పాలో ఆల్టో నెట్‌వర్క్స్ పరికరాలపై IPSec సైట్-టు-సైట్ VPNని సెటప్ చేస్తోంది

ఈ వ్యాసం కొనసాగింపు మునుపటి పదార్థంపరికరాలను ఏర్పాటు చేసే ప్రత్యేకతలకు అంకితం చేయబడింది పాలో ఆల్టో నెట్వర్క్స్ . ఇక్కడ మనం సెటప్ గురించి మాట్లాడాలనుకుంటున్నాము IPSec సైట్-టు-సైట్ VPN పరికరాలపై పాలో ఆల్టో నెట్వర్క్స్ మరియు అనేక ఇంటర్నెట్ ప్రొవైడర్లను కనెక్ట్ చేయడానికి సాధ్యమయ్యే కాన్ఫిగరేషన్ ఎంపిక గురించి.

ప్రదర్శన కోసం, ప్రధాన కార్యాలయాన్ని బ్రాంచికి అనుసంధానించడానికి ఒక ప్రామాణిక పథకం ఉపయోగించబడుతుంది. తప్పు-తట్టుకునే ఇంటర్నెట్ కనెక్షన్‌ని అందించడానికి, ప్రధాన కార్యాలయం ఇద్దరు ప్రొవైడర్ల ఏకకాల కనెక్షన్‌ను ఉపయోగిస్తుంది: ISP-1 మరియు ISP-2. బ్రాంచ్ ISP-3 అనే ఒక ప్రొవైడర్‌కు మాత్రమే కనెక్షన్‌ని కలిగి ఉంది. PA-1 మరియు PA-2 ఫైర్‌వాల్‌ల మధ్య రెండు సొరంగాలు నిర్మించబడ్డాయి. సొరంగాలు మోడ్‌లో పనిచేస్తాయి యాక్టివ్-స్టాండ్‌బై,టన్నెల్-1 సక్రియంగా ఉంది, టన్నెల్-2 విఫలమైనప్పుడు టన్నెల్-1 ట్రాఫిక్‌ని ప్రసారం చేయడం ప్రారంభిస్తుంది. టన్నెల్-1 ISP-1కి కనెక్షన్‌ని ఉపయోగిస్తుంది, టన్నెల్-2 ISP-2కి కనెక్షన్‌ని ఉపయోగిస్తుంది. అన్ని IP చిరునామాలు యాదృచ్ఛికంగా ప్రదర్శన ప్రయోజనాల కోసం రూపొందించబడ్డాయి మరియు వాస్తవికతతో సంబంధం కలిగి ఉండవు.

సైట్ నుండి సైట్‌ని నిర్మించడానికి VPN ఉపయోగించబడుతుంది IPsec — IP ద్వారా ప్రసారం చేయబడిన డేటా యొక్క రక్షణను నిర్ధారించడానికి ప్రోటోకాల్‌ల సమితి. IPsec భద్రతా ప్రోటోకాల్ ఉపయోగించి పని చేస్తుంది ESP (ఎన్‌క్యాప్సులేటింగ్ సెక్యూరిటీ పేలోడ్), ఇది ప్రసారం చేయబడిన డేటా ఎన్‌క్రిప్షన్‌ను నిర్ధారిస్తుంది.

В IPsec కలిగి ఇక్ (ఇంటర్నెట్ కీ ఎక్స్ఛేంజ్) అనేది SA (సెక్యూరిటీ అసోసియేషన్‌లు), ప్రసారం చేయబడిన డేటాను రక్షించడానికి ఉపయోగించే భద్రతా పారామితులను చర్చించడానికి బాధ్యత వహించే ప్రోటోకాల్. PAN ఫైర్‌వాల్‌ల మద్దతు IKEv1 и IKEv2.

В IKEv1 VPN కనెక్షన్ రెండు దశల్లో నిర్మించబడింది: IKEv1 దశ 1 (IKE సొరంగం) మరియు IKEv1 దశ 2 (IPSec సొరంగం), అందువలన, రెండు సొరంగాలు సృష్టించబడతాయి, వాటిలో ఒకటి ఫైర్‌వాల్‌ల మధ్య సేవా సమాచార మార్పిడికి, రెండవది ట్రాఫిక్ ప్రసారం కోసం ఉపయోగించబడుతుంది. IN IKEv1 దశ 1 రెండు ఆపరేటింగ్ మోడ్‌లు ఉన్నాయి - ప్రధాన మోడ్ మరియు దూకుడు మోడ్. అగ్రెసివ్ మోడ్ తక్కువ సందేశాలను ఉపయోగిస్తుంది మరియు వేగవంతమైనది, కానీ పీర్ ఐడెంటిటీ ప్రొటెక్షన్‌కు మద్దతు ఇవ్వదు.

IKEv2 భర్తీ చేయబడింది IKEv1, మరియు పోలిస్తే IKEv1 దీని ప్రధాన ప్రయోజనం తక్కువ బ్యాండ్‌విడ్త్ అవసరాలు మరియు వేగవంతమైన SA చర్చలు. IN IKEv2 తక్కువ సేవా సందేశాలు ఉపయోగించబడ్డాయి (మొత్తం 4), EAP మరియు MOBIKE ప్రోటోకాల్‌లకు మద్దతు ఉంది మరియు సొరంగం సృష్టించబడిన పీర్ లభ్యతను తనిఖీ చేయడానికి ఒక మెకానిజం జోడించబడింది - లైవ్‌నెస్ చెక్, IKEv1లో డెడ్ పీర్ డిటెక్షన్ స్థానంలో ఉంది. చెక్ విఫలమైతే, అప్పుడు IKEv2 టన్నెల్‌ని రీసెట్ చేసి, మొదటి అవకాశంలో స్వయంచాలకంగా పునరుద్ధరించవచ్చు. మీరు తేడాల గురించి మరింత తెలుసుకోవచ్చు ఇక్కడ చదవండి.

వేర్వేరు తయారీదారుల నుండి ఫైర్‌వాల్‌ల మధ్య సొరంగం నిర్మించబడితే, అమలులో దోషాలు ఉండవచ్చు IKEv2, మరియు అటువంటి పరికరాలతో అనుకూలత కోసం ఉపయోగించడం సాధ్యమవుతుంది IKEv1. ఇతర సందర్భాల్లో, ఉపయోగించడం మంచిది IKEv2.

సెటప్ దశలు:

• ActiveStandby మోడ్‌లో ఇద్దరు ఇంటర్నెట్ ప్రొవైడర్‌లను కాన్ఫిగర్ చేస్తోంది

ఈ ఫంక్షన్ అమలు చేయడానికి అనేక మార్గాలు ఉన్నాయి. వాటిలో ఒకటి యంత్రాంగాన్ని ఉపయోగించడం మార్గం పర్యవేక్షణ, ఇది వెర్షన్ నుండి అందుబాటులోకి వచ్చింది PAN-OS 8.0.0. ఈ ఉదాహరణ వెర్షన్ 8.0.16ని ఉపయోగిస్తుంది. ఈ ఫీచర్ సిస్కో రౌటర్లలో IP SLA లాగా ఉంటుంది. స్టాటిక్ డిఫాల్ట్ రూట్ పరామితి నిర్దిష్ట సోర్స్ చిరునామా నుండి నిర్దిష్ట IP చిరునామాకు పింగ్ ప్యాకెట్‌లను పంపడాన్ని కాన్ఫిగర్ చేస్తుంది. ఈ సందర్భంలో, ఈథర్నెట్1/1 ఇంటర్‌ఫేస్ డిఫాల్ట్ గేట్‌వేని సెకనుకు ఒకసారి పింగ్ చేస్తుంది. వరుసగా మూడు పింగ్‌లకు ప్రతిస్పందన లేనట్లయితే, మార్గం విచ్ఛిన్నమైనట్లు పరిగణించబడుతుంది మరియు రూటింగ్ టేబుల్ నుండి తీసివేయబడుతుంది. అదే మార్గం రెండవ ఇంటర్నెట్ ప్రొవైడర్ వైపు కాన్ఫిగర్ చేయబడింది, కానీ అధిక మెట్రిక్‌తో (ఇది బ్యాకప్ ఒకటి). పట్టిక నుండి మొదటి మార్గం తీసివేయబడిన తర్వాత, ఫైర్‌వాల్ రెండవ మార్గం ద్వారా ట్రాఫిక్‌ను పంపడం ప్రారంభిస్తుంది - ఫెయిల్-ఓవర్. మొదటి ప్రొవైడర్ పింగ్‌లకు ప్రతిస్పందించడం ప్రారంభించినప్పుడు, దాని రూట్ టేబుల్‌కి తిరిగి వస్తుంది మరియు మెరుగైన మెట్రిక్ కారణంగా రెండవదాన్ని భర్తీ చేస్తుంది - ఫెయిల్-బ్యాక్. ప్రక్రియ ఫెయిల్-ఓవర్ కాన్ఫిగర్ చేసిన విరామాలపై ఆధారపడి కొన్ని సెకన్లు పడుతుంది, అయితే, ఏ సందర్భంలోనైనా, ప్రక్రియ తక్షణమే కాదు మరియు ఈ సమయంలో ట్రాఫిక్ పోతుంది. ఫెయిల్-బ్యాక్ ట్రాఫిక్ నష్టం లేకుండా వెళుతుంది. చేసే అవకాశం ఉంది ఫెయిల్-ఓవర్ వేగంగా, తో బిఎఫ్‌డి, ఇంటర్నెట్ ప్రొవైడర్ అటువంటి అవకాశాన్ని కల్పిస్తే. బిఎఫ్‌డి మోడల్ నుండి ప్రారంభించి మద్దతు PA-3000 సిరీస్ и వీఎం -100. ప్రొవైడర్ యొక్క గేట్‌వేని పింగ్ చిరునామాగా కాకుండా పబ్లిక్, ఎల్లప్పుడూ యాక్సెస్ చేయగల ఇంటర్నెట్ చిరునామాగా పేర్కొనడం మంచిది.

• టన్నెల్ ఇంటర్‌ఫేస్‌ను సృష్టిస్తోంది

సొరంగం లోపల ట్రాఫిక్ ప్రత్యేక వర్చువల్ ఇంటర్‌ఫేస్‌ల ద్వారా ప్రసారం చేయబడుతుంది. వాటిలో ప్రతి ఒక్కటి తప్పనిసరిగా ట్రాన్సిట్ నెట్‌వర్క్ నుండి IP చిరునామాతో కాన్ఫిగర్ చేయబడాలి. ఈ ఉదాహరణలో, సబ్‌స్టేషన్ 1/172.16.1.0 టన్నెల్-30 కోసం ఉపయోగించబడుతుంది మరియు సబ్‌స్టేషన్ 2/172.16.2.0 టన్నెల్-30 కోసం ఉపయోగించబడుతుంది.
టన్నెల్ ఇంటర్ఫేస్ విభాగంలో సృష్టించబడింది నెట్‌వర్క్ -> ఇంటర్‌ఫేస్‌లు -> టన్నెల్. మీరు తప్పనిసరిగా వర్చువల్ రూటర్ మరియు సెక్యూరిటీ జోన్‌ను, అలాగే సంబంధిత రవాణా నెట్‌వర్క్ నుండి IP చిరునామాను పేర్కొనాలి. ఇంటర్ఫేస్ సంఖ్య ఏదైనా కావచ్చు.

విభాగం అధునాతన పేర్కొనవచ్చు నిర్వహణ ప్రొఫైల్ఇది ఇచ్చిన ఇంటర్‌ఫేస్‌లో పింగ్‌ను అనుమతిస్తుంది, ఇది పరీక్ష కోసం ఉపయోగపడుతుంది.

• IKE ప్రొఫైల్‌ని సెటప్ చేస్తోంది

IKE ప్రొఫైల్ VPN కనెక్షన్‌ని సృష్టించే మొదటి దశకు బాధ్యత వహిస్తుంది; టన్నెల్ పారామితులు ఇక్కడ పేర్కొనబడ్డాయి IKE దశ 1. విభాగంలో ప్రొఫైల్ సృష్టించబడింది నెట్‌వర్క్ -> నెట్‌వర్క్ ప్రొఫైల్‌లు -> IKE క్రిప్టో. ఎన్క్రిప్షన్ అల్గోరిథం, హ్యాషింగ్ అల్గోరిథం, డిఫ్ఫీ-హెల్మాన్ గ్రూప్ మరియు కీ లైఫ్‌టైమ్‌ను పేర్కొనడం అవసరం. సాధారణంగా, అల్గోరిథంలు మరింత క్లిష్టంగా ఉంటాయి, పనితీరు అధ్వాన్నంగా ఉంటుంది; నిర్దిష్ట భద్రతా అవసరాల ఆధారంగా వాటిని ఎంచుకోవాలి. అయినప్పటికీ, సున్నితమైన సమాచారాన్ని రక్షించడానికి 14 కంటే తక్కువ Diffie-Hellman సమూహాన్ని ఉపయోగించడం ఖచ్చితంగా సిఫార్సు చేయబడదు. ఇది ప్రోటోకాల్ యొక్క దుర్బలత్వం కారణంగా ఉంది, ఇది 2048 బిట్‌లు మరియు అంతకంటే ఎక్కువ మాడ్యూల్ పరిమాణాలను లేదా 19, 20, 21, 24 సమూహాలలో ఉపయోగించే ఎలిప్టిక్ క్రిప్టోగ్రఫీ అల్గారిథమ్‌లను ఉపయోగించడం ద్వారా మాత్రమే తగ్గించబడుతుంది. ఈ అల్గారిథమ్‌లు వీటితో పోలిస్తే ఎక్కువ పనితీరును కలిగి ఉంటాయి. సాంప్రదాయ గూఢ లిపి శాస్త్రం. ఇక్కడ మరింత చదవండి. మరియు ఇక్కడ.

• IPSec ప్రొఫైల్‌ని కాన్ఫిగర్ చేస్తోంది

VPN కనెక్షన్‌ని సృష్టించే రెండవ దశ IPSec టన్నెల్. దాని కోసం SA పారామితులు కాన్ఫిగర్ చేయబడ్డాయి నెట్‌వర్క్ -> నెట్‌వర్క్ ప్రొఫైల్‌లు -> IPSec క్రిప్టో ప్రొఫైల్. ఇక్కడ మీరు IPSec ప్రోటోకాల్‌ను పేర్కొనాలి - AH లేదా ESP, అలాగే పారామితులు SA — హ్యాషింగ్ అల్గారిథమ్‌లు, ఎన్‌క్రిప్షన్, డిఫ్ఫీ-హెల్‌మాన్ గ్రూపులు మరియు కీలక జీవితకాలం. IKE క్రిప్టో ప్రొఫైల్ మరియు IPSec క్రిప్టో ప్రొఫైల్‌లోని SA పారామితులు ఒకేలా ఉండకపోవచ్చు.

• IKE గేట్‌వేని కాన్ఫిగర్ చేస్తోంది

IKE గేట్‌వే - ఇది VPN టన్నెల్ నిర్మించబడిన రూటర్ లేదా ఫైర్‌వాల్‌ను సూచించే వస్తువు. ప్రతి సొరంగం కోసం మీరు మీ స్వంతంగా సృష్టించాలి IKE గేట్‌వే. ఈ సందర్భంలో, రెండు సొరంగాలు సృష్టించబడతాయి, ప్రతి ఇంటర్నెట్ ప్రొవైడర్ ద్వారా ఒకటి. సంబంధిత అవుట్‌గోయింగ్ ఇంటర్‌ఫేస్ మరియు దాని IP చిరునామా, పీర్ IP చిరునామా మరియు షేర్డ్ కీ సూచించబడతాయి. షేర్ చేసిన కీకి ప్రత్యామ్నాయంగా సర్టిఫికెట్‌లను ఉపయోగించవచ్చు.

మునుపు సృష్టించినది ఇక్కడ సూచించబడింది IKE క్రిప్టో ప్రొఫైల్. రెండవ వస్తువు యొక్క పారామితులు IKE గేట్‌వే IP అడ్రస్‌లు మినహా ఇదే. పాలో ఆల్టో నెట్‌వర్క్స్ ఫైర్‌వాల్ NAT రౌటర్ వెనుక ఉన్నట్లయితే, మీరు మెకానిజంను ప్రారంభించాలి NAT ట్రావర్సల్.

• IPSec టన్నెల్‌ని సెటప్ చేస్తోంది

IPSec టన్నెల్ పేరు సూచించినట్లుగా, IPSec టన్నెల్ పారామితులను పేర్కొనే వస్తువు. ఇక్కడ మీరు టన్నెల్ ఇంటర్ఫేస్ మరియు గతంలో సృష్టించిన వస్తువులను పేర్కొనాలి IKE గేట్‌వే, IPSec క్రిప్టో ప్రొఫైల్. బ్యాకప్ టన్నెల్‌కు రూటింగ్ స్వయంచాలకంగా మారడాన్ని నిర్ధారించడానికి, మీరు తప్పక ప్రారంభించాలి టన్నెల్ మానిటర్. ICMP ట్రాఫిక్‌ని ఉపయోగించి పీర్ సజీవంగా ఉన్నారో లేదో తనిఖీ చేసే మెకానిజం ఇది. గమ్యం చిరునామాగా, మీరు టన్నెల్ నిర్మించబడుతున్న పీర్ యొక్క టన్నెల్ ఇంటర్‌ఫేస్ యొక్క IP చిరునామాను పేర్కొనాలి. ప్రొఫైల్ టైమర్‌లను మరియు కనెక్షన్ పోయినట్లయితే ఏమి చేయాలో నిర్దేశిస్తుంది. కోలుకోవడానికి వేచి ఉండండి - కనెక్షన్ పునరుద్ధరించబడే వరకు వేచి ఉండండి, పైగా ఫెయిల్ - అందుబాటులో ఉంటే, వేరే మార్గంలో ట్రాఫిక్‌ని పంపండి. రెండవ టన్నెల్‌ను ఏర్పాటు చేయడం పూర్తిగా సారూప్యంగా ఉంటుంది; రెండవ టన్నెల్ ఇంటర్‌ఫేస్ మరియు IKE గేట్‌వే పేర్కొనబడ్డాయి.

• రూటింగ్‌ని ఏర్పాటు చేయడం

ఈ ఉదాహరణ స్టాటిక్ రూటింగ్‌ని ఉపయోగిస్తుంది. PA-1 ఫైర్‌వాల్‌లో, రెండు డిఫాల్ట్ రూట్‌లకు అదనంగా, మీరు బ్రాంచ్‌లోని 10.10.10.0/24 సబ్‌నెట్‌కు రెండు మార్గాలను పేర్కొనాలి. ఒక మార్గం టన్నెల్-1, మరొకటి టన్నెల్-2ను ఉపయోగిస్తుంది. టన్నెల్-1 ద్వారా మార్గం ప్రధానమైనది ఎందుకంటే దీనికి తక్కువ మెట్రిక్ ఉంది. మెకానిజం మార్గం పర్యవేక్షణ ఈ మార్గాల కోసం ఉపయోగించబడలేదు. మారడానికి బాధ్యత వహిస్తారు టన్నెల్ మానిటర్.

సబ్‌నెట్ 192.168.30.0/24 కోసం అదే రూట్‌లను PA-2లో కాన్ఫిగర్ చేయాలి.

• నెట్‌వర్క్ నియమాలను ఏర్పాటు చేయడం

సొరంగం పని చేయడానికి, మూడు నియమాలు అవసరం:

1. పని కోసం పాత్ మానిటర్ బాహ్య ఇంటర్‌ఫేస్‌లలో ICMPని అనుమతించండి.
2. కోసం IPsec యాప్‌లను అనుమతించండి ఇకే и ipsec బాహ్య ఇంటర్‌ఫేస్‌లపై.
3. అంతర్గత సబ్‌నెట్‌లు మరియు టన్నెల్ ఇంటర్‌ఫేస్‌ల మధ్య ట్రాఫిక్‌ను అనుమతించండి.

తీర్మానం

ఈ వ్యాసం తప్పు-తట్టుకునే ఇంటర్నెట్ కనెక్షన్‌ని సెటప్ చేసే ఎంపికను చర్చిస్తుంది మరియు సైట్-టు-సైట్ VPN. సమాచారం ఉపయోగకరంగా ఉంటుందని మేము ఆశిస్తున్నాము మరియు రీడర్ ఉపయోగించిన సాంకేతికతల గురించి ఒక ఆలోచనను పొందారు పాలో ఆల్టో నెట్వర్క్స్. భవిష్యత్ కథనాల కోసం అంశాలపై సెటప్ మరియు సూచనల గురించి మీకు ఏవైనా ప్రశ్నలు ఉంటే, వాటిని వ్యాఖ్యలలో వ్రాయండి, మేము సమాధానం ఇవ్వడానికి సంతోషిస్తాము.

మూలం: www.habr.com