Maqaalkani waa mid sii socda u heellan waxyaabaha gaarka ah ee dejinta qalabka Palo Alto Networks . Halkan waxaan rabnaa inaan ka hadalno dejinta IPSec site-to-site VPN qalabka Palo Alto Networks iyo ku saabsan ikhtiyaarka habaynta suurtogalka ah ee isku xidhka dhawr bixiyeyaal internet.
Bandhiga, nidaamka caadiga ah ee isku xirka xafiiska madaxa iyo laanta ayaa la isticmaali doonaa. Si loo bixiyo isku xirka internetka ee cillada u dulqaadan kara, xafiiska madaxa ayaa isticmaala isku xirka laba bixiye: ISP-1 iyo ISP-2. Laantu waxay xidhiidh la leedahay hal bixiye, ISP-3. Laba tunnel ayaa laga dhisay inta u dhaxaysa firewalls PA-1 iyo PA-2. Tunneladu waxay ku shaqeeyaan qaabka Firfircoon- heegan,Tunnel-1 waa firfircoon yahay, Tunnel-2 wuxuu bilaabi doonaa gudbinta taraafikada marka Tunnel-1 uu guuldareysto. Tunnel-1 waxay isticmaashaa xidhiidhka ISP-1, Tunnel-2 waxay isticmaashaa xidhiidhka ISP-2. Dhammaan ciwaannada IP-ga waxa si aan kala sooc lahayn loo soo saaray ujeeddooyin mudaaharaad ah oo aan wax xidhiidh ah la lahayn xaqiiqada.
Si loo dhiso goob-to-site VPN waa la isticmaali doonaa IPsec - hab-maamuusyo dhowr ah si loo hubiyo ilaalinta xogta lagu gudbiyo IP-ga. IPsec shaqayn doona iyadoo la isticmaalayo hab maamuuska ammaanka gaar ahaan (Xoojinta Mushaharka Amniga), kaas oo hubin doona sirta xogta la gudbiyo.
Π IPsec waxaa ka mid ah IKE (Internet Key Exchange) waa hab-maamuus mas'uul ka ah gorgortanka SA (ururada amniga), xuduudaha amniga ee loo isticmaalo ilaalinta xogta la kala qaado. Taageerada dab-damiska PAN IKEv1 ΠΈ IKEv2.
Π IKEv1 Xidhiidhka VPN waxa loo dhisay laba marxaladood: IKEv1 Wajiga 1 (like tunnel) iyo IKEv1 Wajiga 2 (IPSec tunnel), sidaas darteed, laba tunnel ayaa la sameeyay, mid ka mid ah waxaa loo isticmaalaa is-dhaafsiga macluumaadka adeegga ee u dhexeeya dab-damiska, kan labaad ee gudbinta taraafikada. IN IKEv1 Wajiga 1 Waxaa jira laba nooc oo hawlgal ah - hab weyn iyo hab dagaal. Habka gardarrada ayaa isticmaala fariimo ka yar waana dheereeyaa, laakiin ma taageerto Ilaalinta Aqoonsiga asaaga.
IKEv2 u yimid inuu beddelo IKEv1, oo la barbar dhigo IKEv1 faa'iidada ugu weyn waa shuruudaha bandwidth hoose iyo gorgortanka SA degdeg ah. IN IKEv2 Farriimaha adeegga yar ayaa la isticmaalaa (guud ahaan 4), EAP iyo borotokoolka MOBIKE waa la taageerayaa, waxaana lagu daray hab lagu hubinayo helitaanka saaxiibada kaas oo tunnelka lagu abuuray - Hubinta Nolosha, beddelaya ogaanshaha asaagii dhintay ee IKEv1. Haddii jeeggu guuldareysto, markaa IKEv2 dib u habeyn kartaa tunnelka ka dibna si toos ah u soo celin kara fursadda ugu horreysa. Waxaad wax badan ka baran kartaa kala duwanaanshaha .
Haddii tunnel laga dhiso inta u dhaxaysa dab-damisyada soo saarayaasha kala duwan, markaa waxaa laga yaabaa inay kutaanno ku yeeshaan hirgelinta IKEv2, iyo waafaqsanaanta qalabkan oo kale waa suurtagal in la isticmaalo IKEv1. Xaaladaha kale way fiicantahay in la isticmaalo IKEv2.
Dejinta talaabooyinka:
β’ Isku-dubbarididda laba bixiye internet oo ku jira qaabka ActiveStandby
Waxaa jira dhowr siyaabood oo loo hirgeliyo shaqadan. Mid ka mid ah iyaga ka mid ah waa in la isticmaalo farsamada Dabagalka Jidka, kaas oo noqday mid la heli karo laga bilaabo nooca PAN-OS 8.0.0. Tusaalahani wuxuu isticmaalayaa nooca 8.0.16. Habkani wuxuu la mid yahay IP SLA ee marinnada Cisco. Halbeegyada dariiqa caadiga ah ee joogtada ah ayaa habeeya dirida xirmooyinka ping-ka ee ciwaan gaar ah oo IP ah oo ka imanaya ciwaan gaar ah. Xaaladdan oo kale, ethernet1/1 interface pings albaabka caadiga ah hal mar ilbiriqsi kasta. Haddii aysan jirin wax jawaab ah saddex pings oo isku xigta, dariiqa waxaa loo tixgeliyaa in la jabay oo laga saaray miiska dajinta. Isla dariiqa ayaa loo habeeyey dhinaca bixiyaha labaad ee internetka, laakiin leh mitir sare (waa mid kayd ah). Marka dariiqa ugu horreeya laga saaro miiska, firewall-ku wuxuu bilaabi doonaa inuu u diro taraafikada waddada labaad - Guuldarraysatay. Marka bixiyaha kowaad bilaabo ka jawaabista pings, jidkiisu wuxuu ku soo noqon doonaa miiska wuxuuna bedeli doonaa kan labaad sababtoo ah cabbir ka wanaagsan - Guuldarraystayaal. Habka Guuldarraysatay waxay qaadataa dhowr ilbiriqsi iyadoo ku xiran inta udhaxeysa habeysan, laakiin, si kastaba ha ahaatee, habka ma aha mid degdeg ah, iyo inta lagu jiro waqtigan gaadiidka waa lumay. Guuldarraystayaal maraa iyadoon lumin taraafikada. Waxaa jirta fursad lagu sameeyo Guuldarraysatay dhakhso badan, leh B.F.D., haddii bixiyaha internetka uu bixiyo fursad noocaas ah. B.F.D. la taageeray laga bilaabo model PA-3000 Taxanaha ΠΈ VM-100. Way fiicantahay in aan la cayimin albaabka bixiyaha sida cinwaanka ping-ka, laakiin ciwaanka dadweynaha, had iyo jeer la heli karo.
β’ Abuuritaanka interface tunnel
Gaadiidka gudaha tunnel-ka waxaa lagu kala qaadaa is dhexgalyo khaas ah. Mid kasta oo iyaga ka mid ah waa in lagu qaabeeyaa ciwaanka IP-ga ee shabakada gaadiidka. Tusaalahan, substation-ka 1/172.16.1.0 ayaa loo isticmaali doonaa Tunnel-30, substation-ka 2/172.16.2.0 waxaa loo isticmaali doonaa Tunnel-30.
Isku xirka tunnel-ka ayaa lagu sameeyay qaybta Shabakadda -> Interfaces -> Tunnel. Waa inaad sheegtaa router dalwaddiinta ah iyo aagga amniga, iyo sidoo kale cinwaanka IP-ga ee shabakadda gaadiidka ee u dhigma. Nambarka interface wuxuu noqon karaa wax kasta.
qaybta Advanced waa la cayimi karaa Profile Maamulkakaas oo u oggolaanaya ping on interface-ka la bixiyay, tani waxay faa'iido u yeelan kartaa tijaabinta.
β’ Dejinta IKE Profile
IKE Profile waxay mas'uul ka tahay marxaladda koowaad ee abuurista isku xirka VPN; xuduudaha tunnel ayaa lagu qeexay halkan IKE Wajiga 1. Profile-ka waxaa lagu abuuray qaybta Shabakadda -> Shabakadda Shabakadda -> IKE Crypto. Waa lagama maarmaan in la qeexo algorithm-ka sireed, algorithmamka hashing, kooxda Diffie-Hellman iyo nolosha muhiimka ah. Guud ahaan, algorithms-yada aad u adag, ayaa ka sii daraya waxqabadka; waa in lagu doortaa iyadoo lagu saleynayo shuruudaha amniga gaarka ah. Si kastaba ha ahaatee, si adag looguma talinayo in la isticmaalo kooxda Diffie-Hellman ee ka hooseeya 14 si loo ilaaliyo macluumaadka xasaasiga ah. Tani waxay sabab u tahay nuglaanta borotokoolka, kaas oo kaliya lagu yarayn karo iyadoo la adeegsanayo cabbirada modules ee 2048 bits iyo ka sareeya, ama elliptical cryptography algorithms, kuwaas oo loo isticmaalo kooxaha 19, 20, 21, 24. Algorithms-yadani waxay leeyihiin waxqabad weyn marka loo eego qoraal dhaqameed. . Iyo .
β’ Dejinta Profile IPSec
Marxaladda labaad ee abuurista isku xirka VPN waa tunnel IPSec. Halbeegyada SA waxaa lagu habeeyey gudaha Shabakadda -> Shabakadda Shabakadda -> Profile-ka Crypto IPSec. Halkan waxaad u baahan tahay inaad ku qeexdo borotokoolka IPSec - AH ama gaar ahaan, iyo sidoo kale xuduudaha SA - algorithms-ka hashing, encryption, kooxaha Diffie-Hellman iyo nolosha muhiimka ah. Halbeegyada SA ee ku jira IKE Crypto Profile iyo IPSec Profile-ka Crypto waxa laga yaabaa inaanay isku mid ahayn.
β’ Habaynta IKE Gateway
IKE Gateway - kani waa shay tilmaamaya router ama firewall kaas oo lagu dhisay tunnel VPN. Tunnel kasta waxaad u baahan tahay inaad adigu samaysato IKE Gateway. Xaaladdan oo kale, laba tunnel ayaa la abuuray, mid ka mid ah iyada oo loo marayo bixiye kasta oo Internet ah. Interface-ka baxaya ee u dhigma iyo ciwaanka IP-ga, ciwaanka asaagga ah, iyo furaha la wadaago ayaa la tilmaamay. Shahaadooyinka waxa loo isticmaali karaa beddelka furaha la wadaago.
Midkii hore loo abuuray ayaa halkan lagu tilmaamay IKE Crypto Profile. Halbeegyada shayga labaad IKE Gateway la mid ah, marka laga reebo cinwaanada IP. Haddii Palo Alto Networks firewall uu ku yaallo gadaasha router NAT, markaa waxaad u baahan tahay inaad karti u yeelato habka Socdaalka NAT.
β’ Dejinta IPSec Tunnel
IPSec Tunnel waa shay qeexaya xuduudaha IPSec tunnel-ka, sida magacaba ka muuqata. Halkan waxaad u baahan tahay inaad ku qeexdo interface tunnel iyo walxihii hore loo abuuray IKE Gateway, Profile-ka Crypto IPSec. Si loo hubiyo in si toos ah loogu wareego tunnelka kaydka ah, waa inaad awood u yeelataa Dabagalka Tunnel. Tani waa hab lagu hubinayo in asaagii nool yahay iyadoo la isticmaalayo taraafikada ICMP. Sida ciwaanka aad ku socotid, waxaad u baahan tahay inaad sheegto ciwaanka IP-ga ee tunnel interface ee asaaga kaas oo tunnelka lagu dhisayo. Profile-ku wuxuu qeexayaa waqti-gooyeyaasha iyo waxa la sameeyo haddii xiriirku lumo. Sug Soo Kabashada - sug ilaa inta xidhiidhka dib loo soo celinayo, Guuldarraystay - u dir taraafikada waddo kale, haddii la heli karo. Dejinta tunnelka labaad gabi ahaanba waa isku mid; interface tunnel-ka labaad iyo IKE Gateway waa la cayimay.
β’ Dejinta hab-socodka
Tusaalahani waxa uu adeegsadaa hab-marineed taagan. Dab-damiska PA-1, marka lagu daro labada waddo ee caadiga ah, waxaad u baahan tahay inaad qeexdo laba waddo oo loo maro 10.10.10.0/24 subnet ee laanta. Hal waddo ayaa adeegsata Tunnel-1, ka kalena Tunnel-2. Waddada loo maro Tunnel-1 waa tan ugu weyn sababtoo ah waxay leedahay mitir hoose. Farsamaynta Dabagalka Jidka aan loo isticmaalin waddooyinkan. Ka mas'uul ah beddelidda Dabagalka Tunnel.
Wadooyinka isku midka ah ee subnet-ka 192.168.30.0/24 waxay u baahan yihiin in lagu habeeyo PA-2.
β’ Dejinta xeerarka shabakada
Si tunnelku u shaqeeyo, saddex xeer ayaa loo baahan yahay:
- Si aad u shaqeyso Dabagalka Jidka U oggolow ICMP is-dhexgalka dibadda.
- Si aad u IPsec oggolow apps Ike ΠΈ ipsec on interfaces dibadda.
- Oggolow isu socodka inta u dhaxaysa shabaqyada hoose iyo tunnel-ka.
gunaanad
Maqaalkani waxa uu ka hadlayaa ikhtiyaarka samaynta isku xirka internetka ee khaladaadka u dulqaadan iyo Goob-to-site VPN. Waxaan rajeyneynaa in macluumaadka uu ahaa mid faa'iido leh oo akhristuhu uu helay fikradda tignoolajiyada loo isticmaalo Palo Alto Networks. Haddii aad hayso su'aalo ku saabsan dejinta iyo soo jeedinta mawduucyada maqaallada mustaqbalka, ku qor faallooyinka, waxaan ku farxi doonnaa inaan ka jawaabno.
Source: www.habr.com