O lenei tusiga o se faʻaauau faʻapitoa i mea faʻapitoa o le faʻatulagaina o meafaigaluega Alto fetaulaiga Palo . O iinei tatou te fia talanoa e uiga i le seti IPSec Site-to-Site VPN luga o meafaigaluega Alto fetaulaiga Palo ma e uiga i se filifiliga fa'aopoopo e mafai ona fa'afeso'ota'i le tele o kamupani Initaneti.
Mo le faʻataʻitaʻiga, o le a faʻaaogaina se polokalame masani mo le faʻafesoʻotaʻi o le ofisa ulu i le lala. Ina ia mafai ona tuʻuina atu se fesoʻotaʻiga Initaneti faʻaletonu, e faʻaogaina e le ofisa ulu se fesoʻotaʻiga tutusa o kamupani e lua: ISP-1 ma le ISP-2. E iai le feso'ota'iga a le lala i na'o le tasi le kamupani, ISP-3. E lua tunnels e fausia i le va o puipui afi PA-1 ma PA-2. O alavai e fa'agaoioi i le faiga Active-Stanby, Tunnel-1 o loʻo galue, Tunnel-2 o le a amata faʻasalalau fefaʻatauaiga pe a le manuia Tunnel-1. Tunnel-1 fa'aogaina se feso'ota'iga i le ISP-1, Tunnel-2 fa'aogaina se feso'ota'iga ile ISP-2. O tuatusi IP uma e fai fa'afuase'i mo fa'amoemoega fa'ata'ita'iga ma e leai se feso'ota'iga ma mea moni.
Ina ia fausia se Site-to-Site VPN o le a faʻaaogaina IPSec - o se seti o faʻamaumauga e faʻamautinoa ai le puipuiga o faʻamatalaga e tuʻuina atu e ala ile IP. IPSec o le a galue i le faʻaaogaina o se puipuiga malu ESP (Encapsulating Security Payload), lea o le a mautinoa ai le faʻailogaina o faʻamatalaga tuʻuina atu.
В IPSec ulufale mai Ike (Internet Key Exchange) ose feagaiga e nafa ma feutagaiga SA (security associations), puipuiga faʻamaufaʻailoga e faʻaaogaina e puipuia ai faʻamatalaga tuʻuina atu. PAN puipui puipui lagolago IKEv1 и IKEv2.
В IKEv1 O se fesoʻotaʻiga VPN e fausia i ni vaega se lua: IKEv1 Vaega 1 (IKE tunnel) ma IKEv1 Vaega 2 (IPSec tunnel), o lea, e lua tunnels ua faia, o le tasi o loʻo faʻaaogaina mo le fefaʻatauaʻiga o faʻamatalaga o auaunaga i le va o pa puipui, o le lona lua mo le felauaiga o feoaiga. IN IKEv1 Vaega 1 E lua faiga fa'aoga - faiga autu ma faiga fa'asa. Faiga fa'amalosi e fa'aogaina ai ni fe'au laiti ma e televave atu, ae e le lagolagoina le Puipuiga o Fa'asinomaga a tupulaga.
IKEv2 suia IKEv1, ma faatusatusa i IKEv1 o lona aoga autu o le maualalo o le bandwidth manaʻomia ma le vave SA feutagaiga. IN IKEv2 E itiiti fe'au tautua o lo'o fa'aaogaina (4 i le aofa'i), EAP ma MOBIKE fa'atonuga o lo'o lagolagoina, ma ua fa'aopoopoina se masini e siaki ai le avanoa o le tupulaga lea e fausia ai le alavai - Siaki Ola, sui i le Su'esu'ega a tupulaga Maliliu ile IKEv1. Afai e faaletonu le siaki, ona IKEv2 e mafai ona toe setiina le alavai ona toe otometi lava lea i le avanoa muamua. E mafai ona e aoao atili e uiga i eseesega .
Afai e fausia se alavai i le va o firewalls mai tagata gaosi oloa eseese, atonu o loʻo i ai ni mea sese i le faʻatinoga IKEv2, ma mo le fetaui ma ia meafaigaluega e mafai ona faʻaaogaina IKEv1. I isi tulaga e sili atu le faʻaaogaina IKEv2.
Laasaga seti:
• Fa'atonuina e lua e tu'uina atu Initaneti ile faiga ActiveStandby
E tele auala e fa'atino ai lenei galuega. O se tasi oi latou o le faʻaaogaina o le masini Mataituina o Ala, lea na maua e amata mai le version PAN-OS 8.0.0. O lenei faʻataʻitaʻiga e faʻaaogaina le version 8.0.16. O lenei uiga e tutusa ma IP SLA i Cisco routers. O le fa'asologa o le ala fa'aletonu o lo'o fa'atonuina le tu'uina atu o pepa ping i se tuatusi IP fa'apitoa mai se tuatusi fa'apogai. I lenei tulaga, o le ethernet1/1 interface pings le faitotoa faaletonu tasi i le sekone. Afai e leai se tali i le tolu pings i se laina, o le auala e manatu ua malepe ma aveese mai le laulau o auala. O le auala lava lea e tasi e faʻatulagaina i le lona lua o loʻo tuʻuina atu Initaneti, ae faʻatasi ai ma se metric maualuga (o se mea faʻapipiʻi). O le taimi lava e aveese ai le auala muamua mai le laulau, o le firewall o le a amata ona auina atu taavale i le auala lona lua − Fa'aletonu. A amata ona tali atu le kamupani muamua i pings, o lona ala o le a toe foi i le laulau ma sui le lona lua ona o se metric sili atu - Fai-I tua. Fa'agasologa Fa'aletonu e manaʻomia ni nai sekone e faʻatatau i taimi faʻatulagaina, ae, i soʻo se tulaga, o le faagasologa e leʻo faʻafuaseʻi, ma i le taimi lea e leiloa le taʻavale. Fai-I tua pasi e aunoa ma le leiloa o feoaiga. E iai le avanoa e fai ai Fa'aletonu vave, ma B.F.D., pe afai e maua e le kamupani Initaneti sea avanoa. B.F.D. lagolagoina e amata mai le fa'ata'ita'iga PA-3000 Fa'asologa и VM-100. E sili atu le faʻamaonia e le o le faitotoa o le kamupani e tuʻuina atu e fai ma tuatusi ping, ae o se tuatusi Initaneti e mafai ona maua i taimi uma.
• Fausia se fa'aoga alavai
O feoaiga i totonu o le alavai e fa'asalalauina e ala i feso'ota'iga fa'apitoa fa'apitoa. E tatau ona faʻapipiʻi uma i latou i se tuatusi IP mai le fesoʻotaʻiga felauaiga. I lenei faʻataʻitaʻiga, o le substation 1/172.16.1.0 o le a faʻaaogaina mo Tunnel-30, ma le substation 2/172.16.2.0 o le a faʻaaogaina mo Tunnel-30.
O le tunnel interface ua faia i le vaega Feso'ota'iga -> Feso'ota'iga -> Alalaupapa. E tatau ona e faʻamaonia se telefoni feaveaʻi ma sone saogalemu, faʻapea foʻi ma se tuatusi IP mai le fesoʻotaʻiga felauaiga tutusa. Ole numera fa'aoga e mafai ona avea ma so'o se mea.
o le fuaiupu maoaʻe e mafai ona faʻamaonia Fa'amatalaga Fa'atonulea e mafai ai ona ping i luga o le atinaʻe ua tuʻuina atu, atonu e aoga mo suʻega.
• Fa'atulaga le IKE Profile
Fa'amatalaga IKE e nafa ma le laasaga muamua o le fatuina o se VPN fesoʻotaʻiga; o faʻamaufaʻailoga tunnel o loʻo faʻamaonia iinei IKE Vaega 1. O le talaaga e faia i le vaega Feso'ota'iga -> Fa'amatalaga Fa'amatalaga -> IKE Crypto. E manaʻomia le faʻamaonia o le faʻamalamalamaga algorithm, hashing algorithm, Diffie-Hellman vaega ma le olaga autu. I se tulaga lautele, o le sili atu ona faigata o algorithms, o le leaga o le faʻatinoga; e tatau ona filifilia e faʻavae i luga o manaʻoga saogalemu. Ae ui i lea, e matua le fautuaina le faʻaaogaina o se vaega Diffie-Hellman i lalo ole 14 e puipuia ai faʻamatalaga maaleale. E mafua lenei mea ona o le vaivai o le protocol, lea e mafai ona faʻaitiitia e ala i le faʻaogaina o le tele o modules o 2048 bits ma maualuga, poʻo le elliptic cryptography algorithms, lea e faʻaaogaina i vaega 19, 20, 21, 24. O nei algorithms e sili atu le faʻatinoga pe a faʻatusatusa i fa'ailoga fa'aleaganu'u. . Ma .
• Fa'atulaga le IPSec Profile
O le laasaga lona lua o le fatuina o se fesoʻotaʻiga VPN o se alalaupapa IPSec. SA fa'asologa mo lea mea o lo'o fa'atulagaina i totonu Fesoʻotaʻiga -> Faʻamatalaga Faʻamatalaga -> Faʻamatalaga IPSec Crypto. O iinei e te manaʻomia e faʻamaonia ai le IPSec protocol - AH poʻo ESP, faʻapea foʻi ma faʻasologa SA - hashing algorithms, encryption, vaega Diffie-Hellman ma le olaga autu. O fa'ailoga SA i le IKE Crypto Profile ma le IPSec Crypto Profile atonu e le tutusa.
• Fa'atonu IKE Gateway
IKE Gateway - o se mea lea e faʻailoa ai se alalaupapa poʻo se pa puipui e fausia ai se alalaupapa VPN. Mo alāvai ta'itasi e te mana'omia e fai sau oe lava IKE Gateway. I lenei tulaga, e lua tunnels ua faia, tasi e ala atu i kamupani initaneti taitasi. O loʻo faʻaalia le fesoʻotaʻiga i fafo ma lona tuatusi IP, tuatusi IP a tupulaga, ma le ki faʻasoa. E mafai ona fa'aoga tusi pasi e fai ma sui i se ki fa'asoa.
O le mea na faia muamua o loʻo faʻaalia iinei IKE Crypto Tala'aga. Parata o le mea lona lua IKE Gateway tutusa, vagana ai tuatusi IP. Afai o le Palo Alto Networks firewall o loʻo i tua o le NAT router, ona e manaʻomia lea e faʻaogaina le masini NAT Traversal.
• Fa'atuina IPSec Tunnel
IPSec Tunnel o se mea e faʻamaonia ai le IPSec tunnel parameters, e pei ona taʻu mai e le igoa. O iinei e te manaʻomia e faʻamaonia ai le tunnel interface ma mea na faia muamua IKE Gateway, IPSec Crypto Tala'aga. Ina ia mautinoa le suia otometi o le auala i le alavai faaleoleo, e tatau ona e fa'agaoioia Mata'itū Alafua. Ole masini lea e siaki ai pe o ola se tupulaga ile faʻaaogaina ole ICMP. I le avea ai ma tuatusi taunuʻuga, e tatau ona e faʻamaonia le tuatusi IP o le tunnel interface o le tupulaga lea o loʻo fausia ai le alavai. O lo'o fa'ailoa mai e le fa'amatalaga taimi ma mea e fai pe a leiloa le feso'ota'iga. Faatali Toe Laveai – fa'atali se'ia toe fa'afo'i le feso'ota'iga, Ua le manuia — auina atu taavale i se isi auala, pe a maua. O le faʻatulagaina o le alalaupapa lona lua e tutusa lelei lava; o le faʻaoga lona lua ma le IKE Gateway ua faʻamaonia.
• Fa'atulaga auala
O lenei faʻataʻitaʻiga e faʻaogaina ai le faʻaogaina o auala. I luga o le PA-1 firewall, e faaopoopo atu i auala le lelei e lua, e tatau ona e faʻamaonia auala e lua i le 10.10.10.0/24 subnet i le lala. O le tasi auala e faʻaaogaina ai le Tunnel-1, o le isi Tunnel-2. Ole auala ile Tunnel-1 ole auala autu aua e maualalo le metric. Fa'ainisinia Mataituina o Ala e le faʻaaogaina mo nei auala. E nafa ma le fesuiaiga Mata'itū Alafua.
O auala tutusa mo le subnet 192.168.30.0/24 e manaʻomia ona faʻapipiʻi ile PA-2.
• Fa'atulaga tulafono o feso'otaiga
Ina ia galue le alavai, e tolu tulafono e manaʻomia:
- Mo galuega Mataitu Ala Fa'ataga le ICMP i feso'ota'iga i fafo.
- mo IPSec faataga apps ike и ipsec i luga o fesoʻotaʻiga i fafo.
- Fa'ataga fe'avea'i i le va o so'o i totonu ma feso'ota'iga tunnel.
iʻuga
O lenei tusiga o loʻo talanoaina ai le filifiliga o le faʻatulagaina o se fesoʻotaʻiga Initaneti faʻaletonu ma Nofoaga i le nofoaga VPN. Matou te faʻamoemoe na aoga le faʻamatalaga ma maua e le tagata faitau se manatu i tekinolosi faʻaaogaina i totonu Alto fetaulaiga Palo. Afai ei ai ni au fesili e uiga i le seti ma fautuaga i autu mo tala i le lumanaʻi, tusi i latou i faʻamatalaga, matou te fiafia e tali.
puna: www.habr.com