Artikel ini adalah sambungan didedikasikan untuk spesifik menyediakan peralatan Palo Alto Networks . Di sini kita ingin bercakap tentang persediaan VPN Tapak ke Tapak IPSec pada peralatan Palo Alto Networks dan tentang pilihan konfigurasi yang mungkin untuk menyambungkan beberapa pembekal Internet.
Untuk demonstrasi, skim standard untuk menghubungkan ibu pejabat ke cawangan akan digunakan. Untuk menyediakan sambungan Internet toleran kesalahan, ibu pejabat menggunakan sambungan serentak dua pembekal: ISP-1 dan ISP-2. Cawangan ini mempunyai sambungan kepada hanya satu pembekal, ISP-3. Dua terowong dibina di antara tembok api PA-1 dan PA-2. Terowong beroperasi dalam mod Aktif-Siaga,Terowong-1 aktif, Terowong-2 akan mula menghantar trafik apabila Terowong-1 gagal. Tunnel-1 menggunakan sambungan ke ISP-1, Tunnel-2 menggunakan sambungan ke ISP-2. Semua alamat IP dijana secara rawak untuk tujuan demonstrasi dan tidak mempunyai kaitan dengan realiti.
Untuk membina VPN Tapak ke Tapak akan digunakan IPSec β satu set protokol untuk memastikan perlindungan data yang dihantar melalui IP. IPSec akan berfungsi menggunakan protokol keselamatan ESP (Encapsulating Security Payload), yang akan memastikan penyulitan data yang dihantar.
Π IPSec disertakan IKE (Internet Key Exchange) ialah protokol yang bertanggungjawab untuk merundingkan SA (persatuan keselamatan), parameter keselamatan yang digunakan untuk melindungi data yang dihantar. Sokongan tembok api PAN IKEv1 ΠΈ IKEv2.
Π IKEv1 Sambungan VPN dibina dalam dua peringkat: IKEv1 Fasa 1 (terowong IKE) dan IKEv1 Fasa 2 (terowong IPSec), oleh itu, dua terowong dicipta, satu daripadanya digunakan untuk pertukaran maklumat perkhidmatan antara tembok api, yang kedua untuk penghantaran trafik. DALAM IKEv1 Fasa 1 Terdapat dua mod operasi - mod utama dan mod agresif. Mod agresif menggunakan lebih sedikit mesej dan lebih pantas, tetapi tidak menyokong Perlindungan Identiti Rakan Sebaya.
IKEv2 diganti IKEv1, dan dibandingkan dengan IKEv1 kelebihan utamanya ialah keperluan lebar jalur yang lebih rendah dan rundingan SA yang lebih pantas. DALAM IKEv2 Lebih sedikit mesej perkhidmatan digunakan (4 jumlahnya), protokol EAP dan MOBIKE disokong, dan mekanisme telah ditambah untuk menyemak ketersediaan rakan sebaya yang dengannya terowong dibuat - Semakan Keaktifan, menggantikan Dead Peer Detection dalam IKEv1. Jika cek gagal, maka IKEv2 boleh menetapkan semula terowong dan kemudian memulihkannya secara automatik pada peluang pertama. Anda boleh mengetahui lebih lanjut tentang perbezaan .
Jika terowong dibina antara tembok api daripada pengeluar yang berbeza, maka mungkin terdapat pepijat dalam pelaksanaan IKEv2, dan untuk keserasian dengan peralatan tersebut adalah mungkin untuk digunakan IKEv1. Dalam kes lain lebih baik digunakan IKEv2.
Langkah persediaan:
β’ Mengkonfigurasi dua pembekal Internet dalam mod ActiveStandby
Terdapat beberapa cara untuk melaksanakan fungsi ini. Salah satunya ialah menggunakan mekanisme tersebut Pemantauan Laluan, yang tersedia bermula dari versi PAN-OS 8.0.0. Contoh ini menggunakan versi 8.0.16. Ciri ini serupa dengan IP SLA dalam penghala Cisco. Parameter laluan lalai statik mengkonfigurasi penghantaran paket ping ke alamat IP tertentu daripada alamat sumber tertentu. Dalam kes ini, antara muka ethernet1/1 ping get laluan lalai sekali sesaat. Jika tiada tindak balas kepada tiga ping berturut-turut, laluan itu dianggap rosak dan dialih keluar daripada jadual penghalaan. Laluan yang sama dikonfigurasikan ke arah penyedia Internet kedua, tetapi dengan metrik yang lebih tinggi (ia adalah satu sandaran). Setelah laluan pertama dialih keluar daripada jadual, tembok api akan mula menghantar trafik melalui laluan kedua β Gagal. Apabila penyedia pertama mula membalas ping, laluannya akan kembali ke jadual dan menggantikan yang kedua kerana metrik yang lebih baik - Gagal-Kembali. Proses Gagal mengambil masa beberapa saat bergantung pada selang yang dikonfigurasikan, tetapi, dalam apa jua keadaan, proses itu tidak serta-merta, dan pada masa ini lalu lintas hilang. Gagal-Kembali berlalu tanpa kehilangan trafik. Ada peluang nak buat Gagal lebih cepat, dengan BFD, jika pembekal Internet menyediakan peluang sedemikian. BFD disokong bermula dari model Siri PA-3000 ΠΈ VM-100. Adalah lebih baik untuk menentukan bukan get laluan pembekal sebagai alamat ping, tetapi alamat Internet awam yang sentiasa boleh diakses.
β’ Mencipta antara muka terowong
Trafik di dalam terowong dihantar melalui antara muka maya khas. Setiap daripada mereka mesti dikonfigurasikan dengan alamat IP daripada rangkaian transit. Dalam contoh ini, pencawang 1/172.16.1.0 akan digunakan untuk Terowong-30, dan pencawang 2/172.16.2.0 akan digunakan untuk Terowong-30.
Antara muka terowong dibuat dalam bahagian Rangkaian -> Antara Muka -> Terowong. Anda mesti menentukan penghala maya dan zon keselamatan, serta alamat IP daripada rangkaian pengangkutan yang sepadan. Nombor antara muka boleh menjadi apa sahaja.
Dalam seksyen Maju boleh ditentukan Profil Pengurusanyang akan membenarkan ping pada antara muka yang diberikan, ini mungkin berguna untuk ujian.
β’ Menyediakan Profil IKE
Profil IKE bertanggungjawab untuk peringkat pertama membuat sambungan VPN; parameter terowong ditentukan di sini IKE Fasa 1. Profil dibuat dalam bahagian Rangkaian -> Profil Rangkaian -> Kripto IKE. Ia adalah perlu untuk menentukan algoritma penyulitan, algoritma pencincangan, kumpulan Diffie-Hellman dan seumur hidup kunci. Secara umum, algoritma yang lebih kompleks, prestasi yang lebih buruk; ia harus dipilih berdasarkan keperluan keselamatan tertentu. Walau bagaimanapun, adalah tidak disyorkan sama sekali untuk menggunakan kumpulan Diffie-Hellman di bawah 14 tahun untuk melindungi maklumat sensitif. Ini disebabkan oleh kerentanan protokol, yang hanya boleh dikurangkan dengan menggunakan saiz modul 2048 bit dan lebih tinggi, atau algoritma kriptografi elips, yang digunakan dalam kumpulan 19, 20, 21, 24. Algoritma ini mempunyai prestasi yang lebih tinggi berbanding dengan kriptografi tradisional. . Dan .
β’ Menyediakan Profil IPSec
Peringkat kedua membuat sambungan VPN ialah terowong IPSec. Parameter SA untuknya dikonfigurasikan dalam Rangkaian -> Profil Rangkaian -> Profil Kripto IPSec. Di sini anda perlu menentukan protokol IPSec - AH atau ESP, serta parameter SA β algoritma pencincangan, penyulitan, kumpulan Diffie-Hellman dan seumur hidup utama. Parameter SA dalam Profil Kripto IKE dan Profil Kripto IPSec mungkin tidak sama.
β’ Mengkonfigurasi IKE Gateway
IKE Gateway - ini ialah objek yang menetapkan penghala atau tembok api yang dengannya terowong VPN dibina. Untuk setiap terowong anda perlu membuat sendiri IKE Gateway. Dalam kes ini, dua terowong dicipta, satu melalui setiap pembekal Internet. Antara muka keluar yang sepadan dan alamat IPnya, alamat IP rakan sebaya dan kunci kongsi ditunjukkan. Sijil boleh digunakan sebagai alternatif kepada kunci yang dikongsi.
Yang dibuat sebelum ini ditunjukkan di sini Profil Kripto IKE. Parameter objek kedua IKE Gateway serupa, kecuali untuk alamat IP. Jika tembok api Rangkaian Palo Alto terletak di belakang penghala NAT, maka anda perlu mendayakan mekanisme tersebut NAT Traversal.
β’ Menyediakan Terowong IPSec
Terowong IPSec ialah objek yang menentukan parameter terowong IPSec, seperti namanya. Di sini anda perlu menentukan antara muka terowong dan objek yang dibuat sebelum ini IKE Gateway, Profil Kripto IPSec. Untuk memastikan penukaran penghalaan automatik ke terowong sandaran, anda mesti mendayakan Pemantau Terowong. Ini ialah mekanisme yang menyemak sama ada rakan sebaya masih hidup menggunakan trafik ICMP. Sebagai alamat destinasi, anda perlu menentukan alamat IP antara muka terowong rakan sebaya yang terowong sedang dibina. Profil menentukan pemasa dan perkara yang perlu dilakukan jika sambungan terputus. Tunggu Pulih β tunggu sehingga sambungan dipulihkan, Gagal Berakhir β hantar trafik sepanjang laluan yang berbeza, jika ada. Menyediakan terowong kedua adalah serupa sepenuhnya; antara muka terowong kedua dan IKE Gateway ditentukan.
β’ Menyediakan penghalaan
Contoh ini menggunakan penghalaan statik. Pada tembok api PA-1, sebagai tambahan kepada dua laluan lalai, anda perlu menentukan dua laluan ke subnet 10.10.10.0/24 dalam cawangan. Satu laluan menggunakan Terowong-1, satu lagi Terowong-2. Laluan melalui Terowong-1 adalah yang utama kerana ia mempunyai metrik yang lebih rendah. Mekanisme Pemantauan Laluan tidak digunakan untuk laluan ini. Bertanggungjawab untuk menukar Pemantau Terowong.
Laluan yang sama untuk subnet 192.168.30.0/24 perlu dikonfigurasikan pada PA-2.
β’ Menyediakan peraturan rangkaian
Untuk terowong berfungsi, tiga peraturan diperlukan:
- Untuk bekerja Pemantau Laluan Benarkan ICMP pada antara muka luaran.
- Untuk IPSec benarkan apl ike ΠΈ ipsec pada antara muka luaran.
- Benarkan trafik antara subnet dalaman dan antara muka terowong.
Kesimpulan
Artikel ini membincangkan pilihan untuk menyediakan sambungan Internet toleran kesalahan dan VPN Tapak ke Tapak. Kami berharap maklumat itu berguna dan pembaca mendapat idea tentang teknologi yang digunakan Palo Alto Networks. Jika anda mempunyai soalan tentang persediaan dan cadangan mengenai topik untuk artikel akan datang, tuliskannya dalam ulasan, kami akan dengan senang hati menjawabnya.
Sumber: www.habr.com