Ity lahatsoratra ity dia tohiny natokana ho an'ny fametrahana fitaovana manokana Palo Alto Networks . Eto isika dia te hiresaka momba ny fananganana IPSec Site-to-Site VPN amin'ny fitaovana Palo Alto Networks ary momba ny safidy fanamboarana mety hampifandraisana ireo mpamatsy aterineto maromaro.
Ho an'ny fihetsiketsehana, dia hampiasaina ny rafitra manara-penitra hampifandray ny foibe amin'ny sampana. Mba hanomezana fifandraisana amin'ny Internet mahazaka fahadisoana, ny birao foibe dia mampiasa fifandraisana simultaneous amin'ny mpamatsy roa: ISP-1 sy ISP-2. Ny sampana dia manana fifandraisana amin'ny mpamatsy iray ihany, ISP-3. Tonelina roa no aorina eo anelanelan'ny firewall PA-1 sy PA-2. Ny tonelina dia miasa amin'ny fomba Active-Stanby, Mavitrika ny Tunnel-1, manomboka mandefa fifamoivoizana ny Tunnel-2 rehefa tsy nahomby ny Tunnel-1. Ny Tunnel-1 dia mampiasa fifandraisana amin'ny ISP-1, ny Tunnel-2 dia mampiasa fifandraisana amin'ny ISP-2. Ny adiresy IP rehetra dia noforonina ho an'ny tanjona fihetsiketsehana ary tsy misy ifandraisany amin'ny zava-misy.
Ny fananganana Site-to-Site VPN dia hampiasaina IPsec β andiana protocole hiantohana ny fiarovana ny angona ampitaina amin'ny alalan'ny IP. IPsec dia hiasa amin'ny fampiasana protocole fiarovana ESP (Encapsulating Security Payload), izay hiantoka ny fanafenana ny angona ampitaina.
Π IPsec miditra IKE (Internet Key Exchange) dia protocole tompon'andraikitra amin'ny fifampiraharahana SA (fikambanan'ny fiarovana), masontsivana fiarovana izay ampiasaina hiarovana ny angon-drakitra alefa. Fanohanana ny firewalls PAN IKEv1 ΠΈ IKEv2.
Π IKEv1 Ny fifandraisana VPN dia naorina amin'ny dingana roa: IKEv1 Dingana 1 (Tunnel IKE) ary IKEv1 Dingana 2 (IPSec tunnel), noho izany, tonelina roa no noforonina, ny iray dia ampiasaina amin'ny fifanakalozam-baovao momba ny serivisy eo amin'ny firewall, ny faharoa ho an'ny fifindrana fifamoivoizana. IN IKEv1 Dingana 1 Misy fomba fiasa roa - fomba lehibe sy fomba mahery vaika. Mampiasa hafatra vitsy kokoa sy haingana kokoa ny maody mahery setra, saingy tsy manohana ny fiarovana ny maha-mpitarika azy.
IKEv2 nosoloana IKEv1, ary ampitahaina amin'ny IKEv1 Ny tombony lehibe indrindra dia ny fitakiana bandwidth ambany kokoa sy ny fifampiraharahana SA haingana kokoa. IN IKEv2 Vitsy kokoa ny hafatra momba ny serivisy ampiasaina (4 amin'ny fitambarany), ny protocols EAP sy MOBIKE no tohanana, ary nampiana mekanika hanamarinana ny fisian'ny peer izay namoronana ny tonelina - Liveness Check, manolo ny Dead Peer Detection ao amin'ny IKEv1. Raha tsy mahomby ny fanamarinana dia IKEv2 afaka mamerina ny tonelina ary mamerina azy ho azy amin'ny fotoana voalohany. Afaka mianatra bebe kokoa momba ny fahasamihafana ianao .
Raha misy tonelina aorina eo anelanelan'ny firewall avy amin'ny mpanamboatra samihafa, dia mety hisy bibikely amin'ny fampiharana IKEv2, ary mba hifanaraka amin'ny fitaovana toy izany dia azo ampiasaina IKEv1. Amin'ny toe-javatra hafa dia tsara kokoa ny mampiasa IKEv2.
Dingana fanamboarana:
β’ Fanamboarana mpanome aterineto roa amin'ny fomba ActiveStandby
Misy fomba maro hampiharana io asa io. Ny iray amin'izy ireo dia ny fampiasana ny mekanika Fanaraha-maso ny lalana, izay nanjary azo nanomboka tamin'ny dikan-teny PAN-OS 8.0.0. Ity ohatra ity dia mampiasa version 8.0.16. Ity endri-javatra ity dia mitovy amin'ny IP SLA amin'ny router Cisco. Ny mari-pamantarana lalana static default dia manitsy ny fandefasana fonosana ping amin'ny adiresy IP manokana avy amin'ny adiresy loharano manokana. Amin'ity tranga ity, ny interface ethernet1/1 ping ny vavahady default indray mandeha isan-tsegondra. Raha tsy misy valiny amin'ny ping in-telo misesy, dia heverina ho tapaka ilay lalana ary nesorina tamin'ny latabatra fitetezana. Io lalana io ihany no amboarina mankany amin'ny mpamatsy Aterineto faharoa, saingy miaraka amin'ny metrika avo kokoa (ny backup izany). Raha vao nesorina teo amin'ny latabatra ny zotra voalohany, dia hanomboka handefa fifamoivoizana amin'ny lalana faharoa ny rindrin'afo β Fail-Over. Rehefa manomboka mamaly ping ny mpamatsy voalohany dia hiverina amin'ny latabatra ny lalany ary hanolo ny faharoa noho ny metrika tsara kokoa - Fail-Back. DINGANA Fail-Over maka segondra vitsy miankina amin'ny elanelam-potoana voaendrika, fa, na ahoana na ahoana, ny dingana dia tsy eo noho eo, ary nandritra izany fotoana izany dia very ny fifamoivoizana. Fail-Back mandalo tsy misy fahaverezan'ny fifamoivoizana. Misy ny fahafahana manao Fail-Over haingana kokoa, miaraka amin'ny B.F.D., raha manome fahafahana toy izany ny mpamatsy aterineto. B.F.D. tohana manomboka amin'ny modely PA-3000 Series ΠΈ VM-100. Tsara kokoa ny tsy mamaritra ny vavahadin'ny mpamatsy ho adiresy ping, fa adiresy Internet azo idirana foana.
β’ Mamorona interface tsara tonelina
Ampitaina amin'ny alalan'ny fifandraisana virtoaly manokana ny fifamoivoizana ao anatin'ilay tonelina. Ny tsirairay amin'izy ireo dia tsy maintsy amboarina amin'ny adiresy IP avy amin'ny tambajotra fitaterana. Amin'ity ohatra ity, ny substation 1/172.16.1.0 dia hampiasaina amin'ny Tunnel-30, ary ny substation 2/172.16.2.0 dia hampiasaina amin'ny Tunnel-30.
Ny interface tonelina dia noforonina ao amin'ny fizarana Network -> Interfaces -> Tonelina. Tsy maintsy mamaritra ny router virtoaly sy ny faritra fiarovana, ary koa ny adiresy IP avy amin'ny tambajotra fitaterana mifanaraka aminy. Ny laharan'ny interface dia mety ho na inona na inona.
fizarana Advanced azo faritana Profile fitantananaizay mamela ny ping amin'ny interface nomena, mety ilaina amin'ny fitsapana izany.
β’ Fametrahana ny mombamomba ny IKE
IKE profil dia tompon'andraikitra amin'ny dingana voalohany amin'ny famoronana fifandraisana VPN; voafaritra eto ny mari-pamantarana tonelina IKE Phase 1. Ny mombamomba dia noforonina ao amin'ny fizarana Network -> Network Profiles -> IKE Crypto. Ilaina ny mamaritra ny algorithm encryption, ny algorithm hashing, ny vondrona Diffie-Hellman ary ny fiainana manan-danja. Amin'ny ankapobeny, arakaraky ny sarotra kokoa ny algorithm, ny ratsy kokoa ny zava-bita; tokony hofantenana izy ireo mifototra amin'ny fepetra fiarovana manokana. Na izany aza, tsy voatery hampiasa vondrona Diffie-Hellman latsaky ny 14 taona mba hiarovana ny vaovao saro-pady. Izany dia noho ny vulnerability ny protocole, izay tsy azo atao afa-tsy amin'ny alalan'ny fampiasana ny haben'ny module 2048 bits sy ambony kokoa, na elliptic cryptography algorithms, izay ampiasaina amin'ny vondrona 19, 20, 21, 24. Ireo algorithms dia manana fampisehoana lehibe kokoa raha oharina amin'ny cryptography nentim-paharazana. . ary .
β’ Fametrahana ny mombamomba ny IPSec
Ny dingana faharoa amin'ny famoronana fifandraisana VPN dia tonelina IPSec. Ny paramètre SA ho azy dia voafefy ao Network -> Network Profile -> IPSec Crypto Profile. Eto ianao dia mila mamaritra ny protocol IPSec - AH na ESP, ary koa ny paramètre SA - algorithm hashing, encryption, vondrona Diffie-Hellman ary ny androm-piainana lehibe. Ny mari-pamantarana SA ao amin'ny IKE Crypto Profile sy IPSec Crypto Profile dia mety tsy mitovy.
β’ Fanamboarana IKE Gateway
IKE Gateway - zavatra iray izay manondro router na firewall izay misy tonelina VPN. Ho an'ny tonelina tsirairay dia mila mamorona ny anao manokana ianao IKE Gateway. Amin'ity tranga ity, tonelina roa no noforonina, iray avy amin'ny mpamatsy Internet tsirairay. Aseho ny interface mivoaka mifanaraka amin'izany sy ny adiresy IP-ny, ny adiresin'ny peer IP ary ny fanalahidy iombonana. Ny mari-pankasitrahana dia azo ampiasaina ho solon'ny fanalahidy iombonana.
Ny noforonina teo aloha dia aseho eto IKE Crypto Profile. Parameteran'ny zavatra faharoa IKE Gateway mitovy, afa-tsy ny adiresy IP. Raha toa ka ao ambadiky ny router NAT no misy ny firewall Palo Alto Networks, dia mila mamela ny mekanika ianao NAT Traversal.
β’ Fametrahana IPSec Tunnel
IPSec Tunnel dia zavatra iray izay mamaritra ny mari-pamantarana tonelina IPSec, araka ny soso-kevitry ny anarana. Eto dia mila mamaritra ny interface tsara tonelina sy ny zavatra noforonina teo aloha IKE Gateway, IPSec Crypto Profile. Mba hiantohana ny fifindran'ny lalana mandeha ho azy mankany amin'ny tonelina backup, dia tsy maintsy alefanao Tonelina Monitor. Ity dia mekanika manamarina raha velona ny mpiara-mianatra iray amin'ny alΓ lan'ny fifamoivoizana ICMP. Amin'ny maha-adiresy ahatongavana azy dia mila mamaritra ny adiresy IP an'ny tonelina interface tsara amin'ny mpiara-dia amin'ny fananganana ny tonelina ianao. Ny mombamomba dia mamaritra ny fameram-potoana sy ny tokony hatao raha very ny fifandraisana. Andraso sitrana - miandry mandra-pamerenana ny fifandraisana, Fail Over - mandefa fifamoivoizana amin'ny lalana hafa, raha misy. Mitovitovy tanteraka ny fametrahana ny tonelina faharoa; voatondro ny interface tsara tonelina faharoa sy ny IKE Gateway.
β’ Fametrahana zotra
Ity ohatra ity dia mampiasa lalana static. Ao amin'ny firewall PA-1, ankoatry ny lalana roa default, dia mila mamaritra lalana roa mankany amin'ny subnet 10.10.10.0/24 ao amin'ny sampana ianao. Ny lalana iray dia mampiasa Tunnel-1, ny iray hafa Tunnel-2. Ny lalana mamakivaky ny Tunnel-1 no lehibe indrindra satria manana metrika ambany kokoa izy. rafitra Fanaraha-maso ny lalana tsy ampiasaina amin'ireo lalana ireo. Tompon'andraikitra amin'ny fifindrana Tonelina Monitor.
Ny lalana mitovy amin'ny subnet 192.168.30.0/24 dia mila amboarina amin'ny PA-2.
β’ Fametrahana fitsipika tambajotra
Mba hiasa ny tonelina dia ilaina ny fitsipika telo:
- To work Path Monitor Avelao ny ICMP amin'ny interface ivelany.
- ho an'ny IPsec mamela fampiharana Ike ΠΈ ipsec amin'ny interface ivelany.
- Avelao ny fifamoivoizan'ny sobika anatiny sy ny fifandraisan'ny tonelina.
famaranana
Ity lahatsoratra ity dia miresaka momba ny safidy amin'ny fametrahana fifandraisana Internet mahazaka fahadisoana ary Site-to-Site VPN. Manantena izahay fa nahasoa ny fampahalalana ary nahazo hevitra momba ny teknolojia ampiasaina ny mpamaky Palo Alto Networks. Raha manana fanontaniana momba ny fametrahana sy soso-kevitra momba ny lohahevitra ho an'ny lahatsoratra ho avy ianao dia soraty ao amin'ny fanehoan-kevitra, faly izahay hamaly.
Source: www.habr.com