Šis straipsnis yra tęsinys skirta įrangos nustatymo specifikai Palo Alto tinklai . Čia norime pakalbėti apie sąranką „IPSec Site-to-Site“ VPN ant įrangos Palo Alto tinklai ir apie galimą konfigūracijos parinktį prijungiant kelis interneto tiekėjus.
Demonstracijai bus naudojama standartinė pagrindinės buveinės prijungimo prie filialo schema. Siekdama užtikrinti gedimams atsparų interneto ryšį, pagrindinė buveinė vienu metu naudoja dviejų tiekėjų ryšį: ISP-1 ir ISP-2. Filialas turi ryšį tik su vienu teikėju – IPT-3. Tarp ugniasienių PA-1 ir PA-2 nutiesti du tuneliai. Tuneliai veikia režimu Aktyvus budėjimo režimas,Tunnel-1 aktyvus, Tunelis-2 pradės perduoti srautą, kai tunelis-1 sugenda. Tunelis-1 naudoja ryšį su ISP-1, o tunelis-2 naudoja ryšį su ISP-2. Visi IP adresai yra atsitiktinai generuojami demonstravimo tikslais ir neturi ryšio su realybe.
Kuriant „Site-to-Site“ bus naudojamas VPN IPsec — protokolų rinkinys, užtikrinantis per IP perduodamų duomenų apsaugą. IPsec veiks naudojant saugos protokolą ESP (Encapsulating Security Payload), kuri užtikrins perduodamų duomenų šifravimą.
В IPsec входит IKE (Internet Key Exchange) yra protokolas, atsakingas už derybas dėl SA (saugumo asociacijų), saugumo parametrų, kurie naudojami perduodamiems duomenims apsaugoti. PAN ugniasienės palaikymas IKEv1 и IKEv2.
В IKEv1 VPN ryšys kuriamas dviem etapais: IKEv1 1 etapas (IKE tunelis) ir IKEv1 2 etapas (IPSec tunelis), tokiu būdu sukuriami du tuneliai, kurių vienas naudojamas paslaugų informacijos mainams tarp užkardų, antrasis eismo perdavimui. IN IKEv1 1 etapas Yra du darbo režimai – pagrindinis ir agresyvus režimas. Agresyvus režimas naudoja mažiau pranešimų ir yra greitesnis, tačiau nepalaiko lygiaverčių tapatybės apsaugos.
IKEv2 pakeistas IKEv1, ir palyginti su IKEv1 jo pagrindinis privalumas yra mažesni pralaidumo reikalavimai ir greitesnės SA derybos. IN IKEv2 Naudojama mažiau paslaugų pranešimų (iš viso 4), palaikomi EAP ir MOBIKE protokolai, taip pat buvo pridėtas mechanizmas, leidžiantis patikrinti partnerio, su kuriuo kuriamas tunelis, prieinamumą. Gyvumo patikrinimas, pakeičiantis „Dead Peer Detection“ IKEv1. Jei patikrinimas nepavyks, tada IKEv2 gali iš naujo nustatyti tunelį ir automatiškai jį atkurti esant pirmai progai. Galite sužinoti daugiau apie skirtumus .
Jei tunelis yra pastatytas tarp skirtingų gamintojų ugniasienės, diegime gali būti klaidų IKEv2, o suderinamumui su tokia įranga galima naudoti IKEv1. Kitais atvejais geriau naudoti IKEv2.
Sąrankos žingsniai:
• Dviejų interneto tiekėjų konfigūravimas aktyviu budėjimo režimu
Yra keletas būdų, kaip įgyvendinti šią funkciją. Vienas iš jų yra mechanizmo naudojimas Kelio stebėjimas, kuri tapo prieinama nuo versijos PAN-OS 8.0.0. Šiame pavyzdyje naudojama 8.0.16 versija. Ši funkcija panaši į Cisco maršrutizatorių IP SLA. Statinis numatytasis maršruto parametras sukonfigūruoja ping paketų siuntimą į konkretų IP adresą iš konkretaus šaltinio adreso. Tokiu atveju ethernet1/1 sąsaja vieną kartą per sekundę siunčia numatytąjį šliuzą. Jei neatsakoma į tris pingus iš eilės, maršrutas laikomas neveikiančiu ir pašalintas iš maršruto lentelės. Tas pats maršrutas sukonfigūruotas link antrojo interneto tiekėjo, bet su aukštesne metrika (tai atsarginis). Kai pirmasis maršrutas bus pašalintas iš lentelės, ugniasienė pradės siųsti srautą per antrąjį maršrutą Fail-Over. Kai pirmasis teikėjas pradės reaguoti į pingus, jo maršrutas grįš į lentelę ir pakeis antrąjį dėl geresnės metrikos – Fail-Back. Procesas Fail-Over užtrunka kelias sekundes, priklausomai nuo sukonfigūruotų intervalų, tačiau bet kuriuo atveju procesas nėra akimirksniu ir per tą laiką prarandamas srautas. Fail-Back pravažiuoja neprarandant eismo. Yra galimybė padaryti Fail-Over greičiau, su BFD, jei interneto tiekėjas suteikia tokią galimybę. BFD palaikoma pradedant nuo modelio PA-3000 serija и VM-100. Kaip ping adresą geriau nurodyti ne tiekėjo šliuzą, o viešą, visada pasiekiamą interneto adresą.
• Tunelio sąsajos sukūrimas
Eismas tunelio viduje perduodamas specialiomis virtualiomis sąsajomis. Kiekvienas iš jų turi būti sukonfigūruotas su IP adresu iš tranzito tinklo. Šiame pavyzdyje 1/172.16.1.0 pastotė bus naudojama tuneliui-30, o pastotė 2/172.16.2.0 bus naudojama tuneliui-30.
Skyriuje sukuriama tunelio sąsaja Tinklas -> Sąsajos -> Tunelis. Turite nurodyti virtualų maršrutizatorių ir saugos zoną, taip pat IP adresą iš atitinkamo transporto tinklo. Sąsajos numeris gali būti bet koks.
Skyriuje pažangus galima nurodyti Valdymo profiliskuri leis ping tam tikroje sąsajoje, tai gali būti naudinga testuojant.
• IKE profilio nustatymas
IKE profilis yra atsakingas už pirmąjį VPN ryšio sukūrimo etapą, čia nurodyti tunelio parametrai IKE 1 etapas. Profilis sukuriamas skiltyje Tinklas -> Tinklo profiliai -> IKE Crypto. Būtina nurodyti šifravimo algoritmą, maišos algoritmą, Diffie-Hellman grupę ir rakto tarnavimo laiką. Apskritai, kuo sudėtingesni algoritmai, tuo prastesnis jų našumas; jie turėtų būti parinkti pagal konkrečius saugumo reikalavimus. Tačiau griežtai nerekomenduojama naudoti Diffie-Hellman grupės, jaunesnės nei 14 metų, siekiant apsaugoti neskelbtiną informaciją. Taip yra dėl protokolo pažeidžiamumo, kurį galima sumažinti tik naudojant 2048 bitų ir didesnius modulius arba elipsinius kriptografijos algoritmus, kurie naudojami 19, 20, 21, 24 grupėse. Šie algoritmai turi didesnį našumą, palyginti su tradicinė kriptografija. . Ir .
• IPSec profilio nustatymas
Antrasis VPN ryšio kūrimo etapas yra IPSec tunelis. Jam skirti SA parametrai sukonfigūruoti Tinklas -> Tinklo profiliai -> IPSec Crypto Profile. Čia reikia nurodyti IPSec protokolą - AH arba ESP, taip pat parametrus SA - maišos algoritmai, šifravimas, Diffie-Hellman grupės ir rakto veikimo laikas. SA parametrai IKE Crypto Profile ir IPSec Crypto Profile gali būti ne tokie patys.
• IKE šliuzo konfigūravimas
IKE vartai - tai objektas, nurodantis maršrutizatorių arba ugniasienę, su kuria yra sukurtas VPN tunelis. Kiekvienam tuneliui reikia sukurti savo IKE vartai. Tokiu atveju sukuriami du tuneliai, po vieną per kiekvieną interneto tiekėją. Nurodoma atitinkama siunčiama sąsaja ir jos IP adresas, lygiaverčio IP adresas ir bendrinamas raktas. Sertifikatai gali būti naudojami kaip alternatyva bendrajam raktui.
Čia nurodytas anksčiau sukurtas IKE kriptovaliutų profilis. Antrojo objekto parametrai IKE vartai panašus, išskyrus IP adresus. Jei Palo Alto Networks ugniasienė yra už NAT maršrutizatoriaus, turite įjungti mechanizmą NAT Traversal.
• IPSec tunelio nustatymas
IPSec tunelis yra objektas, nurodantis IPSec tunelio parametrus, kaip rodo pavadinimas. Čia reikia nurodyti tunelio sąsają ir anksčiau sukurtus objektus IKE vartai, IPSec kriptovaliutų profilis. Norėdami užtikrinti automatinį maršruto perjungimą į atsarginį tunelį, turite įjungti Tunelio monitorius. Tai mechanizmas, tikrinantis, ar bendraamžis gyvas, naudodamas ICMP srautą. Kaip paskirties adresą turite nurodyti partnerio, su kuriuo kuriamas tunelis, tunelio sąsajos IP adresą. Profilyje nurodyti laikmačiai ir tai, ką daryti, jei ryšys nutrūksta. Palaukite, atsigaukite – palaukite, kol ryšys bus atkurtas, Fail Over — siųsti eismą kitu maršrutu, jei įmanoma. Antrojo tunelio nustatymas yra visiškai panašus; nurodyta antrojo tunelio sąsaja ir IKE šliuzas.
• Maršruto nustatymas
Šiame pavyzdyje naudojamas statinis maršrutas. PA-1 ugniasienėje, be dviejų numatytųjų maršrutų, šakoje turite nurodyti du maršrutus į 10.10.10.0/24 potinklį. Viename maršrute naudojamas tunelis-1, kitas – tunelis-2. Maršrutas per tunelį-1 yra pagrindinis, nes jo metrika yra žemesnė. Mechanizmas Kelio stebėjimas nenaudojami šiems maršrutams. Atsakingas už perjungimą Tunelio monitorius.
Tuos pačius potinklio 192.168.30.0/24 maršrutus reikia sukonfigūruoti PA-2.
• Tinklo taisyklių nustatymas
Kad tunelis veiktų, reikia trijų taisyklių:
- Darbui Kelio monitorius Leisti ICMP išorinėse sąsajose.
- Už IPsec leisti programas ike и ipsec išorinėse sąsajose.
- Leisti srautą tarp vidinių potinklių ir tunelio sąsajų.
išvada
Šiame straipsnyje aptariama galimybė nustatyti gedimams atsparų interneto ryšį ir Svetainių VPN. Tikimės, kad informacija buvo naudinga ir skaitytojas suprato apie naudojamas technologijas Palo Alto tinklai. Jei turite klausimų apie sąranką ir pasiūlymų būsimų straipsnių temomis, rašykite juos komentaruose, mielai atsakysime.
Šaltinis: www.habr.com