Овај чланак је наставак посвећена специфичностима постављања опреме Пало Алто Нетворкс . Овде желимо да разговарамо о подешавању ИПСец Сите-то-Сите ВПН на опреми Пало Алто Нетворкс и о могућој опцији конфигурације за повезивање више Интернет провајдера.
За демонстрацију ће се користити стандардна шема за повезивање централе са филијалом. Да би обезбедила Интернет везу отпорну на грешке, централа користи истовремену везу два провајдера: ИСП-1 и ИСП-2. Филијала има везу само са једним провајдером, ИСП-3. Између заштитних зидова ПА-1 и ПА-2 изграђена су два тунела. Тунели раде у режиму Ацтиве-Стандби,Тунел-1 је активан, Тунел-2 ће почети да емитује саобраћај када тунел-1 не успе. Тунел-1 користи везу са ИСП-1, Тунел-2 користи везу са ИСП-2. Све ИП адресе су насумично генерисане у сврху демонстрације и немају никакве везе са стварношћу.
За изградњу Сите-то-Сите ВПН ће се користити ИПСец — скуп протокола који обезбеђују заштиту података који се преносе путем ИП-а. ИПСец радиће користећи безбедносни протокол ЕСП (Енцапсулатинг Сецурити Паилоад), који ће обезбедити шифровање пренетих података.
В ИПСец улази ИКЕ (Интернет Кеи Екцханге) је протокол одговоран за преговарање о СА (безбедносним асоцијацијама), безбедносним параметрима који се користе за заштиту пренетих података. Подршка за ПАН заштитне зидове ИКЕвКСНУМКС и ИКЕвКСНУМКС.
В ИКЕвКСНУМКС ВПН веза се гради у две фазе: ИКЕв1 фаза 1 (ИКЕ тунел) и ИКЕв1 фаза 2 (ИПСец тунел), тако се стварају два тунела, од којих се један користи за размену сервисних информација између заштитних зидова, а други за пренос саобраћаја. ИН ИКЕв1 фаза 1 Постоје два режима рада - главни и агресивни режим. Агресивни режим користи мање порука и бржи је, али не подржава заштиту равноправних идентитета.
ИКЕвКСНУМКС zamenjeni ИКЕвКСНУМКС, и у поређењу са ИКЕвКСНУМКС његова главна предност су мањи захтеви за пропусним опсегом и брже СА преговарање. ИН ИКЕвКСНУМКС Користи се мање сервисних порука (укупно 4), подржани су ЕАП и МОБИКЕ протоколи, а додат је и механизам за проверу доступности пеер-а са којим је тунел креиран - Ливенесс Цхецк, замењујући Деад Пеер Детецтион у ИКЕв1. Ако провера не успе, онда ИКЕвКСНУМКС може ресетовати тунел, а затим га аутоматски вратити првом приликом. Можете сазнати више о разликама .
Ако је тунел изграђен између заштитних зидова различитих произвођача, можда постоје грешке у имплементацији ИКЕвКСНУМКС, а за компатибилност са таквом опремом могуће је користити ИКЕвКСНУМКС. У другим случајевима је боље користити ИКЕвКСНУМКС.
Кораци подешавања:
• Конфигурисање два Интернет провајдера у АцтивеСтандби режиму
Постоји неколико начина за имплементацију ове функције. Један од њих је коришћење механизма Праћење путање, који је постао доступан почевши од верзије ПАН-ОС 8.0.0. Овај пример користи верзију 8.0.16. Ова функција је слична ИП СЛА у Цисцо рутерима. Статички подразумевани параметар руте конфигурише слање пинг пакета на одређену ИП адресу са одређене изворне адресе. У овом случају, етхернет1/1 интерфејс пингује подразумевани гатеваи једном у секунди. Ако нема одговора на три пинга заредом, рута се сматра прекинутом и уклоњена је из табеле рутирања. Иста рута је конфигурисана ка другом Интернет провајдеру, али са вишом метриком (резервни је). Када се прва рута уклони из табеле, заштитни зид ће почети да шаље саобраћај кроз другу руту − Фаил-Овер. Када први провајдер почне да одговара на пингове, његова рута ће се вратити у табелу и заменити други због боље метрике - Фаил-Бацк. Процес Фаил-Овер траје неколико секунди у зависности од конфигурисаних интервала, али, у сваком случају, процес није тренутан и за то време се губи саобраћај. Фаил-Бацк пролази без губитка саобраћаја. Постоји прилика да се уради Фаил-Овер брже, са БФД, ако Интернет провајдер пружи такву могућност. БФД подржано почевши од модела ПА-3000 серија и В.-КСНУМКС. Боље је да не наведете мрежни пролаз провајдера као пинг адресу, већ јавну, увек доступну Интернет адресу.
• Креирање тунелског интерфејса
Саобраћај унутар тунела се преноси преко посебних виртуелних интерфејса. Сваки од њих мора бити конфигурисан са ИП адресом из транзитне мреже. У овом примеру, трафостаница 1/172.16.1.0 ће се користити за Тунел-30, а трафостаница 2/172.16.2.0 ће се користити за Тунел-30.
Тунелски интерфејс је креиран у одељку Мрежа -> Интерфејси -> Тунел. Морате да наведете виртуелни рутер и безбедносну зону, као и ИП адресу из одговарајуће транспортне мреже. Број интерфејса може бити било који.
У секцији Напредан може се специфицирати Профил менаџментакоји ће омогућити пинг на датом интерфејсу, ово може бити корисно за тестирање.
• Подешавање ИКЕ профила
ИКЕ Профиле је одговоран за прву фазу креирања ВПН конекције; овде су наведени параметри тунела ИКЕ фаза 1. Профил се креира у одељку Мрежа -> Мрежни профили -> ИКЕ Црипто. Потребно је навести алгоритам шифровања, алгоритам хеширања, Диффие-Хеллман групу и животни век кључа. Уопштено говорећи, што су алгоритми сложенији, то су перформансе лошије; треба их одабрати на основу специфичних безбедносних захтева. Међутим, стриктно се не препоручује коришћење Диффие-Хеллман групе испод 14 за заштиту осетљивих информација. Ово је због рањивости протокола, која се може ублажити само коришћењем модула величине 2048 бита и више, или алгоритама елиптичке криптографије, који се користе у групама 19, 20, 21, 24. Ови алгоритми имају веће перформансе у поређењу са традиционална криптографија. . И .
• Подешавање ИПСец профила
Друга фаза стварања ВПН везе је ИПСец тунел. СА параметри за њега су конфигурисани у Мрежа -> Мрежни профили -> ИПСец крипто профил. Овде треба да наведете ИПСец протокол - AH или ЕСП, као и параметри SA — алгоритми за хеширање, шифровање, Диффие-Хеллман групе и животни век кључа. СА параметри у ИКЕ Црипто Профиле и ИПСец Црипто Профиле можда нису исти.
• Конфигурисање ИКЕ мрежног пролаза
ИКЕ Гатеваи - ово је објекат који означава рутер или заштитни зид са којим је изграђен ВПН тунел. За сваки тунел морате да направите сопствени ИКЕ Гатеваи. У овом случају се креирају два тунела, по један преко сваког Интернет провајдера. Одговарајући одлазни интерфејс и његова ИП адреса, ИП адреса вршњака и дељени кључ су назначени. Сертификати се могу користити као алтернатива дељеном кључу.
Овде је назначено претходно креирано ИКЕ Крипто профил. Параметри другог објекта ИКЕ Гатеваи слично, осим ИП адреса. Ако се заштитни зид Пало Алто Нетворкс налази иза НАТ рутера, онда морате да омогућите механизам НАТ Траверсал.
• Подешавање ИПСец тунела
ИПСец Туннел је објекат који специфицира параметре ИПСец тунела, као што име каже. Овде треба да наведете интерфејс тунела и претходно креиране објекте ИКЕ Гатеваи, ИПСец Црипто Профил. Да бисте осигурали аутоматско пребацивање рутирања на резервни тунел, морате омогућити Туннел Монитор. Ово је механизам који проверава да ли је пеер жив користећи ИЦМП саобраћај. Као одредишну адресу, потребно је да наведете ИП адресу тунелског интерфејса равноправног партнера са којим се тунел гради. Профил одређује тајмере и шта треба учинити ако се веза прекине. Сачекајте опоравак – сачекајте док се веза не успостави, Фаил Овер — слање саобраћаја другом рутом, ако је доступна. Постављање другог тунела је потпуно слично; специфицирани су интерфејс другог тунела и ИКЕ Гатеваи.
• Подешавање рутирања
Овај пример користи статичко рутирање. На заштитном зиду ПА-1, поред две подразумеване руте, потребно је да наведете две руте до подмреже 10.10.10.0/24 у грани. Једна рута користи Тунел-1, друга Тунел-2. Траса кроз Тунел-1 је главна јер има нижу метрику. Механизам Праћење путање не користи се за ове руте. Одговоран за пребацивање Туннел Монитор.
Исте руте за подмрежу 192.168.30.0/24 треба да се конфигуришу на ПА-2.
• Подешавање мрежних правила
Да би тунел функционисао, потребна су три правила:
- Да радим Патх Монитор Дозволите ИЦМП на спољним интерфејсима.
- За ИПСец дозволи апликације ike и ипсец на спољним интерфејсима.
- Дозволи саобраћај између интерних подмрежа и тунелских интерфејса.
Закључак
Овај чланак говори о могућности подешавања Интернет везе отпорне на грешке и ВПН од локације до локације. Надамо се да су информације биле корисне и да је читалац стекао идеју о технологијама које се користе Пало Алто Нетворкс. Ако имате питања о подешавању и сугестије о темама за будуће чланке, напишите их у коментарима, радо ћемо вам одговорити.
Извор: ввв.хабр.цом