Dësen Artikel ass eng Fortsetzung gewidmet fir d'Spezifizitéiten vun der Ausrüstung opzestellen Gekësst Alto Netzwierker . Hei wëlle mir iwwer de Setup schwätzen IPSec Site-zu-Site VPN op Ausrüstung Gekësst Alto Netzwierker an iwwer eng méiglech Konfiguratiounsoptioun fir verschidde Internet Ubidder ze verbannen.
Fir d'Demonstratioun gëtt e Standardschema benotzt fir de Sëtz mat der Branche ze verbannen. Fir eng Feeler-tolerant Internetverbindung ze bidden, benotzt de Sëtz eng simultan Verbindung vun zwee Provider: ISP-1 an ISP-2. D'Branche huet eng Verbindung mat nëmmen engem Provider, ISP-3. Zwee Tunnel sinn tëscht Firewalls PA-1 an PA-2 gebaut. D'Tunnel funktionnéieren am Modus Aktiv-Standby,Tunnel-1 ass aktiv, Tunnel-2 fänkt un Traffic ze vermëttelen wann den Tunnel-1 klappt. Tunnel-1 benotzt eng Verbindung mat ISP-1, Tunnel-2 benotzt eng Verbindung mat ISP-2. All IP Adresse ginn zoufälleg fir Demonstratiounszwecker generéiert an hu keng Relatioun mat der Realitéit.
Fir e Site-to-Site VPN ze bauen gëtt benotzt IPsec - eng Rei vu Protokoller fir de Schutz vun Daten iwwer IP iwwerdroen ze garantéieren. IPsec wäert mat engem Sécherheetsprotokoll schaffen wier (Encapsulating Security Payload), déi d'Verschlësselung vun iwwerdroenen Donnéeën garantéiert.
В IPsec ass abegraff Ike (Internet Key Exchange) ass e Protokoll verantwortlech fir SA (Sécherheetsassociatiounen) ze verhandelen, Sécherheetsparameter déi benotzt gi fir iwwerdroe Daten ze schützen. PAN Firewalls ënnerstëtzen IKEv1 и IKEv2.
В IKEv1 Eng VPN Verbindung ass an zwou Etappen gebaut: IKEv1 Phase 1 (IKE Tunnel) an IKEv1 Phase 2 (IPSec Tunnel), also entstinn zwee Tunnelen, vun deenen een fir den Austausch vun Serviceinformatioun tëscht Firewalls benotzt gëtt, deen zweete fir Trafficiwwerdroung. IN IKEv1 Phase 1 Et ginn zwou Operatiounsmodi - Haaptmodus an aggressiv Modus. Aggressive Modus benotzt manner Messagen an ass méi séier, awer ënnerstëtzt net Peer Identity Protection.
IKEv2 ersat IKEv1, a verglach mat IKEv1 seng Haaptvirdeel ass manner bandwidth Ufuerderunge a méi séier SA Verhandlunge. IN IKEv2 Manner Servicemeldungen gi benotzt (4 am Ganzen), EAP a MOBIKE Protokoller ginn ënnerstëtzt, an e Mechanismus gouf bäigefüügt fir d'Disponibilitéit vum Peer ze kontrolléieren mat deem den Tunnel erstallt gëtt - Liveness Check, Ersetzt Dead Peer Detection an IKEv1. Wann de Scheck klappt, dann IKEv2 kann den Tunnel zrécksetzen an dann automatesch bei der éischter Geleeënheet restauréieren. Dir kënnt méi iwwer d'Ënnerscheeder léieren .
Wann en Tunnel tëscht Firewalls vu verschiddene Hiersteller gebaut gëtt, da kann et Bugs an der Ëmsetzung sinn IKEv2, a fir Kompatibilitéit mat esou Ausrüstung ass et méiglech ze benotzen IKEv1. An anere Fäll ass et besser ze benotzen IKEv2.
Setup Schrëtt:
• Configuring zwee Internet Provider am ActiveStandby Modus
Et gi verschidde Weeër fir dës Funktioun ëmzesetzen. Ee vun hinnen ass de Mechanismus ze benotzen Wee Iwwerwachung, déi vun der Versioun verfügbar gouf PAN-OS 8.0.0. Dëst Beispill benotzt Versioun 8.0.16. Dës Fonktioun ass ähnlech wéi IP SLA an Cisco Router. De statesche Standardrouteparameter konfiguréiert Ping-Päckchen op eng spezifesch IP Adress vun enger spezifescher Quelladress ze schécken. An dësem Fall pingt d'Ethernet1/1 Interface de Standardgateway eemol pro Sekonn. Wann et keng Äntwert op dräi Pings an enger Zeil gëtt, gëtt d'Streck als gebrach ugesinn an aus der Routingtabelle geläscht. Dee selwechte Wee ass fir den zweeten Internetprovider konfiguréiert, awer mat enger méi héijer Metrik (et ass e Backup). Wann déi éischt Streck vun der Tabell geläscht ass, fänkt d'Firewall Traffic duerch déi zweet Streck ze schécken - Fail-Eriwwer. Wann den éischte Provider op Pings ufänkt ze reagéieren, wäert säi Wee op den Dësch zréckkommen an den zweeten ersetzen wéinst enger besserer Metrik - Fail-Back. Prozess Fail-Eriwwer dauert e puer Sekonnen ofhängeg vun den konfiguréierten Intervalle, awer op alle Fall ass de Prozess net direkt, a während dëser Zäit ass de Verkéier verluer. Fail-Back Passë ouni Verkéiersverloscht. Et gëtt eng Méiglechkeet ze maachen Fail-Eriwwer méi séier, mat B.F.D., wann den Internet Provider esou eng Méiglechkeet gëtt. B.F.D. ënnerstëtzt ab Modell PA-3000 Serie и VM-100. Et ass besser net de Paart vum Provider als Ping Adress ze spezifizéieren, awer eng ëffentlech, ëmmer zougänglech Internetadress.
• Schafen engem Tunnel Interface
Den Traffic am Tunnel gëtt iwwer speziell virtuell Interfaces iwwerdroen. Jiddereng vun hinnen muss mat enger IP Adress aus dem Transitstreck Reseau konfiguréiert ginn. An dësem Beispill gëtt d'Ënnerstatioun 1/172.16.1.0 fir Tunnel-30 benotzt, an d'Ënnerstatioun 2/172.16.2.0 gëtt fir Tunnel-30 benotzt.
Den Tunnel-Interface gëtt an der Sektioun erstallt Netzwierk -> Schnëttplazen -> Tunnel. Dir musst e virtuelle Router a Sécherheetszone uginn, souwéi eng IP Adress vum entspriechende Transportnetz. D'Interface Zuel kann alles sinn.
Sektioun Détailléiert kann spezifizéiert ginn Management Profilwat Ping op der bestëmmter Interface erlaabt, kann dëst nëtzlech sinn fir ze testen.
• Astelle IKE Profil
IKE Profil ass verantwortlech fir déi éischt Stuf fir eng VPN Verbindung ze kreéieren; Tunnelparameter ginn hei spezifizéiert IKE Phase 1. De Profil gëtt an der Rubrik erstallt Netzwierk -> Netzwierkprofile -> IKE Crypto. Et ass néideg de Verschlësselungsalgorithmus, den Hashing Algorithmus, d'Diffie-Hellman Grupp a Schlëssel Liewensdauer ze spezifizéieren. Am Allgemengen, wat méi komplex d'Algorithmen sinn, dest méi schlecht ass d'Leeschtung; Si sollten ausgewielt ginn op Basis vu spezifesche Sécherheetsfuerderunge. Wéi och ëmmer, et ass strikt net recommandéiert eng Diffie-Hellman Grupp ënner 14 ze benotzen fir sensibel Informatioun ze schützen. Dëst ass wéinst der Schwachstelle vum Protokoll, deen nëmme reduzéiert ka ginn andeems Dir Modulgréissten vun 2048 Bits a méi héich benotzt, oder elliptesch Kryptografie Algorithmen, déi an de Gruppen 19, 20, 21, 24 benotzt ginn. Dës Algorithmen hu méi grouss Leeschtung am Verglach mat traditionell Kryptografie. . An .
• Astelle IPSec Profil
Déi zweet Stuf fir eng VPN Verbindung ze kreéieren ass en IPSec Tunnel. SA Parameteren dofir sinn konfiguréiert an Netzwierk -> Netzwierkprofile -> IPSec Crypto Profil. Hei musst Dir den IPSec Protokoll spezifizéieren - AH oder wier, souwéi Parameteren SA - Hashing Algorithmen, Verschlësselung, Diffie-Hellman Gruppen a Schlëssel Liewensdauer. D'SA Parameteren am IKE Crypto Profil an IPSec Crypto Profil kënnen net déiselwecht sinn.
• IKE Gateway konfiguréieren
IKE Gateway - dëst ass en Objet deen e Router oder Firewall bezeechent mat deem e VPN Tunnel gebaut gëtt. Fir all Tunnel musst Dir Ären eegene kreéieren IKE Gateway. An dësem Fall ginn zwee Tunnelen erstallt, een duerch all Internetprovider. Déi entspriechend erausginn Interface a seng IP Adress, Peer IP Adress, a gemeinsame Schlëssel ginn uginn. Certificaten kënnen als Alternativ zu engem gemeinsame Schlëssel benotzt ginn.
Dee virdrun erstallt gëtt hei uginn IKE Crypto Profil. Parameteren vum zweeten Objet IKE Gateway ähnlech, ausser IP Adressen. Wann d'Palo Alto Networks Firewall hannert engem NAT Router läit, da musst Dir de Mechanismus aktivéieren NAT Traversal.
• Astelle IPSec Tunnel
IPSec Tunnel ass en Objet deen d'IPSec Tunnelparameter spezifizéiert, wéi den Numm et scho seet. Hei musst Dir d'Tunnel-Interface spezifizéieren a virdrun erstallt Objeten IKE Gateway, IPSec Krypto Profil. Fir automatesch Schaltung vum Routing an de Backuptunnel ze garantéieren, musst Dir aktivéieren Tunnel Monitor. Dëst ass e Mechanismus dee kontrolléiert ob e Peer lieweg ass mam ICMP Traffic. Als Destinatiounsadress musst Dir d'IP Adress vun der Tunnelinterface vum Peer spezifizéieren, mat deem den Tunnel gebaut gëtt. De Profil spezifizéiert Timer a wat ze maachen wann d'Verbindung verluer ass. Waart Erhuelung - waart bis d'Verbindung restauréiert ass, Fail Eriwwer - schéckt de Verkéier laanscht eng aner Streck, wa verfügbar. Den zweeten Tunnel opbauen ass komplett ähnlech; déi zweet Tunnel Interface an IKE Gateway gi spezifizéiert.
• Ariichten Routing
Dëst Beispill benotzt statesch Routing. Op der PA-1 Firewall, zousätzlech zu den zwee Standardrouten, musst Dir zwou Strecken op den 10.10.10.0/24 Subnet an der Branche spezifizéieren. Eng Streck benotzt Tunnel-1, déi aner Tunnel-2. D'Streck duerch Tunnel-1 ass den Haaptgrond well et eng méi niddereg Metrik huet. Mechanismus Wee Iwwerwachung net fir dës routes benotzt. Verantwortlech fir ze wiesselen Tunnel Monitor.
Déi selwecht routes fir de subnet 192.168.30.0/24 muss op PA-2 konfiguréiert ginn.
• Reseau Regelen Ariichten
Fir datt den Tunnel funktionnéiert, sinn dräi Regele gebraucht:
- Ze schaffen Wee Monitor Erlaabt ICMP op externen Schnëttplazen.
- fir IPsec Apps erlaben Ike и ipsec op externen Schnëttplazen.
- Erlaabt Traffic tëscht internen Ënnernetzer an Tunnelinterfaces.
Konklusioun
Dësen Artikel diskutéiert d'Optioun vun engem Feeler-tolerant Internetverbindung Ariichten an Site-zu-Site VPN. Mir hoffen d'Informatioun war nëtzlech an de Lieser krut eng Iddi vun den Technologien déi benotzt goufen Gekësst Alto Netzwierker. Wann Dir Froen iwwer Setup a Suggestioune iwwer Themen fir zukünfteg Artikelen hutt, schreift se an de Kommentarer, mir wäerte frou ze äntweren.
Source: will.com