ఈ వ్యాసం కొనసాగింపు
ప్రదర్శన కోసం, ప్రధాన కార్యాలయాన్ని బ్రాంచికి అనుసంధానించడానికి ఒక ప్రామాణిక పథకం ఉపయోగించబడుతుంది. తప్పు-తట్టుకునే ఇంటర్నెట్ కనెక్షన్ని అందించడానికి, ప్రధాన కార్యాలయం ఇద్దరు ప్రొవైడర్ల ఏకకాల కనెక్షన్ను ఉపయోగిస్తుంది: ISP-1 మరియు ISP-2. బ్రాంచ్ ISP-3 అనే ఒక ప్రొవైడర్కు మాత్రమే కనెక్షన్ని కలిగి ఉంది. PA-1 మరియు PA-2 ఫైర్వాల్ల మధ్య రెండు సొరంగాలు నిర్మించబడ్డాయి. సొరంగాలు మోడ్లో పనిచేస్తాయి యాక్టివ్-స్టాండ్బై,టన్నెల్-1 సక్రియంగా ఉంది, టన్నెల్-2 విఫలమైనప్పుడు టన్నెల్-1 ట్రాఫిక్ని ప్రసారం చేయడం ప్రారంభిస్తుంది. టన్నెల్-1 ISP-1కి కనెక్షన్ని ఉపయోగిస్తుంది, టన్నెల్-2 ISP-2కి కనెక్షన్ని ఉపయోగిస్తుంది. అన్ని IP చిరునామాలు యాదృచ్ఛికంగా ప్రదర్శన ప్రయోజనాల కోసం రూపొందించబడ్డాయి మరియు వాస్తవికతతో సంబంధం కలిగి ఉండవు.
సైట్ నుండి సైట్ని నిర్మించడానికి VPN ఉపయోగించబడుతుంది IPsec — IP ద్వారా ప్రసారం చేయబడిన డేటా యొక్క రక్షణను నిర్ధారించడానికి ప్రోటోకాల్ల సమితి. IPsec భద్రతా ప్రోటోకాల్ ఉపయోగించి పని చేస్తుంది ESP (ఎన్క్యాప్సులేటింగ్ సెక్యూరిటీ పేలోడ్), ఇది ప్రసారం చేయబడిన డేటా ఎన్క్రిప్షన్ను నిర్ధారిస్తుంది.
В IPsec కలిగి ఇక్ (ఇంటర్నెట్ కీ ఎక్స్ఛేంజ్) అనేది SA (సెక్యూరిటీ అసోసియేషన్లు), ప్రసారం చేయబడిన డేటాను రక్షించడానికి ఉపయోగించే భద్రతా పారామితులను చర్చించడానికి బాధ్యత వహించే ప్రోటోకాల్. PAN ఫైర్వాల్ల మద్దతు IKEv1 и IKEv2.
В IKEv1 VPN కనెక్షన్ రెండు దశల్లో నిర్మించబడింది: IKEv1 దశ 1 (IKE సొరంగం) మరియు IKEv1 దశ 2 (IPSec సొరంగం), అందువలన, రెండు సొరంగాలు సృష్టించబడతాయి, వాటిలో ఒకటి ఫైర్వాల్ల మధ్య సేవా సమాచార మార్పిడికి, రెండవది ట్రాఫిక్ ప్రసారం కోసం ఉపయోగించబడుతుంది. IN IKEv1 దశ 1 రెండు ఆపరేటింగ్ మోడ్లు ఉన్నాయి - ప్రధాన మోడ్ మరియు దూకుడు మోడ్. అగ్రెసివ్ మోడ్ తక్కువ సందేశాలను ఉపయోగిస్తుంది మరియు వేగవంతమైనది, కానీ పీర్ ఐడెంటిటీ ప్రొటెక్షన్కు మద్దతు ఇవ్వదు.
IKEv2 భర్తీ చేయబడింది IKEv1, మరియు పోలిస్తే IKEv1 దీని ప్రధాన ప్రయోజనం తక్కువ బ్యాండ్విడ్త్ అవసరాలు మరియు వేగవంతమైన SA చర్చలు. IN IKEv2 తక్కువ సేవా సందేశాలు ఉపయోగించబడ్డాయి (మొత్తం 4), EAP మరియు MOBIKE ప్రోటోకాల్లకు మద్దతు ఉంది మరియు సొరంగం సృష్టించబడిన పీర్ లభ్యతను తనిఖీ చేయడానికి ఒక మెకానిజం జోడించబడింది - లైవ్నెస్ చెక్, IKEv1లో డెడ్ పీర్ డిటెక్షన్ స్థానంలో ఉంది. చెక్ విఫలమైతే, అప్పుడు IKEv2 టన్నెల్ని రీసెట్ చేసి, మొదటి అవకాశంలో స్వయంచాలకంగా పునరుద్ధరించవచ్చు. మీరు తేడాల గురించి మరింత తెలుసుకోవచ్చు
వేర్వేరు తయారీదారుల నుండి ఫైర్వాల్ల మధ్య సొరంగం నిర్మించబడితే, అమలులో దోషాలు ఉండవచ్చు IKEv2, మరియు అటువంటి పరికరాలతో అనుకూలత కోసం ఉపయోగించడం సాధ్యమవుతుంది IKEv1. ఇతర సందర్భాల్లో, ఉపయోగించడం మంచిది IKEv2.
సెటప్ దశలు:
• ActiveStandby మోడ్లో ఇద్దరు ఇంటర్నెట్ ప్రొవైడర్లను కాన్ఫిగర్ చేస్తోంది
ఈ ఫంక్షన్ అమలు చేయడానికి అనేక మార్గాలు ఉన్నాయి. వాటిలో ఒకటి యంత్రాంగాన్ని ఉపయోగించడం మార్గం పర్యవేక్షణ, ఇది వెర్షన్ నుండి అందుబాటులోకి వచ్చింది PAN-OS 8.0.0. ఈ ఉదాహరణ వెర్షన్ 8.0.16ని ఉపయోగిస్తుంది. ఈ ఫీచర్ సిస్కో రౌటర్లలో IP SLA లాగా ఉంటుంది. స్టాటిక్ డిఫాల్ట్ రూట్ పరామితి నిర్దిష్ట సోర్స్ చిరునామా నుండి నిర్దిష్ట IP చిరునామాకు పింగ్ ప్యాకెట్లను పంపడాన్ని కాన్ఫిగర్ చేస్తుంది. ఈ సందర్భంలో, ఈథర్నెట్1/1 ఇంటర్ఫేస్ డిఫాల్ట్ గేట్వేని సెకనుకు ఒకసారి పింగ్ చేస్తుంది. వరుసగా మూడు పింగ్లకు ప్రతిస్పందన లేనట్లయితే, మార్గం విచ్ఛిన్నమైనట్లు పరిగణించబడుతుంది మరియు రూటింగ్ టేబుల్ నుండి తీసివేయబడుతుంది. అదే మార్గం రెండవ ఇంటర్నెట్ ప్రొవైడర్ వైపు కాన్ఫిగర్ చేయబడింది, కానీ అధిక మెట్రిక్తో (ఇది బ్యాకప్ ఒకటి). పట్టిక నుండి మొదటి మార్గం తీసివేయబడిన తర్వాత, ఫైర్వాల్ రెండవ మార్గం ద్వారా ట్రాఫిక్ను పంపడం ప్రారంభిస్తుంది - ఫెయిల్-ఓవర్. మొదటి ప్రొవైడర్ పింగ్లకు ప్రతిస్పందించడం ప్రారంభించినప్పుడు, దాని రూట్ టేబుల్కి తిరిగి వస్తుంది మరియు మెరుగైన మెట్రిక్ కారణంగా రెండవదాన్ని భర్తీ చేస్తుంది - ఫెయిల్-బ్యాక్. ప్రక్రియ ఫెయిల్-ఓవర్ కాన్ఫిగర్ చేసిన విరామాలపై ఆధారపడి కొన్ని సెకన్లు పడుతుంది, అయితే, ఏ సందర్భంలోనైనా, ప్రక్రియ తక్షణమే కాదు మరియు ఈ సమయంలో ట్రాఫిక్ పోతుంది. ఫెయిల్-బ్యాక్ ట్రాఫిక్ నష్టం లేకుండా వెళుతుంది. చేసే అవకాశం ఉంది ఫెయిల్-ఓవర్ వేగంగా, తో బిఎఫ్డి, ఇంటర్నెట్ ప్రొవైడర్ అటువంటి అవకాశాన్ని కల్పిస్తే. బిఎఫ్డి మోడల్ నుండి ప్రారంభించి మద్దతు PA-3000 సిరీస్ и వీఎం -100. ప్రొవైడర్ యొక్క గేట్వేని పింగ్ చిరునామాగా కాకుండా పబ్లిక్, ఎల్లప్పుడూ యాక్సెస్ చేయగల ఇంటర్నెట్ చిరునామాగా పేర్కొనడం మంచిది.
• టన్నెల్ ఇంటర్ఫేస్ను సృష్టిస్తోంది
సొరంగం లోపల ట్రాఫిక్ ప్రత్యేక వర్చువల్ ఇంటర్ఫేస్ల ద్వారా ప్రసారం చేయబడుతుంది. వాటిలో ప్రతి ఒక్కటి తప్పనిసరిగా ట్రాన్సిట్ నెట్వర్క్ నుండి IP చిరునామాతో కాన్ఫిగర్ చేయబడాలి. ఈ ఉదాహరణలో, సబ్స్టేషన్ 1/172.16.1.0 టన్నెల్-30 కోసం ఉపయోగించబడుతుంది మరియు సబ్స్టేషన్ 2/172.16.2.0 టన్నెల్-30 కోసం ఉపయోగించబడుతుంది.
టన్నెల్ ఇంటర్ఫేస్ విభాగంలో సృష్టించబడింది నెట్వర్క్ -> ఇంటర్ఫేస్లు -> టన్నెల్. మీరు తప్పనిసరిగా వర్చువల్ రూటర్ మరియు సెక్యూరిటీ జోన్ను, అలాగే సంబంధిత రవాణా నెట్వర్క్ నుండి IP చిరునామాను పేర్కొనాలి. ఇంటర్ఫేస్ సంఖ్య ఏదైనా కావచ్చు.
విభాగం అధునాతన పేర్కొనవచ్చు నిర్వహణ ప్రొఫైల్ఇది ఇచ్చిన ఇంటర్ఫేస్లో పింగ్ను అనుమతిస్తుంది, ఇది పరీక్ష కోసం ఉపయోగపడుతుంది.
• IKE ప్రొఫైల్ని సెటప్ చేస్తోంది
IKE ప్రొఫైల్ VPN కనెక్షన్ని సృష్టించే మొదటి దశకు బాధ్యత వహిస్తుంది; టన్నెల్ పారామితులు ఇక్కడ పేర్కొనబడ్డాయి IKE దశ 1. విభాగంలో ప్రొఫైల్ సృష్టించబడింది నెట్వర్క్ -> నెట్వర్క్ ప్రొఫైల్లు -> IKE క్రిప్టో. ఎన్క్రిప్షన్ అల్గోరిథం, హ్యాషింగ్ అల్గోరిథం, డిఫ్ఫీ-హెల్మాన్ గ్రూప్ మరియు కీ లైఫ్టైమ్ను పేర్కొనడం అవసరం. సాధారణంగా, అల్గోరిథంలు మరింత క్లిష్టంగా ఉంటాయి, పనితీరు అధ్వాన్నంగా ఉంటుంది; నిర్దిష్ట భద్రతా అవసరాల ఆధారంగా వాటిని ఎంచుకోవాలి. అయినప్పటికీ, సున్నితమైన సమాచారాన్ని రక్షించడానికి 14 కంటే తక్కువ Diffie-Hellman సమూహాన్ని ఉపయోగించడం ఖచ్చితంగా సిఫార్సు చేయబడదు. ఇది ప్రోటోకాల్ యొక్క దుర్బలత్వం కారణంగా ఉంది, ఇది 2048 బిట్లు మరియు అంతకంటే ఎక్కువ మాడ్యూల్ పరిమాణాలను లేదా 19, 20, 21, 24 సమూహాలలో ఉపయోగించే ఎలిప్టిక్ క్రిప్టోగ్రఫీ అల్గారిథమ్లను ఉపయోగించడం ద్వారా మాత్రమే తగ్గించబడుతుంది. ఈ అల్గారిథమ్లు వీటితో పోలిస్తే ఎక్కువ పనితీరును కలిగి ఉంటాయి. సాంప్రదాయ గూఢ లిపి శాస్త్రం.
• IPSec ప్రొఫైల్ని కాన్ఫిగర్ చేస్తోంది
VPN కనెక్షన్ని సృష్టించే రెండవ దశ IPSec టన్నెల్. దాని కోసం SA పారామితులు కాన్ఫిగర్ చేయబడ్డాయి నెట్వర్క్ -> నెట్వర్క్ ప్రొఫైల్లు -> IPSec క్రిప్టో ప్రొఫైల్. ఇక్కడ మీరు IPSec ప్రోటోకాల్ను పేర్కొనాలి - AH లేదా ESP, అలాగే పారామితులు SA — హ్యాషింగ్ అల్గారిథమ్లు, ఎన్క్రిప్షన్, డిఫ్ఫీ-హెల్మాన్ గ్రూపులు మరియు కీలక జీవితకాలం. IKE క్రిప్టో ప్రొఫైల్ మరియు IPSec క్రిప్టో ప్రొఫైల్లోని SA పారామితులు ఒకేలా ఉండకపోవచ్చు.
• IKE గేట్వేని కాన్ఫిగర్ చేస్తోంది
IKE గేట్వే - ఇది VPN టన్నెల్ నిర్మించబడిన రూటర్ లేదా ఫైర్వాల్ను సూచించే వస్తువు. ప్రతి సొరంగం కోసం మీరు మీ స్వంతంగా సృష్టించాలి IKE గేట్వే. ఈ సందర్భంలో, రెండు సొరంగాలు సృష్టించబడతాయి, ప్రతి ఇంటర్నెట్ ప్రొవైడర్ ద్వారా ఒకటి. సంబంధిత అవుట్గోయింగ్ ఇంటర్ఫేస్ మరియు దాని IP చిరునామా, పీర్ IP చిరునామా మరియు షేర్డ్ కీ సూచించబడతాయి. షేర్ చేసిన కీకి ప్రత్యామ్నాయంగా సర్టిఫికెట్లను ఉపయోగించవచ్చు.
మునుపు సృష్టించినది ఇక్కడ సూచించబడింది IKE క్రిప్టో ప్రొఫైల్. రెండవ వస్తువు యొక్క పారామితులు IKE గేట్వే IP అడ్రస్లు మినహా ఇదే. పాలో ఆల్టో నెట్వర్క్స్ ఫైర్వాల్ NAT రౌటర్ వెనుక ఉన్నట్లయితే, మీరు మెకానిజంను ప్రారంభించాలి NAT ట్రావర్సల్.
• IPSec టన్నెల్ని సెటప్ చేస్తోంది
IPSec టన్నెల్ పేరు సూచించినట్లుగా, IPSec టన్నెల్ పారామితులను పేర్కొనే వస్తువు. ఇక్కడ మీరు టన్నెల్ ఇంటర్ఫేస్ మరియు గతంలో సృష్టించిన వస్తువులను పేర్కొనాలి IKE గేట్వే, IPSec క్రిప్టో ప్రొఫైల్. బ్యాకప్ టన్నెల్కు రూటింగ్ స్వయంచాలకంగా మారడాన్ని నిర్ధారించడానికి, మీరు తప్పక ప్రారంభించాలి టన్నెల్ మానిటర్. ICMP ట్రాఫిక్ని ఉపయోగించి పీర్ సజీవంగా ఉన్నారో లేదో తనిఖీ చేసే మెకానిజం ఇది. గమ్యం చిరునామాగా, మీరు టన్నెల్ నిర్మించబడుతున్న పీర్ యొక్క టన్నెల్ ఇంటర్ఫేస్ యొక్క IP చిరునామాను పేర్కొనాలి. ప్రొఫైల్ టైమర్లను మరియు కనెక్షన్ పోయినట్లయితే ఏమి చేయాలో నిర్దేశిస్తుంది. కోలుకోవడానికి వేచి ఉండండి - కనెక్షన్ పునరుద్ధరించబడే వరకు వేచి ఉండండి, పైగా ఫెయిల్ - అందుబాటులో ఉంటే, వేరే మార్గంలో ట్రాఫిక్ని పంపండి. రెండవ టన్నెల్ను ఏర్పాటు చేయడం పూర్తిగా సారూప్యంగా ఉంటుంది; రెండవ టన్నెల్ ఇంటర్ఫేస్ మరియు IKE గేట్వే పేర్కొనబడ్డాయి.
• రూటింగ్ని ఏర్పాటు చేయడం
ఈ ఉదాహరణ స్టాటిక్ రూటింగ్ని ఉపయోగిస్తుంది. PA-1 ఫైర్వాల్లో, రెండు డిఫాల్ట్ రూట్లకు అదనంగా, మీరు బ్రాంచ్లోని 10.10.10.0/24 సబ్నెట్కు రెండు మార్గాలను పేర్కొనాలి. ఒక మార్గం టన్నెల్-1, మరొకటి టన్నెల్-2ను ఉపయోగిస్తుంది. టన్నెల్-1 ద్వారా మార్గం ప్రధానమైనది ఎందుకంటే దీనికి తక్కువ మెట్రిక్ ఉంది. మెకానిజం మార్గం పర్యవేక్షణ ఈ మార్గాల కోసం ఉపయోగించబడలేదు. మారడానికి బాధ్యత వహిస్తారు టన్నెల్ మానిటర్.
సబ్నెట్ 192.168.30.0/24 కోసం అదే రూట్లను PA-2లో కాన్ఫిగర్ చేయాలి.
• నెట్వర్క్ నియమాలను ఏర్పాటు చేయడం
సొరంగం పని చేయడానికి, మూడు నియమాలు అవసరం:
- పని కోసం పాత్ మానిటర్ బాహ్య ఇంటర్ఫేస్లలో ICMPని అనుమతించండి.
- కోసం IPsec యాప్లను అనుమతించండి ఇకే и ipsec బాహ్య ఇంటర్ఫేస్లపై.
- అంతర్గత సబ్నెట్లు మరియు టన్నెల్ ఇంటర్ఫేస్ల మధ్య ట్రాఫిక్ను అనుమతించండి.
తీర్మానం
ఈ వ్యాసం తప్పు-తట్టుకునే ఇంటర్నెట్ కనెక్షన్ని సెటప్ చేసే ఎంపికను చర్చిస్తుంది మరియు సైట్-టు-సైట్ VPN. సమాచారం ఉపయోగకరంగా ఉంటుందని మేము ఆశిస్తున్నాము మరియు రీడర్ ఉపయోగించిన సాంకేతికతల గురించి ఒక ఆలోచనను పొందారు పాలో ఆల్టో నెట్వర్క్స్. భవిష్యత్ కథనాల కోసం అంశాలపై సెటప్ మరియు సూచనల గురించి మీకు ఏవైనా ప్రశ్నలు ఉంటే, వాటిని వ్యాఖ్యలలో వ్రాయండి, మేము సమాధానం ఇవ్వడానికి సంతోషిస్తాము.
మూలం: www.habr.com