دا مقاله دوام لري د تجهیزاتو تنظیم کولو ځانګړتیاو ته وقف شوی د پالو آلټو شبکې . دلته موږ غواړو د تنظیم په اړه وغږیږو IPSec سایټ څخه سایټ VPN په تجهیزاتو د پالو آلټو شبکې او د څو انټرنیټ چمتو کونکو سره وصل کولو لپاره د ممکنه ترتیب کولو اختیار په اړه.
د مظاهرې لپاره به د مرکزي دفتر د څانګې سره نښلولو لپاره یو معیاري سکیم وکارول شي. د غلطۍ زغمونکي انټرنیټ اتصال چمتو کولو لپاره ، مرکزي دفتر د دوه چمتو کونکو سره یو ځای پیوستون کاروي: ISP-1 او ISP-2. څانګه یوازې یو برابرونکي سره اړیکه لري، ISP-3. دوه تونلونه د اور وژنې PA-1 او PA-2 ترمنځ جوړ شوي دي. تونلونه په موډ کې کار کوي فعال - ولاړتونل-1 فعال دی، تونل-2 به د ټرافیک لیږد پیل کړي کله چې تونل-1 ناکام شي. تونل-1 د ISP-1 سره پیوستون کاروي، تونل-2 د ISP-2 سره پیوستون کاروي. ټول IP پتې په تصادفي ډول د مظاهرې موخو لپاره رامینځته شوي او له واقعیت سره هیڅ تړاو نلري.
د سایټ څخه سایټ VPN جوړولو لپاره به وکارول شي IPsec - د پروتوکولونو سیټ ترڅو د IP له لارې لیږدول شوي ډیټا ساتنه یقیني کړي. IPsec د امنیتي پروتوکول په کارولو سره به کار وکړي ESP (Encapsulating Security Payload)، کوم چې به د لیږد شوي معلوماتو کوډ کول یقیني کړي.
В IPsec ننوتل Ike (د انټرنیټ کیلي تبادله) یو پروتوکول دی چې د SA (امنیتي اتحادیې) د خبرو اترو لپاره مسؤل دی ، هغه امنیتي پیرامیټونه چې د لیږد شوي معلوماتو ساتلو لپاره کارول کیږي. د PAN فایروال ملاتړ IKEv1 и IKEv2.
В IKEv1 د VPN اتصال په دوه مرحلو کې جوړ شوی: IKEv1 مرحله 1 (IKE تونل) او IKEv1 مرحله 2 (IPSec تونل) ، پدې توګه ، دوه تونلونه رامینځته شوي ، چې یو یې د اور وژونکو ترمینځ د خدماتو معلوماتو تبادلې لپاره کارول کیږي ، دوهم د ترافیک لیږد لپاره. IN IKEv1 مرحله 1 دوه عملیاتي حالتونه شتون لري - اصلي حالت او تیریدونکي حالت. د تیریدونکي حالت لږ پیغامونه کاروي او ګړندي دي ، مګر د پیر پیژندنې محافظت ملاتړ نه کوي.
IKEv2 بدل شوی IKEv1، او په پرتله IKEv1 د دې اصلي ګټه د ټیټ بینډ ویت اړتیاوې او د SA ګړندي خبرې اترې دي. IN IKEv2 لږ خدمت پیغامونه کارول کیږي (په ټولیزه توګه 4)، د EAP او MOBIKE پروتوکولونه ملاتړ شوي، او یو میکانیزم اضافه شوی ترڅو د هغه ملګری شتون وګوري چې تونل رامینځته شوی - د ژوندانه معاینه، په IKEv1 کې د مړ پیر کشف ځای په ځای کول. که چک ناکام شي، نو بیا IKEv2 کولی شي تونل بیا تنظیم کړي او بیا یې په لومړي فرصت کې په اوتومات ډول بحال کړي. تاسو کولی شئ د توپیرونو په اړه نور معلومات زده کړئ .
که چیرې یو تونل د مختلف تولید کونکو څخه د اور وژونکو ترمینځ جوړ شي ، نو بیا ممکن په پلي کولو کې کیګونه وي IKEv2، او د دې ډول تجهیزاتو سره مطابقت لپاره کارول ممکن دي IKEv1. په نورو قضیو کې دا غوره ده چې وکاروئ IKEv2.
د تنظیم کولو ګامونه:
• په ActiveStandby حالت کې د دوه انټرنیټ چمتو کونکي تنظیم کول
د دې فعالیت پلي کولو لپاره ډیری لارې شتون لري. یو یې د میکانیزم کارول دي د لارې څارنه، کوم چې د نسخې څخه پیل کې شتون درلود PAN-OS 8.0.0. دا مثال 8.0.16 نسخه کاروي. دا خصوصیت د سیسکو روټرونو کې د IP SLA سره ورته دی. د جامد ډیفالټ روټ پیرامیټر د ځانګړي سرچینې پتې څخه ځانګړي IP پتې ته د پینګ پاکټونو لیږل تنظیموي. په دې حالت کې، ایترنیټ 1/1 انٹرفیس په هر ثانیه کې یو ځل ډیفالټ ګیټس پینګ کوي. که چیرې په پرله پسې ډول درې پینګونو ته ځواب ونه ویل شي، لاره مات شوی او د روټینګ میز څخه لرې ګڼل کیږي. ورته لاره د دویم انټرنیټ چمتو کونکي په لور ترتیب شوې، مګر د لوړ میټریک سره (دا یو بیک اپ دی). یوځل چې لومړۍ لار له میز څخه لیرې شي، د اور وژنې وال به د دویمې لارې له لارې ترافیک لیږل پیل کړي - ناکامه. کله چې لومړی چمتو کونکی پینګونو ته ځواب ویل پیل کړي ، نو د هغې لاره به میز ته راستون شي او د غوره میټریک له امله دوهم ځای په ځای کړي - ناکامه - بیرته. پروسه ناکامه د ترتیب شوي وقفو پورې اړه لري څو ثانیې وخت نیسي، مګر، په هر حالت کې، پروسه سمدستي نه ده، او پدې وخت کې ټرافیک له لاسه ورکوي. ناکامه - بیرته پرته له ترافیکي زیان څخه تیریږي. د کولو فرصت شتون لري ناکامه چټک، سره B.F.D.، که چیرې د انټرنیټ چمتو کونکي ورته فرصت چمتو کړي. B.F.D. د ماډل څخه پیل ملاتړ شوی PA-3000 لړۍ и VM-100. دا غوره ده چې د چمتو کونکي دروازه د پینګ پتې په توګه مشخص نه کړئ، مګر یو عامه، تل د لاسرسي وړ انټرنیټ پته.
• د تونل انٹرفیس جوړول
د تونل دننه ترافیک د ځانګړي مجازی انٹرفیسونو له لارې لیږدول کیږي. هر یو باید د لیږد شبکې څخه د IP پتې سره ترتیب شي. په دې مثال کې، سب سټیشن 1/172.16.1.0 به د تونل-30 لپاره وکارول شي، او سب سټیشن 2/172.16.2.0 به د تونل-30 لپاره وکارول شي.
د تونل انٹرفیس په برخه کې رامینځته شوی شبکه -> انٹرفیس -> تونل. تاسو باید یو مجازی روټر او امنیت زون مشخص کړئ، او همدارنګه د اړونده ټرانسپورټ شبکې څخه IP پته. د انٹرفیس شمیره هر څه کیدی شي.
کړی ژور مشخص کیدی شي د مدیریت پروفایلکوم چې به په ورکړل شوي انٹرفیس کې پینګ ته اجازه ورکړي ، دا ممکن د ازموینې لپاره ګټور وي.
• د IKE پروفایل ترتیب کول
د IKE پروفایل د VPN اتصال رامینځته کولو لومړۍ مرحلې مسؤل دی؛ د تونل پیرامیټونه دلته مشخص شوي IKE مرحله 1. پروفایل په برخه کې جوړ شوی شبکه -> د شبکې پروفایلونه -> IKE کریپټو. دا اړینه ده چې د کوډ کولو الګوریتم، د هیشینګ الګوریتم، Diffie-Hellman ګروپ او کلیدي ژوند مشخص کړئ. په عموم کې، څومره چې الګوریتمونه پیچلي وي، هغومره خراب فعالیت؛ دوی باید د ځانګړو امنیتي اړتیاو پراساس وټاکل شي. په هرصورت، دا په کلکه سپارښتنه نه کیږي چې د حساس معلوماتو خوندي کولو لپاره د 14 لاندې د Diffie-Hellman ګروپ وکاروئ. دا د پروتوکول د زیان مننې له امله دی، کوم چې یوازې د 2048 بټونو او لوړ ماډل اندازې په کارولو سره کم کیدی شي، یا د ایلیپټیک کریپټوګرافي الګوریتمونه چې په 19، 20، 21، 24 ګروپونو کې کارول کیږي. دودیز کریپټوګرافي. . او .
• د IPSec پروفایل ترتیب کول
د VPN اتصال رامینځته کولو دوهم مرحله د IPSec تونل دی. د دې لپاره د SA پیرامیټونه ترتیب شوي دي شبکه -> د شبکې پروفایلونه -> IPSec کریپټو پروفایل. دلته تاسو اړتیا لرئ د IPSec پروتوکول مشخص کړئ - AH او یا ESPاو همدارنګه پیرامیټونه SA - د هیشینګ الګوریتمونه، کوډ کول، د Diffie-Hellman ګروپونه او کلیدي ژوند. د IKE کریپټو پروفایل او IPSec کریپټو پروفایل کې د SA پیرامیټونه ممکن ورته نه وي.
• د IKE ګیټ وی تنظیم کول
د IKE ګیټ وی - دا یو څیز دی چې یو روټر یا فایروال ډیزاین کوي چې ورسره د VPN تونل جوړ شوی. د هر تونل لپاره تاسو اړتیا لرئ خپل ځان جوړ کړئ د IKE ګیټ وی. په دې حالت کې، دوه تونلونه جوړ شوي، یو د هر انټرنیټ چمتو کونکي له لارې. اړونده وتلی انٹرفیس او د هغې IP پته ، د همکار IP پته ، او شریک کیلي په ګوته شوي. سندونه د شریک شوي کیلي لپاره د بدیل په توګه کارول کیدی شي.
مخکې جوړ شوی دلته اشاره شوی د IKE کریپټو پروفایل. د دوهم اعتراض پارامترونه د IKE ګیټ وی ورته، د IP پتې پرته. که د پالو الټو شبکې فایر وال د NAT روټر شاته موقعیت ولري ، نو تاسو اړتیا لرئ میکانیزم فعال کړئ NAT ټراورسل.
• د IPSec تونل ترتیب کول
IPSec تونل یو څیز دی چې د IPSec تونل پیرامیټونه مشخص کوي، لکه څنګه چې نوم وړاندیز کوي. دلته تاسو اړتیا لرئ د تونل انٹرفیس او دمخه رامینځته شوي توکي مشخص کړئ د IKE ګیټ وی, د IPSec کریپټو پروفایل. د بیک اپ تونل ته د روټینګ اتوماتیک بدلولو ډاډ ترلاسه کولو لپاره ، تاسو باید فعال کړئ د تونل مانیټر. دا یو میکانیزم دی چې ګوري چې ایا یو ملګری د ICMP ترافیک په کارولو سره ژوندی دی. د منزل پته په توګه، تاسو اړتیا لرئ چې د هغه ملګري د تونل انٹرفیس IP پته مشخص کړئ چې تونل یې جوړیږي. پروفایل ټایمر ټاکي او څه وکړي که پیوستون ورک شي. بیا رغیدو ته انتظار وکړئ - تر هغه وخته پورې انتظار وکړئ چې اړیکه بحال شي ناکام شو - که شتون ولري، د بلې لارې په اوږدو کې ټرافيک ولېږئ. د دوهم تونل تنظیم کول په بشپړ ډول ورته دي؛ د دوهم تونل انٹرفیس او د IKE ګیټ وے مشخص شوي.
• د روټینګ ترتیب کول
دا مثال د جامد روټینګ کاروي. په PA-1 فایر وال کې، د دوو اصلي لارو سربیره، تاسو اړتیا لرئ چې په څانګه کې 10.10.10.0/24 سبنټ ته دوه لارې مشخص کړئ. یوه لار د تونل-1 او بله تونل-2 کاروي. د تونل-1 له لارې لاره اصلي ده ځکه چې دا ټیټ میټریک لري. میکانیزم د لارې څارنه د دې لارو لپاره نه کارول کیږي. د بدلولو لپاره مسؤل د تونل مانیټر.
د فرعي نیټ 192.168.30.0/24 لپاره ورته لارې باید په PA-2 کې تنظیم شي.
• د شبکې مقررات ترتیبول
د تونل د کار کولو لپاره، درې قواعدو ته اړتیا ده:
- د کار لپاره د لارې څار په بهرني انٹرفیسونو کې ICMP ته اجازه ورکړئ.
- لپاره IPsec ایپس ته اجازه ورکړئ Ike и ipsec په بهرني انٹرفیسونو کې.
- د داخلي فرعي سایټونو او تونل انٹرفیسونو ترمنځ ترافیک ته اجازه ورکړئ.
پایلې
دا مقاله د غلطۍ زغمونکي انټرنیټ اتصال تنظیم کولو اختیار په اړه بحث کوي او سایټ ته تر سایټ VPN. موږ امید لرو چې معلومات ګټور و او لوستونکي په کې کارول شوي ټیکنالوژیو په اړه نظر ترلاسه کړ د پالو آلټو شبکې. که تاسو د راتلونکو مقالو لپاره د موضوعاتو په اړه د تنظیم او وړاندیزونو په اړه پوښتنې لرئ، په نظرونو کې یې ولیکئ، موږ به خوشحاله یو چې ځواب ووایو.
سرچینه: www.habr.com