هي مضمون هڪ تسلسل آهي سامان قائم ڪرڻ جي خاصيتن لاء وقف پولو آلٽو نيٽورڪ . هتي اسان سيٽ اپ بابت ڳالهائڻ چاهيون ٿا IPSec سائيٽ کان سائيٽ وي پي اين سامان تي پولو آلٽو نيٽورڪ ۽ ڪيترن ئي انٽرنيٽ فراهم ڪندڙن کي ڳنڍڻ لاء ممڪن ترتيب ڏيڻ جي اختيار بابت.
مظاهري لاءِ هيڊ آفيس کي برانچ سان ڳنڍڻ لاءِ معياري اسڪيم استعمال ڪئي ويندي. نقص برداشت ڪندڙ انٽرنيٽ ڪنيڪشن مهيا ڪرڻ لاءِ، هيڊ آفيس ٻن مهيا ڪندڙن جو هڪ ئي وقت ڪنيڪشن استعمال ڪري ٿو: ISP-1 ۽ ISP-2. برانچ جو تعلق صرف هڪ فراهم ڪندڙ، ISP-3 سان آهي. فائر والز PA-1 ۽ PA-2 جي وچ ۾ ٻه سرنگون ٺهيل آهن. سرنگون موڊ ۾ هلن ٿيون فعال- اسٽينڊ بائي,Tunnel-1 فعال آهي، Tunnel-2 ٽريفڪ منتقل ڪرڻ شروع ڪندو جڏهن Tunnel-1 ناڪام ٿيندو. Tunnel-1 ISP-1 سان ڪنيڪشن استعمال ڪري ٿو، Tunnel-2 ISP-2 سان ڪنيڪشن استعمال ڪري ٿو. سڀئي IP پتا بي ترتيب طور تي ٺاهيا ويا آهن مظاهرين جي مقصدن لاءِ ۽ انهن جو حقيقت سان ڪو به واسطو ناهي.
تعمير ڪرڻ لاءِ سائيٽ کان سائيٽ وي پي اين استعمال ڪيو ويندو IPSec - IP ذريعي منتقل ٿيل ڊيٽا جي تحفظ کي يقيني بڻائڻ لاءِ پروٽوڪول جو هڪ سيٽ. IPSec سيڪيورٽي پروٽوڪول استعمال ڪندي ڪم ڪندو ايس ايس پي (Encapsulating Security Payload)، جيڪو منتقل ٿيل ڊيٽا جي انڪرپشن کي يقيني بڻائيندو.
В IPSec داخل ٿئي ٿو آئي (Internet Key Exchange) ھڪڙو پروٽوڪول آھي جيڪو SA (سيڪيورٽي ايسوسيئشنز) جي ڳالهين لاءِ ذميوار آھي، سڪيورٽي پيٽرول جيڪي منتقل ٿيل ڊيٽا کي بچائڻ لاءِ استعمال ڪيا ويندا آھن. PAN فائر وال سپورٽ آئي и آئي.
В آئي هڪ وي پي اين ڪنيڪشن ٻن مرحلن ۾ ٺهيل آهي: IKEv1 مرحلو 1 (IKE سرنگ) ۽ IKEv1 مرحلو 2 (IPSec سرنگ)، اهڙيء طرح، ٻه سرنگون ٺاهيا ويا آهن، جن مان هڪ فائر والز جي وچ ۾ خدمت جي معلومات جي بدلي لاء استعمال ڪيو ويندو آهي، ٻيو ٽرئفڪ ٽرانسميشن لاء. IN IKEv1 مرحلو 1 اتي ٻه آپريٽنگ موڊ آهن - مکيه موڊ ۽ جارحتي موڊ. جارحتي موڊ گھٽ پيغامن کي استعمال ڪري ٿو ۽ تيز آھي، پر پير جي سڃاڻپ جي تحفظ کي سپورٽ نٿو ڪري.
آئي تبديل ٿيل آئي، ۽ مقابلي ۾ آئي ان جو بنيادي فائدو گهٽ بينڊوڊٿ جي گهرج ۽ تيز SA ڳالهين آهي. IN آئي گھٽ سروس پيغام استعمال ڪيا ويا آھن (مجموعي طور تي 4)، EAP ۽ MOBIKE پروٽوڪول سپورٽ آھن، ۽ ھڪڙو ميکانيزم شامل ڪيو ويو آھي پيئر جي دستيابي کي جانچڻ لاءِ جنھن سان سرنگ ٺاھي وئي آھي - زندگي جي چڪاس، IKEv1 ۾ مئل پير جي سڃاڻپ کي تبديل ڪرڻ. جيڪڏهن چيڪ ناڪام ٿئي، پوء آئي سرنگ کي ري سيٽ ڪري سگھي ٿو ۽ پوءِ پاڻمرادو بحال ڪري سگھي ٿو پھرين موقعي تي. توھان اختلافن بابت وڌيڪ ڄاڻو ٿا .
جيڪڏهن هڪ سرنگ مختلف ٺاهيندڙن کان فائر والز جي وچ ۾ ٺهيل آهي، ته پوءِ ان تي عملدرآمد ۾ ڪي خرابيون ٿي سگهن ٿيون آئي۽ اهڙي سامان سان مطابقت لاء استعمال ڪرڻ ممڪن آهي آئي. ٻين حالتن ۾، ان کي استعمال ڪرڻ بهتر آهي آئي.
سيٽ اپ قدم:
• ActiveStandby موڊ ۾ ٻن انٽرنيٽ فراهم ڪندڙن کي ترتيب ڏيڻ
ھن فنڪشن کي لاڳو ڪرڻ جا ڪيترائي طريقا آھن. انهن مان هڪ ميکانيزم کي استعمال ڪرڻ آهي رستي جي نگراني، جيڪو نسخي کان شروع ٿي دستياب ٿيو PAN-OS 8.0.0. هي مثال نسخو 8.0.16 استعمال ڪري ٿو. هي خصوصيت سسڪو روٽرز ۾ IP SLA وانگر آهي. جامد ڊفالٽ روٽ پيٽرولر ترتيب ڏئي ٿو پنگ پيڪيٽس موڪلڻ لاءِ مخصوص IP پتي تي مخصوص ماخذ پتي کان. انهي صورت ۾، ethernet1/1 انٽرفيس هڪ ڀيرو في سيڪنڊ ۾ ڊفالٽ گيٽ وي کي پنگ ڪري ٿو. جيڪڏهن قطار ۾ ٽن پنگن جو ڪو به جواب نه آهي، رستي کي ٽوٽل سمجهيو ويندو آهي ۽ روٽنگ ٽيبل تان هٽايو ويندو آهي. ساڳيو رستو ٻئي انٽرنيٽ فراهم ڪندڙ ڏانهن ترتيب ڏنو ويو آهي، پر هڪ اعلي ميٽرڪ سان (اهو هڪ بيڪ اپ آهي). هڪ ڀيرو پهريون رستو ٽيبل تان هٽايو ويندو، فائر وال ٻئي رستي ذريعي ٽرئفڪ موڪلڻ شروع ڪندو - ناڪام ٿيڻ. جڏهن پهريون مهيا ڪندڙ پنگس جو جواب ڏيڻ شروع ڪري ٿو، ان جو رستو واپس ٽيبل ڏانهن موٽندو ۽ هڪ بهتر ميٽرڪ جي ڪري ٻئي کي تبديل ڪندو. ناڪامي - پوئتي. عمل ناڪام ٿيڻ ترتيب ڏنل وقفن تي منحصر ڪري ڪجھ سيڪنڊن ۾ لڳن ٿا، پر، ڪنهن به صورت ۾، عمل فوري طور تي نه آهي، ۽ ان دوران ٽرئفڪ گم ٿي ويندي آهي. ناڪامي - پوئتي ٽرئفڪ جي نقصان کان سواء گذري ٿو. ڪرڻ جو موقعو آهي ناڪام ٿيڻ تيز، سان بي ايف ڊي، جيڪڏهن انٽرنيٽ فراهم ڪندڙ اهڙو موقعو فراهم ڪري ٿو. بي ايف ڊي سپورٽ ماڊل کان شروع ٿي PA-3000 سيريز и وي ايم -100. اهو بهتر آهي ته مهيا ڪندڙ جي گيٽ وي کي پنگ ايڊريس جي طور تي بيان نه ڪيو وڃي، پر هڪ عوامي، هميشه رسائي انٽرنيٽ ايڊريس.
• هڪ سرنگ انٽرفيس ٺاهڻ
سرنگ اندر ٽريفڪ خاص ورچوئل انٽرفيس ذريعي منتقل ڪئي ويندي آهي. انهن مان هر هڪ کي ترتيب ڏيڻ گهرجي IP پتي سان ٽرانزٽ نيٽ ورڪ مان. هن مثال ۾، سب اسٽيشن 1/172.16.1.0 استعمال ڪيو ويندو سرنگ-30 لاءِ، ۽ سب اسٽيشن 2/172.16.2.0 استعمال ڪيو ويندو سرنگ-30 لاءِ.
سرنگ انٽرفيس سيڪشن ۾ ٺهيل آهي نيٽ ورڪ -> انٽرفيس -> سرنگ. توهان کي هڪ ورچوئل روٽر ۽ سيڪيورٽي زون جي وضاحت ڪرڻ گهرجي، انهي سان گڏ هڪ IP پتو لاڳاپيل ٽرانسپورٽ نيٽ ورڪ کان. انٽرفيس نمبر ڪجھ به ٿي سگھي ٿو.
سيڪشن اعلي درجي بيان ڪري سگهجي ٿو انتظامي پروفائلجيڪو ڏنل انٽرفيس تي پنگ جي اجازت ڏيندو، اهو ٿي سگهي ٿو جاچ لاءِ ڪارآمد.
• IKE پروفائل ترتيب ڏيڻ
IKE پروفائل VPN ڪنيڪشن ٺاهڻ جي پهرين مرحلي لاءِ ذميوار آهي؛ سرنگ جا پيرا ميٽر هتي بيان ڪيا ويا آهن IKE مرحلو 1. پروفائل سيڪشن ۾ ٺاھيو ويو آھي نيٽورڪ -> نيٽورڪ پروفائلز -> IKE Crypto. اهو ضروري آهي ته انڪرپشن الگورٿم، هيشنگ الگورٿم، Diffie-Hellman گروپ ۽ اهم زندگي. عام طور تي، وڌيڪ پيچيده الگورتھم، ڪارڪردگي خراب؛ انهن کي مخصوص سيڪيورٽي گهرجن جي بنياد تي چونڊيو وڃي. بهرحال، حساس معلومات جي حفاظت لاءِ 14 کان هيٺ هڪ Diffie-Hellman گروپ استعمال ڪرڻ جي سختي سان سفارش نه ڪئي وئي آهي. اهو پروٽوڪول جي ڪمزوريءَ جي ڪري آهي، جنهن کي صرف 2048 بِٽ ۽ ان کان وڌيڪ ماڊل سائيز جي استعمال سان گھٽائي سگهجي ٿو، يا ايليپيٽڪ ڪرپٽوگرافي الگورٿمس، جيڪي 19، 20، 21، 24 گروپن ۾ استعمال ڪيا ويا آهن. اهي الگورٿمز جي مقابلي ۾ وڌيڪ ڪارڪردگي آهي. روايتي cryptography. . ۽ .
• IPSec پروفائل ترتيب ڏيڻ
هڪ VPN ڪنيڪشن ٺاهڻ جو ٻيو مرحلو هڪ IPSec سرنگ آهي. ان لاءِ SA پيٽرول ترتيب ڏنل آهن نيٽورڪ -> نيٽورڪ پروفائلز -> IPSec Crypto پروفائل. هتي توهان کي IPSec پروٽوڪول جي وضاحت ڪرڻ جي ضرورت آهي - AH يا ايس ايس پي، گڏوگڏ پيرا ميٽرز SA - هيشنگ الگورتھم، انڪرپشن، ڊفي-هيلمين گروپ ۽ اهم زندگي. IKE Crypto Profile ۽ IPSec Crypto پروفائل ۾ SA پيٽرول شايد ساڳيا نه هجن.
• IKE گيٽ وي کي ترتيب ڏيڻ
IKE گيٽ وي - هي هڪ اعتراض آهي جيڪو هڪ روٽر يا فائر وال کي نامزد ڪري ٿو جنهن سان هڪ وي پي اين سرنگ ٺهيل آهي. هر سرنگ لاء توهان کي پنهنجو پاڻ ٺاهڻ جي ضرورت آهي IKE گيٽ وي. انهي صورت ۾، ٻه سرنگون ٺاهيا ويا آهن، هڪ هر انٽرنيٽ فراهم ڪندڙ ذريعي. لاڳاپيل نڪرندڙ انٽرفيس ۽ ان جو IP پتو، پير صاحب جي IP پتي، ۽ حصيداري ڪيئي اشارو ڪيو ويو آهي. سرٽيفڪيٽن کي استعمال ڪري سگھجن ٿا متبادل طور تي گڏيل چاٻي جي.
اڳ ۾ ٺهيل هڪ هتي اشارو ڪيو ويو آهي IKE Crypto پروفائل. ٻئي اعتراض جا پيرا ميٽر IKE گيٽ وي ساڳيو، IP پتي کان سواء. جيڪڏهن پولو آلٽو نيٽ ورڪ فائر وال NAT روٽر جي پويان واقع آهي، ته توهان کي ميڪانيزم کي فعال ڪرڻ جي ضرورت آهي NAT ٽرورسل.
• IPSec سرنگ کي ترتيب ڏيڻ
IPSec سرنگ ھڪڙو اعتراض آھي جيڪو بيان ڪري ٿو IPSec سرنگ پيرا ميٽرز، جيئن نالو مشورو ڏئي ٿو. هتي توهان کي سرنگ انٽرفيس ۽ اڳ ۾ ٺاهيل شيون بيان ڪرڻ جي ضرورت آهي IKE گيٽ وي, IPSec Crypto پروفائل. بيڪ اپ سرنگ ڏانهن روٽنگ جي خودڪار سوئچنگ کي يقيني بڻائڻ لاء، توهان کي فعال ڪرڻ گهرجي سرنگ مانيٽر. هي هڪ ميکانيزم آهي جيڪو چيڪ ڪري ٿو ته ڇا هڪ پير زنده آهي ICMP ٽرئفڪ استعمال ڪندي. منزل جي پتي جي طور تي، توهان کي سرنگ جي انٽرفيس جي IP پتي جي وضاحت ڪرڻ جي ضرورت آهي جنهن سان سرنگ تعمير ڪئي پئي وڃي. پروفائل ٽائمرز کي بيان ڪري ٿو ۽ جيڪڏھن ڪنيڪشن گم ٿي وڃي ته ڇا ڪجي. انتظار ڪريو بحالي - انتظار ڪريو جيستائين ڪنيڪشن بحال ٿئي، ناڪام ٿيڻ - ٽريفڪ کي مختلف رستي سان موڪليو، جيڪڏهن دستياب هجي. ٻئي سرنگ جي سيٽنگ مڪمل طور تي ساڳي آهي؛ ٻيو سرنگ انٽرفيس ۽ IKE گيٽ وي بيان ڪيل آهن.
• رستن کي ترتيب ڏيڻ
هي مثال جامد روٽنگ استعمال ڪري ٿو. PA-1 فائر وال تي، ٻن ڊفالٽ رستن کان علاوه، توهان کي شاخ ۾ 10.10.10.0/24 سبٽ لاءِ ٻه رستا بيان ڪرڻ گهرجن. ھڪڙو رستو استعمال ڪري ٿو سرنگ-1، ٻيو سرنگ-2. سرنگ-1 ذريعي رستو مکيه آهي ڇاڪاڻ ته ان ۾ گهٽ ميٽرڪ آهي. ميڪانيزم رستي جي نگراني انهن رستن لاء استعمال نه ڪيو ويو آهي. سوئچنگ لاء ذميوار سرنگ مانيٽر.
سب نيٽ 192.168.30.0/24 لاءِ ساڳيا رستا PA-2 تي ترتيب ڏيڻ گهرجن.
• نيٽ ورڪ جي ضابطن کي ترتيب ڏيڻ
سرنگ کي ڪم ڪرڻ لاء، ٽن ضابطن جي ضرورت آهي:
- ڪم لاء رستو مانيٽر ICMP کي خارجي انٽرفيس تي اجازت ڏيو.
- لاء IPSec ائپس کي اجازت ڏيو ike и ipsec خارجي انٽرفيس تي.
- اندروني سبنيٽس ۽ سرنگ انٽرفيس جي وچ ۾ ٽرئفڪ جي اجازت ڏيو.
ٿڪل
هي آرٽيڪل هڪ غلطي برداشت ڪندڙ انٽرنيٽ ڪنيڪشن قائم ڪرڻ جي اختيار تي بحث ڪري ٿو ۽ سائيٽ کان سائيٽ جي وي پي اين. اسان کي اميد آهي ته معلومات مفيد هئي ۽ پڙهندڙن کي استعمال ٿيل ٽيڪنالاجي جو هڪ خيال حاصل ڪيو پولو آلٽو نيٽورڪ. جيڪڏهن توهان وٽ سيٽ اپ بابت سوال آهن ۽ مستقبل جي مضمونن لاءِ عنوانن تي تجويزون، انهن کي تبصرن ۾ لکو، اسان جواب ڏيڻ ۾ خوش ٿينداسين.
جو ذريعو: www.habr.com