Sengoliloeng sena ke ntšetso-pele e inehetseng ho tse khethehileng tsa ho theha lisebelisoa Palo Alto Networks . Mona re batla ho bua ka setup IPSec Site-to-Site VPN ka thepa Palo Alto Networks le mabapi le khetho e ka khonehang ea tlhophiso bakeng sa ho hokahanya bafani ba bangata ba Marang-rang.
Bakeng sa pontšo, ho tla sebelisoa moralo o tloaelehileng oa ho hokahanya ntlo-khōlō le lekala. E le ho fana ka khokahanyo ea Inthanete e mamellang liphoso, ofisi ea hlooho e sebelisa khokahanyo ea nako e le 'ngoe ea bafani ba babeli: ISP-1 le ISP-2. Lekala le na le khokahano ho mofani a le mong feela, ISP-3. Lithanele tse peli li hahiloe lipakeng tsa li-firewall PA-1 le PA-2. Lithanele li sebetsa ka mokhoa o itseng E sebetsang-E mametseng, Tunnel-1 e sebetsa, Tunnel-2 e tla qala ho fetisa sephethephethe ha Tunnel-1 e hlōleha. Tunnel-1 e sebelisa khokahano ho ISP-1, Tunnel-2 e sebelisa khokahano ho ISP-2. Liaterese tsohle tsa IP li hlahisoa ka tšohanyetso molemong oa lipontšo 'me ha li amane le 'nete.
Ho aha VPN ea Sebaka sa Marang-rang e tla sebelisoa IPsec - sehlopha sa liprothokholo ho netefatsa ts'ireletso ea data e fetisoang ka IP. IPsec e tla sebetsa ho sebelisa protocol ea ts'ireletso ESP (Encapsulating Security Payload), e tla netefatsa hore ho ngolisoa ha data e fetisoang.
В IPsec kena Ike (Internet Key Exchange) ke protocol e ikarabellang bakeng sa ho buisana le SA (mekhatlo ea tšireletso), mekhoa ea tšireletso e sebelisetsoang ho sireletsa data e fetisoang. Ts'ehetso ea li-firewalls tsa PAN IKEv1 и IKEv2.
В IKEv1 Khokahano ea VPN e hahiloe ka mekhahlelo e 'meli: IKEv1 Mokhahlelo oa 1 (IKE kotopo) le IKEv1 Mokhahlelo oa 2 (IPSec tunnel), ka hona, lithanele tse peli li bōptjoa, e 'ngoe ea tsona e sebelisetsoa phapanyetsano ea tlhahisoleseding ea litšebeletso pakeng tsa li-firewall, ea bobeli bakeng sa phetisetso ea sephethephethe. IN IKEv1 Mokhahlelo oa 1 Ho na le mekhoa e 'meli ea ts'ebetso - mokhoa o ka sehloohong le mokhoa o mabifi. Mokhoa o mabifi o sebelisa melaetsa e fokolang, 'me o potlakile, empa ha o tšehetse Tšireletso ea Boitsebahatso ba Lithaka.
IKEv2 nkeloa sebaka IKEv1, le bapisoa le IKEv1 molemo oa eona o ka sehloohong ke litlhoko tse tlase tsa bandwidth le lipuisano tsa SA tse potlakileng. IN IKEv2 Ho sebelisoa melaetsa e fokolang ea litšebeletso (4 ka kakaretso), li-protocol tsa EAP le MOBIKE lia tšehetsoa, 'me ho kentsoe mochine ho lekola boteng ba thaka eo kotopo e entsoeng ka eona - Tlhahlobo ea Bophelo, e nkela sebaka sa Detection ea Lithaka tse Shoeleng ho IKEv1. Haeba cheke e hloleha, joale IKEv2 e ka seta kotopo botjha ebe e e busetsa hang hang ha monyetla o hlaha. U ka ithuta ho eketsehileng ka phapang .
Haeba kotopo e hahiloe pakeng tsa li-firewall tse tsoang ho baetsi ba fapaneng, joale ho ka 'na ha e-ba le likokoana-hloko ts'ebetsong IKEv2, 'me bakeng sa ho lumellana le thepa e joalo ho khoneha ho e sebelisa IKEv1. Ka linako tse ling ho molemo ho sebelisa IKEv2.
Mehato ea ho seta:
• Ho seta bafani ba babeli ba Marang-rang ka mokhoa oa ActiveStandby
Ho na le mekhoa e mengata ea ho kenya ts'ebetso ena. E 'ngoe ea tsona ke ho sebelisa mochine Tlhokomelo ea Tsela, e ileng ea fumaneha ho qala ka phetolelo PAN-OS 8.0.0. Mohlala ona o sebelisa mofuta oa 8.0.16. Karolo ena e tšoana le IP SLA ho li-routers tsa Cisco. Paramethara ea tsela e sa fetoheng e hlophisa ho romella lipakete tsa ping atereseng e itseng ea IP ho tsoa atereseng e itseng ea mohloli. Tabeng ena, sebopeho sa ethernet1/1 se ping tsela ea kamehla ea heke hang ka motsotsoana. Haeba ho se na karabo ho li-pings tse tharo ka tatellano, tsela e nkoa e robehile 'me e tlosoa tafoleng ea ho tsamaisa. Tsela e ts'oanang e lokiselitsoe ho mofani oa bobeli oa Marang-rang, empa ka metric e phahameng (ke bekapo). Hang ha tsela ea pele e tlosoa tafoleng, firewall e tla qala ho romela sephethephethe ka tsela ea bobeli - Felletsoe. Ha mofani oa pele a qala ho arabela pings, tsela ea eona e tla khutlela tafoleng ebe e nkela ea bobeli sebaka ka lebaka la metric e betere - Fal-Back. Tshebetso Felletsoe ho nka metsotsoana e seng mekae ho itšetlehile ka linako tse lokiselitsoeng, empa, ho sa tsotellehe boemo leha e le bofe, ts'ebetso ha e tsoe hang-hang, 'me nakong ena sephethephethe se lahlehile. Fal-Back e feta ntle le tahlehelo ya sephethephethe. Ho na le monyetla oa ho etsa Felletsoe kapele, ka B.F.D., haeba mofani oa Inthanete a fana ka monyetla o joalo. B.F.D. tshehetswa ho qala ka mohlala Sehlopha sa PA-3000 и EA-100. Ho molemo hore u se ke ua bolela monyako oa mofani e le aterese ea ping, empa aterese ea Marang-rang e fumanehang ea sechaba.
• Ho theha sebopeho sa thanele
Sephethephethe ka har'a kotopo se fetisoa ka li-interfaces tse khethehileng. E 'ngoe le e' ngoe ea tsona e tlameha ho hlophisoa ka aterese ea IP e tsoang marang-rang a lipalangoang. Mohlala ona, seteishene sa 1/172.16.1.0 se tla sebelisoa bakeng sa Tunnel-30, 'me seteishene sa 2/172.16.2.0 se tla sebelisoa bakeng sa Tunnel-30.
Sehokelo sa kotopo se entsoe karolong Marang-rang -> Li-interfaces -> Tunnel. U tlameha ho hlakisa router ea sebele le sebaka sa tšireletso, hammoho le aterese ea IP e tsoang ho marang-rang a tsamaisanang le lipalangoang. Nomoro ea sebopeho e ka ba eng kapa eng.
karolong e tsoetseng pele e ka hlalosoa Boemo ba Tsamaisoe tla lumella ping ho sebopeho se fanoeng, sena se ka ba molemo bakeng sa tlhahlobo.
• Ho theha IKE Profile
IKE Profile e ikarabella bakeng sa mohato oa pele oa ho theha khokahano ea VPN; litekanyo tsa kotopo li boletsoe mona IKE Mokhahlelo oa 1. Profaele e entsoe karolong Marang-rang -> Litaba tsa Marang-rang -> IKE Crypto. Hoa hlokahala ho hlakisa algorithm ea encryption, algorithm ea hashing, sehlopha sa Diffie-Hellman le bophelo ba bohlokoa. Ka kakaretso, ha li-algorithms li rarahane le ho feta, ts'ebetso e mpefala le ho feta; ba lokela ho khethoa ho latela litlhoko tse khethehileng tsa ts'ireletso. Leha ho le joalo, ha ho khothalletsoe ho sebelisa sehlopha sa Diffie-Hellman se ka tlase ho 14 ho sireletsa tlhahisoleseling. Sena se bakoa ke ho ba kotsing ea protocol, e ka fokotsoang feela ka ho sebelisa boholo ba mojulung oa 2048 bits ho ea holimo, kapa elliptic cryptography algorithms, e sebelisoang ka lihlopha tsa 19, 20, 21, 24. Li-algorithms tsena li na le ts'ebetso e kholoanyane ha e bapisoa le mongolo oa setso. . Mme .
• Ho seta IPSec Profile
Mohato oa bobeli oa ho theha khokahano ea VPN ke kotopo ea IPSec. SA parameters bakeng sa eona e hlophisitsoe ho Marang-rang -> Litaba tsa Marang-rang -> IPSec Crypto Profile. Mona o hloka ho hlakisa protocol ea IPSec - AH kapa ESP, hammoho le li-parameter SA - li-algorithms tsa hashing, encryption, lihlopha tsa Diffie-Hellman le bophelo ba bohlokoa. Mekhahlelo ea SA ho IKE Crypto Profile le IPSec Crypto Profile e kanna ea se tšoane.
• Ho lokisa IKE Gateway
IKE Gateway - ena ke ntho e khethollang router kapa firewall eo kotopo ea VPN e hahiloeng ka eona. Bakeng sa kotopo ka 'ngoe u hloka ho iketsetsa ea hau IKE Gateway. Tabeng ena, ho etsoa lithanele tse peli, e le 'ngoe ka mofani e mong le e mong oa Inthanete. Sehokelo se ts'oanang se hlahang le aterese ea eona ea IP, aterese ea IP ea lithaka, le linotlolo tse arolelanoang lia bonts'oa. Setifikeiti se ka sebelisoa e le mokhoa o mong oa senotlolo se arolelanoang.
E entsoeng pele e bontšitsoe mona IKE Crypto Profile. Mekhahlelo ea ntho ea bobeli IKE Gateway e tšoanang, ntle le liaterese tsa IP. Haeba firewall ea Palo Alto Networks e fumaneha ka morao ho router ea NAT, joale o hloka ho nolofalletsa mochine Phatlalatso ea NAT.
• Ho theha IPSec Tunnel
IPSec Tunnel ke ntho e hlalosang maemo a IPSec, joalo ka ha lebitso le fana ka maikutlo. Mona o hloka ho hlakisa sebopeho sa kotopo le lintho tse entsoeng pele IKE Gateway, IPSec Crypto Profile. Ho etsa bonnete ba ho fetoha ha tsela ka tsela e iketsang ho thanele ea bekapo, o tlameha ho e nolofalletsa Tunnel Monitor. Ena ke mokhoa o hlahlobang hore na thaka ea phela e sebelisa sephethephethe sa ICMP. E le aterese ea moo u eang teng, u lokela ho hlakisa aterese ea IP ea kotopo ea lithaka eo kotopo e hahoang ka eona. Profaele e hlakisa linako le seo u lokelang ho se etsa haeba khokahano e lahleha. Emela ho Hlōla - ema ho fihlela khokahano e tsosolosoa, hloleha Hofeta - romella sephethephethe ka tsela e fapaneng, haeba se teng. Ho theha kotopo ea bobeli ho ts'oana ka botlalo; sebopeho sa bobeli sa kotopo le IKE Gateway li hlalositsoe.
• Ho seta tsela
Mohlala ona o sebelisa static routing. Ho PA-1 firewall, ho phaella litseleng tse peli tse sa feleng, ho hlokahala hore u hlalose litsela tse peli ho subnet ea 10.10.10.0/24 lekaleng. Tsela e 'ngoe e sebelisa Tunnel-1, e 'ngoe Tunnel-2. Tsela ea Tunnel-1 ke eona e ka sehloohong hobane e na le metric e tlase. Mokhoa Tlhokomelo ea Tsela ha e sebelisoe litselaneng tsena. E ikarabellang bakeng sa ho fetola Tunnel Monitor.
Litsela tse tšoanang tsa subnet 192.168.30.0/24 li hloka ho hlophisoa ho PA-2.
• Ho seta melao ya netweke
Hore kotopo e sebetse, ho hlokahala melao e meraro:
- Bakeng sa mosebetsi Tsela Monitor Lumella ICMP ho li-interface tsa kantle.
- etsoe IPsec lumella lisebelisoa Ike и ipsec lihokelong tsa kantle.
- Lumella sephethephethe lipakeng tsa li-subnets tsa kahare le likhokahano tsa kotopo.
fihlela qeto e
Sengoliloeng sena se bua ka khetho ea ho theha khokahano ea inthanete e sa mamelleheng le ho Sebaka sa marang-rang sa VPN. Re ts'epa hore tlhaiso-leseling e bile le thuso mme 'mali o ile a fumana mohopolo oa mahlale a sebelisitsoeng ho ona Palo Alto Networks. Haeba u na le lipotso mabapi le ho seta le litlhahiso ka lihlooho tsa lihlooho tse tlang, li ngole maikutlong, re tla thabela ho araba.
Source: www.habr.com