ProHoster > බ්ලොග් > පරිපාලනය > Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

මෙම ලිපිය අඛණ්ඩව පවතී පෙර ද්රව්යඋපකරණ සැකසීමේ විශේෂතා සඳහා කැපවී ඇත පෝලෝ ඇල්ටෝ නෙට්වර්ක්ස් . මෙන්න අපි සැකසීම ගැන කතා කිරීමට අවශ්යයි IPSec Site-to-Site VPN උපකරණ මත පෝලෝ ඇල්ටෝ නෙට්වර්ක්ස් සහ අන්තර්ජාල සපයන්නන් කිහිප දෙනෙකු සම්බන්ධ කිරීම සඳහා විය හැකි වින්‍යාස විකල්පයක් ගැන.

ප්‍රදර්ශනය සඳහා, ප්‍රධාන කාර්යාලය ශාඛාවට සම්බන්ධ කිරීම සඳහා සම්මත යෝජනා ක්‍රමයක් භාවිතා කරනු ලැබේ. දෝෂ සහිත අන්තර්ජාල සම්බන්ධතාවයක් සැපයීම සඳහා, ප්‍රධාන කාර්යාලය සපයන්නන් දෙදෙනෙකුගේ එකවර සම්බන්ධතාවයක් භාවිතා කරයි: ISP-1 සහ ISP-2. ශාඛාවට සම්බන්ධතාවක් ඇත්තේ ISP-3 නම් එක් සැපයුම්කරුවෙකුට පමණි. ෆයර්වෝල් PA-1 සහ PA-2 අතර උමං දෙකක් ඉදිකර ඇත. උමං මාදිලියේ ක්රියාත්මක වේ ක්රියාකාරී-පොරොත්තුවෙන්,Tunnel-1 සක්‍රීයයි, Tunnel-2 අසාර්ථක වූ විට Tunnel-1 ගමනාගමනය සම්ප්‍රේෂණය කිරීමට පටන් ගනී. Tunnel-1 ISP-1 වෙත සම්බන්ධතාවයක් භාවිතා කරයි, Tunnel-2 ISP-2 වෙත සම්බන්ධතාවයක් භාවිතා කරයි. සියලුම IP ලිපින නිරූපණ අරමුණු සඳහා අහඹු ලෙස ජනනය කර ඇති අතර යථාර්ථයට කිසිදු සම්බන්ධයක් නොමැත.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

අඩවියෙන් අඩවියක් තැනීමට VPN භාවිතා කරනු ඇත IPsec - IP හරහා සම්ප්රේෂණය වන දත්තවල ආරක්ෂාව සහතික කිරීම සඳහා ප්රොටෝකෝල කට්ටලයක්. IPsec ආරක්ෂක ප්‍රොටෝකෝලයක් භාවිතයෙන් ක්‍රියා කරනු ඇත ESP (Encapsulating Security Payload), සම්ප්‍රේෂණය වන දත්ත සංකේතනය කිරීම සහතික කරනු ඇත.

В IPsec ඇතුළත් කර ඇත අයි.කේ. (අන්තර්ජාල යතුරු හුවමාරුව) යනු සම්ප්‍රේෂණය කරන ලද දත්ත ආරක්ෂා කිරීමට භාවිතා කරන SA (ආරක්ෂක සංගම්), ආරක්ෂක පරාමිතීන් සාකච්ඡා කිරීම සඳහා වගකිව යුතු ප්‍රොටෝකෝලයකි. PAN ෆයර්වෝල් සහාය IKEv1 и IKEv2.

В IKEv1 VPN සම්බන්ධතාවය අදියර දෙකකින් ගොඩනගා ඇත: IKEv1 අදියර 1 (IKE උමග) සහ IKEv1 අදියර 2 (IPSec උමං), මේ අනුව, උමං මාර්ග දෙකක් නිර්මාණය කර ඇති අතර, ඉන් එකක් ෆයර්වෝල් අතර සේවා තොරතුරු හුවමාරු කිරීම සඳහා භාවිතා කරයි, දෙවනුව රථවාහන සම්ප්රේෂණය සඳහා. තුල IKEv1 අදියර 1 මෙහෙයුම් ආකාර දෙකක් ඇත - ප්රධාන මාදිලිය සහ ආක්රමණශීලී ආකාරය. ආක්‍රමණශීලී ප්‍රකාරය අඩු පණිවිඩ භාවිතා කරන අතර වේගවත් වේ, නමුත් සම වයසේ අනන්‍යතා ආරක්ෂණයට සහය නොදක්වයි.

IKEv2 ආදේශ කරන්න ආවා IKEv1, සහ සාපේක්ෂව IKEv1 එහි ප්‍රධාන වාසිය වන්නේ අඩු කලාප පළල අවශ්‍යතා සහ වේගවත් SA සාකච්ඡා කිරීමයි. තුල IKEv2 අඩු සේවා පණිවිඩ භාවිතා වේ (සම්පූර්ණයෙන් 4), EAP සහ MOBIKE ප්‍රොටෝකෝල සඳහා සහය දක්වයි, සහ උමග නිර්මාණය කර ඇති සම වයසේ පුද්ගලයාගේ තිබේද යන්න පරීක්ෂා කිරීමට යාන්ත්‍රණයක් එක් කර ඇත - සජීවී පරීක්ෂාව, IKEv1 හි Dead Peer Detection වෙනුවට. චෙක්පත අසාර්ථක වුවහොත්, එසේ නම් IKEv2 උමඟ නැවත සකස් කළ හැකි අතර පසුව පළමු අවස්ථාවෙහිදී එය ස්වයංක්‍රීයව ප්‍රතිෂ්ඨාපනය කළ හැක. ඔබට වෙනස්කම් ගැන වැඩිදුර ඉගෙන ගත හැකිය මෙහි කියවන්න.

විවිධ නිෂ්පාදකයින්ගේ ෆයර්වෝල් අතර උමගක් ඉදිකර තිබේ නම්, ක්‍රියාත්මක කිරීමේදී දෝෂ තිබිය හැකිය IKEv2, සහ එවැනි උපකරණ සමඟ අනුකූල වීම සඳහා එය භාවිතා කළ හැකිය IKEv1. වෙනත් අවස්ථාවල දී එය භාවිතා කිරීම වඩා හොඳය IKEv2.

පියවර සැකසීම:

• ActiveStandby මාදිලියේ අන්තර්ජාල සපයන්නන් දෙදෙනෙකු වින්‍යාස කිරීම

මෙම කාර්යය ක්රියාත්මක කිරීමට ක්රම කිහිපයක් තිබේ. ඒවායින් එකක් වන්නේ යාන්ත්රණය භාවිතා කිරීමයි මාර්ග නිරීක්ෂණය, එය අනුවාදයෙන් ආරම්භ විය PAN-OS 8.0.0. මෙම උදාහරණය 8.0.16 අනුවාදය භාවිතා කරයි. මෙම විශේෂාංගය සිස්කෝ රවුටරවල IP SLA හා සමාන වේ. ස්ථිතික පෙරනිමි මාර්ග පරාමිතිය නිශ්චිත මූලාශ්‍ර ලිපිනයකින් නිශ්චිත IP ලිපිනයකට ping පැකට් යැවීම වින්‍යාස කරයි. මෙම අවස්ථාවේදී, ethernet1/1 අතුරුමුහුණත තත්පරයකට වරක් පෙරනිමි ද්වාරය පිං කරයි. පේළියක පිං තුනකට ප්‍රතිචාරයක් නොමැති නම්, මාර්ගය කැඩී ඇති බව සලකනු ලබන අතර මාර්ගගත වගුවෙන් ඉවත් කරනු ලැබේ. එම මාර්ගයම දෙවන අන්තර්ජාල සැපයුම්කරු දෙසට වින්‍යාස කර ඇත, නමුත් ඉහළ මෙට්‍රික් එකක් සහිතව (එය උපස්ථ එකකි). පළමු මාර්ගය වගුවෙන් ඉවත් කළ පසු, ෆයර්වෝලය දෙවන මාර්ගය හරහා ගමනාගමනය යැවීමට පටන් ගනී ෆේල්-ඕවර්. පළමු සැපයුම්කරු පිං වලට ප්‍රතිචාර දැක්වීමට පටන් ගත් විට, එහි මාර්ගය වඩා හොඳ මෙට්‍රික් එකක් හේතුවෙන් මේසය වෙත ආපසු ගොස් දෙවැන්න ප්‍රතිස්ථාපනය කරයි - අසාර්ථක-ආපසු. ක්රියාවලිය ෆේල්-ඕවර් වින්යාසගත කාල අන්තරයන් මත පදනම්ව තත්පර කිහිපයක් ගත වේ, නමුත්, ඕනෑම අවස්ථාවක, ක්රියාවලිය ක්ෂණික නොවන අතර, මෙම කාලය තුළ ගමනාගමනය අහිමි වේ. අසාර්ථක-ආපසු ගමනාගමනය අහිමි නොවී ගමන් කරයි. කිරීමට අවස්ථාවක් තිබේ ෆේල්-ඕවර් වේගවත්, සමඟ බී.එෆ්.ඩී., අන්තර්ජාල සැපයුම්කරු එවැනි අවස්ථාවක් ලබා දෙන්නේ නම්. බී.එෆ්.ඩී. ආකෘතියෙන් ආරම්භ කිරීමට සහය දක්වයි PA-3000 මාලාව и වීඑම් -100. ping ලිපිනය ලෙස සපයන්නාගේ ද්වාරය නොව පොදු, සැමවිටම ප්‍රවේශ විය හැකි අන්තර්ජාල ලිපිනයක් සඳහන් කිරීම වඩා හොඳය.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

• උමං අතුරු මුහුණතක් නිර්මාණය කිරීම

උමග ඇතුළත ගමනාගමනය විශේෂ අථත්ය අතුරුමුහුණත් හරහා සම්ප්රේෂණය වේ. ඒ සෑම එකක්ම සංක්‍රමණ ජාලයෙන් IP ලිපිනයකින් වින්‍යාසගත කළ යුතුය. මෙම උදාහරණයේදී, උමං-1 සඳහා උපපොළ 172.16.1.0/30 භාවිතා කරනු ඇත, සහ 2/172.16.2.0 උපපොළ උමං-30 සඳහා භාවිතා කරනු ඇත.
කොටසෙහි උමං අතුරුමුහුණත නිර්මාණය කර ඇත ජාලය -> අතුරුමුහුණත් -> උමග. ඔබ අතථ්‍ය රවුටරයක් ​​සහ ආරක්ෂක කලාපයක් ද, අනුරූප ප්‍රවාහන ජාලයෙන් IP ලිපිනයක් ද සඳහන් කළ යුතුය. අතුරු මුහුණත අංකය ඕනෑම දෙයක් විය හැක.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

කොටස උසස් යන්න නියම කළ හැක කළමනාකරණ පැතිකඩලබා දී ඇති අතුරුමුහුණත මත ping ඉඩ ලබා දෙනු ඇත, මෙය පරීක්ෂා කිරීම සඳහා ප්රයෝජනවත් විය හැක.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

• IKE පැතිකඩ සැකසීම

IKE පැතිකඩ VPN සම්බන්ධතාවයක් නිර්මාණය කිරීමේ පළමු අදියර සඳහා වගකිව යුතු ය; උමං පරාමිතීන් මෙහි දක්වා ඇත IKE අදියර 1. පැතිකඩ කොටසෙහි නිර්මාණය කර ඇත ජාලය -> ජාල පැතිකඩ -> IKE Crypto. සංකේතාංකන ඇල්ගොරිතම, හැෂිං ඇල්ගොරිතම, Diffie-Hellman සමූහය සහ ප්රධාන ආයු කාලය සඳහන් කිරීම අවශ්ය වේ. පොදුවේ ගත් කල, ඇල්ගොරිතම වඩාත් සංකීර්ණ වන තරමට කාර්ය සාධනය නරක ය; ඒවා විශේෂිත ආරක්ෂක අවශ්‍යතා මත පදනම්ව තෝරා ගත යුතුය. කෙසේ වෙතත්, සංවේදී තොරතුරු ආරක්ෂා කිරීම සඳහා 14 ට අඩු Diffie-Hellman කණ්ඩායමක් භාවිතා කිරීම දැඩි ලෙස නිර්දේශ නොකරයි. මෙයට හේතු වී ඇත්තේ ප්‍රොටෝකෝලයේ ඇති දුර්වලතාවයයි, එය අවම කළ හැක්කේ බිටු 2048 සහ ඊට වැඩි මොඩියුල ප්‍රමාණයන් හෝ 19, 20, 21, 24 කණ්ඩායම්වල භාවිතා කරන ඉලිප්සීය ගුප්ත ලේඛන ඇල්ගොරිතම භාවිතා කිරීමෙන් පමණි. මෙම ඇල්ගොරිතම වලට සාපේක්ෂව වැඩි කාර්ය සාධනයක් ඇත. සාම්ප්රදායික ගුප්තකේතනය. තවත් මෙහි. සහ මෙහි.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

• IPSec පැතිකඩ සැකසීම

VPN සම්බන්ධතාවයක් නිර්මාණය කිරීමේ දෙවන අදියර IPSec උමගකි. ඒ සඳහා SA පරාමිති වින්‍යාස කර ඇත ජාලය -> ජාල පැතිකඩ -> IPSec Crypto පැතිකඩ. මෙහිදී ඔබට IPSec ප්‍රොටෝකෝලය සඳහන් කළ යුතුය - AH හෝ ESP, මෙන්ම පරාමිතීන් SA - හැෂිං ඇල්ගොරිතම, සංකේතනය, Diffie-Hellman කණ්ඩායම් සහ ප්රධාන ජීවිත කාලය. IKE Crypto Profile සහ IPSec Crypto Profile හි SA පරාමිති සමාන නොවිය හැක.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

• IKE Gateway වින්‍යාස කිරීම

IKE ගේට්වේ - මෙය VPN උමගක් ඉදිකර ඇති රවුටරයක් ​​හෝ ෆයර්වෝලයක් නම් කරන වස්තුවකි. එක් එක් උමං සඳහා ඔබ ඔබේම නිර්මාණය කළ යුතුය IKE ගේට්වේ. මෙම අවස්ථාවේදී, උමං මාර්ග දෙකක් නිර්මාණය කර ඇත, එක් එක් අන්තර්ජාල සැපයුම්කරු හරහා. අදාළ පිටතට යන අතුරු මුහුණත සහ එහි IP ලිපිනය, සම IP ලිපිනය සහ හවුල් යතුර දක්වා ඇත. හවුල් යතුරක් සඳහා විකල්පයක් ලෙස සහතික භාවිතා කළ හැක.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

කලින් නිර්මාණය කළ එක මෙහි දක්වා ඇත IKE Crypto පැතිකඩ. දෙවන වස්තුවේ පරාමිතීන් IKE ගේට්වේ සමාන, IP ලිපින හැර. Palo Alto Networks ෆයර්වෝලය NAT රවුටරයක් ​​පිටුපස පිහිටා තිබේ නම්, ඔබ යාන්ත්‍රණය සක්‍රීය කළ යුතුය NAT Traversal.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

• IPSec උමග පිහිටුවීම

IPSec උමග නමට අනුව IPSec උමං පරාමිතීන් නියම කරන වස්තුවකි. මෙහිදී ඔබට උමං අතුරුමුහුණත සහ කලින් නිර්මාණය කරන ලද වස්තූන් සඳහන් කිරීමට අවශ්ය වේ IKE ගේට්වේ, IPSec Crypto පැතිකඩ. උපස්ථ උමග වෙත මාර්ගගත කිරීම ස්වයංක්‍රීයව මාරුවීම සහතික කිරීම සඳහා, ඔබ සබල කළ යුතුය උමං මොනිටරය. මෙය ICMP ගමනාගමනය භාවිතයෙන් සම වයසේ මිතුරෙකු ජීවතුන් අතර සිටී දැයි පරීක්ෂා කරන යාන්ත්‍රණයකි. ගමනාන්ත ලිපිනය ලෙස, ඔබ උමග ඉදිකරන සම වයසේ උමං අතුරුමුහුණතේ IP ලිපිනය සඳහන් කළ යුතුය. පැතිකඩ ටයිමර් සහ සම්බන්ධතාවය නැති වුවහොත් කුමක් කළ යුතුද යන්න සඳහන් කරයි. Recover වෙන්න ඉන්න - සම්බන්ධතාවය යථා තත්ත්වයට පත් වන තෙක් රැඳී සිටින්න, ෆේල් ඕවර් — තිබේ නම්, වෙනත් මාර්ගයක් ඔස්සේ ගමනාගමනය යවන්න. දෙවන උමග සැකසීම සම්පූර්ණයෙන්ම සමාන වේ; දෙවන උමං අතුරුමුහුණත සහ IKE Gateway නිශ්චිතව දක්වා ඇත.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

• මාර්ගගත කිරීම සැකසීම

මෙම උදාහරණය static routing භාවිතා කරයි. PA-1 ෆයර්වෝලයේ, පෙරනිමි මාර්ග දෙකට අමතරව, ඔබ ශාඛාවේ 10.10.10.0/24 උපජාලය වෙත මාර්ග දෙකක් සඳහන් කළ යුතුය. එක් මාර්ගයක් Tunnel-1, අනෙක් Tunnel-2 භාවිතා කරයි. ටනල්-1 හරහා ඇති මාර්ගය ප්‍රධාන වන්නේ එහි අඩු මෙට්‍රික් එකක් ඇති බැවිනි. යාන්ත්රණය මාර්ග නිරීක්ෂණය මෙම මාර්ග සඳහා භාවිතා නොවේ. මාරු කිරීම සඳහා වගකිව යුතුය උමං මොනිටරය.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

192.168.30.0/24 උපජාලය සඳහා එකම මාර්ග PA-2 මත වින්‍යාස කිරීම අවශ්‍ය වේ.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

• ජාල රීති සැකසීම

උමග වැඩ කිරීමට, නීති තුනක් අවශ්ය වේ:

  1. වැඩ සඳහා මාර්ග නිරීක්ෂකය බාහිර අතුරුමුහුණත් මත ICMP ඉඩ දෙන්න.
  2. සඳහා IPsec යෙදුම් වලට ඉඩ දෙන්න ike и ipsec බාහිර අතුරුමුහුණත් මත.
  3. අභ්‍යන්තර උපජාල සහ උමං අතුරුමුහුණත් අතර ගමනාගමනයට ඉඩ දෙන්න.

Palo Alto Networks උපකරණ මත IPSec Site-to-Site VPN පිහිටුවීම

නිගමනය

මෙම ලිපියෙන් සාකච්ඡා කරනුයේ දෝෂ සහිත අන්තර්ජාල සම්බන්ධතාවයක් සැකසීමේ විකල්පය සහ අඩවියෙන් අඩවියට VPN. තොරතුරු ප්රයෝජනවත් වූ අතර පාඨකයා භාවිතා කරන තාක්ෂණයන් පිළිබඳ අදහසක් ලබා ගැනීමට අපි බලාපොරොත්තු වෙනවා පෝලෝ ඇල්ටෝ නෙට්වර්ක්ස්. අනාගත ලිපි සඳහා මාතෘකා පිළිබඳ සැකසීම් සහ යෝජනා පිළිබඳව ඔබට ප්‍රශ්න ඇත්නම්, ඒවා අදහස් දැක්වීමේදී ලියන්න, අපි පිළිතුරු දීමට සතුටු වන්නෙමු.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න