Bài viết này là sự tiếp nối dành riêng cho các chi tiết cụ thể của việc thiết lập thiết bị Palo Alto Networks . Ở đây chúng tôi muốn nói về việc thiết lập VPN Site-to-Site IPSec trên thiết bị Palo Alto Networks và về tùy chọn cấu hình có thể có để kết nối một số nhà cung cấp Internet.
Để trình diễn, một sơ đồ tiêu chuẩn để kết nối trụ sở chính với chi nhánh sẽ được sử dụng. Để cung cấp kết nối Internet có khả năng chịu lỗi, trụ sở chính sử dụng kết nối đồng thời của hai nhà cung cấp: ISP-1 và ISP-2. Chi nhánh chỉ có kết nối với một nhà cung cấp, ISP-3. Hai đường hầm được xây dựng giữa tường lửa PA-1 và PA-2. Đường hầm hoạt động ở chế độ Đang hoạt động ở chế độ chờ,Đường hầm-1 đang hoạt động, Đường hầm-2 sẽ bắt đầu truyền lưu lượng khi Đường hầm-1 bị lỗi. Tunnel-1 sử dụng kết nối với ISP-1, Tunnel-2 sử dụng kết nối với ISP-2. Tất cả các địa chỉ IP được tạo ngẫu nhiên nhằm mục đích trình diễn và không liên quan đến thực tế.
Để xây dựng Site-to-Site VPN sẽ được sử dụng IPSec - một bộ giao thức để đảm bảo việc bảo vệ dữ liệu được truyền qua IP. IPSec sẽ hoạt động bằng cách sử dụng giao thức bảo mật ESP (Đóng gói tải trọng bảo mật), sẽ đảm bảo mã hóa dữ liệu được truyền.
В IPSec được bao gồm IKE (Internet Key Exchange) là giao thức chịu trách nhiệm đàm phán SA (hiệp hội bảo mật), các tham số bảo mật được sử dụng để bảo vệ dữ liệu được truyền. Hỗ trợ tường lửa PAN IKEv1 и IKEv2.
В IKEv1 Kết nối VPN được xây dựng theo hai giai đoạn: IKEv1 Giai đoạn 1 (đường hầm IKE) và IKEv1 Giai đoạn 2 (Đường hầm IPSec), do đó, hai đường hầm được tạo ra, một trong số đó được sử dụng để trao đổi thông tin dịch vụ giữa các tường lửa, đường còn lại để truyền lưu lượng. TRONG IKEv1 Giai đoạn 1 Có hai chế độ hoạt động - chế độ chính và chế độ tích cực. Chế độ linh hoạt sử dụng ít tin nhắn hơn và nhanh hơn nhưng không hỗ trợ Bảo vệ danh tính ngang hàng.
IKEv2 thay thế IKEv1, và so sánh với IKEv1 ưu điểm chính của nó là yêu cầu băng thông thấp hơn và đàm phán SA nhanh hơn. TRONG IKEv2 Ít tin nhắn dịch vụ hơn được sử dụng (tổng cộng 4), giao thức EAP và MOBIKE được hỗ trợ và một cơ chế đã được thêm vào để kiểm tra tính khả dụng của thiết bị ngang hàng mà đường hầm được tạo - Kiểm tra độ sống, thay thế Phát hiện ngang hàng chết trong IKEv1. Nếu việc kiểm tra không thành công thì IKEv2 có thể thiết lập lại đường hầm và sau đó tự động khôi phục nó ở cơ hội đầu tiên. Bạn có thể tìm hiểu thêm về sự khác biệt .
Nếu một đường hầm được xây dựng giữa các tường lửa của các nhà sản xuất khác nhau thì có thể có lỗi trong quá trình triển khai IKEv2, và để tương thích với các thiết bị như vậy, có thể sử dụng IKEv1. Trong các trường hợp khác tốt hơn là sử dụng IKEv2.
Các bước thiết lập:
• Định cấu hình hai nhà cung cấp Internet ở chế độ ActiveStandby
Có một số cách để thực hiện chức năng này. Một trong số đó là sử dụng cơ chế Giám sát đường đi, đã có sẵn bắt đầu từ phiên bản PAN-OS 8.0.0. Ví dụ này sử dụng phiên bản 8.0.16. Tính năng này tương tự như IP SLA trong bộ định tuyến của Cisco. Tham số tuyến mặc định tĩnh định cấu hình gửi gói ping đến một địa chỉ IP cụ thể từ một địa chỉ nguồn cụ thể. Trong trường hợp này, giao diện ethernet1/1 sẽ ping cổng mặc định một lần mỗi giây. Nếu không có phản hồi với ba ping liên tiếp, tuyến đường đó được coi là bị hỏng và bị xóa khỏi bảng định tuyến. Tuyến đường tương tự được định cấu hình cho nhà cung cấp Internet thứ hai, nhưng với chỉ số cao hơn (đó là tuyến dự phòng). Khi tuyến đầu tiên bị xóa khỏi bảng, tường lửa sẽ bắt đầu gửi lưu lượng truy cập qua tuyến thứ hai - thất bại. Khi nhà cung cấp đầu tiên bắt đầu phản hồi ping, tuyến đường của nó sẽ quay trở lại bảng và thay thế tuyến thứ hai do có số liệu tốt hơn - Thất bại. Quá trình thất bại mất vài giây tùy thuộc vào khoảng thời gian được định cấu hình, nhưng trong mọi trường hợp, quá trình này không diễn ra ngay lập tức và trong thời gian này lưu lượng truy cập sẽ bị mất. Thất bại đi qua mà không bị mất lưu lượng. Có cơ hội để làm thất bại nhanh hơn, với BFD, nếu nhà cung cấp Internet cung cấp cơ hội như vậy. BFD được hỗ trợ bắt đầu từ mô hình Dòng PA-3000 и VM-100. Tốt hơn là không chỉ định cổng của nhà cung cấp làm địa chỉ ping mà là địa chỉ Internet công khai, luôn có thể truy cập được.
• Tạo giao diện đường hầm
Lưu lượng bên trong đường hầm được truyền qua các giao diện ảo đặc biệt. Mỗi trong số chúng phải được cấu hình bằng một địa chỉ IP từ mạng chuyển tuyến. Trong ví dụ này, trạm biến áp 1/172.16.1.0 sẽ được sử dụng cho Đường hầm-30 và trạm biến áp 2/172.16.2.0 sẽ được sử dụng cho Đường hầm-30.
Giao diện đường hầm được tạo trong phần Mạng -> Giao diện -> Đường hầm. Bạn phải chỉ định bộ định tuyến ảo và vùng bảo mật, cũng như địa chỉ IP từ mạng truyền tải tương ứng. Số giao diện có thể là bất cứ thứ gì.
Trong phần Nâng cao có thể được chỉ định Hồ sơ quản lýsẽ cho phép ping trên giao diện nhất định, điều này có thể hữu ích cho việc thử nghiệm.
• Thiết lập Hồ sơ IKE
Hồ sơ IKE chịu trách nhiệm cho giai đoạn đầu tiên tạo kết nối VPN; các tham số đường hầm được chỉ định ở đây IKE Giai đoạn 1. Hồ sơ được tạo trong phần Mạng -> Cấu hình mạng -> IKE Crypto. Cần chỉ định thuật toán mã hóa, thuật toán băm, nhóm Diffie-Hellman và thời gian tồn tại của khóa. Nói chung, các thuật toán càng phức tạp thì hiệu suất càng kém; chúng nên được lựa chọn dựa trên các yêu cầu bảo mật cụ thể. Tuy nhiên, tuyệt đối không nên sử dụng nhóm Diffie-Hellman dưới 14 để bảo vệ thông tin nhạy cảm. Điều này là do lỗ hổng của giao thức chỉ có thể được giảm thiểu bằng cách sử dụng kích thước mô-đun từ 2048 bit trở lên hoặc thuật toán mã hóa elip được sử dụng trong nhóm 19, 20, 21, 24. Các thuật toán này có hiệu suất cao hơn so với mật mã truyền thống. . И .
• Thiết lập hồ sơ IPSec
Giai đoạn thứ hai của việc tạo kết nối VPN là đường hầm IPSec. Các tham số SA cho nó được cấu hình trong Mạng -> Cấu hình mạng -> Cấu hình tiền điện tử IPSec. Ở đây bạn cần chỉ định giao thức IPSec - AH hoặc ESP, cũng như các thông số SA — thuật toán băm, mã hóa, nhóm Diffie-Hellman và thời gian tồn tại của khóa. Các tham số SA trong Hồ sơ tiền điện tử IKE và Hồ sơ tiền điện tử IPSec có thể không giống nhau.
• Định cấu hình Cổng IKE
Cổng IKE - đây là đối tượng chỉ định bộ định tuyến hoặc tường lửa mà đường hầm VPN được xây dựng. Đối với mỗi đường hầm, bạn cần tạo đường hầm của riêng mình Cổng IKE. Trong trường hợp này, hai đường hầm được tạo, một đường hầm đi qua mỗi nhà cung cấp Internet. Giao diện gửi đi tương ứng và địa chỉ IP, địa chỉ IP ngang hàng và khóa chia sẻ của nó được chỉ định. Chứng chỉ có thể được sử dụng thay thế cho khóa chung.
Cái được tạo trước đó được chỉ định ở đây Hồ sơ tiền điện tử IKE. Các thông số của đối tượng thứ hai Cổng IKE tương tự, ngoại trừ địa chỉ IP. Nếu tường lửa Palo Alto Networks nằm phía sau bộ định tuyến NAT thì bạn cần kích hoạt cơ chế Truyền tải NAT.
• Thiết lập đường hầm IPSec
Đường hầm IPSec là một đối tượng chỉ định các tham số đường hầm IPSec, như tên cho thấy. Ở đây bạn cần chỉ định giao diện đường hầm và các đối tượng đã tạo trước đó Cổng IKE, Hồ sơ tiền điện tử IPSec. Để đảm bảo tự động chuyển định tuyến sang đường hầm dự phòng, bạn phải kích hoạt Giám sát đường hầm. Đây là cơ chế kiểm tra xem một thiết bị ngang hàng có hoạt động hay không bằng cách sử dụng lưu lượng ICMP. Là địa chỉ đích, bạn cần chỉ định địa chỉ IP của giao diện đường hầm của thiết bị ngang hàng mà đường hầm đang được xây dựng. Cấu hình chỉ định bộ hẹn giờ và việc cần làm nếu mất kết nối. Chờ Khôi phục – đợi cho đến khi kết nối được khôi phục, thất bại — gửi lưu lượng truy cập dọc theo một tuyến đường khác, nếu có. Việc thiết lập đường hầm thứ hai hoàn toàn tương tự, giao diện đường hầm thứ hai và Cổng IKE được chỉ định.
• Thiết lập định tuyến
Ví dụ này sử dụng định tuyến tĩnh. Trên tường lửa PA-1, ngoài hai tuyến mặc định, bạn cần chỉ định hai tuyến đến mạng con 10.10.10.0/24 trong nhánh. Một tuyến sử dụng Đường hầm-1, tuyến còn lại sử dụng Đường hầm-2. Tuyến đường xuyên qua Đường hầm-1 là tuyến đường chính vì nó có số liệu thấp hơn. Cơ chế Giám sát đường đi không được sử dụng cho các tuyến đường này. Chịu trách nhiệm chuyển đổi Giám sát đường hầm.
Các tuyến tương tự cho mạng con 192.168.30.0/24 cần được cấu hình trên PA-2.
• Thiết lập quy tắc mạng
Để đường hầm hoạt động, cần có ba quy tắc:
- Làm việc Giám sát đường dẫn Cho phép ICMP trên các giao diện bên ngoài.
- vì IPSec cho phép ứng dụng ike и ipsec trên các giao diện bên ngoài.
- Cho phép lưu lượng giữa các mạng con nội bộ và giao diện đường hầm.
Kết luận
Bài viết này thảo luận về tùy chọn thiết lập kết nối Internet có khả năng chịu lỗi và VPN Site-to-Site. Chúng tôi hy vọng thông tin này hữu ích và người đọc có được ý tưởng về các công nghệ được sử dụng trong Palo Alto Networks. Nếu bạn có câu hỏi về cách thiết lập và đề xuất về chủ đề cho các bài viết trong tương lai, hãy viết chúng trong phần bình luận, chúng tôi sẽ sẵn lòng giải đáp.
Nguồn: www.habr.com