இந்தக் கட்டுரை அதன் தொடர்ச்சி உபகரணங்களை அமைப்பதற்கான பிரத்தியேகங்களுக்கு அர்ப்பணிக்கப்பட்டுள்ளது பாலோ ஆல்டோ நெட்வொர்க்ஸ் . இங்கே நாம் அமைப்பு பற்றி பேச வேண்டும் IPSec சைட்-டு-சைட் VPN உபகரணங்கள் மீது பாலோ ஆல்டோ நெட்வொர்க்ஸ் மற்றும் பல இணைய வழங்குநர்களை இணைப்பதற்கான சாத்தியமான உள்ளமைவு விருப்பத்தைப் பற்றி.
ஆர்ப்பாட்டத்திற்கு, தலைமை அலுவலகத்தை கிளையுடன் இணைக்கும் நிலையான திட்டம் பயன்படுத்தப்படும். பிழையைத் தாங்கும் இணைய இணைப்பை வழங்குவதற்காக, தலைமை அலுவலகம் இரண்டு வழங்குநர்களின் ஒரே நேரத்தில் இணைப்பைப் பயன்படுத்துகிறது: ISP-1 மற்றும் ISP-2. ISP-3 என்ற ஒரே ஒரு வழங்குனருடன் மட்டுமே கிளை இணைக்கப்பட்டுள்ளது. ஃபயர்வால்கள் PA-1 மற்றும் PA-2 இடையே இரண்டு சுரங்கங்கள் கட்டப்பட்டுள்ளன. சுரங்கப்பாதைகள் பயன்முறையில் இயங்குகின்றன செயலில்-காத்திருப்பு,டனல்-1 செயலில் உள்ளது, சுரங்கப்பாதை-2 தோல்வியடையும் போது டன்னல்-1 போக்குவரத்தை கடத்தும். Tunnel-1 ISP-1க்கான இணைப்பைப் பயன்படுத்துகிறது, Tunnel-2 ISP-2க்கான இணைப்பைப் பயன்படுத்துகிறது. அனைத்து IP முகவரிகளும் செயல்விளக்க நோக்கங்களுக்காக தோராயமாக உருவாக்கப்பட்டவை மற்றும் யதார்த்தத்துடன் எந்த தொடர்பும் இல்லை.
தளத்திலிருந்து தளத்தை உருவாக்க VPN பயன்படுத்தப்படும் IPsec - ஐபி வழியாக அனுப்பப்படும் தரவின் பாதுகாப்பை உறுதி செய்வதற்கான நெறிமுறைகளின் தொகுப்பு. IPsec பாதுகாப்பு நெறிமுறையைப் பயன்படுத்தி வேலை செய்யும் இந்த ESP (என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட்), இது கடத்தப்பட்ட தரவின் குறியாக்கத்தை உறுதி செய்யும்.
В IPsec அடங்கும் IKE (இன்டர்நெட் கீ எக்ஸ்சேஞ்ச்) என்பது SA (பாதுகாப்பு சங்கங்கள்), பரிமாற்றப்பட்ட தரவைப் பாதுகாக்கப் பயன்படுத்தப்படும் பாதுகாப்பு அளவுருக்களைப் பேச்சுவார்த்தை நடத்துவதற்குப் பொறுப்பான ஒரு நெறிமுறை. PAN ஃபயர்வால்கள் ஆதரவு IKEv1 и IKEv2.
В IKEv1 VPN இணைப்பு இரண்டு நிலைகளில் கட்டமைக்கப்பட்டுள்ளது: IKEv1 கட்டம் 1 (IKE சுரங்கப்பாதை) மற்றும் IKEv1 கட்டம் 2 (IPSec சுரங்கப்பாதை), இவ்வாறு, இரண்டு சுரங்கப்பாதைகள் உருவாக்கப்படுகின்றன, அவற்றில் ஒன்று ஃபயர்வால்களுக்கு இடையில் சேவைத் தகவலைப் பரிமாறிக்கொள்ளவும், இரண்டாவது போக்குவரத்து பரிமாற்றத்திற்காகவும் பயன்படுத்தப்படுகிறது. IN IKEv1 கட்டம் 1 இரண்டு இயக்க முறைகள் உள்ளன - முக்கிய முறை மற்றும் ஆக்கிரமிப்பு முறை. ஆக்கிரமிப்பு பயன்முறை குறைவான செய்திகளைப் பயன்படுத்துகிறது மற்றும் வேகமானது, ஆனால் சக அடையாளப் பாதுகாப்பை ஆதரிக்காது.
IKEv2 பதிலாக வந்தது IKEv1, மற்றும் ஒப்பிடும்போது IKEv1 அதன் முக்கிய நன்மை குறைந்த அலைவரிசை தேவைகள் மற்றும் வேகமான SA பேச்சுவார்த்தை ஆகும். IN IKEv2 குறைவான சேவை செய்திகள் பயன்படுத்தப்படுகின்றன (மொத்தம் 4), EAP மற்றும் MOBIKE நெறிமுறைகள் ஆதரிக்கப்படுகின்றன, மேலும் சுரங்கப்பாதை உருவாக்கப்படும் பியர் கிடைப்பதைச் சரிபார்க்க ஒரு வழிமுறை சேர்க்கப்பட்டுள்ளது - வாழ்வாதார சோதனை, IKEv1 இல் டெட் பியர் கண்டறிதலுக்குப் பதிலாக. காசோலை தோல்வியுற்றால், பின்னர் IKEv2 சுரங்கப்பாதையை மீட்டமைத்து, முதல் வாய்ப்பில் தானாகவே அதை மீட்டெடுக்க முடியும். வேறுபாடுகளைப் பற்றி மேலும் அறியலாம் .
வெவ்வேறு உற்பத்தியாளர்களிடமிருந்து ஃபயர்வால்களுக்கு இடையில் ஒரு சுரங்கப்பாதை கட்டப்பட்டால், செயல்படுத்துவதில் பிழைகள் இருக்கலாம். IKEv2, மற்றும் அத்தகைய உபகரணங்களுடன் பொருந்தக்கூடிய வகையில் அதைப் பயன்படுத்த முடியும் IKEv1. மற்ற சந்தர்ப்பங்களில், அதைப் பயன்படுத்துவது நல்லது IKEv2.
படிகளை அமைத்தல்:
• ActiveStandby முறையில் இரண்டு இணைய வழங்குநர்களை உள்ளமைத்தல்
இந்த செயல்பாட்டை செயல்படுத்த பல வழிகள் உள்ளன. அவற்றில் ஒன்று பொறிமுறையைப் பயன்படுத்துவது பாதை கண்காணிப்பு, இது பதிப்பில் இருந்து கிடைக்கும் PAN-OS 8.0.0. இந்த எடுத்துக்காட்டு பதிப்பு 8.0.16 ஐப் பயன்படுத்துகிறது. இந்த அம்சம் சிஸ்கோ ரவுட்டர்களில் உள்ள IP SLA போன்றது. நிலையான இயல்புநிலை வழி அளவுரு ஒரு குறிப்பிட்ட மூல முகவரியிலிருந்து ஒரு குறிப்பிட்ட IP முகவரிக்கு பிங் பாக்கெட்டுகளை அனுப்புவதை உள்ளமைக்கிறது. இந்த வழக்கில், ஈத்தர்நெட்1/1 இடைமுகமானது இயல்புநிலை நுழைவாயிலை வினாடிக்கு ஒருமுறை பிங் செய்கிறது. ஒரு வரிசையில் மூன்று பிங்களுக்கு பதில் இல்லை என்றால், பாதை உடைந்ததாகக் கருதப்பட்டு ரூட்டிங் அட்டவணையில் இருந்து அகற்றப்படும். அதே பாதை இரண்டாவது இணைய வழங்குநரை நோக்கி கட்டமைக்கப்பட்டுள்ளது, ஆனால் அதிக மெட்ரிக் (இது ஒரு காப்புப்பிரதி). முதல் வழியை அட்டவணையில் இருந்து அகற்றியதும், ஃபயர்வால் இரண்டாவது வழி - வழியாக போக்குவரத்தை அனுப்பத் தொடங்கும் தோல்விக்கு. முதல் வழங்குநர் பிங்களுக்குப் பதிலளிக்கத் தொடங்கும் போது, அதன் வழி அட்டவணைக்குத் திரும்பி, சிறந்த மெட்ரிக் காரணமாக இரண்டாவது வழியை மாற்றும் - ஃபெயில்-பேக். செயல்முறை தோல்விக்கு கட்டமைக்கப்பட்ட இடைவெளிகளைப் பொறுத்து சில வினாடிகள் ஆகும், ஆனால், எந்தவொரு சந்தர்ப்பத்திலும், செயல்முறை உடனடியாக இல்லை, மேலும் இந்த நேரத்தில் போக்குவரத்து இழக்கப்படுகிறது. ஃபெயில்-பேக் போக்குவரத்து இழப்பு இல்லாமல் கடந்து செல்கிறது. செய்ய வாய்ப்பு உள்ளது தோல்விக்கு வேகமாக, உடன் பி.எஃப்.டி., இணைய வழங்குநர் அத்தகைய வாய்ப்பை வழங்கினால். பி.எஃப்.டி. மாதிரியிலிருந்து தொடங்கி ஆதரிக்கப்படுகிறது PA-3000 தொடர் и வி.எம் -100. வழங்குநரின் நுழைவாயிலை பிங் முகவரியாகக் குறிப்பிடாமல், பொது, எப்போதும் அணுகக்கூடிய இணைய முகவரியைக் குறிப்பிடுவது நல்லது.
• ஒரு சுரங்கப்பாதை இடைமுகத்தை உருவாக்குதல்
சுரங்கப்பாதையின் உள்ளே போக்குவரத்து சிறப்பு மெய்நிகர் இடைமுகங்கள் மூலம் பரவுகிறது. அவை ஒவ்வொன்றும் டிரான்ஸிட் நெட்வொர்க்கில் இருந்து ஐபி முகவரியுடன் கட்டமைக்கப்பட வேண்டும். இந்த எடுத்துக்காட்டில், துணை மின்நிலையம் 1/172.16.1.0 சுரங்கப்பாதை-30 க்கும், துணைநிலையம் 2/172.16.2.0 சுரங்கப்பாதை-30 க்கும் பயன்படுத்தப்படும்.
சுரங்கப்பாதை இடைமுகம் பிரிவில் உருவாக்கப்பட்டது நெட்வொர்க் -> இடைமுகங்கள் -> சுரங்கப்பாதை. நீங்கள் ஒரு மெய்நிகர் திசைவி மற்றும் பாதுகாப்பு மண்டலம் மற்றும் தொடர்புடைய போக்குவரத்து நெட்வொர்க்கிலிருந்து ஒரு IP முகவரியைக் குறிப்பிட வேண்டும். இடைமுக எண் எதுவாகவும் இருக்கலாம்.
பிரிவில் மேம்பட்ட குறிப்பிட முடியும் மேலாண்மை சுயவிவரம்கொடுக்கப்பட்ட இடைமுகத்தில் பிங்கை அனுமதிக்கும், இது சோதனைக்கு பயனுள்ளதாக இருக்கும்.
• IKE சுயவிவரத்தை அமைத்தல்
IKE சுயவிவரம் VPN இணைப்பை உருவாக்கும் முதல் கட்டத்திற்கு பொறுப்பு; சுரங்கப்பாதை அளவுருக்கள் இங்கே குறிப்பிடப்பட்டுள்ளன IKE கட்டம் 1. சுயவிவரம் பிரிவில் உருவாக்கப்பட்டது நெட்வொர்க் -> நெட்வொர்க் சுயவிவரங்கள் -> IKE கிரிப்டோ. குறியாக்க அல்காரிதம், ஹாஷிங் அல்காரிதம், டிஃபி-ஹெல்மேன் குழு மற்றும் முக்கிய வாழ்நாள் ஆகியவற்றைக் குறிப்பிடுவது அவசியம். பொதுவாக, அல்காரிதம்கள் மிகவும் சிக்கலானது, செயல்திறன் மோசமாக இருக்கும்; குறிப்பிட்ட பாதுகாப்புத் தேவைகளின் அடிப்படையில் அவை தேர்ந்தெடுக்கப்பட வேண்டும். இருப்பினும், முக்கியமான தகவல்களைப் பாதுகாக்க 14 வயதுக்குக் குறைவான டிஃபி-ஹெல்மேன் குழுவைப் பயன்படுத்துவது கண்டிப்பாக பரிந்துரைக்கப்படவில்லை. இது நெறிமுறையின் பாதிப்பு காரணமாகும், இது 2048 பிட்கள் மற்றும் அதற்கு மேற்பட்ட தொகுதி அளவுகள் அல்லது 19, 20, 21, 24 குழுக்களில் பயன்படுத்தப்படும் நீள்வட்ட கிரிப்டோகிராஃபி அல்காரிதங்களைப் பயன்படுத்தி மட்டுமே குறைக்க முடியும். இந்த வழிமுறைகள் ஒப்பிடும்போது அதிக செயல்திறன் கொண்டவை. பாரம்பரிய குறியாக்கவியல். . மற்றும் .
• IPSec சுயவிவரத்தை அமைத்தல்
VPN இணைப்பை உருவாக்கும் இரண்டாம் நிலை IPSec சுரங்கப்பாதை ஆகும். அதற்கான SA அளவுருக்கள் உள்ளமைக்கப்பட்டுள்ளன நெட்வொர்க் -> நெட்வொர்க் சுயவிவரங்கள் -> IPSec கிரிப்டோ சுயவிவரம். இங்கே நீங்கள் IPSec நெறிமுறையைக் குறிப்பிட வேண்டும் - AH அல்லது இந்த ESP, அத்துடன் அளவுருக்கள் SA - ஹாஷிங் அல்காரிதம்கள், குறியாக்கம், டிஃபி-ஹெல்மேன் குழுக்கள் மற்றும் முக்கிய வாழ்நாள். IKE Crypto Profile மற்றும் IPSec Crypto Profile இல் உள்ள SA அளவுருக்கள் ஒரே மாதிரியாக இருக்காது.
• IKE நுழைவாயில் கட்டமைத்தல்
ஐகே கேட்வே - இது ஒரு VPN சுரங்கப்பாதை கட்டப்பட்ட ஒரு திசைவி அல்லது ஃபயர்வாலைக் குறிக்கும் ஒரு பொருள். ஒவ்வொரு சுரங்கப்பாதைக்கும் நீங்கள் சொந்தமாக உருவாக்க வேண்டும் ஐகே கேட்வே. இந்த வழக்கில், இரண்டு சுரங்கங்கள் உருவாக்கப்படுகின்றன, ஒவ்வொரு இணைய வழங்குநர் மூலமாகவும். தொடர்புடைய வெளிச்செல்லும் இடைமுகம் மற்றும் அதன் ஐபி முகவரி, பியர் ஐபி முகவரி மற்றும் பகிரப்பட்ட விசை ஆகியவை குறிப்பிடப்படுகின்றன. பகிரப்பட்ட விசைக்கு மாற்றாக சான்றிதழ்களைப் பயன்படுத்தலாம்.
முன்பு உருவாக்கப்பட்ட ஒன்று இங்கே சுட்டிக்காட்டப்பட்டுள்ளது IKE கிரிப்டோ சுயவிவரம். இரண்டாவது பொருளின் அளவுருக்கள் ஐகே கேட்வே IP முகவரிகளைத் தவிர பாலோ ஆல்டோ நெட்வொர்க்குகள் ஃபயர்வால் ஒரு NAT திசைவிக்கு பின்னால் அமைந்திருந்தால், நீங்கள் பொறிமுறையை இயக்க வேண்டும் NAT டிராவர்சல்.
• IPSec சுரங்கப்பாதை அமைத்தல்
IPSec சுரங்கப்பாதை பெயர் குறிப்பிடுவது போல, IPSec சுரங்கப்பாதை அளவுருக்களைக் குறிப்பிடும் ஒரு பொருளாகும். இங்கே நீங்கள் சுரங்கப்பாதை இடைமுகம் மற்றும் முன்பு உருவாக்கப்பட்ட பொருள்களைக் குறிப்பிட வேண்டும் ஐகே கேட்வே, IPSec கிரிப்டோ சுயவிவரம். காப்பு சுரங்கப்பாதைக்கு ரூட்டிங் தானாக மாறுவதை உறுதிசெய்ய, நீங்கள் இயக்க வேண்டும் டன்னல் மானிட்டர். இது ஐசிஎம்பி டிராஃபிக்கைப் பயன்படுத்தி ஒரு சகா உயிருடன் இருக்கிறாரா என்பதைச் சரிபார்க்கும் ஒரு பொறிமுறையாகும். சேருமிட முகவரியாக, சுரங்கப்பாதை கட்டப்படும் சக நபரின் சுரங்கப்பாதை இடைமுகத்தின் ஐபி முகவரியை நீங்கள் குறிப்பிட வேண்டும். சுயவிவரம் டைமர்கள் மற்றும் இணைப்பு தொலைந்தால் என்ன செய்ய வேண்டும் என்பதைக் குறிப்பிடுகிறது. மீட்க காத்திருங்கள் - இணைப்பு மீட்டமைக்கப்படும் வரை காத்திருக்கவும், தோல்விக்கு — வேறு பாதையில் போக்குவரத்தை அனுப்பவும், இருந்தால். இரண்டாவது சுரங்கப்பாதையை அமைப்பது முற்றிலும் ஒத்ததாகும்; இரண்டாவது சுரங்கப்பாதை இடைமுகம் மற்றும் IKE கேட்வே ஆகியவை குறிப்பிடப்பட்டுள்ளன.
• ரூட்டிங் அமைத்தல்
இந்த உதாரணம் நிலையான ரூட்டிங் பயன்படுத்துகிறது. PA-1 ஃபயர்வாலில், இரண்டு இயல்புநிலை வழிகளுக்கு கூடுதலாக, கிளையில் உள்ள 10.10.10.0/24 சப்நெட்டிற்கு இரண்டு வழிகளைக் குறிப்பிட வேண்டும். ஒரு பாதை சுரங்கப்பாதை-1, மற்றொன்று சுரங்கப்பாதை-2 பயன்படுத்துகிறது. சுரங்கப்பாதை-1 வழியாக செல்லும் பாதை முக்கியமானது, ஏனெனில் இது குறைந்த அளவீட்டைக் கொண்டுள்ளது. பொறிமுறை பாதை கண்காணிப்பு இந்த வழிகளில் பயன்படுத்தப்படவில்லை. மாறுவதற்குப் பொறுப்பு டன்னல் மானிட்டர்.
சப்நெட் 192.168.30.0/24 க்கான அதே வழிகள் PA-2 இல் கட்டமைக்கப்பட வேண்டும்.
• நெட்வொர்க் விதிகளை அமைத்தல்
சுரங்கப்பாதை வேலை செய்ய, மூன்று விதிகள் தேவை:
- வேலைக்காக பாதை கண்காணிப்பு வெளிப்புற இடைமுகங்களில் ICMP ஐ அனுமதிக்கவும்.
- செய்ய IPsec பயன்பாடுகளை அனுமதிக்கவும் ஐக் и ipsec வெளிப்புற இடைமுகங்களில்.
- உள் சப்நெட்டுகள் மற்றும் சுரங்கப்பாதை இடைமுகங்களுக்கு இடையே போக்குவரத்தை அனுமதிக்கவும்.
முடிவுக்கு
இந்த கட்டுரை பிழை-சகிப்புத்தன்மை கொண்ட இணைய இணைப்பை அமைப்பதற்கான விருப்பத்தைப் பற்றி விவாதிக்கிறது தளத்திலிருந்து தளத்திற்கு VPN. தகவல் பயனுள்ளதாக இருந்தது என்று நம்புகிறோம், மேலும் வாசகருக்கு அதில் பயன்படுத்தப்படும் தொழில்நுட்பங்கள் பற்றிய யோசனை கிடைத்தது பாலோ ஆல்டோ நெட்வொர்க்ஸ். எதிர்கால கட்டுரைகளுக்கான தலைப்புகளில் அமைவு மற்றும் பரிந்துரைகள் பற்றி உங்களிடம் கேள்விகள் இருந்தால், அவற்றை கருத்துகளில் எழுதுங்கள், நாங்கள் பதிலளிப்பதில் மகிழ்ச்சியடைவோம்.
ஆதாரம்: www.habr.com