ဤဆောင်းပါးသည် ဆက်ရန်ဖြစ်သည်။ စက်ကိရိယာများတပ်ဆင်ခြင်း၏အသေးစိတ်အချက်အလက်များအတွက်ရည်ညွှန်းသည်။ Palo Alto Networks . ဤတွင် ကျွန်ုပ်တို့သည် တပ်ဆင်မှုအကြောင်း ပြောလိုပါသည်။ IPSec Site-to-Site VPN ပစ္စည်းကိရိယာများပေါ်တွင် Palo Alto Networks အင်တာနက်ဝန်ဆောင်မှုပေးသူအများအပြားကို ချိတ်ဆက်ရန်အတွက် ဖြစ်နိုင်ချေရှိသော ဖွဲ့စည်းမှုရွေးချယ်မှုတစ်ခုအကြောင်း။
သရုပ်ပြမှုအတွက်၊ ရုံးချုပ်နှင့် ဌာနခွဲသို့ ချိတ်ဆက်ခြင်းအတွက် စံအစီအစဉ်တစ်ရပ်ကို အသုံးပြုမည်ဖြစ်သည်။ အမှားအယွင်းခံနိုင်သော အင်တာနက်ချိတ်ဆက်မှုကို ပံ့ပိုးရန်အတွက် ရုံးချုပ်သည် ISP-1 နှင့် ISP-2 ဝန်ဆောင်မှုပေးသူနှစ်ဦး၏ တစ်ပြိုင်နက်ချိတ်ဆက်မှုကို အသုံးပြုပါသည်။ ဌာနခွဲတွင် ဝန်ဆောင်မှုပေးသူ ISP-3 တစ်ခုသာ ချိတ်ဆက်မှုရှိသည်။ PA-1 နှင့် PA-2 firewalls ကြားတွင် ဥမင်နှစ်ခုကို တည်ဆောက်ထားသည်။ ဥမင်များသည် မုဒ်တွင် လည်ပတ်နေသည်။ Active-Standby၊Tunnel-1 သည် အသက်ဝင်သည်၊ Tunnel-2 ပျက်သွားသောအခါ Tunnel-1 သည် အသွားအလာကို စတင်ထုတ်လွှင့်ပါမည်။ Tunnel-1 သည် ISP-1 သို့ ချိတ်ဆက်မှုကို အသုံးပြုသည်၊ Tunnel-2 သည် ISP-2 သို့ ချိတ်ဆက်မှုကို အသုံးပြုသည်။ သရုပ်ပြရည်ရွယ်ချက်အတွက် IP လိပ်စာအားလုံးကို ကျပန်းထုတ်ပေးပြီး လက်တွေ့နှင့် ဆက်စပ်မှုမရှိပါ။
Site-to-Site VPN တည်ဆောက်ရန် အသုံးပြုပါမည်။ IPsec — IP မှတစ်ဆင့် ပေးပို့သော ဒေတာများကို အကာအကွယ်ပေးရန် သေချာစေရန် ပရိုတိုကောအစုတစ်ခု။ IPsec လုံခြုံရေးပရိုတိုကောကို အသုံးပြု၍ လုပ်ဆောင်မည်ဖြစ်သည်။ ESP (Encapsulating Security Payload) သည် ကူးယူထားသော အချက်အလက်များကို ကုဒ်ဝှက်ခြင်း သေချာစေမည်ဖြစ်သည်။
В IPsec ပါဝင်သည် ike (Internet Key Exchange) သည် ကူးယူထားသော ဒေတာများကို ကာကွယ်ရန်အတွက် အသုံးပြုသည့် လုံခြုံရေး ဘောင်များကို ညှိနှိုင်းရန် တာဝန်ရှိသော ပရိုတိုကောတစ်ခုဖြစ်သည်။ PAN firewalls ပံ့ပိုးမှု IKEv1 и IKEv2.
В IKEv1 VPN ချိတ်ဆက်မှုကို အဆင့်နှစ်ဆင့်ဖြင့် တည်ဆောက်သည်- IKEv1 အဆင့် ၁ (IKE လိုဏ်ခေါင်း) နှင့် IKEv1 အဆင့် ၁ (IPSec ဥမင်လိုဏ်ခေါင်း) ထို့ကြောင့်၊ ဥမင်နှစ်ခုကို ဖန်တီးထားပြီး၊ တစ်ခုသည် firewalls များကြား ဝန်ဆောင်မှုအချက်အလက်များ ဖလှယ်ရန်အတွက် အသုံးပြုသည့်၊ ဒုတိယတစ်ခုမှာ traffic transmission အတွက်ဖြစ်သည်။ IN IKEv1 အဆင့် ၁ လည်ပတ်မှုမုဒ် နှစ်ခုရှိသည် - အဓိကမုဒ်နှင့် ပြင်းထန်သောမုဒ်။ ပြင်းထန်သောမုဒ်သည် မက်ဆေ့ချ်အနည်းငယ်သာအသုံးပြုပြီး ပိုမြန်သော်လည်း Peer Identity Protection ကို မပံ့ပိုးပါ။
IKEv2 အစားထိုးခဲ့သည်။ IKEv1, နှင့်နှိုင်းယှဉ် IKEv1 ၎င်း၏အဓိကအားသာချက်မှာ bandwidth လိုအပ်ချက်နည်းပါးပြီး SA ညှိနှိုင်းမှုပိုမိုမြန်ဆန်သည်။ IN IKEv2 ဝန်ဆောင်မှုစာတိုများကို လျှော့သုံးသည် (စုစုပေါင်း 4 ခု)၊ EAP နှင့် MOBIKE ပရိုတိုကောများကို ပံ့ပိုးထားပြီး ဥမင်လိုဏ်ခေါင်းကို ဖန်တီးထားသည့် သက်တူရွယ်တူများ၏ ရရှိနိုင်မှုကို စစ်ဆေးရန် ယန္တရားတစ်ခုကို ထည့်သွင်းထားသည် - နေထိုင်မှုစစ်ဆေးခြင်း။IKEv1 တွင် Dead Peer Detection ကို အစားထိုးခြင်း။ စစ်ဆေးမှု အဆင်မပြေရင်၊ IKEv2 ဥမင်လိုဏ်ခေါင်းကို ပြန်လည်သတ်မှတ်နိုင်ပြီး ပထမအခွင့်အရေးတွင် ၎င်းကို အလိုအလျောက် ပြန်လည်ရယူနိုင်သည်။ ခြားနားချက်များကို သင်ပိုမိုလေ့လာနိုင်ပါသည်။ .
ထုတ်လုပ်သူအမျိုးမျိုးမှ firewall များကြားတွင် ဥမင်လိုဏ်ခေါင်းတစ်ခုတည်ဆောက်ပါက၊ အကောင်အထည်ဖော်မှုတွင် ချွတ်ယွင်းချက်များရှိနိုင်သည်။ IKEv2နှင့် ထိုကဲ့သို့သော စက်ကိရိယာများနှင့် လိုက်ဖက်မှုရှိစေရန် အသုံးပြုနိုင်သည်။ IKEv1. တခြားကိစ္စတွေမှာ သုံးတာက ပိုကောင်းပါတယ်။ IKEv2.
စနစ်ထည့်သွင်းရန် အဆင့်များ-
• ActiveStandby မုဒ်တွင် အင်တာနက်ဝန်ဆောင်မှုပေးသူ နှစ်ဦးကို ပြင်ဆင်သတ်မှတ်ခြင်း။
ဤလုပ်ဆောင်ချက်ကို အကောင်အထည်ဖော်ရန် နည်းလမ်းများစွာရှိသည်။ အဲဒီထဲက တစ်ယောက်က ယန္တရားတွေကို သုံးတယ်။ လမ်းကြောင်းစောင့်ကြည့်ရေးဗားရှင်းမှ စတင်၍ ရရှိလာခဲ့သည်။ PAN-OS 8.0.0. ဤဥပမာသည် ဗားရှင်း 8.0.16 ကို အသုံးပြုသည်။ ဤအင်္ဂါရပ်သည် Cisco router များတွင် IP SLA နှင့်ဆင်တူသည်။ တည်ငြိမ်သော ပုံသေလမ်းကြောင်း ကန့်သတ်ချက်သည် တိကျသောအရင်းအမြစ်လိပ်စာမှ သီးခြား IP လိပ်စာတစ်ခုသို့ ping packet များကို ပေးပို့ရန် စီစဉ်ပေးသည်။ ဤကိစ္စတွင်၊ ethernet1/1 interface သည် default gateway ကို တစ်စက္ကန့်လျှင် တစ်ကြိမ် ping လုပ်သည်။ ဆက်တိုက် ping သုံးခုကို တုံ့ပြန်ခြင်းမရှိပါက၊ လမ်းကြောင်းကို ပျက်သွားသည်ဟု ယူဆကာ လမ်းကြောင်းဇယားမှ ဖယ်ရှားသည်။ တူညီသောလမ်းကြောင်းကို ဒုတိယအင်တာနက်ဝန်ဆောင်မှုပေးသူထံ စီစဉ်သတ်မှတ်ထားသော်လည်း ပိုမိုမြင့်မားသောမက်ထရစ်ဖြင့် (၎င်းသည် အရန်တစ်ခုဖြစ်သည်)။ ပထမလမ်းကြောင်းကိုဇယားမှဖယ်ရှားပြီးသည်နှင့် firewall သည်ဒုတိယလမ်းကြောင်း - မှတဆင့်လမ်းကြောင်းကိုစတင်ပေးပို့လိမ့်မည်။ မအောင်မြင်. ပထမဝန်ဆောင်မှုပေးသူက pings များကို စတင်တုံ့ပြန်သောအခါ၊ ၎င်း၏လမ်းကြောင်းသည် ဇယားသို့ပြန်သွားပြီး ပိုမိုကောင်းမွန်သောမက်ထရစ်ကြောင့် ဒုတိယတစ်ခုကို အစားထိုးပါမည် - Fail-Back. လုပ်ငန်းစဉ် မအောင်မြင် စီစဉ်သတ်မှတ်ထားသော ကြားကာလများပေါ် မူတည်၍ စက္ကန့်အနည်းငယ်ကြာသော်လည်း၊ မည်သို့ပင်ဆိုစေ၊ လုပ်ငန်းစဉ်သည် ချက်ချင်းမလုပ်ဆောင်နိုင်ဘဲ ဤအချိန်အတွင်း အသွားအလာ ပျောက်ဆုံးသွားပါသည်။ Fail-Back အသွားအလာ မဆုံးရှုံးဘဲ ဖြတ်သန်းပါ။ လုပ်ခွင့်ရှိတယ်။ မအောင်မြင် ပိုမြန်တယ်။ B.F.D.အကယ်၍ အင်တာနက်ဝန်ဆောင်မှုပေးသူက ထိုသို့သောအခွင့်အရေးကို ပေးသည်။ B.F.D. မော်ဒယ်ကနေစပြီး ပံ့ပိုးပေးတယ်။ PA-3000 စီးရီး и VM-100. ဝန်ဆောင်မှုပေးသူ၏ ဂိတ်ဝကို ping လိပ်စာအဖြစ် မသတ်မှတ်ဘဲ အများသူငှာ အမြဲသုံးနိုင်သော အင်တာနက်လိပ်စာကို သတ်မှတ်ခြင်းသည် ပိုကောင်းသည်။
• ဥမင်လိုဏ်ခေါင်းအင်တာဖေ့စ်ဖန်တီးခြင်း။
ဥမင်လိုဏ်ခေါင်းအတွင်းရှိ လမ်းကြောင်းများကို အထူး virtual interface များမှတဆင့် ပို့လွှတ်ပါသည်။ ၎င်းတို့တစ်ခုစီကို အကူးအပြောင်းကွန်ရက်မှ IP လိပ်စာတစ်ခုဖြင့် ပြင်ဆင်သတ်မှတ်ရပါမည်။ ဤဥပမာတွင်၊ ဓာတ်အားခွဲရုံ 1/172.16.1.0 ကို Tunnel-30 အတွက် အသုံးပြုမည်ဖြစ်ပြီး ဓာတ်အားခွဲရုံ 2/172.16.2.0 ကို Tunnel-30 အတွက် အသုံးပြုမည်ဖြစ်သည်။
ဥမင်လိုဏ်ခေါင်းကို ကဏ္ဍတွင် ဖန်တီးထားသည်။ Network -> Interfaces -> Tunnel. သင်သည် virtual router နှင့် လုံခြုံရေးဇုန်အပြင် သက်ဆိုင်ရာ သယ်ယူပို့ဆောင်ရေးကွန်ရက်မှ IP လိပ်စာကို သတ်မှတ်ရပါမည်။ အင်တာဖေ့စ်နံပါတ်သည် ဘာမဆိုဖြစ်နိုင်သည်။
အပိုင်း အဆင့်မြင့် သတ်မှတ်နိုင်ပါတယ်။ စီမံခန့်ခွဲမှု ပရိုဖိုင်ပေးထားသောအင်တာဖေ့စ်ပေါ်တွင် ping ကိုခွင့်ပြုမည့်၊ ၎င်းသည်စမ်းသပ်မှုအတွက်အသုံးဝင်နိုင်သည်။
• IKE ပရိုဖိုင်ကို စနစ်ထည့်သွင်းခြင်း။
IKE Profile VPN ချိတ်ဆက်မှု ဖန်တီးခြင်း၏ ပထမအဆင့်အတွက် တာဝန်ရှိသည်၊ tunnel parameters များကို ဤနေရာတွင် သတ်မှတ်ထားပါသည်။ IKE အဆင့် ၁. ပရိုဖိုင်ကို ကဏ္ဍတွင် ဖန်တီးထားသည်။ ကွန်ရက် -> ကွန်ရက်ပရိုဖိုင်များ -> IKE Crypto. ကုဒ်ဝှက်ခြင်းဆိုင်ရာ algorithm၊ hashing algorithm၊ Diffie-Hellman အုပ်စုနှင့် သော့သက်တမ်းကို သတ်မှတ်ရန် လိုအပ်ပါသည်။ ယေဘုယျအားဖြင့်၊ အယ်လဂိုရီသမ်များ ပိုမိုရှုပ်ထွေးလေ၊ စွမ်းဆောင်ရည်ပိုဆိုးလေ၊ ၎င်းတို့ကို သီးခြားလုံခြုံရေးလိုအပ်ချက်များအပေါ် အခြေခံ၍ ရွေးချယ်သင့်သည်။ သို့သော်၊ ထိခိုက်လွယ်သောအချက်အလက်များကိုကာကွယ်ရန် 14 နှစ်အောက် Diffie-Hellman အဖွဲ့ကိုအသုံးပြုရန် တင်းတင်းကျပ်ကျပ်မထောက်ခံပါ။ ၎င်းမှာ ပရိုတိုကော၏ အားနည်းချက်ကြောင့်ဖြစ်ပြီး၊ 2048 bits နှင့် ထို့ထက်မြင့်သော module အရွယ်အစားများကို အသုံးပြုခြင်းဖြင့်သာ လျော့ပါးသွားနိုင်သည်၊ သို့မဟုတ် အုပ်စု 19၊ 20၊ 21၊ 24 တွင်အသုံးပြုထားသည့် elliptic cryptography algorithms များကို အသုံးပြုထားသည်။ ဤအယ်လဂိုရီသမ်များသည် စွမ်းဆောင်ရည်ပိုကောင်းပါသည်။ ရိုးရာ cryptography ။ နှင့် .
• IPSec ပရိုဖိုင်ကို စနစ်ထည့်သွင်းခြင်း။
VPN ချိတ်ဆက်မှုဖန်တီးခြင်း၏ ဒုတိယအဆင့်မှာ IPSec ဥမင်လိုဏ်ခေါင်းတစ်ခုဖြစ်သည်။ ၎င်းအတွက် SA ဘောင်များကို ပြင်ဆင်သတ်မှတ်ထားသည်။ ကွန်ရက် -> ကွန်ရက်ပရိုဖိုင်များ -> IPSec Crypto ပရိုဖိုင်. ဤနေရာတွင် သင်သည် IPSec ပရိုတိုကောကို သတ်မှတ်ရန် လိုအပ်သည်- AH သို့မဟုတ် ESPကန့်သတ်ချက်များ၊ SA - hashing algorithms၊ encryption၊ Diffie-Hellman အုပ်စုများနှင့် key lifetime။ IKE Crypto Profile နှင့် IPSec Crypto Profile ရှိ SA ကန့်သတ်ချက်များသည် တူညီမည်မဟုတ်ပါ။
• IKE Gateway ကို ပြင်ဆင်ခြင်း။
IKE Gateway - ဤအရာသည် VPN ဥမင်လိုဏ်ခေါင်းတစ်ခုတည်ဆောက်ထားသည့် router သို့မဟုတ် firewall ကိုသတ်မှတ်ပေးသည့်အရာတစ်ခုဖြစ်သည်။ ဥမင်လိုဏ်ခေါင်းတစ်ခုစီအတွက် သင့်ကိုယ်ပိုင်ဖန်တီးရန် လိုအပ်သည်။ IKE Gateway. ဤအခြေအနေတွင်၊ လှိုင်ခေါင်းနှစ်ခုကို အင်တာနက်ဝန်ဆောင်မှုပေးသူတစ်ဦးစီမှတစ်ဆင့် ဖန်တီးထားသည်။ သက်ဆိုင်ရာ အထွက်အင်တာဖေ့စ်နှင့် ၎င်း၏ IP လိပ်စာ၊ မျိုးတူ IP လိပ်စာနှင့် မျှဝေထားသောသော့တို့ကို ညွှန်ပြထားသည်။ လက်မှတ်များကို မျှဝေထားသောသော့အတွက် အခြားရွေးချယ်စရာအဖြစ် အသုံးပြုနိုင်ပါသည်။
ယခင်ဖန်တီးထားသည့်အရာကို ဤနေရာတွင် ဖော်ပြထားပါသည်။ IKE Crypto Profile. ဒုတိယအရာဝတ္ထု၏ ကန့်သတ်ချက်များ IKE Gateway IP လိပ်စာများမှလွဲ၍ အလားတူ။ Palo Alto Networks firewall သည် NAT router နောက်ကွယ်တွင် တည်ရှိနေပါက၊ ယန္တရားကို သင်ဖွင့်ထားရန် လိုအပ်ပါသည်။ NAT Traversal.
• IPSec ဥမင်လိုဏ်ခေါင်းကို စနစ်ထည့်သွင်းခြင်း။
IPSec ဥမင်လိုဏ်ခေါင်း အမည် အကြံပြုထားသည့်အတိုင်း IPSec ဥမင်လိုဏ်ခေါင်း ဘောင်ဘောင်များကို သတ်မှတ်သည့် အရာတစ်ခုဖြစ်သည်။ ဤနေရာတွင် သင်သည် ဥမင်လိုဏ်ခေါင်းအင်တာဖေ့စ်နှင့် ယခင်ဖန်တီးထားသည့်အရာများကို သတ်မှတ်ရန် လိုအပ်သည်။ IKE Gateway, IPSec Crypto Profile. အရန်ဥမင်လိုဏ်ခေါင်းသို့ လမ်းကြောင်းလမ်းကြောင်းကို အလိုအလျောက်ပြောင်းခြင်း သေချာစေရန်၊ သင်သည် ဖွင့်ရပါမည်။ ဥမင်လိုဏ်ခေါင်းစောင့်ကြည့်. ၎င်းသည် ICMP အသွားအလာကို အသုံးပြု၍ သက်တူရွယ်တူတစ်ဦး အသက်ရှင်ခြင်းရှိမရှိ စစ်ဆေးပေးသည့် ယန္တရားတစ်ခုဖြစ်သည်။ ဦးတည်ရာလိပ်စာအနေဖြင့် သင်သည် ဥမင်လိုဏ်ခေါင်းတည်ဆောက်နေသည့် မျိုးတူဥမင်လိုဏ်ခေါင်း၏ အိုင်ပီလိပ်စာကို သတ်မှတ်ရန် လိုအပ်သည်။ ပရိုဖိုင်တွင် တိုင်မာများနှင့် ချိတ်ဆက်မှု ပျောက်ဆုံးပါက ဘာလုပ်ရမည်ကို သတ်မှတ်ပေးသည်။ Recover ခဏစောင့်ပါ။ - ချိတ်ဆက်မှုကို ပြန်လည်ရယူသည့်အချိန်အထိ စောင့်ပါ၊ မအောင်မြင် — ရနိုင်လျှင် မတူညီသောလမ်းကြောင်းတစ်လျှောက် အသွားအလာများ ပေးပို့ပါ။ ဒုတိယဥမင်လိုဏ်ခေါင်းကို စနစ်ထည့်သွင်းခြင်းသည် လုံးဝဆင်တူပါသည်၊ ဒုတိယဥမင်လိုဏ်ခေါင်းအင်တာဖေ့စ်နှင့် IKE Gateway ကို သတ်မှတ်ထားသည်။
• လမ်းကြောင်းသတ်မှတ်ခြင်းကို သတ်မှတ်ခြင်း။
ဤဥပမာသည် static routing ကိုအသုံးပြုသည်။ PA-1 firewall တွင်၊ ပုံသေလမ်းကြောင်းနှစ်ခုအပြင်၊ ဌာနခွဲရှိ 10.10.10.0/24 subnet သို့ လမ်းကြောင်းနှစ်ခုကို သင်သတ်မှတ်ရန်လိုအပ်သည်။ လမ်းကြောင်းတစ်ခုသည် Tunnel-1၊ အခြား Tunnel-2 ကို အသုံးပြုသည်။ Tunnel-1 မှတဆင့် လမ်းကြောင်းသည် မက်ထရစ်နိမ့်သောကြောင့် အဓိကဖြစ်သည်။ ယန္တရား လမ်းကြောင်းစောင့်ကြည့်ရေး ဤလမ်းကြောင်းများအတွက် အသုံးမပြုပါ။ ကူးပြောင်းရန်တာဝန်ရှိသည်။ ဥမင်လိုဏ်ခေါင်းစောင့်ကြည့်.
subnet 192.168.30.0/24 အတွက် တူညီသောလမ်းကြောင်းများကို PA-2 တွင် ပြင်ဆင်သတ်မှတ်ရန် လိုအပ်ပါသည်။
• ကွန်ရက်စည်းမျဉ်းများ သတ်မှတ်ခြင်း။
ဥမင်လိုဏ်ခေါင်း အလုပ်လုပ်ရန်အတွက် စည်းမျဉ်းသုံးခု လိုအပ်သည်-
- အလုပ် လမ်းကြောင်းစောင့်ကြည့် ပြင်ပအင်တာဖေ့စ်များတွင် ICMP ကို ခွင့်ပြုပါ။
- အတွက် IPsec အက်ပ်များကို ခွင့်ပြုပါ။ ike и ipsec ပြင်ပ interface များပေါ်တွင်
- အတွင်းပိုင်းကွန်ရက်များနှင့် ဥမင်အင်တာဖေ့စ်များကြား လမ်းကြောင်းကို ခွင့်ပြုပါ။
ကောက်ချက်
ဤဆောင်းပါးတွင် အမှားအယွင်းခံနိုင်ရည်ရှိသော အင်တာနက်ချိတ်ဆက်မှုတစ်ခုကို သတ်မှတ်ခြင်းနှင့် ရွေးချယ်မှုအကြောင်း ဆွေးနွေးထားသည်။ site-to-site VPN. သတင်းအချက်အလက်သည် အသုံးဝင်ပြီး စာဖတ်သူတွင် အသုံးပြုသည့် နည်းပညာများကို အကြံဥာဏ်တစ်ခု ရရှိမည်ဟု မျှော်လင့်ပါသည်။ Palo Alto Networks. နောင်ဆောင်းပါးများအတွက် ခေါင်းစဉ်ထည့်သွင်းခြင်းနှင့် အကြံပြုချက်များနှင့်ပတ်သက်သည့် မေးခွန်းများရှိပါက မှတ်ချက်များတွင် ရေးပေးပါ၊ ကျွန်ုပ်တို့ ကျေနပ်စွာ ဖြေကြားပေးပါမည်။
source: www.habr.com