway, IPSec крипто профили. Маршруттун резервдик туннелге автоматтык түрдө которулушун камсыз кылуу үчүн сиз иштетишиңиз керек Tunnel Monitor. Бул ICMP трафигин колдонуп, теңтуштун тирүү экенин текшерген механизм. Көздөгөн дарек катары сиз туннель курулуп жаткан теңдештин туннел интерфейсинин IP дарегин көрсөтүшүңүз керек. Профиль байланыш үзүлгөндө таймерлерди жана аракеттерди көрсөтөт. Калыбына келтирүүнү күтүңүз – байланыш калыбына келгенге чейин күтө туруңуз, Fail Over — эгер мүмкүн болсо, трафикти башка маршрут боюнча жөнөтүү. Экинчи туннелди орнотуу толугу менен окшош; экинчи туннелдин интерфейси жана IKE Gateway көрсөтүлгөн.
• Маршрутизациялоо
Бул мисал статикалык маршрутту колдонот. PA-1 брандмауэринде эки демейки каттамдан тышкары, филиалдагы 10.10.10.0/24 субнетине эки маршрутту көрсөтүү керек. Бир каттамда Туннель-1, экинчисинде Туннель-2 колдонулат. Туннел-1 аркылуу өтүүчү маршрут негизги болуп саналат, анткени анын метрикасы төмөн. Механизм Жол мониторинги бул маршруттар үчүн колдонулбайт. Которуу үчүн жооптуу Tunnel Monitor.
192.168.30.0/24 субтармагы үчүн ошол эле маршруттар PA-2де конфигурацияланышы керек.
• Тармак эрежелерин орнотуу
Туннелдин иштеши үчүн үч эреже керек:
- Жумуш үчүн Жол монитор Тышкы интерфейстерде ICMPге уруксат берүү.
- үчүн IPSec колдонмолорго уруксат берүү сыяктуу и ипсек тышкы интерфейстерде.
- Ички ички тармактар менен туннель интерфейстеринин ортосундагы трафикке уруксат бериңиз.
жыйынтыктоо
Бул макалада катага чыдамдуу Интернет байланышын орнотуу варианты талкууланат жана Сайттан Сайтка VPN. Маалымат пайдалуу болду жана окурман колдонулган технологиялар жөнүндө түшүнүк алды деп үмүттөнөбүз Palo Alto Networks. Эгерде сизде орнотуулар жана келечектеги макалалардын темалары боюнча суроолоруңуз болсо, аларды комментарийлерге жазыңыз, биз жооп берүүгө кубанычтабыз.
Source: www.habr.com