Hic articulus est continuatio dicata speciei apparatum statuere Palo Alto Networks . Hic loqui volumus de setup IPSec Site-ad-Site VPN in apparatu Palo Alto Networks et de optione configurationis possibilis plurium interretialium provisorum connectendi.
Ad demonstrationem, vexillum schema ad caput applicandum cum ramo adhibebitur. Ut nexum interretialem culpae toleranti praebeat, caput officium simultaneo duorum provisorum utitur: ISP-1 et ISP-2. Ramus connexionem ad unum tantum provisorem habet, ISP-3. Duae cuniculae inter focos PA-1 et PA-II aedificantur. Cuniculi in mode agunt Active-StaCuniculum-I activum est, cuniculum-1 commercium transmittere incipiet cum cuniculum-2 deficit. Tunnel-1 nexu utitur ad ISP-1, cuniculum-1 nexum ad ISP-2. Omnes IP inscriptiones passim generantur ad proposita demonstrationis et nullam ad rem relationem habent.
Ad aedificare Site-ad-Site VPN erit utendum IPsec β Statuta protocolla ad tutelam notitiarum per IP transmissam curandam. IPsec erit opus per securitatem protocol ESP (Payload Securitatis Encapsulans), quod encryption notitiarum transmissarum providebit.
Π IPsec includes IKE (Internet Key Exchange) est protocollum responsalis tractandi SA (consociationes securitatis), parametri securitatis qui notitias transmissas tutari solent. PAN firewalls auxilium IKEv1 ΠΈ IKEv2.
Π IKEv1 A VPN nexus duobus gradibus aedificatur: IKEv1 Phase 1 (IKE cuniculum) et IKEv1 Phase 2 (IPSec cuniculi) sic duo cuniculae creantur, quarum altera ad commercium informationum inter sclopetis usus, alterum ad transmissionem negotiationis. IN' IKEv1 Phase 1 Duo modi operandi sunt, modus principalis et modus pugnax. Modus pugnax paucioribus nuntiis utitur et velocior est, sed parem Identity tutelam non sustinet.
IKEv2 factum est reponere IKEv1et comparari IKEv1 principale eius utilitas est inferior latitudo requisita et celerius SA tractatum. IN' IKEv2 Pauciores nuntii muneris adhibentur (4 in total), protocolla EAP et MOBIKE sustentantur, et mechanismum adiectum est ad reprimendam parem disponibilitatem qua cuniculum creatur. Liveness Moderarereposuit Mortuus Peer Deprehensio in IKEv1. Si represserat defecerit tunc IKEv2 potest cuniculum retexere et tunc statim ad primum tempus illud restituere. Plus discere potes de differentiis .
Si cuniculum inter parietes ex diversis fabricatoribus aedificatur, cimices possunt esse in exsecutione IKEv2et ad convenientiam tali instrumento uti potest IKEv1. In aliis casibus melius est uti IKEv2.
Vestigia setup:
β’ Vestibulum duo Internet providers in ActiveStandby modus
Plures modi sunt ad hoc munus efficiendum. Una earum est uti mechanismo iter Cras, qui factus est in promptu incipiens a versione PAN-OS 8.0.0. Hoc exemplum versionis 8.0.16. Haec factura similis IP SLA in iter itineris Cisco est. Defalta static parametri viae conformat tionem pingentem ad certam IP inscriptionem e certo fonte electronicam mittens. Hoc in casu, interfacies ethernet1/I pingit defaltam portae semel in secundo. Si tribus pingibus in ordine responsum non est, iter fractum habetur et a mensa fuso removetur. Idem iter configuratur versus alterum provisorem interretialem, sed cum superiore metrico (est tergum unum). Cum primum iter a mensa removetur, firewall incipiet mercaturam facere per secundam viam Deficient-super. Quando primus provisor incipit respondere pingibus, iter suum ad mensam redibit et alteram debitam meliorem metricam restituet. Fail-Back. ΡΠΎΡΠ΅ΡΡ Deficient-super paucis secundis secundum intervalla conformatis accipit, sed, utique, processus non est instantaneus, et hoc tempore negotiatio amittitur. Fail-Back transit sine iactura negotiationis. Est occasio facere Deficient-super citius, with B.F.D.si provisor Interreti talem facultatem praebet. B.F.D. confirmavit ab exemplum PA-3000 Series ΠΈ VM-MMLXXXIII. Melius est non provisoris ianuam sicut inscriptionem pingendi, sed publicam, semper pervia interretialem electronicam designare.
β’ Creando cuniculum interface
Negotiatio intra cuniculum per speciales interfaces virtuales transmittitur. Uterque eorum configurari debet cum inscriptione IP ex network transit. In hoc exemplo, substatio 1/172.16.1.0 pro cuniculo-I, et substatio 30/2 adhibebitur pro cuniculo-172.16.2.0.
Cuniculum interface in sectione creatur Network -> Interfaces -> Tunnel. Denotare debes virtualem iter et zonam securitatis, necnon IP inscriptionem e retis onerariis correspondentibus. Numerus interface aliquid esse potest.
sectioni Advanced potest certa Procuratio ProfileQuod in dato instrumento pingere patietur, hoc ad probandum utile erit.
β’ constituendi IKE Profile
IKE Profile reus est primo gradu VPN creando nexu; cuniculum parametri sunt certa hic IKE Phase 1. Profile est creatus in sectione Network -> Network Profile -> IKE Crypto. Encryption algorithmus definire necesse est, algorithmum, coetus Diffie-Hellman et vita clavem habere. In genere, magis complexu algorithms, deterior effectus, eligi debent secundum certas securitatis requisita. Nihilominus stricte commendatur ut coetus Diffie-Hellman infra 14 ad notitias sensitivas tuendas. Hoc accidit ad vulnerabilitatem protocolli, quae nonnisi mitigari potest utentes moduli magnitudinum 2048 frenorum et superiorum, vel cryptographiae elliptici algorithmorum, quae in coetibus 19, 20, 21, 24. hae algorithmi maiorem vim habent comparatam. traditional cryptographia. . autem .
β’ constituendi IPSec Profile
Secundus gradus nexus VPN creandi est cuniculum IPSec. SA parametri pro eo configurantur in Network -> Network Profile -> IPSec Crypto Profile. Hic debes denotare protocollum IPSec - AH uel ESPUt etiam parametri SA β algorithms, encryption, diffie-Hellman coetus et vita clavis. SA parametri in IKE Crypto Profile et IPSec Crypto Profile idem esse non possunt.
β’ Vestibulum IKE porta
IKE porta - Hoc obiectum est quod designat iter vel focum cum quo cuniculus VPN aedificatur. Pro quolibet cuniculo debes creare tuum IKE porta. In hoc casu duo cuniculae creantur, unum per interretialem provisorem. Exitus congruens et eius IP oratio, IP oratio par, et clavis communicata indicantur. Testimonia jocus adhiberi possunt ad clavem communem.
Hic prius creatus designatur IKE Crypto Profile. Parametri secundi objecti IKE porta similes, exceptis inscriptionibus IP. Si Palo Alto Networks firewall post iter NAT iter sita est, tunc debes mechanismum efficere NAT Traversal.
β’ constituendi IPSec cuniculum
IPSec Tunnel objectum est quod parametri IPSec cuniculum specificat, ut nomen sonat. Hic opus est cuniculum interfaciei denotare et objecta creata prius IKE porta, IPSec Crypto Profile. Ut automatic switching ad tergum cuniculi excitandi, oportet vos enable Tunnel Monitor. Haec mechanismus est quae coercet utrum par viveret ICMP negotiatio utens. Prout inscriptionem destinationis debes designare electronicam IP cuniculi interfacei pari quo cuniculum aedificatur. Profile timers specificat et quid faciat si nexus perit. Exspecta Recipe - exspecta donec nexus restituatur; Deficient super - mitte negotiationem per aliam viam, si available. Alterum cuniculum constituendum est omnino simile: alterum cuniculum interfaciei et IKE Gateway specificatur.
β’ Profecti sunt excitandas
Hoc exemplo static fuso utitur. In firewall PA-1, praeter duas vias defaltas, opus est ut duo itinera subnet in ramo subnet 10.10.10.0/24 designare debes. Una via cuniculum-I, altera cuniculum 1 utitur. Iter per cuniculum 2 principale est, quia inferiorem metricam habet. Mechanismus iter Cras non ad haec itinera. Reus commutatione Tunnel Monitor.
Itinera eadem pro subnet 192.168.30.0/24 configurari debent in PA-2.
β’ constituendi network praecepta
Ad cuniculum opus tria praecepta requiruntur;
- ad operandum Semita Monitor Patitur ICMP externis interfaces.
- Ad IPsec patitur apps icet ΠΈ ipsec in externis interfaces.
- Patitur commercium inter subnetes internas et cuniculum interfaces.
conclusio,
Articulus hic agit de facultate interreti connexionis culpae tolerantiæ constituendi ac Site-ad-Site VPN. Speramus notitias utiles fuisse et lector notionem technologiarum in usu fuisse Palo Alto Networks. Si quaestiones de setup et suggestiones de argumentis futurorum articulorum habes, eas in commentaria scribe, beati erimus respondere.
Source: www.habr.com