Dan l-artikolu huwa kontinwazzjoni iddedikat għall-ispeċifiċitajiet tat-twaqqif tat-tagħmir Netwerks Alto Palo . Hawnhekk irridu nitkellmu dwar is-setup VPN IPSec minn sit għal sit fuq it-tagħmir Netwerks Alto Palo u dwar għażla ta' konfigurazzjoni possibbli għall-konnessjoni ta' diversi fornituri tal-Internet.
Għad-dimostrazzjoni, se tintuża skema standard għall-konnessjoni tal-uffiċċju prinċipali mal-fergħa. Sabiex tipprovdi konnessjoni tal-Internet tolleranti għall-ħsarat, l-uffiċċju ewlieni juża konnessjoni simultanja ta 'żewġ fornituri: ISP-1 u ISP-2. Il-fergħa għandha konnessjoni ma' fornitur wieħed biss, ISP-3. Jinbnew żewġ mini bejn il-firewalls PA-1 u PA-2. Il-mini joperaw fil-mod Attiv-Standby,Tunnel-1 huwa attiv, Tunnel-2 se jibda jittrasmetti traffiku meta Tunnel-1 jonqos. Tunnel-1 juża konnessjoni ma 'ISP-1, Tunnel-2 juża konnessjoni ma' ISP-2. L-indirizzi IP kollha huma ġġenerati b'mod każwali għal skopijiet ta 'dimostrazzjoni u m'għandhom l-ebda relazzjoni mar-realtà.
Biex tinbena VPN minn sit għal sit se jintuża IPsec — sett ta' protokolli biex tiġi żgurata l-protezzjoni tad-dejta trażmessa permezz tal-IP. IPsec se taħdem bl-użu ta' protokoll ta' sigurtà ESP (Encapsulating Security Payload), li se tiżgura l-encryption tad-dejta trażmessa.
В IPsec jidħol Bħad (Internet Key Exchange) huwa protokoll responsabbli għan-negozjar ta 'SA (assoċjazzjonijiet tas-sigurtà), parametri ta' sigurtà li jintużaw biex jipproteġu data trażmessa. Appoġġ għall-firewalls PAN IKEv1 и IKEv2.
В IKEv1 Konnessjoni VPN hija mibnija f'żewġ stadji: IKEv1 Fażi 1 (IKE mina) u IKEv1 Fażi 2 (IPSec mina), għalhekk, jinħolqu żewġ mini, li waħda minnhom tintuża għall-iskambju ta’ informazzjoni dwar is-servizz bejn firewalls, it-tieni għat-trażmissjoni tat-traffiku. IN IKEv1 Fażi 1 Hemm żewġ modi operattivi - modalità prinċipali u modalità aggressiva. Il-modalità aggressiva tuża inqas messaġġi u hija aktar mgħaġġla, iżda ma tappoġġjax Peer Identity Protection.
IKEv2 mibdula IKEv1, u mqabbla ma ' IKEv1 il-vantaġġ ewlieni tiegħu huwa rekwiżiti ta 'bandwidth aktar baxxi u negozjar SA aktar mgħaġġel. IN IKEv2 Jintużaw inqas messaġġi tas-servizz (4 b'kollox), il-protokolli EAP u MOBIKE huma appoġġjati, u ġie miżjud mekkaniżmu biex tiġi kkontrollata d-disponibbiltà tal-peer li bih tinħoloq il-mina - Iċċekkja tal-Ħajja, li tissostitwixxi Dead Peer Detection f'IKEv1. Jekk il-kontroll ifalli, allura IKEv2 jista 'jissettja mill-ġdid il-mina u mbagħad awtomatikament jirrestawraha fl-ewwel opportunità. Tista' titgħallem aktar dwar id-differenzi .
Jekk tinbena mina bejn firewalls minn manifatturi differenti, allura jista 'jkun hemm bugs fl-implimentazzjoni IKEv2, u għall-kompatibilità ma 'tali tagħmir huwa possibbli li jintuża IKEv1. F'każijiet oħra huwa aħjar li tuża IKEv2.
Passi tas-setup:
• Konfigurazzjoni ta' żewġ fornituri tal-Internet fil-modalità ActiveStandby
Hemm diversi modi biex tiġi implimentata din il-funzjoni. Waħda minnhom hija li tuża l-mekkaniżmu Monitoraġġ tal-mogħdija, li saret disponibbli mill-verżjoni PAN-OS 8.0.0. Dan l-eżempju juża l-verżjoni 8.0.16. Din il-karatteristika hija simili għal IP SLA fir-routers Cisco. Il-parametru statiku tar-rotta default jikkonfigura li jibgħat pakketti ping għal indirizz IP speċifiku minn indirizz sors speċifiku. F'dan il-każ, l-interface ethernet1/1 jagħmel ping tal-portal default darba kull sekonda. Jekk ma jkun hemm l-ebda tweġiba għal tliet pings wara xulxin, ir-rotta titqies imkisser u mneħħija mit-tabella tar-routing. L-istess rotta hija kkonfigurata lejn it-tieni fornitur tal-Internet, iżda b'metrika ogħla (hija waħda backup). Ladarba l-ewwel rotta titneħħa mit-tabella, il-firewall jibda jibgħat it-traffiku mit-tieni rotta - Fail-Over. Meta l-ewwel fornitur jibda jirrispondi għall-pings, ir-rotta tiegħu terġa 'lura għat-tabella u tissostitwixxi t-tieni waħda minħabba metrika aħjar - Fail-Back. Proċess Fail-Over jieħu ftit sekondi skont l-intervalli kkonfigurati, iżda, fi kwalunkwe każ, il-proċess mhuwiex istantanju, u matul dan iż-żmien it-traffiku jintilef. Fail-Back jgħaddi mingħajr telf ta’ traffiku. Hemm opportunità li tagħmel Fail-Over aktar mgħaġġla, bil B.F.D., jekk il-fornitur tal-Internet jipprovdi tali opportunità. B.F.D. appoġġjat li jibda mill-mudell Serje PA-3000 и VM-100. Huwa aħjar li tispeċifika mhux il-portal tal-fornitur bħala l-indirizz ping, iżda indirizz tal-Internet pubbliku, dejjem aċċessibbli.
• Il-ħolqien ta' interface ta' mina
It-traffiku ġewwa l-mina jiġi trażmess permezz ta' interfaces virtwali speċjali. Kull wieħed minnhom għandu jiġi kkonfigurat b'indirizz IP min-netwerk tat-tranżitu. F'dan l-eżempju, is-substation 1/172.16.1.0 se tintuża għall-Mina-30, u s-substation 2/172.16.2.0 se tintuża għall-Mina-30.
L-interface tal-mina hija maħluqa fit-taqsima Netwerk -> Interfaces -> Mina. Int trid tispeċifika router virtwali u żona ta 'sigurtà, kif ukoll indirizz IP min-netwerk tat-trasport korrispondenti. In-numru tal-interface jista 'jkun xi ħaġa.
Fit-taqsima Avvanzata jistgħu jiġu speċifikati Profil ta' Ġestjonili se jippermetti ping fuq l-interface mogħtija, dan jista 'jkun utli għall-ittestjar.
• Twaqqif ta' Profil IKE
Profil IKE huwa responsabbli għall-ewwel stadju tal-ħolqien ta' konnessjoni VPN; il-parametri tal-mina huma speċifikati hawn IKE Fażi 1. Il-profil huwa maħluq fit-taqsima Netwerk -> Profili tan-Netwerk -> IKE Crypto. Huwa meħtieġ li jiġi speċifikat l-algoritmu tal-kriptaġġ, l-algoritmu tal-hashing, il-grupp Diffie-Hellman u l-ħajja taċ-ċavetta. B'mod ġenerali, iktar ma jkunu kumplessi l-algoritmi, iktar ikun agħar il-prestazzjoni; għandhom jintgħażlu abbażi ta' rekwiżiti speċifiċi ta' sigurtà. Madankollu, huwa strettament mhux rakkomandat li tuża grupp Diffie-Hellman taħt l-14 biex tipproteġi informazzjoni sensittiva. Dan huwa minħabba l-vulnerabbiltà tal-protokoll, li jista 'jiġi mtaffi biss bl-użu ta' daqsijiet ta 'moduli ta' 2048 bit u ogħla, jew algoritmi ta 'kriptografija ellittika, li jintużaw fi gruppi 19, 20, 21, 24. Dawn l-algoritmi għandhom prestazzjoni akbar meta mqabbla ma' kriptografija tradizzjonali. . U .
• Twaqqif ta' Profil IPSec
It-tieni stadju tal-ħolqien ta 'konnessjoni VPN huwa mina IPSec. Parametri SA għaliha huma kkonfigurati fi Netwerk -> Profili tan-Netwerk -> Profil Crypto IPSec. Hawnhekk għandek bżonn tispeċifika l-protokoll IPSec - AH jew ESP, kif ukoll parametri SA — algoritmi ta' hashing, encryption, gruppi Diffie-Hellman u ħajja taċ-ċavetta. Il-parametri SA fl-IKE Crypto Profile u l-IPSec Crypto Profile jistgħu ma jkunux l-istess.
• Konfigurazzjoni ta' IKE Gateway
IKE Gateway - dan huwa oġġett li jinnomina router jew firewall li bih tinbena mina VPN. Għal kull mina trid toħloq tiegħek IKE Gateway. F'dan il-każ, jinħolqu żewġ mini, waħda permezz ta' kull fornitur tal-Internet. L-interface ħerġin korrispondenti u l-indirizz IP tagħha, l-indirizz IP tal-pari, u ċ-ċavetta kondiviża huma indikati. Iċ-ċertifikati jistgħu jintużaw bħala alternattiva għal ċavetta kondiviża.
Il-waħda maħluqa qabel hija indikata hawn Profil Crypto IKE. Parametri tat-tieni oġġett IKE Gateway simili, ħlief għall-indirizzi IP. Jekk il-firewall ta 'Palo Alto Networks jinsab wara router NAT, allura trid tippermetti l-mekkaniżmu NAT Traversal.
• Twaqqif tal-Mina IPSec
Mina IPSec huwa oġġett li jispeċifika l-parametri tal-mina IPSec, kif jissuġġerixxi l-isem. Hawnhekk għandek bżonn tispeċifika l-interface tal-mina u oġġetti maħluqa qabel IKE Gateway, Profil Crypto IPSec. Biex tiżgura l-bidla awtomatika tar-rotot għall-mina backup, trid tattiva Monitor tal-Mina. Dan huwa mekkaniżmu li jiċċekkja jekk peer huwiex ħaj bl-użu tat-traffiku ICMP. Bħala l-indirizz tad-destinazzjoni, għandek bżonn tispeċifika l-indirizz IP tal-interface tal-mina tal-peer li miegħu qed tinbena l-mina. Il-profil jispeċifika t-tajmers u x'għandek tagħmel jekk tintilef il-konnessjoni. Stenna Jirkupra – stenna sakemm il-konnessjoni tiġi restawrata, Fail Over — tibgħat it-traffiku tul rotta differenti, jekk disponibbli. It-twaqqif tat-tieni mina huwa kompletament simili; it-tieni interface tal-mina u IKE Gateway huma speċifikati.
• Twaqqif tar-rotot
Dan l-eżempju juża routing statiku. Fuq il-firewall PA-1, minbarra ż-żewġ rotot default, għandek bżonn tispeċifika żewġ rotot għas-subnet 10.10.10.0/24 fil-fergħa. Rotta waħda tuża Tunnel-1, l-oħra Tunnel-2. Ir-rotta minn Tunnel-1 hija dik prinċipali minħabba li għandha metrika aktar baxxa. Mekkaniżmu Monitoraġġ tal-mogħdija mhux użati għal dawn ir-rotot. Responsabbli għall-bidla Monitor tal-Mina.
L-istess rotot għas-subnet 192.168.30.0/24 jeħtieġ li jiġu kkonfigurati fuq PA-2.
• It-twaqqif ta' regoli tan-netwerk
Biex il-mina taħdem, huma meħtieġa tliet regoli:
- Biex taħdem Monitor tal-Path Ħalli ICMP fuq interfaces esterni.
- Għal IPsec jippermettu apps Ike и ipsec fuq interfaces esterni.
- Ħalli t-traffiku bejn subnets interni u interfaces tal-mini.
Konklużjoni
Dan l-artikolu jiddiskuti l-għażla li titwaqqaf konnessjoni tal-Internet tolleranti għall-ħsarat u VPN minn sit għal sit. Nittamaw li l-informazzjoni kienet utli u li l-qarrej ħa idea tat-teknoloġiji użati fihom Netwerks Alto Palo. Jekk għandek mistoqsijiet dwar setup u suġġerimenti dwar suġġetti għal artikli futuri, iktebhom fil-kummenti, aħna nkunu kuntenti li nwieġbu.
Sors: www.habr.com