He korero tonu tenei tuhinga i whakatapua ki nga waahanga o te whakarite taputapu Palo Alto Networks . I konei e hiahia ana matou ki te korero mo te tatūnga IPSec Pae-ki-Pae VPN i runga i nga taputapu Palo Alto Networks me tetahi whiringa whirihoranga pea mo te hono atu i etahi kaiwhakarato Ipurangi.
Mo te whakaaturanga, ka whakamahia he kaupapa paerewa mo te hono i te tari matua ki te peka. Hei whakarato i tetahi hononga Ipurangi he-kore, ka whakamahia e te tari matua he hononga tukutahi o nga kaiwhakarato e rua: ISP-1 me ISP-2. He hononga to te peka ki te kaiwhakarato kotahi, ISP-3. E rua nga kauhanga ka hangaia i waenga i nga papaahi PA-1 me PA-2. Ka mahi nga kauhanga i roto i te aratau Hohe-Tatatari, Kei te kaha a Tunnel-1, Ka timata a Tunnel-2 ki te tuku waka ina rahua a Tunnel-1. Ka whakamahia e Tunnel-1 tetahi hononga ki te ISP-1, ka whakamahi a Tunnel-2 i tetahi hononga ki te ISP-2. Ko nga wahitau IP katoa he mea hanga matapōkeretia mo nga kaupapa whakaaturanga, kaore he hononga ki te mooni.
Hei hanga i tetahi VPN Pae-ki-Pae ka whakamahia IPsec — he huinga kawa hei whakarite i te whakamarumaru o nga raraunga ka tukuna ma te IP. IPsec ka mahi ma te whakamahi i te kawa haumarutanga ESP (Encapsulating Security Payload), e whakarite whakamunatanga o nga raraunga tuku.
В IPsec tomo Ike (Internet Key Exchange) he kawa te kawenga mo te whiriwhiringa SA (nga hononga haumaru), nga tawhā haumarutanga e whakamahia ana hei tiaki i nga raraunga tuku. Tautoko PAN pātūahi IKEv1 и IKEv2.
В IKEv1 Ka hangaia he hononga VPN i roto i nga waahanga e rua: IKEv1 Wāhanga 1 (IKE tunnel) me IKEv1 Wāhanga 2 (IPSec tunnel), na, e rua nga waahanga ka hangaia, ko tetahi o enei ka whakamahia mo te whakawhiti korero ratonga i waenga i nga papaahi, ko te tuarua mo te tuku waka. IN IKEv1 Wāhanga 1 E rua nga tikanga whakahaere - aratau matua me te aratau kaitaa. He iti ake nga karere ka whakamahia e te aratau pukuriri, he tere ake, engari kaore i te tautoko i te Tiaki Tuakiri Hoa.
IKEv2 i haere mai ki te whakakapi IKEv1, ka whakaritea ki IKEv1 Ko tana painga nui he iti ake nga whakaritenga bandwidth me te tere ake o te whiriwhiringa SA. IN IKEv2 He iti ake nga karere ratonga e whakamahia ana (e 4 katoa), ka tautokohia nga kawa EAP me MOBIKE, a kua taapirihia he tikanga hei tirotiro i te waatea o te hoa i hangaia ai te kohanga - Tirohanga Ora, ka whakakapi i te Tirohanga Hoa Mate i IKEv1. Ki te rahua te haki, na IKEv2 Ka taea te tautuhi i te kauhanga katahi ka whakahoki aunoa i te waa tuatahi. Ka taea e koe te ako atu mo nga rereketanga .
Mena ka hangaia he kohanga i waenga i nga paahi ahi mai i nga kaihanga rereke, tera pea he hapa kei roto i te whakatinanatanga IKEv2, a mo te hototahi ki aua taputapu ka taea te whakamahi IKEv1. I etahi atu take he pai ake te whakamahi IKEv2.
Nga mahi tatūnga:
• Te whirihora i nga kaiwhakarato Ipurangi e rua ki te aratau ActiveStandby
He maha nga huarahi hei whakatinana i tenei mahi. Ko tetahi o ratou ko te whakamahi i te miihini Aroturuki Ara, i waatea mai i te putanga PAN-OS 8.0.0. Ka whakamahia e tenei tauira te putanga 8.0.16. He rite tenei ahuatanga ki te IP SLA i roto i nga pouara Cisco. Ko te tawhā ara taunoa pateko e whirihora ana i te tuku paatete ping ki tetahi wahitau IP motuhake mai i tetahi wahitau puna motuhake. I roto i tenei take, te atanga ethernet1/1 pings te kuwaha taunoa kotahi ia hēkona. Mena karekau he whakautu ki nga ping e toru i te rarangi, ka kiia te huarahi kua pakaru, ka tangohia mai i te ripanga ararere. Ko te ara ano kua whirihorahia ki te kaiwhakarato Ipurangi tuarua, engari he ine teitei ake (he mea taapiri). Ina tangohia te ara tuatahi mai i te ripanga, ka timata te paahi ahi ki te tuku waka ma te ara tuarua − Rahunga-Kua. Ka timata te kaiwhakarato tuatahi ki te whakautu ki nga pings, ka hoki tona ara ki te tepu ka whakakapi i te tuarua na te mea he pai ake te ine - Rahua-Hoki. Tukanga Rahunga-Kua he torutoru hēkona i runga i nga waahi kua whirihorahia, engari, ahakoa he aha, kaore i te wa tonu te mahi, a i tenei wa ka ngaro nga waka. Rahua-Hoki ka haere me te kore e ngaro te waka. He whai waahi ki te mahi Rahunga-Kua tere ake, me B.F.D., ki te whakaratohia e te kaiwhakarato Ipurangi he waahi penei. B.F.D. tautoko mai i te tauira PA-3000 Series и VM-100. He pai ake kia kaua e kii te kuaha o te kaiwhakarato hei wahitau ping, engari he wahitau Ipurangi mo te iwi, ka uru tonu.
• Te hanga atanga kauhanga
Ko nga waka i roto i te kauhanga ka tukuna ma nga atanga mariko motuhake. Me whirihora ia o ratou me tetahi wahitau IP mai i te whatunga whakawhiti. I tenei tauira, ka whakamahia te teihana 1/172.16.1.0 mo Tunnel-30, ka whakamahia te teihana 2/172.16.2.0 mo Tunnel-30.
Ka hangaia te atanga kauhanga i te waahanga Whatunga -> Atanga -> Tunnel. Me tohu e koe he pouara mariko me te rohe haumarutanga, me tetahi wahitau IP mai i te whatunga kawe waka. Ka taea e te tau atanga tetahi mea.
wāhanga Arā ka taea te tohu Kōtaha Whakahaereka taea te ping ki runga i te atanga kua homai, ka whai hua pea tenei mo te whakamatautau.
• Te whakatu IKE Profile
Kōtaha IKE kei a ia te kawenga mo te wahanga tuatahi o te hanga hononga VPN; kua tohua ki konei nga tawhā kauhanga IKE Wāhanga 1. Ka hangaia te kōtaha ki te waahanga Whatunga -> Kōtaha Whatunga -> IKE Crypto. He mea tika ki te tautuhi i te algorithm whakamunatanga, te hashing algorithm, te roopu Diffie-Hellman me te oranga matua. I te nuinga o te waa, ko te uaua ake o nga algorithms, ko te kino o te mahi; me whiriwhiri i runga i nga whakaritenga haumarutanga motuhake. Heoi, kaore i te tino tūtohutia kia whakamahia he roopu Diffie-Hellman i raro iho i te 14 hei tiaki i nga korero tairongo. Ko tenei na te whakaraeraetanga o te kawa, ka taea anake te whakaiti ma te whakamahi i nga rahi o nga waahanga o te 2048 bits me te teitei ake, te elliptic cryptography algorithms, e whakamahia ana i roto i nga roopu 19, 20, 21, 24. He nui ake te mahi o enei algorithms ki te whakataurite ki tuhinga tuhi tuku iho. . A .
• Te whakatu i te IPSec Profile
Ko te waahanga tuarua o te hanga hononga VPN he kauhanga IPSec. Kua whirihorahia nga tawhā SA Whatunga -> Whatunga Whatunga -> IPSec Crypto Profile. I konei me tohu koe i te kawa IPSec - AH ranei ESP, me nga tawhā SA — Hashing algorithms, whakamunatanga, roopu Diffie-Hellman me te oranga matua. Ko nga tohu SA i roto i te IKE Crypto Profile me te IPSec Crypto Profile kaore pea i te rite.
• Te whirihora IKE Gateway
IKE Gateway - he ahanoa tenei e tohu ana i te pouara, i te paahi ahi ranei e hanga ana he kauhanga VPN. Mo ia kohanga me hanga e koe ake IKE Gateway. I roto i tenei take, e rua nga kauhanga ka hangaia, kotahi ma ia kaiwhakarato Ipurangi. Ka tohuhia te atanga putaatu me tona wahitau IP, te wahitau IP hoa, me te taviri tiritahi. Ka taea te whakamahi i nga Tiwhikete hei whakakapi ki te kii tiritahi.
Ko te mea i hanga i mua ka tohua ki konei IKE Crypto Profile. Tawhā o te ahanoa tuarua IKE Gateway he rite, engari mo nga wahitau IP. Mena kei muri te papaahi o Palo Alto Networks i muri i te pouara NAT, katahi ka taea e koe te mahi NAT Traversal.
• Te whakatu IPSec Tunnel
IPSec Tunnel he ahanoa e tohu ana i nga tawhā kauhanga IPSec, e ai ki te ingoa. I konei me tohu koe i te atanga kauhanga me nga mea i hangaia i mua IKE Gateway, IPSec Crypto Profile. Hei whakarite i te huri aunoa o te ararere ki te kauhanga taapiri, me whakahohe koe Aroturuki Tunnel. He tikanga tenei hei tirotiro mena kei te ora tetahi hoa ma te whakamahi i nga waka ICMP. Hei wāhitau ūnga, me whakapūtā koe i te wāhitau IP o te atanga kauhanga o te hoa e hanga ana te kauhanga. Ka tohua e te kōtaha nga taima me te mahi ina ngaro te hononga. Tatari Whakaora – tatari kia whakahokia mai te hononga, Rahua — tuku waka ma te ara rereke, mena e waatea ana. He rite tonu te whakatuu i te kauhanga tuarua; kua tohua te atanga kohanga tuarua me te IKE Gateway.
• Te whakarite ararere
Ka whakamahia e tenei tauira te ararere pateko. I runga i te papaahi PA-1, i tua atu i nga huarahi taunoa e rua, me tohu e koe nga huarahi e rua ki te 10.10.10.0/24 i roto i te manga. Ko tetahi ara e whakamahi ana i te Tunnel-1, i tetahi atu Tunnel-2. Ko te huarahi ma Tunnel-1 te mea nui na te mea he iti ake te inenga. Hangaia Aroturuki Ara kaore i whakamahia mo enei huarahi. Ko te kawenga mo te whakawhiti Aroturuki Tunnel.
Ko nga huarahi ano mo te kupengaroto 192.168.30.0/24 me whirihora ki runga PA-2.
• Te whakarite ture whatunga
Kia mahi te kauhanga, e toru nga ture e hiahiatia ana:
- Hei mahi Aroturuki Ara Tukua te ICMP ki nga atanga o waho.
- Ki IPsec tukua taupānga ike и ipsec i runga i nga atanga o waho.
- Whakaaetia te hokohoko i waenga i nga kupenga-roto me nga atanga kauhanga.
mutunga
Ka matapakihia e tenei tuhinga te kowhiringa ki te whakatu i tetahi hononga Ipurangi whakaraerae me te VPN Pae-ki-Pae. Ko te tumanako i whai hua nga korero ka whai whakaaro te kaipanui mo nga hangarau e whakamahia ana i roto Palo Alto Networks. Mena kei a koe nga patai mo te tatūnga me nga whakaaro mo nga kaupapa mo nga tuhinga a muri ake nei, tuhia ki roto i nga korero, ka koa matou ki te whakautu.
Source: will.com