Энэ нийтлэл нь үргэлжлэл юм тоног төхөөрөмжийг тохируулах онцлогт зориулагдсан Пало Алто сүлжээ . Энд бид тохиргооны талаар ярихыг хүсч байна IPSec Сайтаас Сайт руу VPN тоног төхөөрөмж дээр Пало Алто сүлжээ мөн хэд хэдэн интернет үйлчилгээ үзүүлэгчийг холбох боломжтой тохиргооны сонголтуудын талаар.
Үзүүлэнгийн хувьд төв оффисыг салбартай холбох стандарт схемийг ашиглана. Гэмтэлд тэсвэртэй интернетийн холболтыг хангахын тулд төв оффис нь ISP-1 ба ISP-2 гэсэн хоёр үйлчилгээ үзүүлэгчийн нэгэн зэрэг холболтыг ашигладаг. Тус салбар нь зөвхөн ISP-3 үйлчилгээ үзүүлэгчтэй холбогдсон байна. PA-1 ба PA-2 галт хананы хооронд хоёр хонгил барьсан. Хонгилууд горимд ажилладаг Идэвхтэй-Стэнд,Туннель-1 идэвхтэй, Туннель-2 ажиллахаа больсон үед Туннель-1 урсгалыг дамжуулж эхэлнэ. Туннель-1 нь ISP-1-тэй, Туннель-2 нь ISP-2-тэй холболтыг ашигладаг. Бүх IP хаягуудыг үзүүлэх зорилгоор санамсаргүй байдлаар үүсгэсэн бөгөөд бодит байдалтай ямар ч холбоогүй.
Сайтаас Сайт руу VPN үүсгэхийн тулд ашиглах болно IPSec — IP-ээр дамжуулж буй мэдээллийн хамгаалалтыг хангах протоколуудын багц. IPSec аюулгүй байдлын протокол ашиглан ажиллах болно ESP (Аюулгүй байдлын ачааллыг багтаах) нь дамжуулагдсан өгөгдлийг шифрлэх боломжийг олгоно.
В IPSec орно IKE (Интернет Түлхүүр солилцоо) нь дамжуулагдсан өгөгдлийг хамгаалахад ашигладаг аюулгүй байдлын параметрүүд болох SA (аюулгүй байдлын холбоо) хэлэлцээрийг хариуцдаг протокол юм. PAN галт ханыг дэмждэг IKEv1 и IKEv2.
В IKEv1 VPN холболтыг хоёр үе шаттайгаар бүтээдэг. IKEv1 1-р үе шат (IKE хонгил) ба IKEv1 2-р үе шат (IPSec туннель), ингэснээр хоёр хонгил үүссэн бөгөөд тэдгээрийн нэг нь галт хана хооронд үйлчилгээний мэдээлэл солилцоход, хоёр дахь нь хөдөлгөөн дамжуулахад ашиглагддаг. IN IKEv1 1-р үе шат Үндсэн горим ба түрэмгий горим гэсэн хоёр үйлдлийн горим байдаг. Түрэмгий горим нь цөөн мессеж ашигладаг бөгөөд илүү хурдан байдаг ч Peer Identity Protection-г дэмждэггүй.
IKEv2 солихоор ирсэн IKEv1, ба харьцуулсан IKEv1 Үүний гол давуу тал нь зурвасын өргөний шаардлага бага, SA хэлэлцээрийг хурдан хийх явдал юм. IN IKEv2 Цөөн тооны үйлчилгээний мессежийг ашигладаг (нийт 4), EAP болон MOBIKE протоколуудыг дэмждэг бөгөөд туннель үүсгэсэн түншийн бэлэн байдлыг шалгах механизм нэмэгдсэн - Амьдрах байдлыг шалгах, IKEv1 дэх Үхсэн үе тэнгийн илрүүлэлтийг орлуулж байна. Шалгалт амжилтгүй болбол IKEv2 хонгилыг дахин тохируулж, дараа нь эхний боломжоор автоматаар сэргээх боломжтой. Та ялгааны талаар илүү ихийг мэдэж болно .
Хэрэв өөр өөр үйлдвэрлэгчдийн галт хана хооронд хонгил барьсан бол хэрэгжилтэд алдаа гарч болзошгүй IKEv2, мөн ийм төхөөрөмжтэй нийцтэй байхын тулд үүнийг ашиглах боломжтой IKEv1. Бусад тохиолдолд хэрэглэх нь дээр IKEv2.
Тохируулга хийх алхамууд:
• ActiveStandby горимд хоёр интернет үйлчилгээ үзүүлэгчийг тохируулах
Энэ функцийг хэрэгжүүлэх хэд хэдэн арга байдаг. Үүний нэг нь механизмыг ашиглах явдал юм Замын хяналтхувилбараас эхлэн ашиглах боломжтой болсон PAN-OS 8.0.0. Энэ жишээнд 8.0.16 хувилбарыг ашиглаж байна. Энэ функц нь Cisco чиглүүлэгчийн IP SLA-тай төстэй юм. Статик анхдагч чиглүүлэлтийн параметр нь тодорхой эх хаягаас тодорхой IP хаяг руу ping пакет илгээхийг тохируулдаг. Энэ тохиолдолд ethernet1/1 интерфэйс нь секундэд нэг удаа анхдагч гарц руу пинг илгээдэг. Гурван пинг дараалан хариу өгөхгүй бол маршрутыг эвдэрсэн гэж үзэж, чиглүүлэлтийн хүснэгтээс хасна. Хоёрдахь интернет үйлчилгээ үзүүлэгч рүү ижил чиглэлийг тохируулсан боловч илүү өндөр хэмжигдэхүүнтэй (энэ нь нөөц юм). Эхний маршрутыг хүснэгтээс хасмагц галт хана нь хоёр дахь маршрутаар траффик илгээж эхэлнэ Fail-over. Эхний үйлчилгээ үзүүлэгч пингэд хариу өгч эхлэхэд түүний маршрут хүснэгт рүү буцаж, илүү сайн хэмжүүрийн улмаас хоёр дахь нь солигдоно. Буцах. Үйл явц Fail-over тохируулсан интервалаас хамааран хэдэн секунд шаардагдана, гэхдээ ямар ч тохиолдолд процесс нь агшин зуурын биш бөгөөд энэ хугацаанд замын хөдөлгөөн алга болно. Буцах хөдөлгөөний алдагдалгүй өнгөрдөг. Хийх боломж байна Fail-over илүү хурдан, хамт B.F.D., хэрэв интернетийн үйлчилгээ үзүүлэгч ийм боломжийг олгодог бол. B.F.D. загвараас эхлэн дэмждэг PA-3000 цуврал и Vm-100. Пинг хаягаар үйлчилгээ үзүүлэгчийн гарцыг биш, харин олон нийтэд нээлттэй, үргэлж нэвтрэх боломжтой интернет хаягийг зааж өгөх нь дээр.
• Хонгилын интерфейс үүсгэх
Хонгил доторх хөдөлгөөнийг тусгай виртуал интерфейсээр дамжуулдаг. Тэд тус бүрийг дамжин өнгөрөх сүлжээний IP хаягаар тохируулсан байх ёстой. Энэ жишээнд Туннель-1-д 172.16.1.0/30 дэд станцыг, Туннель-2-д 172.16.2.0/30 дэд станцыг ашиглана.
Тунелийн интерфейсийг хэсэгт үүсгэсэн Сүлжээ -> Интерфэйс -> Туннель. Та виртуал чиглүүлэгч болон хамгаалалтын бүс, түүнчлэн холбогдох тээврийн сүлжээний IP хаягийг зааж өгөх ёстой. Интерфейсийн дугаар нь юу ч байж болно.
хэсэг Нарийвчилсан зааж өгч болно Удирдлагын профайлЭнэ нь өгөгдсөн интерфэйс дээр ping хийх боломжийг олгох бөгөөд энэ нь туршилт хийхэд хэрэг болно.
• IKE профайлыг тохируулж байна
IKE профайл нь VPN холболт үүсгэх эхний үе шатыг хариуцдаг бөгөөд туннелийн параметрүүдийг энд зааж өгсөн болно IKE 1-р үе шат. Профайлыг хэсэгт үүсгэсэн Сүлжээ -> Сүлжээний профайл -> IKE Crypto. Шифрлэлтийн алгоритм, хэш алгоритм, Диффи-Хеллман бүлэг, түлхүүрийн ашиглалтын хугацааг зааж өгөх шаардлагатай. Ерөнхийдөө алгоритмууд нь илүү төвөгтэй байх тусам гүйцэтгэл нь муу байдаг тул тэдгээрийг аюулгүй байдлын тусгай шаардлагад үндэслэн сонгох хэрэгтэй. Гэсэн хэдий ч эмзэг мэдээллийг хамгаалахын тулд 14-өөс доош насны Diffie-Hellman бүлгийг ашиглахыг хатуу зөвлөдөггүй. Энэ нь зөвхөн 2048 бит ба түүнээс дээш хэмжээтэй модуль эсвэл 19, 20, 21, 24-р бүлэгт ашиглагддаг эллипс криптографийн алгоритмуудыг ашиглах замаар л багасгах боломжтой протоколын эмзэг байдалтай холбоотой юм. Эдгээр алгоритмууд нь бусадтай харьцуулахад илүү өндөр гүйцэтгэлтэй байдаг. уламжлалт криптограф. Байна. Ба .
• IPSec профайлыг тохируулж байна
VPN холболт үүсгэх хоёр дахь шат бол IPSec туннель юм. Үүнд зориулсан SA параметрүүдийг тохируулсан болно Сүлжээ -> Сүлжээний профайл -> IPSec Crypto профайл. Энд та IPSec протоколыг зааж өгөх хэрэгтэй - AH болон ESP, түүнчлэн параметрүүд SA - хэш алгоритм, шифрлэлт, Диффи-Хеллман бүлгүүд болон түлхүүрийн ашиглалтын хугацаа. IKE Crypto Profile болон IPSec Crypto Profile дахь SA параметрүүд нь ижил биш байж болно.
• IKE гарцыг тохируулж байна
IKE гарц - энэ нь VPN туннель баригдсан чиглүүлэгч эсвэл галт ханыг тодорхойлсон объект юм. Хонгил бүрийн хувьд та өөрөө өөртөө бий болгох хэрэгтэй IKE гарц. Энэ тохиолдолд интернетийн үйлчилгээ үзүүлэгч тус бүрээр дамжуулан хоёр хонгил үүсгэнэ. Харгалзах гарах интерфейс болон түүний IP хаяг, үе тэнгийн IP хаяг, хуваалцсан түлхүүрийг зааж өгсөн болно. Гэрчилгээг хуваалцсан түлхүүрийн өөр хувилбар болгон ашиглаж болно.
Өмнө нь үүсгэсэн нэгийг энд харуулав IKE крипто профайл. Хоёрдахь объектын параметрүүд IKE гарц ижил төстэй, IP хаягаас бусад. Хэрэв Palo Alto Networks галт хана нь NAT чиглүүлэгчийн ард байрладаг бол та механизмыг идэвхжүүлэх хэрэгтэй NAT дамжуулалт.
• IPSec туннелийг тохируулж байна
IPSec туннель Нэрнээс нь харахад IPSec туннелийн параметрүүдийг тодорхойлдог объект юм. Энд та туннелийн интерфейс болон өмнө нь үүсгэсэн объектуудыг зааж өгөх хэрэгтэй IKE гарц, IPSec Crypto профайл. Чиглүүрийг нөөц хонгил руу автоматаар шилжүүлэхийн тулд та идэвхжүүлэх ёстой Туннелийн монитор. Энэ нь ICMP траффик ашиглан үе тэнгийн хүн амьд байгаа эсэхийг шалгадаг механизм юм. Очих хаягийн хувьд та хонгил барьж буй үе тэнгийн туннелийн интерфейсийн IP хаягийг зааж өгөх хэрэгтэй. Профайл нь цаг хэмжигч, холболт тасарсан тохиолдолд юу хийхийг зааж өгдөг. Сэргээхийг хүлээнэ үү - холболт сэргээгдэх хүртэл хүлээх; Fail Over — хэрэв боломжтой бол өөр маршрутын дагуу урсгалыг илгээх. Хоёрдахь хонгилыг тохируулах нь ижил төстэй бөгөөд хоёр дахь туннелийн интерфейс болон IKE гарцыг зааж өгсөн болно.
• Маршрут тохируулж байна
Энэ жишээнд статик чиглүүлэлт ашигладаг. PA-1 галт хананд анхдагч хоёр маршрутаас гадна салбар дахь 10.10.10.0/24 дэд сүлжээнд хоёр маршрут зааж өгөх шаардлагатай. Нэг чиглэл нь Туннель-1, нөгөө нь Тунель-2-ыг ашигладаг. Туннель-1-ээр дамжих зам нь бага хэмжигдэхүүнтэй учраас гол чиглэл юм. Механизм Замын хяналт Эдгээр замд ашиглагдахгүй. Шилжүүлэх үүрэгтэй Туннелийн монитор.
192.168.30.0/24 дэд сүлжээний ижил маршрутыг ТХГН-2 дээр тохируулах шаардлагатай.
• Сүлжээний дүрмийг тохируулах
Хонгил ажиллахын тулд гурван дүрэм шаардлагатай.
- Ажлын хувьд Замын хяналт Гадаад интерфейс дээр ICMP-г зөвшөөрөх.
- Хэрэгтэй IPSec програмуудыг зөвшөөрөх икэ и ipsec гадаад интерфейс дээр.
- Дотоод дэд сүлжээ болон туннелийн интерфейс хоорондын урсгалыг зөвшөөрөх.
дүгнэлт
Энэ нийтлэлд алдаатай интернет холболтыг тохируулах сонголтыг авч үзэх болно Сайтаас сайт руу VPN. Мэдээлэл хэрэгтэй байсан бөгөөд уншигчид ашигласан технологийн талаар ойлголттой болсон гэж найдаж байна Пало Алто сүлжээ. Хэрэв танд тохиргооны талаар асуулт, ирээдүйн нийтлэлүүдийн сэдвүүдийн талаархи санал байвал сэтгэгдэл дээр бичээрэй, бид хариулахад баяртай байх болно.
Эх сурвалж: www.habr.com