Оваа статија е продолжение посветен на спецификите на поставување опрема Пало Алто Мрежи . Овде сакаме да зборуваме за поставувањето IPSec VPN од локација до локација на опрема Пало Алто Мрежи и за можна опција за конфигурација за поврзување на неколку интернет провајдери.
За демонстрацијата ќе се користи стандардна шема за поврзување на седиштето со филијалата. Со цел да обезбеди интернет конекција толерантна за грешки, седиштето користи истовремено поврзување на два провајдери: ISP-1 и ISP-2. Филијалата има врска само со еден провајдер, ISP-3. Два тунели се изградени помеѓу заштитните ѕидови PA-1 и PA-2. Тунелите работат во режим Active-Standby,Тунел-1 е активен, Тунел-2 ќе започне да пренесува сообраќај кога Тунел-1 не успее. Тунел-1 користи врска со интернет провајдерот-1, Тунел-2 користи врска со интернет провајдерот-2. Сите IP адреси се случајно генерирани за целите на демонстрација и немаат никаква врска со реалноста.
За да се изгради VPN од сајт до локација ќе се користи IPsec — збир на протоколи за да се обезбеди заштита на податоците пренесени преку IP. IPsec ќе работи со помош на безбедносен протокол ESP (Encapsulating Security Payload), што ќе обезбеди шифрирање на пренесените податоци.
В IPsec вклучен е Ајк (Internet Key Exchange) е протокол одговорен за преговарање SA (безбедносни асоцијации), безбедносни параметри кои се користат за заштита на пренесените податоци. Поддршка за заштитните ѕидови на PAN IKEv1 и IKEv2.
В IKEv1 VPN врската е изградена во две фази: IKEv1 Фаза 1 (Тунел IKE) и IKEv1 Фаза 2 (IPSec тунел), на тој начин се создаваат два тунела, од кои едниот се користи за размена на сервисни информации помеѓу заштитните ѕидови, вториот за пренос на сообраќај. ВО IKEv1 Фаза 1 Постојат два режими на работа - главен режим и агресивен режим. Агресивниот режим користи помалку пораки и е побрз, но не поддржува заштита на идентитетот на врсниците.
IKEv2 заменет IKEv1, и во споредба со IKEv1 нејзината главна предност се помалите барања за пропусен опсег и побрзото преговарање за SA. ВО IKEv2 Се користат помалку сервисни пораки (вкупно 4), се поддржани протоколите EAP и MOBIKE, а додаден е механизам за проверка на достапноста на врсникот со кој е креиран тунелот - Проверка на живост, заменувајќи го Dead Peer Detection во IKEv1. Ако проверката не успее, тогаш IKEv2 може да го ресетира тунелот и потоа автоматски да го врати во првата прилика. Можете да дознаете повеќе за разликите .
Ако се изгради тунел помеѓу заштитните ѕидови од различни производители, тогаш може да има грешки во имплементацијата IKEv2, а за компатибилност со таква опрема е можно да се користи IKEv1. Во други случаи, подобро е да се користи IKEv2.
Чекори за поставување:
• Конфигурирање на два интернет провајдери во режимот ActiveStandby
Постојат неколку начини за спроведување на оваа функција. Еден од нив е да се користи механизмот Следење на патеката, кој стана достапен почнувајќи од верзијата PAN-OS 8.0.0. Овој пример ја користи верзијата 8.0.16. Оваа функција е слична на IP SLA во рутерите на Cisco. Статичниот стандарден параметар за рута го конфигурира испраќањето на пинг-пакети до одредена IP адреса од одредена изворна адреса. Во овој случај, интерфејсот ethernet1/1 врши пинг на стандардната порта еднаш во секунда. Ако нема одговор на три пингови по ред, маршрутата се смета за скршена и отстранета од рутирачката табела. Истата рута е конфигурирана кон вториот интернет провајдер, но со повисока метрика (тоа е резервна). Откако првата рута ќе се отстрани од табелата, заштитниот ѕид ќе започне да испраќа сообраќај преку втората рута − Неуспешно. Кога првиот провајдер ќе почне да одговара на пингови, неговата рута ќе се врати на табелата и ќе ја замени втората поради подобра метрика - Неуспешно враќање. Процес Неуспешно трае неколку секунди во зависност од конфигурираните интервали, но, во секој случај, процесот не е моментален и за тоа време сообраќајот се губи. Неуспешно враќање поминува без губење на сообраќајот. Постои можност да се направи Неуспешно побрзо, со БФД, доколку Интернет провајдерот обезбеди таква можност. БФД поддржан почнувајќи од моделот Серија PA-3000 и VM-100. Подобро е да не ја наведете портата на давателот како пинг-адреса, туку јавна, секогаш достапна Интернет адреса.
• Создавање интерфејс за тунел
Сообраќајот внатре во тунелот се пренесува преку специјални виртуелни интерфејси. Секој од нив мора да биде конфигуриран со IP адреса од транзитната мрежа. Во овој пример, трафостаницата 1/172.16.1.0 ќе се користи за Тунел-30, а трафостаницата 2/172.16.2.0 ќе се користи за Тунел-30.
Интерфејсот на тунелот е креиран во делот Мрежа -> Интерфејси -> Тунел. Мора да наведете виртуелен рутер и безбедносна зона, како и IP адреса од соодветната транспортна мрежа. Бројот на интерфејсот може да биде што било.
Во делот Напредно може да се наведе Профил на управувањешто ќе овозможи пинг на дадениот интерфејс, ова може да биде корисно за тестирање.
• Поставување на IKE профил
Профил на IKE е одговорен за првата фаза на создавање на VPN конекција; параметрите на тунелот се наведени овде IKE фаза 1. Профилот е креиран во делот Мрежа -> Мрежни профили -> IKE Crypto. Неопходно е да се наведат алгоритмот за шифрирање, алгоритам за хаширање, групата Diffie-Hellman и животниот век на клучот. Општо земено, колку покомплексни се алгоритмите, толку полоши се перформансите; тие треба да бидат избрани врз основа на специфични безбедносни барања. Сепак, строго не е препорачливо да се користи Diffie-Hellman група под 14 за заштита на чувствителни информации. Ова се должи на ранливоста на протоколот, која може да се ублажи само со користење на големини на модули од 2048 бита и повисоки, или алгоритми за елиптична криптографија, кои се користат во групите 19, 20, 21, 24. Овие алгоритми имаат поголеми перформанси во споредба со традиционална криптографија. . И .
• Поставување IPSec профил
Втората фаза на создавање на VPN конекција е IPSec тунел. SA параметрите за него се конфигурирани во Мрежа -> Мрежни профили -> IPSec Crypto Profile. Тука треба да го наведете протоколот IPSec - AH или ESP, како и параметри SA — алгоритми за хаширање, шифрирање, Diffie-Hellman групи и животен век на клучот. Параметрите SA во IKE Crypto Profile и IPSec Crypto Profile може да не се исти.
• Конфигурирање на IKE Gateway
IKE Gateway - ова е објект што означува рутер или заштитен ѕид со кој е изграден VPN тунел. За секој тунел треба да креирате свој IKE Gateway. Во овој случај, се креираат два тунела, по еден преку секој интернет провајдер. Назначени се соодветниот појдовен интерфејс и неговата IP адреса, peer IP адреса и споделениот клуч. Сертификатите може да се користат како алтернатива на заедничкиот клуч.
Овде е означен претходно креираниот IKE Crypto Profile. Параметри на вториот објект IKE Gateway слично, освен за IP адреси. Ако заштитниот ѕид на Palo Alto Networks се наоѓа зад NAT рутер, тогаш треба да го овозможите механизмот NAT Traversal.
• Поставување IPSec тунел
IPSec тунел е објект кој ги специфицира параметрите на тунелот IPSec, како што сугерира името. Овде треба да го наведете интерфејсот на тунелот и претходно креираните објекти IKE Gateway, IPSec крипто-профил. За да обезбедите автоматско префрлување на насочувањето до резервниот тунел, мора да овозможите Монитор на тунел. Ова е механизам кој проверува дали врсникот е жив користејќи ICMP сообраќај. Како дестинациона адреса, треба да ја наведете IP адресата на интерфејсот на тунелот на врсникот со кој се гради тунелот. Профилот одредува тајмери и што да правите ако врската се изгуби. Почекајте закрепнете – почекајте да се врати врската, Неуспешно — испратете сообраќај по друга рута, доколку е достапно. Поставувањето на вториот тунел е сосема слично; вториот интерфејс на тунелот и IKE Gateway се специфицирани.
• Поставување на рутирање
Овој пример користи статичко рутирање. На заштитниот ѕид PA-1, покрај двете стандардни правци, треба да наведете две правци до подмрежата 10.10.10.0/24 во гранката. Едната рута го користи Тунел-1, а другата Тунел-2. Трасата низ Тунел-1 е главна бидејќи има пониска метрика. Механизам Следење на патеката не се користи за овие правци. Одговорен за префрлување Монитор на тунел.
Истите правци за подмрежата 192.168.30.0/24 треба да се конфигурираат на PA-2.
• Поставување мрежни правила
За да функционира тунелот, потребни се три правила:
- За работа Монитор на патека Дозволете ICMP на надворешни интерфејси.
- За IPsec дозволи апликации Ајк и ipsec на надворешни интерфејси.
- Дозволете сообраќај помеѓу внатрешните подмрежи и тунелските интерфејси.
Заклучок
Оваа статија ја разгледува опцијата за поставување на интернет конекција толерантна за грешки и VPN од страница до страница. Се надеваме дека информациите беа корисни и читателот доби идеја за технологиите што се користат во Пало Алто Мрежи. Ако имате прашања во врска со поставувањето и предлози за теми за идни написи, напишете ги во коментарите, со задоволство ќе одговориме.
Извор: www.habr.com