ProHoster > ะ‘ะปะพะณ > เบเบฒเบ™เบšเปเบฅเบดเบซเบฒเบ™ > เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เบšเบปเบ”เบ„เบงเบฒเบกเบ™เบตเป‰เป€เบ›เบฑเบ™เบเบฒเบ™เบชเบทเบšเบ•เปเปˆ เบญเบธโ€‹เบ›เบฐโ€‹เบเบญเบ™โ€‹เบ—เบตเปˆโ€‹เบœเปˆเบฒเบ™โ€‹เบกเบฒโ€‹เบญเบธเบ—เบดเบ”เบ•เบปเบ™เป€เบžเบทเปˆเบญเบชเบฐเป€เบžเบฒเบฐเบ‚เบญเบ‡เบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks . เปƒเบ™เบ—เบตเปˆเบ™เบตเป‰เบžเบงเบเป€เบฎเบปเบฒเบ•เป‰เบญเบ‡เบเบฒเบ™เป€เบงเบปเป‰เบฒเบเปˆเบฝเบงเบเบฑเบšเบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡ IPSec Site-to-Site VPN เบเปˆเบฝเบงเบเบฑเบšเบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks เปเบฅเบฐเบเปˆเบฝเบงเบเบฑเบšเบ—เบฒเบ‡เป€เบฅเบทเบญเบเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบ—เบตเปˆเป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เบญเบดเบ™เป€เบ•เบตเป€เบ™เบฑเบ”เบˆเปเบฒเบ™เบงเบ™เบซเบ™เบถเปˆเบ‡.

เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบชเบฒเบ—เบดเบ”, เป‚เบ„เบ‡เบเบฒเบ™เบกเบฒเบ”เบ•เบฐเบ–เบฒเบ™เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบชเปเบฒเบ™เบฑเบเบ‡เบฒเบ™เปƒเบซเบเปˆเบเบฑเบšเบชเบฒเบ‚เบฒเบˆเบฐเบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰. เป€เบžเบทเปˆเบญเบชเบฐเบซเบ™เบญเบ‡เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบญเบดเบ™เป€เบ•เบตเป€เบ™เบฑเบ”เบ—เบตเปˆเบ—เบปเบ™เบ—เบฒเบ™เบ•เปเปˆเบ„เบงเบฒเบกเบœเบดเบ”, เบซเป‰เบญเบ‡เบเบฒเบ™เปƒเบซเบเปˆเปƒเบŠเป‰เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบžเป‰เบญเบกเป†เบเบฑเบ™เบ‚เบญเบ‡เบชเบญเบ‡เบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™: ISP-1 เปเบฅเบฐ ISP-2. เบชเบฒเบ‚เบฒเบกเบตเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบเบฑเบšเบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เบ”เบฝเบงเป€เบ—เบปเปˆเบฒเบ™เบฑเป‰เบ™, ISP-3. เบญเบธเป‚เบกเบ‡เบชเบญเบ‡เปเบซเปˆเบ‡เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เป„เบŸเบงเป PA-1 เปเบฅเบฐ PA-2. เบญเบธเป‚เบกเบ‡เป€เบฎเบฑเบ”เบงเบฝเบเบขเบนเปˆเปƒเบ™เป‚เปเบ” Active-Standby,Tunnel-1 เบกเบตเบเบฒเบ™เป€เบ„เบทเปˆเบญเบ™เป„เบซเบง, Tunnel-2 เบˆเบฐเป€เบฅเบตเปˆเบกเบชเบปเปˆเบ‡เบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™เป€เบกเบทเปˆเบญ Tunnel-1 เบฅเบปเป‰เบกเป€เบซเบฅเบง. Tunnel-1 เปƒเบŠเป‰เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบเบฑเบš ISP-1, Tunnel-2 เปƒเบŠเป‰เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบเบฑเบš ISP-2. เบ—เบตเปˆเบขเบนเปˆ IP เบ—เบฑเบ‡เปเบปเบ”เปเบกเปˆเบ™เบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เปเบšเบšเบชเบธเปˆเบกเป€เบžเบทเปˆเบญเบˆเบธเบ”เบ›เบฐเบชเบปเบ‡เบเบฒเบ™เบชเบฒเบ—เบดเบ” เปเบฅเบฐเบšเปเปˆเบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบเบฑเบšเบ„เบงเบฒเบกเป€เบ›เบฑเบ™เบˆเบดเบ‡.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เป€เบžเบทเปˆเบญเบชเป‰เบฒเบ‡ Site-to-Site VPN เบˆเบฐเบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰ IPsec โ€” เบŠเบธเบ”เบ‚เบญเบ‡เป‚เบ›เป‚เบ•เบ„เบญเบ™เป€เบžเบทเปˆเบญเบฎเบฑเบšเบ›เบฐเบเบฑเบ™เบเบฒเบ™เบ›เบปเบเบ›เป‰เบญเบ‡เบ‚เปเป‰เบกเบนเบ™เบ—เบตเปˆเบชเบปเปˆเบ‡เบœเปˆเบฒเบ™ IP. IPsec เบˆเบฐเป€เบฎเบฑเบ”เบงเบฝเบเป‚เบ”เบเปƒเบŠเป‰เป‚เบ›เป‚เบ•เบ„เบญเบ™เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž ESP (Encapsulating Security Payload), เป€เบŠเบดเปˆเบ‡เบˆเบฐเบฎเบฑเบšเบ›เบฐเบเบฑเบ™เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เบ‚เปเป‰เบกเบนเบ™เบ—เบตเปˆเบ–เบทเบเบชเบปเปˆเบ‡เบœเปˆเบฒเบ™.

ะ’ IPsec เปเบกเปˆเบ™เบฅเบงเบก IKE (Internet Key Exchange) เป€เบ›เบฑเบ™เป‚เบ›เป‚เบ•เบ„เบญเบ™เบ—เบตเปˆเบฎเบฑเบšเบœเบดเบ”เบŠเบญเบšเปƒเบ™เบเบฒเบ™เป€เบˆเบฅเบฐเบˆเบฒ SA (เบชเบฐเบกเบฒเบ„เบปเบกเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž), เบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเบ—เบตเปˆเบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป€เบžเบทเปˆเบญเบ›เบปเบเบ›เป‰เบญเบ‡เบ‚เปเป‰เบกเบนเบ™เบ—เบตเปˆเบ–เบทเบเบชเบปเปˆเบ‡เบœเปˆเบฒเบ™. เบฎเบญเบ‡เบฎเบฑเบš PAN firewalls IKEv1 ะธ IKEv2.

ะ’ IKEv1 เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ VPN เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เปƒเบ™เบชเบญเบ‡เบ‚เบฑเป‰เบ™เบ•เบญเบ™: IKEv1 เป„เบฅเบเบฐ 1 (เบญเบธเป‚เบกเบ‡ IKE) เปเบฅเบฐ IKEv1 เป„เบฅเบเบฐ 2 (IPSec tunnel), เบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™, เบชเบญเบ‡เบญเบธเป‚เบกเบ‡เป„เบ”เป‰เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบทเป‰เบ™, เบซเบ™เบถเปˆเบ‡เปƒเบ™เบ™เบฑเป‰เบ™เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เปเบฅเบเบ›เปˆเบฝเบ™เบ‚เปเป‰เบกเบนเบ™เบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เป„เบŸเบงเป, เบ—เบตเบชเบญเบ‡เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบชเบปเปˆเบ‡เบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™. IN IKEv1 เป„เบฅเบเบฐ 1 เบกเบตเบชเบญเบ‡เป‚เบซเบกเบ”เบ›เบฐเบ•เบดเบšเบฑเบ”เบ‡เบฒเบ™ - เป‚เบซเบกเบ”เบ•เบปเป‰เบ™เบ•เปเปเบฅเบฐเป‚เบซเบกเบ”เบฎเบธเบเบฎเบฒเบ™. เป‚เปเบ”เบฎเบธเบเบฎเบฒเบ™เปƒเบŠเป‰เบ‚เปเป‰เบ„เบงเบฒเบกเปœเป‰เบญเบเบฅเบปเบ‡ เปเบฅเบฐเป„เบงเบเบงเปˆเบฒ, เปเบ•เปˆเบšเปเปˆเบฎเบญเบ‡เบฎเบฑเบšเบเบฒเบ™เบ›เบปเบเบ›เป‰เบญเบ‡เบ•เบปเบงเบ•เบปเบ™เบ‚เบญเบ‡เปเบนเปˆเป€เบžเบทเปˆเบญเบ™.

IKEv2 เปเบ—เบ™เบ—เบตเปˆ IKEv1, เปเบฅเบฐโ€‹เป€เบกเบทเปˆเบญโ€‹เบ—เบฝเบšโ€‹เปƒเบชเปˆโ€‹ IKEv1 เบ›เบฐเป‚เบซเบเบ”เบ•เบปเป‰เบ™เบ•เปเบ‚เบญเบ‡เบกเบฑเบ™เปเบกเปˆเบ™เบ„เบงเบฒเบกเบ•เป‰เบญเบ‡เบเบฒเบ™เปเบšเบ™เบงเบดเบ”เบ•เปˆเปเบฒเปเบฅเบฐเบเบฒเบ™เป€เบˆเบฅเบฐเบˆเบฒ SA เป„เบงเบเบงเปˆเบฒ. IN IKEv2 เบ‚เปเป‰เบ„เบงเบฒเบกเบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™เบ–เบทเบเปƒเบŠเป‰เบซเบ™เป‰เบญเบเบฅเบปเบ‡ (4 เปƒเบ™เบˆเปเบฒเบ™เบงเบ™เบ—เบฑเบ‡เบซเบกเบปเบ”), เป‚เบ›เป‚เบ•เบ„เบญเบ™ EAP เปเบฅเบฐ MOBIKE เป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบชเบฐเบซเบ™เบฑเบšเบชเบฐเบซเบ™เบนเบ™, เปเบฅเบฐเบเบปเบ™เป„เบเป„เบ”เป‰เบ–เบทเบเป€เบžเบตเปˆเบกเป€เบ‚เบปเป‰เบฒเปƒเบ™เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบ„เบงเบฒเบกเบžเป‰เบญเบกเบ‚เบญเบ‡ peer เบ—เบตเปˆเบญเบธเป‚เบกเบ‡เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™ - เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบŠเบตเบงเบดเบ”, เปเบ—เบ™ Dead Peer Detection เปƒเบ™ IKEv1. เบ–เป‰เบฒเบเบฒเบ™เบเบงเบ”เบชเบญเบšเบฅเบปเป‰เบกเป€เบซเบฅเบง, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™ IKEv2 เบชเบฒเบกเบฒเบ”เบ•เบฑเป‰เบ‡เบญเบธเป‚เบกเบ‡เบ„เบทเบ™เปƒเปเปˆ เปเบฅเบฐเบˆเบฒเบเบ™เบฑเป‰เบ™เบˆเบฐเบŸเบทเป‰เบ™เบŸเบนเบญเบฑเบ”เบ•เบฐเป‚เบ™เบกเบฑเบ”เปƒเบ™เป‚เบญเบเบฒเบ”เบ—เบณเบญเบดเบ”. เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบฎเบฝเบ™เบฎเบนเป‰เป€เบžเบตเปˆเบกเป€เบ•เบตเบกเบเปˆเบฝเบงเบเบฑเบšเบ„เบงเบฒเบกเปเบ•เบเบ•เปˆเบฒเบ‡ เบญเปˆเบฒเบ™เบ—เบตเปˆเบ™เบตเป‰.

เบ–เป‰เบฒเบญเบธเป‚เบกเบ‡เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡ firewalls เบˆเบฒเบเบœเบนเป‰เบœเบฐเบฅเบดเบ”เบ—เบตเปˆเปเบ•เบเบ•เปˆเบฒเบ‡เบเบฑเบ™, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบญเบฒเบ”เบˆเบฐเบกเบตเบ‚เปเป‰เบšเบปเบเบžเปˆเบญเบ‡เปƒเบ™เบเบฒเบ™เบˆเบฑเบ”เบ•เบฑเป‰เบ‡เบ›เบฐเบ•เบดเบšเบฑเบ” IKEv2, เปเบฅเบฐเบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบเบฑเบ™เป„เบ”เป‰เบเบฑเบšเบญเบธเบ›เบฐเบเบญเบ™เบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเบกเบฑเบ™เป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบ—เบตเปˆเบˆเบฐเบ™เปเบฒเปƒเบŠเป‰ IKEv1. เปƒเบ™เบเปเบฅเบฐเบ™เบตเบญเบทเปˆเบ™เป†, เบกเบฑเบ™เบ”เบตเบเบงเปˆเบฒเบ—เบตเปˆเบˆเบฐเปƒเบŠเป‰ IKEv2.

เบ‚เบฑเป‰เบ™โ€‹เบ•เบญเบ™โ€‹เบเบฒเบ™โ€‹เบ•เบฑเป‰เบ‡โ€‹เบ„เปˆเบฒโ€‹:

โ€ข เบเบฒเบ™เบเบณเบ™เบปเบ”เบ„เปˆเบฒเบชเบญเบ‡เบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เบญเบดเบ™เป€เบ•เบตเป€เบ™เบฑเบ”เบขเบนเปˆเปƒเบ™เป‚เปเบ” ActiveStandby

เบกเบตเบซเบผเบฒเบเบงเบดเบ—เบตเบ—เบตเปˆเบˆเบฐเบ›เบฐเบ•เบดเบšเบฑเบ”เบซเบ™เป‰เบฒเบ—เบตเปˆเบ™เบตเป‰. เบซเบ™เบถเปˆเบ‡เปƒเบ™เบ™เบฑเป‰เบ™เปเบกเปˆเบ™เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เบเบปเบ™เป„เบ เบเบฒเบ™เบ•เบดเบ”เบ•เบฒเบกเป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡, เป€เบŠเบดเปˆเบ‡เบกเบตเปƒเบซเป‰เป€เบฅเบตเปˆเบกเบˆเบฒเบเบชเบฐเบšเบฑเบš PAN-OS 8.0.0. เบ•เบปเบงเบขเปˆเบฒเบ‡เบ™เบตเป‰เปƒเบŠเป‰เป€เบงเบตเบŠเบฑเบ™ 8.0.16. เบ„เบธเบ™เบ™เบฐเบชเบปเบกเบšเบฑเบ”เบ™เบตเป‰เปเบกเปˆเบ™เบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™เบเบฑเบš IP SLA เปƒเบ™ routers Cisco. เบžเบฒเบฃเบฒเบกเบดเป€เบ•เบตเป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เปเบšเบšเบ„เบปเบ‡เบ—เบตเปˆเบเบณเบ™เบปเบ”เบ„เปˆเบฒเบเบฒเบ™เบชเบปเปˆเบ‡เปเบžเบฑเบเป€เบเบฑเบ” ping เป„เบ›เบซเบฒเบ—เบตเปˆเบขเบนเปˆ IP เบชเบฐเป€เบžเบฒเบฐเบˆเบฒเบเบ—เบตเปˆเบขเบนเปˆเปเบซเบผเปˆเบ‡เบชเบฐเป€เบžเบฒเบฐ. เปƒเบ™เบเปเบฅเบฐเบ™เบตเบ™เบตเป‰, เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบš ethernet1/1 pings gateway เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เบซเบ™เบถเปˆเบ‡เบ„เบฑเป‰เบ‡เบ•เปเปˆเบงเบดเบ™เบฒเบ—เบต. เบ–เป‰เบฒเบšเปเปˆเบกเบตเบเบฒเบ™เบ•เบญเบšเบชเบฐเบซเบ™เบญเบ‡เบ•เปเปˆเบชเบฒเบก pings เบ•เบดเบ”เบ•เปเปˆเบเบฑเบ™, เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเบ–เบทเบเบžเบดเบˆเบฒเบฅเบฐเบ™เบฒเปเบเบเปเบฅเบฐเป€เบญเบปเบฒเบญเบญเบเบˆเบฒเบเบ•เบฒเบ•เบฐเบฅเบฒเบ‡เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡. เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบ”เบฝเบงเบเบฑเบ™เบ–เบทเบเบ•เบฑเป‰เบ‡เบ„เปˆเบฒเป„เบ›เบชเบนเปˆเบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เบญเบดเบ™เป€เบ•เบตเป€เบ™เบฑเบ”เบ—เบตเบชเบญเบ‡, เปเบ•เปˆเบกเบต metric เบชเบนเบ‡เบเบงเปˆเบฒ (เบกเบฑเบ™เป€เบ›เบฑเบ™เบ•เบปเบงเบชเบณเบฎเบญเบ‡). เป€เบกเบทเปˆเบญเป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบ—เปเบฒเบญเบดเบ”เบ–เบทเบเป‚เบเบเบเป‰เบฒเบเบญเบญเบเบˆเบฒเบเบ•เบฒเบ•เบฐเบฅเบฒเบ‡, firewall เบˆเบฐเป€เบฅเบตเปˆเบกเบชเบปเปˆเบ‡เบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™เบœเปˆเบฒเบ™เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบ—เบตเบชเบญเบ‡ โˆ’ เบฅเบปเป‰เบกเป€เบซเบฅเบง. เป€เบกเบทเปˆเบญเบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เบ—เปเบฒเบญเบดเบ”เป€เบฅเบตเปˆเบกเบ•เบญเบšเบชเบฐเบซเบ™เบญเบ‡ pings, เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบ‚เบญเบ‡เบกเบฑเบ™เบˆเบฐเบเบฑเบšเบ„เบทเบ™เป„เบ›เบซเบฒเบ•เบฒเบ•เบฐเบฅเบฒเบ‡เปเบฅเบฐเปเบ—เบ™เบ—เบตเปˆเบชเบญเบ‡เบเป‰เบญเบ™เบเบฒเบ™เบงเบฑเบ”เปเบ—เบเบ—เบตเปˆเบ”เบตเบเบงเปˆเบฒ - Fail-Back. เบ‚เบฐเบšเบงเบ™เบเบฒเบ™ เบฅเบปเป‰เบกเป€เบซเบฅเบง เปƒเบŠเป‰เป€เบงเบฅเบฒเบชเบญเบ‡เบชเบฒเบกเบงเบดเบ™เบฒเบ—เบตเป‚เบ”เบเบญเบตเบ‡เบ•เบฒเบกเป„เบฅเบเบฐเบ—เบตเปˆเบเปเบฒเบ™เบปเบ”เป„เบงเป‰, เปเบ•เปˆ, เปƒเบ™เบเปเบฅเบฐเบ™เบตเปƒเบ”เบเปเปˆเบ•เบฒเบก, เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เปเบกเปˆเบ™เบšเปเปˆเบ—เบฑเบ™เบ—เบตเบ—เบฑเบ™เปƒเบ”, เปเบฅเบฐเปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เป€เบงเบฅเบฒเบ™เบตเป‰เบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™เบˆเบฐเบชเบนเบ™เป€เบชเบ. Fail-Back เบœเปˆเบฒเบ™เป‚เบ”เบเบšเปเปˆเบกเบตเบเบฒเบ™เบชเบนเบ™เป€เบชเบเบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™. เบกเบตเป‚เบญเบเบฒเบ”เบ—เบตเปˆเบˆเบฐเป€เบฎเบฑเบ” เบฅเบปเป‰เบกเป€เบซเบฅเบง เป„เบงโ€‹เบ‚เบถเป‰เบ™โ€‹, เบกเบตโ€‹ เบ—เบซเบฅ, เบ–เป‰เบฒเบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เบญเบดเบ™เป€เบ•เบตเป€เบ™เบฑเบ”เปƒเบซเป‰เป‚เบญเบเบฒเบ”เบ”เบฑเปˆเบ‡เบเปˆเบฒเบง. เบ—เบซเบฅ เบชเบฐเบซเบ™เบฑเบšเบชเบฐเบซเบ™เบนเบ™เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เบˆเบฒเบเบฎเบนเบšเปเบšเบš PA-3000 เบŠเบธเบ” ะธ VM-100. เบกเบฑเบ™เบ”เบตเบเบงเปˆเบฒเบ—เบตเปˆเบˆเบฐเบฅเบฐเบšเบธเบงเปˆเบฒเบšเปเปˆเปเบกเปˆเบ™เบ›เบฐเบ•เบนเบ‚เบญเบ‡เบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เป€เบ›เบฑเบ™เบ—เบตเปˆเบขเบนเปˆ ping, เปเบ•เปˆเป€เบ›เบฑเบ™เบ—เบตเปˆเบขเบนเปˆเบชเบฒเบ—เบฒเบฅเบฐเบ™เบฐ, เบชเบฒเบกเบฒเบ”เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบญเบดเบ™เป€เบ•เบตเป€เบ™เบฑเบ”เป„เบ”เป‰เบ•เบฐเบซเบผเบญเบ”เป€เบงเบฅเบฒ.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

โ€ขเบเบฒเบ™เบชเป‰เบฒเบ‡เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบš tunnel

เบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™เบžเบฒเบเปƒเบ™เบญเบธเป‚เบกเบ‡เปเบกเปˆเบ™เบชเบปเปˆเบ‡เบœเปˆเบฒเบ™เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบš virtual เบžเบดเป€เบชเบ”. เปเบ•เปˆเบฅเบฐเบญเบฑเบ™เบ•เป‰เบญเบ‡เบ–เบทเบเบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบ”เป‰เบงเบเบ—เบตเปˆเบขเบนเปˆ IP เบˆเบฒเบเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบเบฒเบ™เบ‚เบปเบ™เบชเบปเปˆเบ‡. เปƒเบ™เบ•เบปเบงเบขเปˆเบฒเบ‡เบ™เบตเป‰, เบชเบฐเบ–เบฒเบ™เบตเบเปˆเบญเบ 1/172.16.1.0 เบˆเบฐเบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เบชเปเบฒเบฅเบฑเบš Tunnel-30, เปเบฅเบฐเบชเบฐเบ–เบฒเบ™เบตเบเปˆเบญเบ 2/172.16.2.0 เบˆเบฐเบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เบชเปเบฒเบฅเบฑเบš Tunnel-30.
เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบ‚เบญเบ‡เบญเบธเป‚เบกเบ‡เปเบกเปˆเบ™เบชเป‰เบฒเบ‡เบขเบนเปˆเปƒเบ™เบžเบฒเบ เป€เบ„เบทเบญเบ‚เปˆเบฒเบ -> เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบš -> เบญเบธเป‚เบกเบ‡. เบ—เปˆเบฒเบ™เบ•เป‰เบญเบ‡เบฅเบฐเบšเบธ router virtual เปเบฅเบฐเป€เบ‚เบ”เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž, เป€เบŠเบฑเปˆเบ™เบ”เบฝเบงเบเบฑเบ™เบเบฑเบšเบ—เบตเปˆเบขเบนเปˆ IP เบˆเบฒเบเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบเบฒเบ™เบ‚เบปเบ™เบชเบปเปˆเบ‡เบ—เบตเปˆเบชเบญเบ”เบ„เป‰เบญเบ‡เบเบฑเบ™. เปเบฒเบเป€เบฅเบเบญเบดเบ™เป€เบ•เบตเป€เบŸเบ”เบชเบฒเบกเบฒเบ”เป€เบ›เบฑเบ™เบญเบฑเบ™เปƒเบ”เบเปเป„เบ”เป‰.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เบชเปˆเบงเบ™ เปเบšเบšโ€‹เบžเบดโ€‹เป€เบชเบ” เบชเบฒเบกเบฒเบ”เบฅเบฐเบšเบธเป„เบ”เป‰ เป‚เบ›เบฃเป„เบŸเบฅเปŒเบเบฒเบ™เบˆเบฑเบ”เบเบฒเบ™เป€เบŠเบดเปˆเบ‡เบˆเบฐเบŠเปˆเบงเบเปƒเบซเป‰ ping เปƒเบ™เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบ—เบตเปˆเปƒเบซเป‰, เบ™เบตเป‰เบญเบฒเบ”เบˆเบฐเป€เบ›เบฑเบ™เบ›เบฐเป‚เบซเบเบ”เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบ—เบปเบ”เบชเบญเบš.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

โ€ข เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IKE Profile

เป‚เบ›เบฃเป„เบŸเบฅเปŒ IKE เบฎเบฑเบšเบœเบดเบ”เบŠเบญเบšเบ‚เบฑเป‰เบ™เบ•เบญเบ™เบ—เปเบฒเบญเบดเบ”เบ‚เบญเบ‡เบเบฒเบ™เบชเป‰เบฒเบ‡เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ VPN; เบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™ tunnel เปเบกเปˆเบ™เป„เบ”เป‰เบฅเบฐเบšเบธเบขเบนเปˆเบ—เบตเปˆเบ™เบตเป‰ IKE เป„เบฅเบเบฐ 1. เป‚เบ›เบฃเป„เบŸเบฅเปŒเบ–เบทเบเบชเป‰เบฒเบ‡เบขเบนเปˆเปƒเบ™เบžเบฒเบ เป€เบ„เบทเบญเบ‚เปˆเบฒเบ -> เป‚เบ›เบฃเป„เบŸเบฅเปŒเป€เบ„เบทเบญเบ‚เปˆเบฒเบ -> IKE Crypto. เบกเบฑเบ™เป€เบ›เบฑเบ™เบชเบดเปˆเบ‡เบˆเปเบฒเป€เบ›เบฑเบ™เบ—เบตเปˆเบˆเบฐเบฅเบฐเบšเบธเบชเบนเบ”เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”, เบชเบนเบ”เบเบฒเบ™เบ„เบดเบ”เป„เบฅเปˆ hashing, เบเบธเปˆเบก Diffie-Hellman เปเบฅเบฐเบญเบฒเบเบธเบเบฒเบ™เบ—เบตเปˆเบชเปเบฒเบ„เบฑเบ™. เป‚เบ”เบเบ—เบปเปˆเบงเป„เบ›, เบชเบนเบ”เบเบฒเบ™เบ„เบดเบ”เป„เบฅเปˆเบ—เบตเปˆเบชเบฑเบšเบชเบปเบ™เบซเบผเบฒเบ, เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ—เบตเปˆเบฎเป‰เบฒเบเปเบฎเบ‡เบเบงเปˆเบฒเป€เบเบปเปˆเบฒ; เบžเบงเบเป€เบ‚เบปเบฒเบ„เบงเบ™เบˆเบฐเบ–เบทเบเป€เบฅเบทเบญเบเป‚เบ”เบเบญเบตเบ‡เปƒเบชเปˆเบ„เบงเบฒเบกเบ•เป‰เบญเบ‡เบเบฒเบ™เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเบชเบฐเป€เบžเบฒเบฐ. เบขเปˆเบฒเบ‡เปƒเบ”เบเปเปˆเบ•เบฒเบก, เบกเบฑเบ™เบšเปเปˆเป„เบ”เป‰เบ–เบทเบเปเบ™เบฐเบ™เปเบฒเปƒเบซเป‰เปƒเบŠเป‰เบขเปˆเบฒเบ‡เป€เบ‚เบฑเป‰เบกเบ‡เบงเบ”เปƒเบ™เบเบธเปˆเบก Diffie-Hellman เบ•เปˆเปเบฒเบเบงเปˆเบฒ 14 เป€เบžเบทเปˆเบญเบ›เบปเบเบ›เป‰เบญเบ‡เบ‚เปเป‰เบกเบนเบ™เบ—เบตเปˆเบฅเบฐเบญเบฝเบ”เบญเปˆเบญเบ™. เบ™เบตเป‰เปเบกเปˆเบ™เป€เบ™เบทเปˆเบญเบ‡เบกเบฒเบˆเบฒเบเบ„เบงเบฒเบกเบญเปˆเบญเบ™เปเบญเบ‚เบญเบ‡เป‚เบ›เป‚เบ•เบ„เบญเบ™, เป€เบŠเบดเปˆเบ‡เบžเบฝเบ‡เปเบ•เปˆเบชเบฒเบกเบฒเบ”เบซเบผเบธเบ”เบœเปˆเบญเบ™เป„เบ”เป‰เป‚เบ”เบเบเบฒเบ™เปƒเบŠเป‰เบ‚เบฐเบซเบ™เบฒเบ”เป‚เบกเบ”เบนเบ™เบ‚เบญเบ‡ 2048 bits เปเบฅเบฐเบชเบนเบ‡เบเบงเปˆเบฒ, เบซเบผเบท elliptic cryptography algorithms, เป€เบŠเบดเปˆเบ‡เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เปƒเบ™เบเบธเปˆเบก 19, 20, 21, 24. algorithms เป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰เบกเบตเบ›เบฐเบชเบดเบ”เบ—เบดเบžเบฒเบšเบซเบผเบฒเบเบเบงเปˆเบฒเป€เบกเบทเปˆเบญเบ—เบฝเบšเบเบฑเบš เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เปเบšเบšเบ”เบฑเป‰เบ‡เป€เบ”เบตเบก. เบญเปˆเบฒเบ™เป€เบžเบตเปˆเบกเป€เบ•เบตเบกเบ—เบตเปˆเบ™เบตเป‰เบ—เบตเปˆเบขเบนเปˆ เปเบฅเบฐ เบ—เบตเปˆเบ™เบตเป‰.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

โ€ข เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเป‚เบ›เบฃเป„เบŸเบฅเปŒ IPSec

เบ‚เบฑเป‰เบ™เบ•เบญเบ™เบ—เบตเบชเบญเบ‡เบ‚เบญเบ‡เบเบฒเบ™เบชเป‰เบฒเบ‡เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ VPN เปเบกเปˆเบ™เบญเบธเป‚เบกเบ‡ IPSec. เบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™ SA เบชเปเบฒเบฅเบฑเบšเบกเบฑเบ™เบ–เบทเบเบ•เบฑเป‰เบ‡เบ„เปˆเบฒเปƒเบ™ เป€เบ„เบทเบญเบ‚เปˆเบฒเบ -> เป‚เบ›เบฃเป„เบŸเบฅเปŒเป€เบ„เบทเบญเบ‚เปˆเบฒเบ -> IPSec Crypto Profile. เปƒเบ™เบ—เบตเปˆเบ™เบตเป‰เบ—เปˆเบฒเบ™เบ•เป‰เบญเบ‡เบเบฒเบ™เบฅเบฐเบšเบธเป‚เบ›เป‚เบ•เบ„เบญเบ™ IPSec - AH เบซเบผเบท ESP, เป€เบŠเบฑเปˆเบ™เบ”เบฝเบงเบเบฑเบ™เบเบฑเบšเบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™ SA โ€” เบชเบนเบ”โ€‹เบเบฒเบ™โ€‹เบงเบดโ€‹เบŠเบฒโ€‹เบเบฒเบ™ hashingโ€‹, เบเบฒเบ™โ€‹เป€เบ‚เบปเป‰เบฒโ€‹เบฅเบฐโ€‹เบซเบฑเบ”โ€‹, เบเบธเปˆเบก Diffie-Hellman เปเบฅเบฐโ€‹เบŠเบตโ€‹เบงเบดเบ”โ€‹เบ—เบตเปˆโ€‹เบชเปเบฒโ€‹เบ„เบฑเบ™โ€‹. เบžเบฒเบฅเบฒเบกเบดเป€เบ•เบต SA เปƒเบ™ IKE Crypto Profile เปเบฅเบฐ IPSec Crypto Profile เบญเบฒเบ”เบˆเบฐเบšเปเปˆเบ„เบทเบเบฑเบ™.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

โ€ข เบเบณเบ™เบปเบ”เบ„เปˆเบฒ IKE Gateway

IKE Gateway - เบ™เบตเป‰เปเบกเปˆเบ™เบงเบฑเบ”เบ–เบธเบ—เบตเปˆเบเบณเบ™เบปเบ” router เบซเบผเบท firewall เบ—เบตเปˆเบชเป‰เบฒเบ‡เบญเบธเป‚เบกเบ‡ VPN. เบชเปเบฒเบฅเบฑเบšเปเบ•เปˆเบฅเบฐเบญเบธเป‚เบกเบ‡เบ—เปˆเบฒเบ™เบˆเปเบฒเป€เบ›เบฑเบ™เบ•เป‰เบญเบ‡เบชเป‰เบฒเบ‡เบ‚เบญเบ‡เบ—เปˆเบฒเบ™เป€เบญเบ‡ IKE Gateway. เปƒเบ™เบเปเบฅเบฐเบ™เบตเบ™เบตเป‰, เบชเบญเบ‡เบญเบธเป‚เบกเบ‡เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™, เบซเบ™เบถเปˆเบ‡เป‚เบ”เบเบœเปˆเบฒเบ™เบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™เบญเบดเบ™เป€เบ•เบตเป€เบ™เบฑเบ”เปเบ•เปˆเบฅเบฐเบ„เบปเบ™. เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบ‚เบฒเบญเบญเบเบ—เบตเปˆเบชเบญเบ”เบ„เป‰เบญเบ‡เบเบฑเบ™เปเบฅเบฐเบ—เบตเปˆเบขเบนเปˆ IP เบ‚เบญเบ‡เบกเบฑเบ™, เบ—เบตเปˆเบขเบนเปˆ IP เบ‚เบญเบ‡เป€เบžเบทเปˆเบญเบ™เบกเบดเบ”, เปเบฅเบฐเบฅเบฐเบซเบฑเบ”เบ—เบตเปˆเปƒเบŠเป‰เบฎเปˆเบงเบกเบเบฑเบ™เปเบกเปˆเบ™เบŠเบตเป‰เปƒเบซเป‰เป€เบซเบฑเบ™. เปƒเบšเบฎเบฑเบšเบฎเบญเบ‡เบชเบฒเบกเบฒเบ”เบ–เบทเบเปƒเบŠเป‰เป€เบ›เบฑเบ™เบ—เบฒเบ‡เป€เบฅเบทเบญเบเปƒเบซเป‰เบเบฑเบšเบเบฐเปเบˆเบ—เบตเปˆเปƒเบŠเป‰เบฎเปˆเบงเบกเบเบฑเบ™เป„เบ”เป‰.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เบญเบฑเบ™เบ—เบตเปˆเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เบเปˆเบญเบ™เปœเป‰เบฒเบ™เบตเป‰เบ–เบทเบเบŠเบตเป‰เบšเบญเบเบขเบนเปˆเบ—เบตเปˆเบ™เบตเป‰ IKE Crypto Profile. เบžเบฒเบฅเบฒเบกเบดเป€เบ•เบตเบ‚เบญเบ‡เบงเบฑเบ”เบ–เบธเบ—เบตเบชเบญเบ‡ IKE Gateway เบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™, เบเบปเบเป€เบงเบฑเป‰เบ™เบชเปเบฒเบฅเบฑเบšเบ—เบตเปˆเบขเบนเปˆ IP. เบ–เป‰เบฒเป„เบŸเบงเป Palo Alto Networks เบ•เบฑเป‰เบ‡เบขเบนเปˆเบซเบฅเบฑเบ‡ router NAT, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบ—เปˆเบฒเบ™เบˆเปเบฒเป€เบ›เบฑเบ™เบ•เป‰เบญเบ‡เป€เบ›เบตเบ”เปƒเบŠเป‰เบเบปเบ™เป„เบ เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบœเปˆเบฒเบ™ NAT.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

โ€ข เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบญเบธเป‚เบกเบ‡ IPSec

เบญเบธเป‚เบกเบ‡ IPSec เปเบกเปˆเบ™เบงเบฑเบ”เบ–เบธเบ—เบตเปˆเบฅเบฐเบšเบธเบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™เบญเบธเป‚เบกเบ‡ IPSec, เบ•เบฒเบกเบŠเบทเปˆเปเบ™เบฐเบ™เปเบฒ. เบ—เบตเปˆเบ™เบตเป‰เบ—เปˆเบฒเบ™เบˆเปเบฒเป€เบ›เบฑเบ™เบ•เป‰เบญเบ‡เบฅเบฐเบšเบธเบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบš tunnel เปเบฅเบฐเบงเบฑเบ”เบ–เบธเบ—เบตเปˆเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เบเปˆเบญเบ™เบซเบ™เป‰เบฒเบ™เบตเป‰ IKE Gateway, IPSec Crypto Profile. เป€เบžเบทเปˆเบญเบฎเบฑเบšเบ›เบฐเบเบฑเบ™เบเบฒเบ™เบ›เปˆเบฝเบ™เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบญเบฑเบ”เบ•เบฐเป‚เบ™เบกเบฑเบ”เป„เบ›เบซเบฒเบญเบธเป‚เบกเบ‡เบชเบณเบฎเบญเบ‡, เบ—เปˆเบฒเบ™เบ•เป‰เบญเบ‡เป€เบ›เบตเบ”เปƒเบŠเป‰เบ‡เบฒเบ™ เบˆเปเบžเบฒเบšเบญเบธเป‚เบกเบ‡. เบ™เบตเป‰โ€‹เปเบกเปˆเบ™โ€‹เบเบปเบ™โ€‹เป„เบโ€‹เบ—เบตเปˆโ€‹เบเบงเบ”โ€‹เบชเบญเบšโ€‹เบงเปˆเบฒโ€‹เบกเบดเบ”โ€‹เบชเบฐโ€‹เบซเบฒเบโ€‹เปเบกเปˆเบ™โ€‹เบกเบตโ€‹เบŠเบตโ€‹เบงเบดเบ”โ€‹เบขเบนเปˆโ€‹เป‚เบ”เบโ€‹เบ™เปเบฒโ€‹เปƒเบŠเป‰โ€‹เบเบฒเบ™โ€‹เบˆเบฐโ€‹เบฅเบฒโ€‹เบˆเบญเบ™ ICMPโ€‹. เปƒเบ™โ€‹เบ–เบฒโ€‹เบ™เบฐโ€‹เป€เบ›เบฑเบ™โ€‹เบ—เบตเปˆโ€‹เบขเบนเปˆโ€‹เบˆเบธเบ”โ€‹เบซเบกเบฒเบโ€‹เบ›เบฒเบโ€‹เบ—เบฒเบ‡โ€‹, เบ—เปˆเบฒเบ™โ€‹เบˆเปเบฒโ€‹เป€เบ›เบฑเบ™โ€‹เบ•เป‰เบญเบ‡โ€‹เบฅเบฐโ€‹เบšเบธโ€‹เบ—เบตเปˆโ€‹เบขเบนเปˆ IP เบ‚เบญเบ‡โ€‹เบเบฒเบ™โ€‹เป‚เบ•เป‰โ€‹เบ•เบญเบš tunnel เบ‚เบญเบ‡โ€‹เบกเบดเบ”โ€‹เบชเบฐโ€‹เบซเบฒเบโ€‹เบ—เบตเปˆโ€‹เบญเบธโ€‹เป‚เบกเบ‡โ€‹เป„เบ”เป‰โ€‹เบ–เบทเบโ€‹เบชเป‰เบฒเบ‡โ€‹เบ‚เบถเป‰เบ™โ€‹. เป‚เบ›เบฃเป„เบŸเบฅเปŒเบฅเบฐเบšเบธเบ•เบปเบงเบˆเบฑเบšเป€เบงเบฅเบฒ เปเบฅเบฐเบชเบดเปˆเบ‡เบ—เบตเปˆเบ•เป‰เบญเบ‡เป€เบฎเบฑเบ”เบ–เป‰เบฒเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบซเบฒเบเป„เบ›. เบฅเปเบ–เป‰เบฒเบเบฒเบ™เบŸเบทเป‰เบ™เบ•เบปเบง - เบฅเปโ€‹เบ–เป‰เบฒโ€‹เบˆเบปเบ™โ€‹เบโ€‹เปˆโ€‹เบงเบฒโ€‹เบเบฒเบ™โ€‹เป€เบŠเบทเปˆเบญเบกโ€‹เบ•เปเปˆโ€‹เป„เบ”เป‰โ€‹เบฎเบฑเบšโ€‹เบเบฒเบ™โ€‹เบŸเบทเป‰เบ™โ€‹เบŸเบนโ€‹, เบฅเบปเป‰เบก โ€” เบชเบปเปˆเบ‡เบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™เป„เบ›เบ•เบฒเบกเป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบญเบทเปˆเบ™, เบ–เป‰เบฒเบกเบต. เบเบฒเบ™โ€‹เบ•เบฑเป‰เบ‡โ€‹เบ„เปˆเบฒโ€‹เบญเบธโ€‹เป‚เบกเบ‡โ€‹เบ—เบตเปˆโ€‹เบชเบญเบ‡โ€‹เปเบกเปˆเบ™โ€‹เบ„เป‰เบฒเบโ€‹เบ„เบทโ€‹เบเบฑเบ™โ€‹เบ—เบฑเบ‡โ€‹เบซเบกเบปเบ”โ€‹; เบเบฒเบ™โ€‹เป‚เบ•เป‰โ€‹เบ•เบญเบšโ€‹เบญเบธโ€‹เป‚เบกเบ‡โ€‹เบ—เบตเปˆโ€‹เบชเบญเบ‡โ€‹เปเบฅเบฐ IKE Gateway เปเบกเปˆเบ™โ€‹เบฅเบฐโ€‹เบšเบธโ€‹เป„เบงเป‰โ€‹.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

โ€ข เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡

เบ•เบปเบงเบขเปˆเบฒเบ‡เบ™เบตเป‰เปƒเบŠเป‰ static routing. เปƒเบ™ PA-1 firewall, เบ™เบญเบเป€เบซเบ™เบทเบญเบˆเบฒเบเบชเบญเบ‡เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™, เบ—เปˆเบฒเบ™เบˆเปเบฒเป€เบ›เบฑเบ™เบ•เป‰เบญเบ‡เบฅเบฐเบšเบธเบชเบญเบ‡เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เป„เบ›เบซเบฒเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบเปˆเบญเบ 10.10.10.0/24 เปƒเบ™เบชเบฒเบ‚เบฒ. เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เปœเบถเปˆเบ‡เปƒเบŠเป‰ Tunnel-1, เบญเบตเบ Tunnel-2. เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบœเปˆเบฒเบ™ Tunnel-1 เปเบกเปˆเบ™เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบ•เบปเป‰เบ™เบ•เปเป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบงเปˆเบฒเบกเบฑเบ™เบกเบต metric เบ•เปˆเปเบฒ. เบเบปเบ™เป„เบ เบเบฒเบ™เบ•เบดเบ”เบ•เบฒเบกเป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡ เบšเปเปˆเป„เบ”เป‰เปƒเบŠเป‰เบชเปเบฒเบฅเบฑเบšเป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰. เบฎเบฑเบšเบœเบดเบ”เบŠเบญเบšเบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบ›เปˆเบฝเบ™ เบˆเปเบžเบฒเบšเบญเบธเป‚เบกเบ‡.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡เบ”เบฝเบงเบเบฑเบ™เบชเปเบฒเบฅเบฑเบšเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบเปˆเบญเบ 192.168.30.0/24 เบˆเปเบฒเป€เบ›เบฑเบ™เบ•เป‰เบญเบ‡เป„เบ”เป‰เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเปƒเบ™ PA-2.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

โ€ข เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบเบปเบ”เบฅเบฐเบšเบฝเบšเป€เบ„เบทเบญเบ‚เปˆเบฒเบ

เป€เบžเบทเปˆเบญเปƒเบซเป‰เบญเบธเป‚เบกเบ‡เป€เบฎเบฑเบ”เบงเบฝเบ, เบชเบฒเบกเบเบปเบ”เบฅเบฐเบšเบฝเบšเปเบกเปˆเบ™เบˆเปเบฒเป€เบ›เบฑเบ™:

  1. เบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบ เบ•เบดเบ”เบ•เบฒเบกเป€เบชเบฑเป‰เบ™เบ—เบฒเบ‡ เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰ ICMP เปƒเบ™เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบžเบฒเบเบ™เบญเบ.
  2. เป„เบ› IPsec เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เปเบญเบฑเบšเบฏ ike ะธ ipsec เปƒเบ™เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบžเบฒเบเบ™เบญเบ.
  3. เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบกเบตเบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบเปˆเบญเบเบžเบฒเบเปƒเบ™ เปเบฅเบฐเบญเบดเบ™เป€เบ•เบตเป€เบŸเบ”เบญเบธเป‚เบกเบ‡.

เบ•เบฑเป‰เบ‡เบ„เปˆเบฒ IPSec Site-to-Site VPN เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Palo Alto Networks

เบชเบฐเบซเบฅเบธเบš

เบšเบปเบ”โ€‹เบ„เบงเบฒเบกโ€‹เบ™เบตเป‰โ€‹เบ›เบถเบโ€‹เบชเบฒโ€‹เบซเบฒโ€‹เบฅเบทโ€‹เบ—เบฒเบ‡โ€‹เป€เบฅเบทเบญเบโ€‹เบ‚เบญเบ‡โ€‹เบเบฒเบ™โ€‹เบ•เบฑเป‰เบ‡โ€‹เบ„เปˆเบฒโ€‹เบเบฒเบ™โ€‹เป€เบŠเบทเปˆเบญเบกโ€‹เบ•เปเปˆโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹เบ„เบงเบฒเบกโ€‹เบœเบดเบ”โ€‹เบžเบฒเบ”โ€‹เบ—เบปเบ™โ€‹เบ—เบฒเบ™โ€‹เบ•เปเปˆโ€‹เปเบฅเบฐโ€‹ เป€เบงเบšเป„เบŠเบ—เปŒเป„เบ›เบซเบฒ Site VPN. เบžเบงเบเป€เบฎเบปเบฒเบซเบงเบฑเบ‡เบงเปˆเบฒเบ‚เปเป‰เบกเบนเบ™เบ—เบตเปˆเป€เบ›เบฑเบ™เบ›เบฐเป‚เบซเบเบ”เปเบฅเบฐเบœเบนเป‰เบญเปˆเบฒเบ™เป„เบ”เป‰เบฎเบฑเบšเบ„เบงเบฒเบกเบ„เบดเบ”เบเปˆเบฝเบงเบเบฑเบšเป€เบ•เบฑเบเป‚เบ™เป‚เบฅเบขเบตเบ—เบตเปˆเปƒเบŠเป‰เปƒเบ™ Palo Alto Networks. เบ–เป‰เบฒเบ—เปˆเบฒเบ™เบกเบตเบ„เปเบฒเบ–เบฒเบกเบเปˆเบฝเบงเบเบฑเบšเบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡เปเบฅเบฐเบ„เปเบฒเปเบ™เบฐเบ™เปเบฒเบเปˆเบฝเบงเบเบฑเบšเบซเบปเบงเบ‚เปเป‰เบชเปเบฒเบฅเบฑเบšเบšเบปเบ”เบ„เบงเบฒเบกเปƒเบ™เบญเบฐเบ™เบฒเบ„เบปเบ”, เบ‚เบฝเบ™เปƒเบซเป‰เป€เบ‚เบปเบฒเป€เบˆเบปเป‰เบฒเปƒเบ™เบ„เปเบฒเป€เบซเบฑเบ™, เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเบเบดเบ™เบ”เบตเบ—เบตเปˆเบˆเบฐเบ•เบญเบš.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: www.habr.com

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™