Ин мақола идома дорад ба хусусиятхои ба кор андохтани тачхизот бахшида шудааст Шабакаҳои Аллака . Дар ин ҷо мо мехоҳем дар бораи танзимот сӯҳбат кунем IPSec Сайт ба Сайт VPN дар бораи тачхизот Шабакаҳои Аллака ва дар бораи варианти эҳтимолии конфигуратсия барои пайваст кардани якчанд провайдерҳои Интернет.
Барои намоиш схемам стандартии бо филиал пайваст кардани штаб истифода мешавад. Бо мақсади таъмин намудани пайвасти интернетии ба камбудиҳо тобовар, марказ аз пайвасти ҳамзамон ду провайдер истифода мебарад: ISP-1 ва ISP-2. Филиал танҳо ба як провайдери ISP-3 пайваст аст. Дар байни деворҳои PA-1 ва PA-2 ду нақб сохта шудаанд. Туннельхо дар ре-жим кор мекунанд Фаъол-Интизорӣ,Туннель-1 фаъол аст, туннели-2 хангоми аз кор баромадани туннели-1 ба интиқоли трафик шурӯъ мекунад. Туннел-1 пайвастшавиро бо ISP-1 истифода мебарад, Туннел-2 пайвастшавӣ ба ISP-2-ро истифода мебарад. Ҳама суроғаҳои IP ба таври тасодуфӣ бо мақсади намоишӣ тавлид мешаванд ва ба воқеият иртибот надоранд.
Барои сохтани сайт ба сайт VPN истифода мешавад IPsec — маҷмӯи протоколҳо барои таъмини ҳифзи маълумоти тавассути IP интиқолшаванда. IPsec бо истифода аз протоколи амниятӣ кор хоҳад кард ESP (Encapsulating Security Payload), ки рамзгузории маълумоти интиқолшударо таъмин мекунад.
В IPsec дохил карда шудааст IKE (Internet Key Exchange) як протоколест, ки барои гуфтушуниди SA (ассотсиатсияҳои амниятӣ), параметрҳои амниятӣ, ки барои ҳифзи маълумоти интиқолшуда истифода мешаванд, масъул аст. Дастгирии деворҳои PAN IKEv1 и IKEv2.
В IKEv1 Пайвасти VPN дар ду марҳила сохта мешавад: IKEv1 Марҳилаи 1 (Нақби IKE) ва IKEv1 Марҳилаи 2 (Tunnel IPSec), ҳамин тавр, ду нақб сохта мешавад, ки яке барои мубодилаи иттилооти хидматӣ байни брандмауэрҳо ва дуюм барои интиқоли трафик истифода мешавад. ДАР IKEv1 Марҳилаи 1 Ду намуди кор вуҷуд дорад - ҳолати асосӣ ва ҳолати хашмгин. Ҳолати хашмгин паёмҳоро камтар истифода мебарад ва тезтар аст, аммо ҳифзи шахсияти ҳамсолонро дастгирӣ намекунад.
IKEv2 иваз карда шуд IKEv1, ва нисбат ба IKEv1 бартарии асосии он талаботи пасти маҷрои ва музокироти SA тезтар аст. ДАР IKEv2 Паёмҳои хидматрасонии камтар истифода мешаванд (дар маҷмӯъ 4), протоколҳои EAP ва MOBIKE дастгирӣ мешаванд ва механизм барои тафтиши мавҷудияти ҳамсоле, ки нақб бо он сохта шудааст, илова карда шудааст - Санҷиши зиндагӣ, иваз кардани Муайянкунии ҳамсолони мурда дар IKEv1. Агар чек ноком шавад, пас IKEv2 метавонад туннельро аз нав баркарор кунад ва баъд дар фурсати аввал онро ба таври худкор баркарор кунад. Шумо метавонед дар бораи фарқиятҳо бештар маълумот гиред .
Агар нақб дар байни деворҳои истеҳсолкунандагони гуногун сохта шуда бошад, пас метавонад дар татбиқ хатогиҳо вуҷуд дошта бошанд IKEv2, ва барои мувофиқат бо чунин таҷҳизот истифода бурдан мумкин аст IKEv1. Дар дигар мавридҳо истифода бурдан беҳтар аст IKEv2.
Қадамҳои насб:
• Танзими ду провайдери интернетӣ дар ҳолати ActiveStandby
Якчанд роҳҳо барои татбиқи ин функсия вуҷуд доранд. Яке аз онхо аз механизмхо истифода бурдан аст Мониторинги роҳ, ки аз версия дастрас шуд PAN-OS 8.0.0. Ин мисол версияи 8.0.16-ро истифода мебарад. Ин хусусият ба IP SLA дар роутерҳои Cisco монанд аст. Параметри масири статикии пешфарз фиристодани пакетҳои пингро ба суроғаи мушаххаси IP аз суроғаи манбаи мушаххас танзим мекунад. Дар ин ҳолат, интерфейси ethernet1/1 ба шлюзи пешфарз дар як сония як маротиба пинг мекунад. Агар ба се пинг дар як саф ҷавоб надиҳад, масир шикаста ҳисобида мешавад ва аз ҷадвали масир хориҷ карда мешавад. Ҳамин масир ба сӯи провайдери дуюми интернет танзим карда шудааст, аммо бо нишондиҳандаи баландтар (он нусхаи эҳтиётӣ аст). Вақте ки масири аввал аз ҷадвал хориҷ карда мешавад, брандмауэр интиқоли трафикро тавассути хатсайри дуюм оғоз мекунад - Муваффақият. Вақте ки провайдери аввал ба пингҳо посух медиҳад, масири он ба ҷадвал бармегардад ва дуюмро бо сабаби як метрикаи беҳтар иваз мекунад - Бозгашт. Раванд Муваффақият вобаста ба фосилаҳои танзимшуда якчанд сонияро мегирад, аммо, дар ҳар сурат, раванд як лаҳза нест ва дар ин муддат трафик гум мешавад. Бозгашт бе талафи наклиёт мегузарад. Имконият мавчуд аст Муваффақият тезтар, бо B.F.D., агар провайдери интернет чунин имкониятро фароҳам оварад. B.F.D. аз модел сар карда дастгирӣ карда мешавад Силсилаи PA-3000 и ВМ-100. Беҳтар аст, ки на дарвозаи провайдерро ҳамчун суроғаи пинг нишон диҳед, балки суроғаи интернетии ҳама вақт дастрасро нишон диҳед.
• Эҷоди интерфейси нақб
Трафик дар дохили нақб тавассути интерфейсҳои махсуси виртуалӣ интиқол дода мешавад. Ҳар яки онҳо бояд бо суроғаи IP аз шабакаи транзитӣ танзим карда шаванд. Дар ин мисол, зеристгоҳи 1/172.16.1.0 барои Туннел-30 ва зеристгоҳи 2/172.16.2.0 барои Туннел-30 истифода мешавад.
Интерфейси нақб дар қисмат сохта шудааст Шабака -> Интерфейсҳо -> Туннел. Шумо бояд роутери виртуалӣ ва минтақаи амният, инчунин суроғаи IP-ро аз шабакаи дахлдори нақлиёт муайян кунед. Рақами интерфейс метавонад ҳама чиз бошад.
фасли Advanced муайян кардан мумкин аст Профили идоракунӣки пинг дар интерфейси додашуда имкон медиҳад, ин метавонад барои санҷиш муфид бошад.
• Насб кардани профили IKE
Профили IKE барои марҳилаи аввали эҷоди пайвасти VPN масъул аст; параметрҳои нақб дар ин ҷо нишон дода шудаанд Марҳилаи 1 IKE. Дар бахш профил сохта мешавад Шабака -> Профилҳои шабака -> IKE Crypto. Барои муайян кардани алгоритми рамзгузорӣ, алгоритми хэш, гурӯҳи Диффи-Хелман ва мӯҳлати ҳаёти калид зарур аст. Умуман, алгоритмҳо ҳар қадар мураккабтар бошанд, ҳамон қадар иҷроиш бадтар аст; онҳо бояд дар асоси талаботи мушаххаси амният интихоб карда шаванд. Бо вуҷуди ин, барои ҳифзи маълумоти ҳассос истифода бурдани гурӯҳи Диффи-Ҳелман аз 14-сола тавсия дода намешавад. Ин ба осебпазирии протокол вобаста аст, ки онро танҳо бо истифода аз андозаи модули 2048 бит ва болотар ё алгоритмҳои криптографияи эллиптикӣ, ки дар гурӯҳҳои 19, 20, 21, 24 истифода мешаванд, коҳиш додан мумкин аст. криптографияи анъанавӣ. . Ва .
• Насб кардани профили IPSec
Марҳилаи дуюми эҷоди пайвасти VPN нақби IPSec мебошад. Параметрҳои SA барои он дар танзим карда шудаанд Шабака -> Профилҳои шабака -> Профили Crypto IPSec. Дар ин ҷо шумо бояд протоколи IPSec -ро муайян кунед - AH ё ESP, инчунин параметрҳо SA - алгоритмҳои хэш, рамзгузорӣ, гурӯҳҳои Диффи-Хелман ва мӯҳлати калид. Параметрҳои SA дар профили IKE Crypto ва IPSec Crypto Профили метавонанд якхела набошанд.
• Танзими IKE Gateway
Gateway IKE - ин объектест, ки роутер ё девореро таъин мекунад, ки бо он нақби VPN сохта шудааст. Барои ҳар як нақб шумо бояд нақби худро эҷод кунед Gateway IKE. Дар ин ҳолат, ду нақб сохта мешавад, ки яке аз тариқи ҳар як провайдери интернетӣ. Интерфейси дахлдори содиротӣ ва суроғаи IP-и он, суроғаи IP-и ҳамсол ва калиди муштарак нишон дода шудаанд. Шаҳодатномаҳоро ҳамчун алтернатива ба калиди муштарак истифода бурдан мумкин аст.
Дар ин ҷо чизи қаблан сохташуда нишон дода шудааст Профили Crypto IKE. Параметрҳои объекти дуюм Gateway IKE монанд, ба истиснои суроғаҳои IP. Агар девори Palo Alto Networks дар паси роутери NAT ҷойгир бошад, пас шумо бояд механизмро фаъол созед NAT Traversal.
• Насб кардани нақби IPSec
Тунели IPSec объектест, ки параметрҳои нақби IPSec-ро, тавре ки аз номаш бармеояд, муайян мекунад. Дар ин ҷо шумо бояд интерфейси нақб ва объектҳои қаблан сохташударо муайян кунед Gateway IKE, Профили Crypto IPSec. Барои таъмини гузариши худкори масир ба нақби эҳтиётӣ, шумо бояд фаъол созед Монитори туннел. Ин механизмест, ки тафтиш мекунад, ки оё ҳамсол бо истифода аз трафики ICMP зинда аст. Ҳамчун суроғаи таъинот, шумо бояд суроғаи IP-и интерфейси нақби ҳамсолеро, ки бо он нақб сохта мешавад, муайян кунед. Профил таймерҳоро муайян мекунад ва агар пайвастшавӣ гум шавад, чӣ бояд кард. Барқароршавиро интизор шавед – то барқарор шудани пайваст интизор шавед, Муваффақ шудан — агар мавҷуд бошад, трафикро бо масири дигар фиристед. Насб кардани нақби дуюм комилан шабеҳ аст; интерфейси нақби дуюм ва Gateway IKE муайян карда шудааст.
• Муқаррар кардани масир
Ин мисол масири статикиро истифода мебарад. Дар девори PA-1, ба ғайр аз ду масири пешфарз, шумо бояд ду масирро ба зершабакаи 10.10.10.0/24 дар филиал муайян кунед. Як маршрут аз туннели-1, дар дигараш туннели-2 истифода мебаранд. Масири Туннель-1 рохи асосй мебошад, зеро он метрикаи пасттар дорад. Механизм Мониторинги роҳ барои ин маршрутхо истифода намешаванд. Барои гузариш масъул аст Монитори туннел.
Ҳамон масирҳои зершабакаи 192.168.30.0/24 бояд дар PA-2 танзим карда шаванд.
• Танзими қоидаҳои шабака
Барои кори нақб се қоида лозим аст:
- Барои кор Монитори роҳ Ба ICMP дар интерфейсҳои беруна иҷозат диҳед.
- барои IPsec ба барномаҳо иҷозат диҳед ико и ipsec дар интерфейсҳои беруна.
- Ба трафики байни зершабакаҳои дохилӣ ва интерфейсҳои нақб иҷозат диҳед.
хулоса
Дар ин мақола варианти таъсиси пайвасти интернети ба хато тобовар ва Аз сайт ба сайт VPN. Умедворем, ки маълумот муфид буд ва хонанда дар бораи технологияҳои истифодашуда тасаввурот пайдо кард Шабакаҳои Аллака. Агар шумо дар бораи танзимот ва пешниҳодҳо оид ба мавзӯъҳои мақолаҳои оянда савол дошта бошед, онҳоро дар шарҳҳо нависед, мо бо омодагӣ ҷавоб медиҳем.
Манбаъ: will.com