یہ مضمون ایک تسلسل ہے۔ سازوسامان کی ترتیب کی تفصیلات کے لئے وقف پولو الٹو نیٹ ورکس . یہاں ہم سیٹ اپ کے بارے میں بات کرنا چاہتے ہیں۔ IPSec سائٹ ٹو سائٹ وی پی این سامان پر پولو الٹو نیٹ ورکس اور متعدد انٹرنیٹ فراہم کنندگان کو جوڑنے کے لیے ممکنہ ترتیب کے آپشن کے بارے میں۔
مظاہرے کے لیے ہیڈ آفس کو برانچ سے جوڑنے کی معیاری اسکیم استعمال کی جائے گی۔ خرابی برداشت کرنے والا انٹرنیٹ کنکشن فراہم کرنے کے لیے، ہیڈ آفس دو فراہم کنندگان کا بیک وقت کنکشن استعمال کرتا ہے: ISP-1 اور ISP-2۔ برانچ کا تعلق صرف ایک فراہم کنندہ، ISP-3 سے ہے۔ فائر والز PA-1 اور PA-2 کے درمیان دو سرنگیں بنائی گئی ہیں۔ سرنگیں موڈ میں کام کرتی ہیں۔ فعال اسٹینڈ بائی,Tunnel-1 فعال ہے، Tunnel-2 ناکام ہونے پر ٹنل-1 ٹریفک کی ترسیل شروع کر دے گا۔ Tunnel-1 ISP-1 سے کنکشن استعمال کرتا ہے، Tunnel-2 ISP-2 سے کنکشن استعمال کرتا ہے۔ تمام IP پتے تصادفی طور پر مظاہرے کے مقاصد کے لیے بنائے گئے ہیں اور ان کا حقیقت سے کوئی تعلق نہیں ہے۔
سائٹ ٹو سائٹ بنانے کے لیے وی پی این استعمال کیا جائے گا۔ آئی پی سیک - IP کے ذریعے منتقل ہونے والے ڈیٹا کے تحفظ کو یقینی بنانے کے لیے پروٹوکولز کا ایک سیٹ۔ آئی پی سیک سیکیورٹی پروٹوکول کا استعمال کرتے ہوئے کام کرے گا۔ ESP (Encapsulating Security Payload)، جو منتقل شدہ ڈیٹا کی خفیہ کاری کو یقینی بنائے گا۔
В آئی پی سیک شامل ہے IKE (انٹرنیٹ کی ایکسچینج) ایک پروٹوکول ہے جو SA (سیکیورٹی ایسوسی ایشنز) پر گفت و شنید کے لیے ذمہ دار ہے، حفاظتی پیرامیٹرز جو منتقل شدہ ڈیٹا کی حفاظت کے لیے استعمال ہوتے ہیں۔ PAN فائر وال سپورٹ IKEv1 и IKEv2.
В IKEv1 ایک VPN کنکشن دو مراحل میں بنایا گیا ہے: IKEv1 فیز 1 (IKE سرنگ) اور IKEv1 فیز 2 (IPSec ٹنل)، اس طرح، دو سرنگیں بنتی ہیں، جن میں سے ایک فائر وال کے درمیان سروس کی معلومات کے تبادلے کے لیے استعمال ہوتی ہے، دوسری ٹریفک کی ترسیل کے لیے۔ میں IKEv1 فیز 1 دو آپریٹنگ موڈ ہیں - مین موڈ اور ایگریسو موڈ۔ جارحانہ موڈ کم پیغامات استعمال کرتا ہے اور تیز تر ہے، لیکن ہم مرتبہ کی شناخت کے تحفظ کو سپورٹ نہیں کرتا ہے۔
IKEv2 تبدیل کرنے کے لئے آیا IKEv1، اور کے مقابلے میں IKEv1 اس کا بنیادی فائدہ کم بینڈوتھ کی ضروریات اور تیز تر SA مذاکرات ہیں۔ میں IKEv2 کم سروس پیغامات استعمال کیے جاتے ہیں (مجموعی طور پر 4)، EAP اور MOBIKE پروٹوکول سپورٹ کیے جاتے ہیں، اور اس پیئر کی دستیابی کو چیک کرنے کے لیے ایک طریقہ کار شامل کیا گیا ہے جس کے ساتھ سرنگ بنائی گئی ہے۔ زندہ دلی کی جانچ, IKEv1 میں Dead Peer Detection کو تبدیل کرنا۔ اگر چیک فیل ہو جائے تو IKEv2 سرنگ کو دوبارہ ترتیب دے سکتا ہے اور پھر اسے پہلے موقع پر خود بخود بحال کر سکتا ہے۔ آپ اختلافات کے بارے میں مزید جان سکتے ہیں۔ .
اگر مختلف مینوفیکچررز سے فائر وال کے درمیان ایک سرنگ بنائی گئی ہے، تو اس کے نفاذ میں کیڑے ہو سکتے ہیں۔ IKEv2، اور اس طرح کے سامان کے ساتھ مطابقت کے لئے استعمال کرنا ممکن ہے۔ IKEv1. دوسرے معاملات میں یہ استعمال کرنا بہتر ہے۔ IKEv2.
سیٹ اپ کے مراحل:
• ActiveStandby موڈ میں دو انٹرنیٹ فراہم کنندگان کو ترتیب دینا
اس فنکشن کو لاگو کرنے کے کئی طریقے ہیں۔ ان میں سے ایک طریقہ کار کو استعمال کرنا ہے۔ راستے کی نگرانی، جو ورژن سے شروع ہو کر دستیاب ہوا۔ PAN-OS 8.0.0. یہ مثال ورژن 8.0.16 استعمال کرتی ہے۔ یہ خصوصیت سسکو راؤٹرز میں آئی پی ایس ایل اے کی طرح ہے۔ جامد ڈیفالٹ روٹ پیرامیٹر کسی مخصوص سورس ایڈریس سے مخصوص IP ایڈریس پر پنگ پیکٹ بھیجنے کو ترتیب دیتا ہے۔ اس صورت میں، ایتھرنیٹ 1/1 انٹرفیس ڈیفالٹ گیٹ وے کو فی سیکنڈ میں ایک بار پنگ کرتا ہے۔ اگر لگاتار تین پنگوں کا کوئی جواب نہیں آتا ہے تو، روٹ کو ٹوٹا ہوا سمجھا جاتا ہے اور روٹنگ ٹیبل سے ہٹا دیا جاتا ہے۔ اسی راستے کو دوسرے انٹرنیٹ فراہم کنندہ کی طرف ترتیب دیا گیا ہے، لیکن اعلی میٹرک کے ساتھ (یہ ایک بیک اپ والا ہے)۔ ٹیبل سے پہلا راستہ ہٹانے کے بعد، فائر وال دوسرے راستے سے ٹریفک بھیجنا شروع کر دے گا۔ فیل اوور. جب پہلا فراہم کنندہ پنگوں کا جواب دینا شروع کردے گا، تو اس کا راستہ میز پر واپس آجائے گا اور بہتر میٹرک کی وجہ سے دوسرے کی جگہ لے لے گا - فیل بیک. عمل فیل اوور ترتیب شدہ وقفوں کے لحاظ سے چند سیکنڈ لگتے ہیں، لیکن، کسی بھی صورت میں، یہ عمل فوری نہیں ہوتا، اور اس دوران ٹریفک ضائع ہو جاتا ہے۔ فیل بیک ٹریفک کے نقصان کے بغیر گزرتا ہے. کرنے کا موقع ہے۔ فیل اوور تیزی سے، کے ساتھ بی ایف ڈی، اگر انٹرنیٹ فراہم کنندہ ایسا موقع فراہم کرتا ہے۔ بی ایف ڈی ماڈل سے شروع کرنے کی حمایت کی PA-3000 سیریز и VM-100. یہ بہتر ہے کہ فراہم کنندہ کے گیٹ وے کو پنگ ایڈریس کے طور پر نہیں، بلکہ ایک عوامی، ہمیشہ قابل رسائی انٹرنیٹ ایڈریس کی وضاحت کریں۔
• ایک سرنگ انٹرفیس بنانا
ٹنل کے اندر ٹریفک کو خصوصی ورچوئل انٹرفیس کے ذریعے منتقل کیا جاتا ہے۔ ان میں سے ہر ایک کو ٹرانزٹ نیٹ ورک سے آئی پی ایڈریس کے ساتھ کنفیگر کیا جانا چاہیے۔ اس مثال میں، سب اسٹیشن 1/172.16.1.0 ٹنل-30 کے لیے استعمال کیا جائے گا، اور سب اسٹیشن 2/172.16.2.0 کو ٹنل-30 کے لیے استعمال کیا جائے گا۔
ٹنل انٹرفیس سیکشن میں بنایا گیا ہے۔ نیٹ ورک -> انٹرفیس -> سرنگ. آپ کو ایک ورچوئل راؤٹر اور سیکیورٹی زون کے ساتھ ساتھ متعلقہ ٹرانسپورٹ نیٹ ورک سے آئی پی ایڈریس بھی بتانا ہوگا۔ انٹرفیس نمبر کچھ بھی ہو سکتا ہے۔
کے حصے میں اعلی درجے کی بیان کیا جا سکتا ہے مینجمنٹ پروفائلجو دیئے گئے انٹرفیس پر پنگ کی اجازت دے گا، یہ جانچ کے لیے مفید ہو سکتا ہے۔
• IKE پروفائل ترتیب دینا
IKE پروفائل VPN کنکشن بنانے کے پہلے مرحلے کے لیے ذمہ دار ہے؛ سرنگ کے پیرامیٹرز یہاں بیان کیے گئے ہیں۔ IKE فیز 1. پروفائل سیکشن میں بنایا گیا ہے۔ نیٹ ورک -> نیٹ ورک پروفائلز -> IKE کرپٹو. انکرپشن الگورتھم، ہیشنگ الگورتھم، Diffie-Hellman گروپ اور کلیدی لائف ٹائم کی وضاحت کرنا ضروری ہے۔ عام طور پر، الگورتھم جتنے پیچیدہ ہوں گے، کارکردگی اتنی ہی خراب ہوگی؛ انہیں مخصوص حفاظتی تقاضوں کی بنیاد پر منتخب کیا جانا چاہیے۔ تاہم، حساس معلومات کی حفاظت کے لیے 14 سال سے کم عمر کے Diffie-Hellman گروپ کو استعمال کرنے کی سختی سے سفارش نہیں کی جاتی ہے۔ یہ پروٹوکول کی کمزوری کی وجہ سے ہے، جسے صرف 2048 بٹس اور اس سے زیادہ کے ماڈیول سائز، یا بیضوی کرپٹوگرافی الگورتھم استعمال کرکے کم کیا جا سکتا ہے، جو کہ 19، 20، 21، 24 گروپس میں استعمال ہوتے ہیں۔ روایتی خفیہ نگاری. . اور .
• IPSec پروفائل کو ترتیب دینا
VPN کنکشن بنانے کا دوسرا مرحلہ ایک IPSec سرنگ ہے۔ اس کے لیے SA پیرامیٹرز کو ترتیب دیا گیا ہے۔ نیٹ ورک -> نیٹ ورک پروفائلز -> IPSec کرپٹو پروفائل. یہاں آپ کو IPSec پروٹوکول کی وضاحت کرنے کی ضرورت ہے - AH یا ESP، نیز پیرامیٹرز SA — ہیشنگ الگورتھم، انکرپشن، Diffie-Hellman گروپس اور کلیدی لائف ٹائم۔ IKE Crypto Profile اور IPSec کرپٹو پروفائل میں SA پیرامیٹرز ایک جیسے نہیں ہو سکتے۔
• IKE گیٹ وے کو ترتیب دینا
IKE گیٹ وے ایک ایسی چیز ہے جو روٹر یا فائر وال کی نمائندگی کرتی ہے جس کے ساتھ VPN سرنگ بنائی جا رہی ہے۔ ہر سرنگ کے لیے آپ کو اپنی خود کی سرنگ بنانے کی ضرورت ہے۔ IKE گیٹ وے. اس صورت میں، دو سرنگیں بنائی جاتی ہیں، ایک ہر انٹرنیٹ فراہم کنندہ کے ذریعے۔ متعلقہ آؤٹ گوئنگ انٹرفیس اور اس کا آئی پی ایڈریس، پیئر آئی پی ایڈریس، اور مشترکہ کلید کی نشاندہی کی گئی ہے۔ سرٹیفکیٹ کو مشترکہ کلید کے متبادل کے طور پر استعمال کیا جا سکتا ہے۔
پہلے بنائے گئے کو یہاں اشارہ کیا گیا ہے۔ IKE کرپٹو پروفائل. دوسری آبجیکٹ کے پیرامیٹرز IKE گیٹ وے اسی طرح، IP پتوں کے علاوہ. اگر پالو آلٹو نیٹ ورکس فائر وال NAT روٹر کے پیچھے واقع ہے، تو آپ کو میکانزم کو فعال کرنے کی ضرورت ہے۔ NAT ٹراورسل.
• IPSec ٹنل قائم کرنا
IPSec ٹنل ایک ایسی چیز ہے جو IPSec سرنگ کے پیرامیٹرز کی وضاحت کرتی ہے، جیسا کہ نام سے پتہ چلتا ہے۔ یہاں آپ کو سرنگ انٹرفیس اور پہلے سے تخلیق کردہ اشیاء کی وضاحت کرنے کی ضرورت ہے۔ IKE گیٹ وے, IPSec کرپٹو پروفائل. بیک اپ ٹنل میں روٹنگ کی خودکار سوئچنگ کو یقینی بنانے کے لیے، آپ کو فعال کرنا ہوگا۔ ٹنل مانیٹر. یہ ایک ایسا طریقہ کار ہے جو چیک کرتا ہے کہ آیا ICMP ٹریفک کا استعمال کرتے ہوئے کوئی ہم مرتبہ زندہ ہے یا نہیں۔ منزل کے پتے کے طور پر، آپ کو اس پیر کے سرنگ انٹرفیس کا IP پتہ بتانا ہوگا جس کے ساتھ سرنگ بنائی جا رہی ہے۔ پروفائل ٹائمرز کی وضاحت کرتا ہے اور اگر کنکشن کھو جائے تو کیا کرنا ہے۔ بازیافت کا انتظار کریں۔ - کنکشن بحال ہونے تک انتظار کریں، فیل اوور - اگر دستیاب ہو تو مختلف راستے پر ٹریفک بھیجیں۔ دوسری سرنگ کی ترتیب بالکل اسی طرح کی ہے؛ دوسری سرنگ کا انٹرفیس اور IKE گیٹ وے متعین ہیں۔
• روٹنگ ترتیب دینا
یہ مثال جامد روٹنگ کا استعمال کرتی ہے۔ PA-1 فائر وال پر، دو پہلے سے طے شدہ راستوں کے علاوہ، آپ کو برانچ میں 10.10.10.0/24 سب نیٹ کے لیے دو راستے بتانے کی ضرورت ہے۔ ایک راستہ ٹنل-1، دوسرا ٹنل-2 استعمال کرتا ہے۔ ٹنل-1 سے گزرنے والا راستہ اہم ہے کیونکہ اس کا میٹرک کم ہے۔ میکانزم راستے کی نگرانی ان راستوں کے لیے استعمال نہیں کیا جاتا۔ سوئچنگ کے لیے ذمہ دار ٹنل مانیٹر.
سب نیٹ 192.168.30.0/24 کے لیے انہی راستوں کو PA-2 پر کنفیگر کرنے کی ضرورت ہے۔
• نیٹ ورک کے قوانین کو ترتیب دینا
سرنگ کے کام کرنے کے لیے، تین اصولوں کی ضرورت ہے:
- کام کے لئے پاتھ مانیٹر بیرونی انٹرفیس پر ICMP کی اجازت دیں۔
- کے لیے آئی پی سیک ایپس کو اجازت دیں۔ Ike کی и ipsec بیرونی انٹرفیس پر۔
- اندرونی سب نیٹس اور ٹنل انٹرفیس کے درمیان ٹریفک کی اجازت دیں۔
حاصل يہ ہوا
یہ مضمون غلطی برداشت کرنے والا انٹرنیٹ کنکشن قائم کرنے کے آپشن پر بحث کرتا ہے اور سائٹ ٹو سائٹ وی پی این. ہمیں امید ہے کہ معلومات کارآمد تھیں اور قاری کو اس میں استعمال ہونے والی ٹیکنالوجیز کا اندازہ ہو گیا تھا۔ پولو الٹو نیٹ ورکس. اگر آپ کے پاس مستقبل کے مضامین کے موضوعات پر سیٹ اپ اور تجاویز کے بارے میں سوالات ہیں، تو انہیں تبصروں میں لکھیں، ہمیں جواب دینے میں خوشی ہوگی۔
ماخذ: www.habr.com