Artikel ieu mangrupa tuluyan dedicated ka spésifik pikeun nyetél alat Palo Alto Jaringan . Di dieu urang hoyong ngobrol ngeunaan setelan IPSec Loka-ka-Loka VPN dina parabot Palo Alto Jaringan sarta ngeunaan pilihan konfigurasi mungkin pikeun nyambungkeun sababaraha panyadia Internet.
Pikeun demonstrasi, skéma standar pikeun nyambungkeun kantor pusat ka cabang bakal dianggo. Dina raraga nyadiakeun sambungan Internet lepat-toleran, kantor pusat ngagunakeun sambungan simultaneous dua panyadia: ISP-1 jeung ISP-2. Cabang boga sambungan ka ngan hiji panyadia, ISP-3. Dua torowongan diwangun antara firewalls PA-1 jeung PA-2. Torowongan beroperasi dina modeu Aktip-Siaga, Torowongan-1 aktip, Torowongan-2 bakal ngamimitian ngirimkeun lalu lintas nalika Torowongan-1 gagal. Torowongan-1 nganggo sambungan ka ISP-1, Torowongan-2 nganggo sambungan ka ISP-2. Sadaya alamat IP dihasilkeun sacara acak pikeun tujuan demonstrasi sareng teu aya hubunganana sareng kanyataan.
Pikeun ngawangun VPN Loka-ka-Situs bakal dianggo IPsec — sakumpulan protokol pikeun mastikeun panyalindungan data anu dikirimkeun via IP. IPsec bakal tiasa dianggo nganggo protokol kaamanan ESP (Encapsulating Security Payload), anu bakal mastikeun énkripsi data anu dikirimkeun.
В IPsec kalebet IKE (Internet Key Exchange) mangrupakeun protokol jawab negotiating SA (asosiasi kaamanan), parameter kaamanan nu dipaké pikeun ngajaga data dikirimkeun. rojongan firewalls PAN IKEv1 и IKEv2.
В IKEv1 Sambungan VPN diwangun dina dua tahap: IKEv1 Fase 1 (torowongan IKE) jeung IKEv1 Fase 2 (IPSec torowongan), sahingga, dua torowongan dijieun, salah sahiji nu dipaké pikeun bursa informasi jasa antara firewalls, kadua pikeun pangiriman lalulintas. DI IKEv1 Fase 1 Aya dua modeu operasi - modeu utama sareng modeu agrésif. Modeu agrésif ngagunakeun langkung sakedik pesen sareng langkung gancang, tapi henteu ngadukung Perlindungan Identitas Peer.
IKEv2 digantikeun IKEv1, sarta dibandingkeun jeung IKEv1 Kauntungan utama nyaéta syarat rubakpita anu langkung handap sareng rundingan SA anu langkung gancang. DI IKEv2 Pangsaeutikna pesen jasa anu dianggo (totalna 4), protokol EAP sareng MOBIKE dirojong, sareng mékanisme parantos ditambah pikeun mariksa kasadiaan peer dimana torowongan diciptakeun - Liveness Cék, ngaganti Dead Peer Deteksi di IKEv1. Upami cek gagal, teras IKEv2 bisa ngareset torowongan lajeng otomatis balikkeun deui dina kasempetan munggaran. Anjeun tiasa leuwih jéntré ngeunaan bédana .
Upami torowongan diwangun antara firewall ti pabrik anu béda, maka tiasa aya bug dina palaksanaan IKEv2, sareng pikeun kasaluyuan sareng alat sapertos kitu tiasa dianggo IKEv1. Dina kasus séjén éta hadé ngagunakeun IKEv2.
Léngkah Setup:
• Ngonpigurasikeun dua panyadia Internét dina modeu ActiveStandby
Aya sababaraha cara pikeun nerapkeun pungsi ieu. Salah sahijina nyaéta ngagunakeun mékanisme Pangimeutan Jalur, nu janten sadia mimitian ti versi PAN-OS 8.0.0. Conto ieu nganggo versi 8.0.16. fitur ieu sarupa IP SLA di routers Cisco. Parameter jalur standar statik ngonpigurasikeun ngirim pakét ping ka alamat IP husus tina alamat sumber husus. Dina hal ieu, panganteur ethernet1/1 pings gateway standar sakali per detik. Mun euweuh respon kana tilu pings dina urutan, dianggap jalur pegat sarta dikaluarkeun tina tabel routing. Rute anu sami dikonpigurasikeun ka panyadia Internét anu kadua, tapi kalayan métrik anu langkung luhur (éta mangrupikeun cadangan). Sakali jalur kahiji dipiceun tina tabél, firewall bakal mimiti ngirim lalulintas ngaliwatan jalur kadua - Gagal-Leuwih. Nalika panyadia munggaran mimiti ngaréspon kana ping, rutena bakal balik deui ka méja sareng ngagentos anu kadua kusabab métrik anu langkung saé - Gagal-Balik. Prosés Gagal-Leuwih Butuh waktu sababaraha detik gumantung kana interval ngonpigurasi, tapi, dina sagala hal, prosésna teu sakedapan, sarta salila ieu lalulintas leungit. Gagal-Balik pas tanpa leungitna lalulintas. Aya kasempetan pikeun ngalakukeun Gagal-Leuwih leuwih gancang, jeung B.F.D., lamun panyadia Internet nyadiakeun kasempetan saperti. B.F.D. dirojong mimitian ti model Pa-3000 runtuyan и VM-100. Hadé pisan mun éta nangtukeun teu gateway panyadia urang salaku alamat ping, tapi publik, salawasna diaksés alamat Internet.
• Nyieun panganteur torowongan
Lalulintas di jero torowongan dikirimkeun ngaliwatan antarmuka virtual khusus. Tiap di antarana kudu ngonpigurasi kalawan alamat IP ti jaringan transit. Dina conto ieu, gardu induk 1/172.16.1.0 bakal dianggo pikeun Torowongan-30, sareng gardu induk 2/172.16.2.0 bakal dianggo pikeun Torowongan-30.
Antarbeungeut torowongan dijieun dina bagian Jaringan -> Antarmuka -> Torowongan. Anjeun kudu nangtukeun hiji router maya jeung zone kaamanan, kitu ogé alamat IP ti jaringan angkutan pakait. Jumlah panganteur tiasa nanaon.
bagean maju bisa dieusian Propil manajeménnu bakal ngidinan ping on panganteur dibikeun, ieu bisa jadi mangpaat pikeun nguji.
• Nyetél Propil IKE
Propil IKE tanggung jawab pikeun tahap mimiti nyieun sambungan VPN; parameter torowongan dieusian IKE Fase 1. Propil dijieun dina bagian Jaringan -> Propil Jaringan -> IKE Crypto. Perlu nangtukeun algoritma enkripsi, algoritma hashing, grup Diffie-Hellman sareng umur konci. Sacara umum, algoritma anu langkung rumit, langkung parah kinerjana; aranjeunna kedah dipilih dumasar kana syarat kaamanan khusus. Sanajan kitu, eta mastikeun teu dianjurkeun ngagunakeun grup Diffie-Hellman handap 14 ngajaga informasi sénsitip. Ieu alatan kerentanan protokol, nu ngan bisa mitigated ku ngagunakeun ukuran modul 2048 bit jeung luhur, atawa algoritma kriptografi elliptic, nu dipaké dina grup 19, 20, 21, 24. Algoritma ieu boga kinerja leuwih gede dibandingkeun jeung kriptografi tradisional. . Sareng .
• Nyetel Propil IPSec
Tahap kadua nyieun sambungan VPN nyaéta torowongan IPSec. Parameter SA pikeun eta ngonpigurasi dina Jaringan -> Propil Jaringan -> Propil Crypto IPSec. Di dieu anjeun kedah netepkeun protokol IPSec - AH atawa ESP, kitu ogé parameter SA - algoritma hashing, enkripsi, grup Diffie-Hellman sareng umur konci. Parameter SA dina Propil Crypto IKE sareng Propil Crypto IPSec tiasa henteu sami.
• Konfigurasi IKE gateway
Gerbang IKE - ieu mangrupikeun obyék anu nunjukkeun router atanapi firewall dimana torowongan VPN diwangun. Pikeun unggal torowongan anjeun kudu nyieun sorangan Gerbang IKE. Dina hal ieu, dua torowongan dijieun, hiji ngaliwatan unggal panyadia Internet. Antarbeungeut kaluar anu pakait sareng alamat IP na, alamat IP peer, sareng konci anu dibagikeun dituduhkeun. Sertipikat tiasa dianggo salaku alternatif pikeun konci anu dibagikeun.
Anu didamel sateuacana dituduhkeun di dieu IKE Crypto Propil. Parameter objék kadua Gerbang IKE sarupa, iwal alamat IP. Upami firewall Palo Alto Networks aya di tukangeun router NAT, maka anjeun kedah ngaktipkeun mékanisme na NAT Traversal.
• Nyetel torowongan IPSec
Torowongan IPSec mangrupa obyék nu nangtukeun parameter torowongan IPSec, sakumaha ngaranna nunjukkeun. Di dieu anjeun kudu nangtukeun interface torowongan jeung objék dijieun saméméhna Gerbang IKE, Propil Crypto IPSec. Pikeun mastikeun switching otomatis tina routing ka torowongan cadangan, Anjeun kudu ngaktipkeun Torowongan Monitor. Ieu mangrupikeun mékanisme anu mariksa naha peer hirup nganggo lalu lintas ICMP. Salaku alamat tujuan, anjeun kedah netepkeun alamat IP tina antarmuka torowongan peer anu nuju diwangun. Profilna nangtukeun timers sareng naon anu kudu dilakukeun upami sambunganna leungit. Antosan Pulih - antosan dugi sambungan dibalikkeun, Gagal Leuwih - kirimkeun lalu lintas sapanjang rute anu béda, upami sayogi. Nyetél torowongan kadua sami pisan; antarbeungeut torowongan kadua sareng IKE Gateway dieusian.
• Nyetel routing
conto ieu ngagunakeun routing statik. Pa-1 firewall, sajaba ti dua ruteu standar, Anjeun kudu nangtukeun dua ruteu ka 10.10.10.0/24 subnet dina cabang. Hiji jalur ngagunakeun Torowongan-1, anu séjén Torowongan-2. Rute anu ngalangkungan Torowongan-1 mangrupikeun anu utama sabab gaduh métrik anu langkung handap. Mékanisme Pangimeutan Jalur teu dipaké pikeun ruteu ieu. Tanggung jawab switching Torowongan Monitor.
Rute sarua pikeun subnet 192.168.30.0/24 kudu ngonpigurasi pa-2.
• Nyetel aturan jaringan
Pikeun torowongan jalan, tilu aturan anu diperyogikeun:
- Pikeun ngagawekeun Monitor jalur Ngidinan ICMP on interfaces éksternal.
- keur IPsec ngidinan aktip ike и ipsec dina interfaces éksternal.
- Ngidinan lalu lintas antara subnet internal sareng antarmuka torowongan.
kacindekan
Artikel ieu ngabahas pilihan pikeun nyetél sambungan Internet toleran lepat na Situs-ka-Situs VPN. Kami ngarepkeun inpormasi éta mangpaat sareng pamaca nampi ide ngeunaan téknologi anu dianggo Palo Alto Jaringan. Upami anjeun gaduh patarosan ngeunaan setelan sareng saran ngeunaan topik pikeun tulisan anu bakal datang, tuliskeun dina koméntar, kami bakal resep ngajawab.
sumber: www.habr.com