Ushbu maqola davomidir uskunalarni o'rnatishning o'ziga xos xususiyatlariga bag'ishlangan Palo Alto tarmoqlari . Bu erda biz sozlash haqida gaplashmoqchimiz IPSec saytdan saytga VPN uskunalar bo'yicha Palo Alto tarmoqlari va bir nechta Internet-provayderlarni ulash uchun mumkin bo'lgan konfiguratsiya opsiyasi haqida.
Namoyish uchun bosh ofisni filialga ulashning standart sxemasidan foydalaniladi. Nosozliklarga chidamli Internet ulanishini ta'minlash uchun bosh ofis ikkita provayderning bir vaqtning o'zida ulanishidan foydalanadi: ISP-1 va ISP-2. Filial faqat bitta provayderga, ISP-3ga ulangan. PA-1 va PA-2 xavfsizlik devorlari o'rtasida ikkita tunnel qurilgan. Tunnellar rejimda ishlaydi Faol - Kutish rejimi,Tunnel-1 faol, Tunnel-2 ishlamay qolganda, Tunnel-1 trafikni uzatishni boshlaydi. Tunnel-1 ISP-1 ga ulanishdan foydalanadi, Tunnel-2 ISP-2 ga ulanishdan foydalanadi. Barcha IP manzillar namoyish qilish uchun tasodifiy yaratilgan va haqiqatga aloqasi yo'q.
Saytdan saytga VPN yaratish uchun foydalaniladi IPsec — IP orqali uzatiladigan maʼlumotlarni himoya qilishni taʼminlash uchun protokollar toʻplami. IPsec xavfsizlik protokoli yordamida ishlaydi ESP (Encapsulating Security Payload), bu uzatilgan ma'lumotlarni shifrlashni ta'minlaydi.
В IPsec входит ikki (Internet Key Exchange) - SA (xavfsizlik assotsiatsiyalari), uzatiladigan ma'lumotlarni himoya qilish uchun foydalaniladigan xavfsizlik parametrlari bo'yicha muzokaralar uchun mas'ul bo'lgan protokol. PAN xavfsizlik devorlarini qo'llab-quvvatlash IKEv1 и IKEv2.
В IKEv1 VPN ulanishi ikki bosqichda quriladi: IKEv1 1-bosqich (IKE tunnel) va IKEv1 2-bosqich (IPSec tunnel), shunday qilib, ikkita tunnel yaratiladi, ulardan biri xavfsizlik devorlari o'rtasida xizmat ma'lumotlarini almashish uchun, ikkinchisi trafikni uzatish uchun ishlatiladi. IN IKEv1 1-bosqich Ikkita ish rejimi mavjud - asosiy rejim va agressiv rejim. Agressiv rejim kamroq xabarlardan foydalanadi va tezroq, lekin Peer Identity Protectionni qo'llab-quvvatlamaydi.
IKEv2 almashtirildi IKEv1, va bilan solishtiriladi IKEv1 uning asosiy afzalligi pastroq tarmoqli kengligi talablari va tezroq SA muzokaralari. IN IKEv2 Kamroq xizmat xabarlari ishlatiladi (jami 4 ta), EAP va MOBIKE protokollari qo'llab-quvvatlanadi va tunnel yaratilgan peer mavjudligini tekshirish mexanizmi qo'shildi - Jonlilikni tekshirish, IKEv1 da Dead Peer Detection o'rniga. Agar tekshirish muvaffaqiyatsiz bo'lsa, unda IKEv2 tunnelni qayta o'rnatishi va keyin uni birinchi imkoniyatda avtomatik ravishda tiklashi mumkin. Farqlar haqida ko'proq bilib olishingiz mumkin .
Agar turli ishlab chiqaruvchilarning xavfsizlik devorlari o'rtasida tunnel qurilgan bo'lsa, unda amalga oshirishda xatolar bo'lishi mumkin IKEv2, va bunday uskunalar bilan muvofiqligi uchun foydalanish mumkin IKEv1. Boshqa hollarda foydalanish yaxshiroqdir IKEv2.
O'rnatish bosqichlari:
• ActiveStandby rejimida ikkita Internet-provayderni sozlash
Ushbu funktsiyani amalga oshirishning bir necha yo'li mavjud. Ulardan biri mexanizmdan foydalanishdir Yo'l monitoringiversiyasidan boshlab mavjud bo'lgan PAN-OS 8.0.0. Ushbu misol 8.0.16 versiyasidan foydalanadi. Bu xususiyat Cisco routerlarida IP SLA ga o'xshaydi. Statik standart marshrut parametri ma'lum bir manba manzilidan ma'lum IP-manzilga ping-paketlarni yuborishni sozlaydi. Bunday holda, ethernet1/1 interfeysi standart shlyuzga soniyada bir marta ping yuboradi. Agar ketma-ket uchta pingga javob bo'lmasa, marshrut buzilgan deb hisoblanadi va marshrutlash jadvalidan olib tashlanadi. Xuddi shu marshrut ikkinchi Internet-provayderga yo'naltirilgan, lekin yuqoriroq ko'rsatkichga ega (bu zaxira). Birinchi marshrut jadvaldan olib tashlangandan so'ng, xavfsizlik devori ikkinchi marshrut orqali trafikni yuborishni boshlaydi - Muvaffaqiyatsiz. Birinchi provayder pinglarga javob berishni boshlaganda, uning yo'nalishi jadvalga qaytadi va yaxshi ko'rsatkich tufayli ikkinchisini almashtiradi - Fail-back. Jarayon Muvaffaqiyatsiz konfiguratsiya qilingan intervallarga qarab bir necha soniya davom etadi, lekin, har qanday holatda, jarayon bir zumda emas va shu vaqt ichida trafik yo'qoladi. Fail-back trafikni yo'qotmasdan o'tadi. qilish imkoniyati bor Muvaffaqiyatsiz tezroq, bilan B.F.D., agar Internet-provayder bunday imkoniyatni taqdim etsa. B.F.D. modeldan boshlab qo'llab-quvvatlanadi PA-3000 seriyali и VM-100. Ping-manzil sifatida provayderning shlyuzini emas, balki ommaviy, har doim foydalanish mumkin bo'lgan Internet manzilini ko'rsatish yaxshiroqdir.
• Tunnel interfeysini yaratish
Tunnel ichidagi trafik maxsus virtual interfeyslar orqali uzatiladi. Ularning har biri tranzit tarmog'idan IP-manzil bilan tuzilgan bo'lishi kerak. Ushbu misolda Tunnel-1 uchun 172.16.1.0/30 podstansiyasi, Tunnel-2 uchun esa 172.16.2.0/30 podstansiyasi qo'llaniladi.
Bo'limda tunnel interfeysi yaratilgan Tarmoq -> Interfeyslar -> Tunnel. Siz virtual router va xavfsizlik zonasini, shuningdek, tegishli transport tarmog'idan IP-manzilni ko'rsatishingiz kerak. Interfeys raqami har qanday bo'lishi mumkin.
bo'lim ilg'or mumkin Boshqaruv profiliberilgan interfeysda pingga ruxsat beradi, bu sinov uchun foydali bo'lishi mumkin.
• IKE profilini sozlash
IKE profili VPN ulanishini yaratishning birinchi bosqichi uchun javobgardir, tunnel parametrlari bu erda ko'rsatilgan IKE 1-bosqich. Profil bo'limda yaratilgan Tarmoq -> Tarmoq profillari -> IKE Crypto. Shifrlash algoritmini, xeshlash algoritmini, Diffie-Hellman guruhini va kalitning ishlash muddatini ko'rsatish kerak. Umuman olganda, algoritmlar qanchalik murakkab bo'lsa, unumdorligi shunchalik yomon, ular maxsus xavfsizlik talablari asosida tanlanishi kerak. Biroq, maxfiy ma'lumotlarni himoya qilish uchun 14 yoshdan kichik bo'lgan Diffie-Hellman guruhidan foydalanish qat'iyan tavsiya etilmaydi. Bu faqat 2048 bit va undan yuqori modul o'lchamlari yoki 19, 20, 21, 24 guruhlarda qo'llaniladigan elliptik kriptografiya algoritmlari yordamida yumshatish mumkin bo'lgan protokolning zaifligi bilan bog'liq. an'anaviy kriptografiya. . Va .
• IPSec profilini sozlash
VPN ulanishini yaratishning ikkinchi bosqichi IPSec tunnelidir. Buning uchun SA parametrlari sozlangan Tarmoq -> Tarmoq profillari -> IPSec kripto profili. Bu erda siz IPSec protokolini ko'rsatishingiz kerak - AH yoki ESP, shuningdek parametrlar SA — xesh algoritmlari, shifrlash, Diffie-Hellman guruhlari va kalitlarning ishlash muddati. IKE Kripto Profili va IPSec Kripto Profilidagi SA parametrlari bir xil bo'lmasligi mumkin.
• IKE Gateway sozlanmoqda
IKE shlyuzi VPN tunneli qurilayotgan marshrutizator yoki xavfsizlik devorini ifodalovchi ob'ekt. Har bir tunnel uchun siz o'zingizni yaratishingiz kerak IKE shlyuzi. Bunday holda, har bir Internet-provayder orqali ikkita tunnel yaratiladi. Tegishli chiquvchi interfeys va uning IP manzili, tengdosh IP manzili va umumiy kalit ko'rsatilgan. Sertifikatlardan umumiy kalitga muqobil sifatida foydalanish mumkin.
Oldindan yaratilgani bu erda ko'rsatilgan IKE kripto profili. Ikkinchi ob'ektning parametrlari IKE shlyuzi shunga o'xshash, IP manzillar bundan mustasno. Agar Palo Alto Networks xavfsizlik devori NAT routerining orqasida joylashgan bo'lsa, unda siz mexanizmni yoqishingiz kerak NAT traversal.
• IPSec tunnelini sozlash
IPSec tunnel nomidan ko'rinib turibdiki, IPSec tunnel parametrlarini belgilaydigan ob'ekt. Bu erda tunnel interfeysi va avval yaratilgan ob'ektlarni ko'rsatishingiz kerak IKE shlyuzi, IPSec kripto profili. Marshrutni zaxira tunneliga avtomatik almashtirishni ta'minlash uchun siz yoqishingiz kerak Tunnel monitori. Bu ICMP trafigidan foydalangan holda tengdoshning tirik yoki yo'qligini tekshiradigan mexanizm. Belgilangan manzil sifatida siz tunnel qurilayotgan peerning tunnel interfeysining IP manzilini ko'rsatishingiz kerak. Profil aloqa uzilib qolganda taymerlar va harakatni belgilaydi. Qayta tiklashni kuting – ulanish tiklanmaguncha kuting; Muvaffaqiyatsiz — agar mavjud bo'lsa, trafikni boshqa marshrut bo'ylab jo'natish. Ikkinchi tunnelni o'rnatish butunlay o'xshash; ikkinchi tunnel interfeysi va IKE Gateway ko'rsatilgan.
• Marshrutlashni sozlash
Ushbu misol statik marshrutlashdan foydalanadi. PA-1 xavfsizlik devorida, ikkita standart marshrutga qo'shimcha ravishda, filialdagi 10.10.10.0/24 pastki tarmoqqa ikkita marshrutni ko'rsatishingiz kerak. Bir yo'nalishda Tunnel-1, ikkinchisida Tunnel-2 ishlatiladi. Tunnel-1 orqali o'tadigan marshrut asosiy hisoblanadi, chunki u pastroq ko'rsatkichga ega. Mexanizm Yo'l monitoringi bu marshrutlar uchun ishlatilmaydi. O'zgartirish uchun javobgar Tunnel monitori.
192.168.30.0/24 pastki tarmoq uchun bir xil marshrutlarni PA-2 da sozlash kerak.
• Tarmoq qoidalarini sozlash
Tunnel ishlashi uchun uchta qoida kerak:
- Ish uchun Yo'l monitori Tashqi interfeyslarda ICMPga ruxsat bering.
- uchun IPsec ilovalarga ruxsat berish ikke и ipsec tashqi interfeyslarda.
- Ichki quyi tarmoqlar va tunnel interfeyslari o'rtasida trafikka ruxsat bering.
xulosa
Ushbu maqolada nosozliklarga chidamli Internet ulanishini o'rnatish varianti va Saytdan-saytga VPN. Umid qilamizki, ma'lumotlar foydali bo'ldi va o'quvchi ishlatiladigan texnologiyalar haqida tasavvurga ega bo'ldi Palo Alto tarmoqlari. O'rnatish bo'yicha savollaringiz va kelgusi maqolalar uchun mavzular bo'yicha takliflaringiz bo'lsa, ularni sharhlarda yozing, biz javob berishdan mamnun bo'lamiz.
Manba: www.habr.com