Den här artikeln är en fortsättning dedikerad till detaljerna för att installera utrustning Palo Alto Networks . Här vill vi prata om upplägget IPSec Site-to-Site VPN på utrustning Palo Alto Networks och om ett möjligt konfigurationsalternativ för att ansluta flera internetleverantörer.
För demonstrationen kommer ett standardschema för att ansluta huvudkontoret till filialen att användas. För att kunna tillhandahålla en feltålig internetuppkoppling använder huvudkontoret en samtidig uppkoppling av två leverantörer: ISP-1 och ISP-2. Filialen har en anslutning till endast en leverantör, ISP-3. Två tunnlar byggs mellan brandväggarna PA-1 och PA-2. Tunnlarna fungerar i läget Aktiv standby,Tunnel-1 är aktiv, Tunnel-2 kommer att börja överföra trafik när Tunnel-1 misslyckas. Tunnel-1 använder en anslutning till ISP-1, Tunnel-2 använder en anslutning till ISP-2. Alla IP-adresser genereras slumpmässigt i demonstrationssyfte och har ingen relation till verkligheten.
För att bygga ett Site-to-Site VPN kommer att användas IPSec — En uppsättning protokoll för att säkerställa skyddet av data som överförs via IP. IPSec kommer att fungera med ett säkerhetsprotokoll ESP (Encapsulating Security Payload), som säkerställer kryptering av överförda data.
В IPSec ingår IKE (Internet Key Exchange) är ett protokoll som ansvarar för att förhandla SA (säkerhetsföreningar), säkerhetsparametrar som används för att skydda överförda data. Stöd för PAN-brandväggar IKEv1 и IKEv2.
В IKEv1 En VPN-anslutning byggs i två steg: IKEv1 Fas 1 (IKE-tunnel) och IKEv1 Fas 2 (IPSec-tunnel), sålunda skapas två tunnlar, varav en används för utbyte av tjänstinformation mellan brandväggar, den andra för trafiköverföring. I IKEv1 Fas 1 Det finns två driftlägen - huvudläge och aggressivt läge. Aggressivt läge använder färre meddelanden och är snabbare, men stöder inte Peer Identity Protection.
IKEv2 kom att ersätta IKEv1, och jämfört med IKEv1 dess främsta fördel är lägre bandbreddskrav och snabbare SA-förhandling. I IKEv2 Färre servicemeddelanden används (4 totalt), EAP- och MOBIKE-protokollen stöds, och en mekanism har lagts till för att kontrollera tillgängligheten för den peer med vilken tunneln skapas - Liveness Check, som ersätter Dead Peer Detection i IKEv1. Om kontrollen misslyckas, då IKEv2 kan återställa tunneln och sedan automatiskt återställa den vid första tillfälle. Du kan lära dig mer om skillnaderna .
Om en tunnel byggs mellan brandväggar från olika tillverkare kan det finnas buggar i implementeringen IKEv2, och för kompatibilitet med sådan utrustning är det möjligt att använda IKEv1. I andra fall är det bättre att använda IKEv2.
Inställningssteg:
• Konfigurera två Internetleverantörer i Active Standby-läge
Det finns flera sätt att implementera denna funktion. En av dem är att använda mekanismen Vägövervakning, som blev tillgänglig från och med versionen PAN-OS 8.0.0. Det här exemplet använder version 8.0.16. Den här funktionen liknar IP SLA i Cisco-routrar. Den statiska standardruttparametern konfigurerar att skicka ping-paket till en specifik IP-adress från en specifik källadress. I det här fallet pingar ethernet1/1-gränssnittet standardgatewayen en gång per sekund. Om det inte finns något svar på tre pingar i rad, anses rutten vara bruten och tas bort från rutttabellen. Samma rutt är konfigurerad mot den andra internetleverantören, men med ett högre mått (det är en backup). När den första rutten har tagits bort från tabellen kommer brandväggen att börja skicka trafik genom den andra rutten − Fail-Over. När den första leverantören börjar svara på ping, kommer dess rutt att återgå till tabellen och ersätta den andra på grund av en bättre mätning - Fail-Back. Bearbeta Fail-Over tar några sekunder beroende på de konfigurerade intervallen, men i alla fall är processen inte omedelbar och under denna tid går trafiken förlorad. Fail-Back passerar utan att tappa trafik. Det finns en möjlighet att göra Fail-Over snabbare, med BFD, om internetleverantören ger en sådan möjlighet. BFD stöds från modell PA-3000-serien и VM-100. Det är bättre att inte ange leverantörens gateway som pingadress, utan en allmän, alltid tillgänglig internetadress.
• Skapa ett tunnelgränssnitt
Trafiken inne i tunneln överförs genom speciella virtuella gränssnitt. Var och en av dem måste konfigureras med en IP-adress från transitnätverket. I detta exempel kommer transformatorstationen 1/172.16.1.0 att användas för Tunnel-30, och transformatorstationen 2/172.16.2.0 kommer att användas för Tunnel-30.
Tunnelgränssnittet skapas i avsnittet Nätverk -> Gränssnitt -> Tunnel. Du måste ange en virtuell router och säkerhetszon, samt en IP-adress från motsvarande transportnätverk. Gränssnittsnumret kan vara vad som helst.
I avsnitt Advanced Open water kan specificeras Ledningsprofilsom kommer att tillåta ping på det givna gränssnittet, kan detta vara användbart för testning.
• Konfigurera IKE-profil
IKE-profil är ansvarig för det första steget av att skapa en VPN-anslutning; tunnelparametrar anges här IKE Fas 1. Profilen skapas i avsnittet Nätverk -> Nätverksprofiler -> IKE Crypto. Det är nödvändigt att specificera krypteringsalgoritmen, hashalgoritmen, Diffie-Hellman-gruppen och nyckelns livslängd. Generellt gäller att ju mer komplexa algoritmerna är, desto sämre prestanda, de bör väljas utifrån specifika säkerhetskrav. Det är dock absolut inte rekommenderat att använda en Diffie-Hellman-grupp under 14 för att skydda känslig information. Detta beror på protokollets sårbarhet, som endast kan mildras genom att använda modulstorlekar på 2048 bitar och högre, eller elliptiska kryptografialgoritmer, som används i grupperna 19, 20, 21, 24. Dessa algoritmer har större prestanda jämfört med traditionell kryptografi. . och .
• Konfigurera IPSec-profil
Det andra steget för att skapa en VPN-anslutning är en IPSec-tunnel. SA-parametrar för den är konfigurerade i Nätverk -> Nätverksprofiler -> IPSec-krypteringsprofil. Här måste du ange IPSec-protokollet - AH eller ESP, såväl som parametrar SA — hashalgoritmer, kryptering, Diffie-Hellman-grupper och nyckellivslängd. SA-parametrarna i IKE Crypto Profile och IPSec Crypto Profile kanske inte är desamma.
• Konfigurera IKE Gateway
IKE Gateway - det här är ett objekt som anger en router eller brandvägg som en VPN-tunnel är byggd med. För varje tunnel måste du skapa din egen IKE Gateway. I det här fallet skapas två tunnlar, en genom varje internetleverantör. Motsvarande utgående gränssnitt och dess IP-adress, peer-IP-adress och delade nyckel anges. Certifikat kan användas som ett alternativ till en delad nyckel.
Den tidigare skapade anges här IKE Krypto-profil. Parametrar för det andra objektet IKE Gateway liknande, förutom IP-adresser. Om Palo Alto Networks brandvägg finns bakom en NAT-router, måste du aktivera mekanismen NAT Traversal.
• Konfigurera IPSec Tunnel
IPSec-tunnel är ett objekt som specificerar IPSec-tunnelparametrarna, som namnet antyder. Här måste du specificera tunnelgränssnittet och tidigare skapade objekt IKE Gateway, IPSec Krypto-profil. För att säkerställa automatisk växling av routing till backup-tunneln måste du aktivera Tunnelövervakning. Detta är en mekanism som kontrollerar om en peer är vid liv med hjälp av ICMP-trafik. Som destinationsadress måste du ange IP-adressen för tunnelgränssnittet för den peer som tunneln byggs med. Profilen anger timers och vad som ska göras om anslutningen bryts. Vänta Återställ – vänta tills anslutningen är återställd, Misslyckas över — skicka trafik längs en annan rutt, om tillgänglig. Att ställa in den andra tunneln är helt liknande, det andra tunnelgränssnittet och IKE Gateway är specificerade.
• Ställa in routing
Det här exemplet använder statisk routing. På PA-1-brandväggen, utöver de två standardrutterna, måste du ange två rutter till 10.10.10.0/24-undernätet i grenen. Den ena sträckan använder Tunnel-1, den andra Tunnel-2. Rutten genom Tunnel-1 är den huvudsakliga eftersom den har en lägre måttenhet. Mekanism Vägövervakning används inte för dessa rutter. Ansvarig för byte Tunnelövervakning.
Samma rutter för subnätet 192.168.30.0/24 måste konfigureras på PA-2.
• Ställa in nätverksregler
För att tunneln ska fungera krävs tre regler:
- För arbete Path Monitor Tillåt ICMP på externa gränssnitt.
- för IPSec tillåt appar ike и ipsec på externa gränssnitt.
- Tillåt trafik mellan interna subnät och tunnelgränssnitt.
Slutsats
Den här artikeln diskuterar alternativet att ställa in en feltolerant Internetanslutning och Plats-till-plats-VPN. Vi hoppas att informationen var användbar och att läsaren fick en uppfattning om de teknologier som används i Palo Alto Networks. Om du har frågor om inställningar och förslag på ämnen för framtida artiklar, skriv dem i kommentarerna, vi svarar gärna.
Källa: will.com