Makala hii ni muendelezo kujitolea kwa maalum ya kuanzisha vifaa Palo Alto Mtandao . Hapa tunataka kuzungumza juu ya usanidi IPSec VPN ya Tovuti hadi Tovuti kwenye vifaa Palo Alto Mtandao na kuhusu chaguo linalowezekana la usanidi wa kuunganisha watoa huduma kadhaa wa mtandao.
Kwa onyesho hilo, mpango wa kawaida wa kuunganisha ofisi kuu na tawi utatumiwa. Ili kutoa muunganisho wa Mtandao usio na hitilafu, ofisi kuu hutumia uunganisho wa wakati mmoja wa watoa huduma wawili: ISP-1 na ISP-2. Tawi lina muunganisho kwa mtoaji mmoja tu, ISP-3. Vichuguu viwili vimejengwa kati ya ngome PA-1 na PA-2. Vichuguu hufanya kazi katika hali Hai-Kusubiri,Tunnel-1 inatumika, Tunnel-2 itaanza kusambaza trafiki Tunnel-1 itakaposhindwa. Tunnel-1 hutumia muunganisho kwa ISP-1, Tunnel-2 hutumia muunganisho kwa ISP-2. Anwani zote za IP zinatolewa kwa nasibu kwa madhumuni ya maonyesho na hazina uhusiano na ukweli.
Kuunda VPN ya Tovuti hadi Tovuti itatumika IPsec - seti ya itifaki za kuhakikisha ulinzi wa data inayopitishwa kupitia IP. IPsec itafanya kazi kwa kutumia itifaki ya usalama ESP (Inajumuisha Malipo ya Usalama), ambayo itahakikisha usimbaji fiche wa data inayotumwa.
Π IPsec imejumuishwa Ike (Internet Key Exchange) ni itifaki inayohusika na kujadili SA (vyama vya usalama), vigezo vya usalama vinavyotumika kulinda data inayotumwa. Msaada wa ukuta wa PAN IKEv1 ΠΈ IKEv2.
Π IKEv1 Muunganisho wa VPN umejengwa katika hatua mbili: IKEv1 Awamu ya 1 (IKE handaki) na IKEv1 Awamu ya 2 (IPSec handaki), kwa hivyo, vichuguu viwili vinaundwa, moja ambayo hutumiwa kubadilishana habari ya huduma kati ya ukuta wa moto, ya pili kwa usafirishaji wa trafiki. KATIKA IKEv1 Awamu ya 1 Kuna njia mbili za uendeshaji - mode kuu na hali ya fujo. Hali ya fujo hutumia jumbe chache na ni haraka zaidi, lakini haitumii Kinga ya Utambulisho wa Rika.
IKEv2 kubadilishwa IKEv1, na ikilinganishwa na IKEv1 faida yake kuu ni mahitaji ya chini ya kipimo data na mazungumzo ya haraka ya SA. KATIKA IKEv2 Ujumbe mdogo wa huduma hutumiwa (4 kwa jumla), itifaki za EAP na MOBIKE zinatumika, na utaratibu umeongezwa ili kuangalia upatikanaji wa programu rika ambayo handaki imeundwa nayo - Ukaguzi wa Maisha, ikichukua nafasi ya Utambuzi wa Marafiki Waliokufa katika IKEv1. Ikiwa hundi inashindwa, basi IKEv2 inaweza kuweka upya handaki na kisha kuirejesha kiotomatiki mara ya kwanza. Unaweza kujifunza zaidi kuhusu tofauti .
Ikiwa handaki imejengwa kati ya firewalls kutoka kwa wazalishaji tofauti, basi kunaweza kuwa na mende katika utekelezaji IKEv2, na kwa utangamano na vifaa vile inawezekana kutumia IKEv1. Katika hali nyingine, ni bora kutumia IKEv2.
Hatua za kuanzisha:
β’ Kusanidi watoa huduma wawili wa Intaneti katika modi ya ActiveStandby
Kuna njia kadhaa za kutekeleza kazi hii. Mmoja wao ni kutumia utaratibu Ufuatiliaji wa Njia, ambayo ilipatikana kuanzia toleo PAN-OS 8.0.0. Mfano huu unatumia toleo la 8.0.16. Kipengele hiki ni sawa na IP SLA katika vipanga njia vya Cisco. Kigezo cha njia chaguo-msingi tuli husanidi kutuma pakiti za ping kwa anwani mahususi ya IP kutoka kwa anwani mahususi ya chanzo. Katika hali hii, kiolesura cha ethernet1/1 huweka lango chaguo-msingi mara moja kwa sekunde. Ikiwa hakuna jibu kwa pings tatu mfululizo, njia inachukuliwa kuwa imevunjwa na kuondolewa kwenye meza ya uelekezaji. Njia sawa imesanidiwa kuelekea mtoaji wa pili wa Mtandao, lakini kwa kipimo cha juu zaidi (ni chelezo). Mara tu njia ya kwanza inapoondolewa kwenye jedwali, ngome itaanza kutuma trafiki kupitia njia ya pili - Kushindwa-Kuzidi. Mtoa huduma wa kwanza anapoanza kujibu pings, njia yake itarudi kwenye jedwali na kubadilisha ya pili kwa sababu ya kipimo bora - Kushindwa-Kurudi. Mchakato Kushindwa-Kuzidi inachukua sekunde chache kulingana na vipindi vilivyowekwa, lakini, kwa hali yoyote, mchakato sio mara moja, na wakati huu trafiki inapotea. Kushindwa-Kurudi hupita bila kupoteza trafiki. Kuna fursa ya kufanya Kushindwa-Kuzidi haraka, na B.F.D., ikiwa mtoa huduma wa mtandao hutoa fursa hiyo. B.F.D. mkono kuanzia mfano Mfululizo wa PA-3000 ΠΈ VM-100. Ni bora kutaja si lango la mtoa huduma kama anwani ya ping, lakini anwani ya mtandao inayopatikana kila mara ya umma.
β’ Kuunda kiolesura cha handaki
Trafiki ndani ya handaki hupitishwa kupitia violesura maalum vya mtandaoni. Kila mmoja wao lazima asanidiwe na anwani ya IP kutoka kwa mtandao wa usafirishaji. Katika mfano huu, kituo kidogo cha 1/172.16.1.0 kitatumika kwa Tunnel-30, na kituo kidogo cha 2/172.16.2.0 kitatumika kwa Tunnel-30.
Kiolesura cha handaki kinaundwa katika sehemu hiyo Mtandao -> Violesura -> Tunnel. Lazima ubainishe kipanga njia pepe na eneo la usalama, pamoja na anwani ya IP kutoka kwa mtandao unaolingana wa usafirishaji. Nambari ya interface inaweza kuwa chochote.
Katika sehemu Ya juu inaweza kubainishwa Wasifu wa Usimamiziambayo itaruhusu ping kwenye kiolesura ulichopewa, hii inaweza kuwa muhimu kwa majaribio.
β’ Kuweka Wasifu wa IKE
Wasifu wa IKE inawajibika kwa hatua ya kwanza ya kuunda muunganisho wa VPN; vigezo vya handaki vimebainishwa hapa Awamu ya 1 ya IKE. Profaili imeundwa katika sehemu Mtandao -> Wasifu wa Mtandao -> IKE Crypto. Ni muhimu kutaja algoriti ya usimbuaji, algorithm ya hashing, kikundi cha Diffie-Hellman na maisha muhimu. Kwa ujumla, kadri algorithms ilivyo ngumu zaidi, ndivyo utendaji unavyozidi kuwa mbaya zaidi; zinapaswa kuchaguliwa kulingana na mahitaji maalum ya usalama. Hata hivyo, haipendekezwi kabisa kutumia kikundi cha Diffie-Hellman kilicho chini ya 14 ili kulinda taarifa nyeti. Hii ni kutokana na kuathiriwa kwa itifaki, ambayo inaweza tu kupunguzwa kwa kutumia ukubwa wa moduli za biti 2048 na juu zaidi, au algoriti za kriptografia, ambazo hutumika katika vikundi 19, 20, 21, 24. Algoriti hizi zina utendakazi mkubwa ikilinganishwa na kriptografia ya jadi. . Na .
β’ Kuweka Wasifu wa IPSec
Hatua ya pili ya kuunda muunganisho wa VPN ni handaki ya IPSec. Vigezo vya SA vyake vimesanidiwa ndani Mtandao -> Wasifu wa Mtandao -> Wasifu wa Crypto wa IPSec. Hapa unahitaji kutaja itifaki ya IPSec - AH au ESP, pamoja na vigezo SA - algoriti za hashing, usimbaji fiche, vikundi vya Diffie-Hellman na maisha muhimu. Vigezo vya SA katika Wasifu wa IKE Crypto na Profaili ya Crypto ya IPSec huenda visifanane.
β’ Inasanidi Lango la IKE
Lango la IKE - hii ni kitu ambacho huteua router au firewall ambayo handaki ya VPN imejengwa. Kwa kila handaki unahitaji kuunda yako mwenyewe Lango la IKE. Katika kesi hii, vichuguu viwili vinaundwa, moja kupitia kila mtoaji wa mtandao. Kiolesura kinacholingana kinachotoka na anwani yake ya IP, anwani ya IP ya rika, na ufunguo ulioshirikiwa huonyeshwa. Vyeti vinaweza kutumika kama njia mbadala ya ufunguo ulioshirikiwa.
Iliyoundwa hapo awali imeonyeshwa hapa Profaili ya IKE Crypto. Vigezo vya kitu cha pili Lango la IKE sawa, isipokuwa kwa anwani za IP. Ikiwa firewall ya Mitandao ya Palo Alto iko nyuma ya router ya NAT, basi unahitaji kuwezesha utaratibu Usafiri wa NAT.
β’ Kuanzisha IPSec Tunnel
IPSec Tunnel ni kitu kinachobainisha vigezo vya handaki ya IPSec, kama jina linavyopendekeza. Hapa unahitaji kutaja kiolesura cha handaki na vitu vilivyoundwa hapo awali Lango la IKE, Profaili ya Crypto ya IPSec. Ili kuhakikisha ubadilishaji kiotomatiki wa uelekezaji hadi kwenye handaki ya chelezo, lazima uwashe Mfuatiliaji wa Tunnel. Huu ni utaratibu unaokagua ikiwa mwenzi yuko hai kwa kutumia trafiki ya ICMP. Kama anwani lengwa, unahitaji kutaja anwani ya IP ya kiolesura cha handaki cha rika ambalo handaki inajengwa nayo. Wasifu unabainisha vipima muda na nini cha kufanya ikiwa muunganisho umepotea. Subiri Urejeshe - subiri hadi muunganisho urejeshwe, Kushindwa Zaidi - tuma trafiki kwa njia tofauti, ikiwa inapatikana. Kuweka handaki la pili ni sawa kabisa; kiolesura cha pili cha handaki na Lango la IKE vimebainishwa.
β’ Kuweka uelekezaji
Mfano huu hutumia uelekezaji tuli. Kwenye firewall ya PA-1, pamoja na njia mbili za msingi, unahitaji kutaja njia mbili kwa subnet 10.10.10.0/24 kwenye tawi. Njia moja hutumia Tunnel-1, nyingine Tunnel-2. Njia ya Tunnel-1 ndiyo kuu kwa sababu ina kipimo cha chini. Utaratibu Ufuatiliaji wa Njia haitumiki kwa njia hizi. Kuwajibika kwa kubadili Mfuatiliaji wa Tunnel.
Njia sawa za subnet 192.168.30.0/24 zinahitaji kusanidiwa kwenye PA-2.
β’ Kuweka sheria za mtandao
Ili tunnel ifanye kazi, sheria tatu zinahitajika:
- Kufanya kazi Mfuatiliaji wa Njia Ruhusu ICMP kwenye violesura vya nje.
- Kwa IPsec ruhusu programu ike ΠΈ ipsec kwenye miingiliano ya nje.
- Ruhusu trafiki kati ya subneti za ndani na violesura vya handaki.
Hitimisho
Makala hii inazungumzia chaguo la kuanzisha uunganisho wa Intaneti usio na hitilafu na VPN ya tovuti-kwa-Site. Tunatumahi kuwa habari hiyo ilikuwa muhimu na msomaji alipata wazo la teknolojia iliyotumiwa Palo Alto Mtandao. Ikiwa una maswali kuhusu kuanzisha na mapendekezo juu ya mada kwa makala ya baadaye, waandike kwenye maoni, tutafurahi kujibu.
Chanzo: mapenzi.com