Nkan yii jẹ itesiwaju igbẹhin si awọn pato ti eto soke ẹrọ Palo Alto Networks . Nibi a fẹ lati sọrọ nipa iṣeto naa IPSec Ojula-si-ojula VPN lori ẹrọ Palo Alto Networks ati nipa aṣayan atunto ti o ṣeeṣe fun sisopọ ọpọlọpọ awọn olupese Intanẹẹti.
Fún àṣefihàn náà, a óò lò ètò kan tí a fi ń so ọ́fíìsì orí mọ́ ẹ̀ka ọ́fíìsì wa. Lati le pese asopọ Ayelujara ti o ni aibikita, ori ọfiisi nlo asopọ nigbakanna ti awọn olupese meji: ISP-1 ati ISP-2. Ẹka naa ni asopọ si olupese kan ṣoṣo, ISP-3. Meji tunnels ti wa ni itumọ ti laarin ogiriina PA-1 ati PA-2. Awọn tunnels ṣiṣẹ ni ipo Ti nṣiṣe lọwọ-Imurasilẹ,Tunnel-1 nṣiṣẹ, Tunnel-2 yoo bẹrẹ sisẹ ijabọ nigbati Tunnel-1 kuna. Tunnel-1 nlo asopọ si ISP-1, Tunnel-2 nlo asopọ si ISP-2. Gbogbo awọn adirẹsi IP jẹ ipilẹṣẹ laileto fun awọn idi ifihan ati pe ko ni ibatan si otitọ.
Lati kọ Ojula-si-Aye VPN yoo ṣee lo IPsec - ṣeto awọn ilana lati rii daju aabo ti data ti o tan nipasẹ IP. IPsec yoo ṣiṣẹ nipa lilo ilana aabo kan ESP (Encapsulating Aabo Payload), eyi ti yoo rii daju ìsekóòdù ti zqwq data.
В IPsec nwọle Ike (Internet Key Exchange) jẹ ilana ti o ni iduro fun idunadura SA (awọn ẹgbẹ aabo), awọn aye aabo ti o lo lati daabobo data ti a firanṣẹ. PAN ogiriina atilẹyin IKEV1 и IKEV2.
В IKEV1 Asopọ VPN jẹ itumọ ni awọn ipele meji: IKEv1 Ipele 1 (IKE eefin) ati IKEv1 Ipele 2 (IPSec eefin), nitorinaa, awọn eefin meji ti ṣẹda, ọkan ninu eyiti a lo fun paṣipaarọ alaye iṣẹ laarin awọn ogiriina, keji fun gbigbe ijabọ. IN IKEv1 Ipele 1 Awọn ipo iṣẹ meji lo wa - ipo akọkọ ati ipo ibinu. Ipo ibinu nlo awọn ifiranṣẹ diẹ ati yiyara, ṣugbọn ko ṣe atilẹyin Idaabobo Idanimọ ẹlẹgbẹ.
IKEV2 rọpo IKEV1, ati akawe si IKEV1 awọn oniwe-akọkọ anfani ni kekere bandiwidi awọn ibeere ati yiyara SA idunadura. IN IKEV2 Awọn ifiranṣẹ iṣẹ diẹ ni a lo (4 lapapọ), awọn ilana EAP ati MOBIKE ni atilẹyin, ati pe o ti ṣafikun ẹrọ kan lati ṣayẹwo wiwa ti ẹlẹgbẹ pẹlu eyiti o ṣẹda oju eefin naa - Ṣayẹwo Liveness, rirọpo Iwari Ẹlẹgbẹ ti o ku ni IKEv1. Ti ayẹwo ba kuna, lẹhinna IKEV2 le tun oju eefin pada ati lẹhinna mu pada laifọwọyi ni aye akọkọ. O le ni imọ siwaju sii nipa awọn iyatọ .
Ti a ba kọ oju eefin laarin awọn ogiriina lati oriṣiriṣi awọn aṣelọpọ, lẹhinna awọn idun le wa ninu imuse naa IKEV2, ati fun ibamu pẹlu iru ẹrọ o ṣee ṣe lati lo IKEV1. Ni awọn igba miiran o dara lati lo IKEV2.
Awọn igbesẹ iṣeto:
• Ṣiṣeto awọn olupese Intanẹẹti meji ni ipo ActiveStandby
Awọn ọna pupọ lo wa lati ṣe iṣẹ yii. Ọkan ninu wọn ni lati lo ẹrọ naa Abojuto ọna, eyi ti o di wa ti o bere lati version PAN-OS 8.0.0. Apeere yii nlo ẹya 8.0.16. Ẹya yii jẹ iru si IP SLA ni awọn olulana Sisiko. Awọn paramita ipa ọna aimi ni atunto fifiranṣẹ awọn apo-iwe ping si adiresi IP kan pato lati adirẹsi orisun kan pato. Ni idi eyi, ethernet1/1 ni wiwo pings ẹnu-ọna aiyipada ni ẹẹkan fun iṣẹju-aaya. Ti ko ba si idahun si awọn pings mẹta ni ọna kan, ọna naa ni a kà si fifọ ati yọ kuro lati tabili itọnisọna. Ọna kanna ni tunto si olupese Intanẹẹti keji, ṣugbọn pẹlu metiriki ti o ga julọ (o jẹ afẹyinti). Ni kete ti ipa ọna akọkọ ti yọ kuro lati tabili, ogiriina yoo bẹrẹ fifiranṣẹ ijabọ nipasẹ ọna keji - Ikuna-Lori. Nigbati olupese akọkọ ba bẹrẹ idahun si awọn pings, ipa ọna rẹ yoo pada si tabili ki o rọpo ọkan keji nitori metric to dara julọ - Ikuna-Pada. Ilana Ikuna-Lori gba iṣẹju diẹ ti o da lori awọn aaye arin ti a tunto, ṣugbọn, ni eyikeyi ọran, ilana naa kii ṣe lẹsẹkẹsẹ, ati ni akoko yii ijabọ ti sọnu. Ikuna-Pada koja lai isonu ti ijabọ. Anfani wa lati ṣe Ikuna-Lori yiyara, pẹlu B.F.D., ti o ba ti awọn Internet olupese pese iru anfani. B.F.D. atilẹyin ti o bere lati awoṣe PA-3000 jara и VM-100. O dara lati pato kii ṣe ẹnu-ọna olupese bi adiresi ping, ṣugbọn gbogbo eniyan, adirẹsi Ayelujara ti o wa nigbagbogbo.
• Ṣiṣẹda oju eefin ni wiwo
Ijabọ inu oju eefin naa jẹ gbigbe nipasẹ awọn atọkun foju foju pataki. Ọkọọkan wọn gbọdọ wa ni tunto pẹlu adiresi IP kan lati nẹtiwọọki irekọja. Ni yi apẹẹrẹ, awọn substation 1/172.16.1.0 yoo wa ni lo fun Tunnel-30, ati awọn substation 2/172.16.2.0 yoo ṣee lo fun Tunnel-30.
Ni wiwo oju eefin ni a ṣẹda ni apakan Nẹtiwọọki -> Awọn atọkun -> Eefin. O gbọdọ pato olulana foju kan ati agbegbe aabo, bakanna bi adiresi IP kan lati nẹtiwọki irinna ti o baamu. Nọmba wiwo le jẹ ohunkohun.
Ninu ori iwe To ti ni ilọsiwaju le ti wa ni pato Profaili isakosoeyiti yoo gba ping laaye lori wiwo ti a fun, eyi le wulo fun idanwo.
• Ṣiṣeto Profaili IKE
IKE Profaili jẹ iduro fun ipele akọkọ ti ṣiṣẹda asopọ VPN kan; awọn paramita oju eefin jẹ pato nibi IKE Ipele 1. Profaili ti ṣẹda ni apakan Nẹtiwọọki -> Awọn profaili Nẹtiwọọki -> IKE Crypto. O jẹ dandan lati pato algorithm fifi ẹnọ kọ nkan, algorithm hashing, ẹgbẹ Diffie-Hellman ati igbesi aye bọtini. Ni gbogbogbo, eka diẹ sii awọn algoridimu, iṣẹ ṣiṣe buru si; wọn yẹ ki o yan da lori awọn ibeere aabo kan pato. Sibẹsibẹ, ko ṣe iṣeduro muna lati lo ẹgbẹ Diffie-Hellman ni isalẹ 14 lati daabobo alaye ifura. Eyi jẹ nitori ailagbara ti ilana naa, eyiti o le dinku nikan nipasẹ lilo awọn iwọn module ti 2048 bits ati ti o ga julọ, tabi awọn algoridimu cryptography elliptic, eyiti a lo ni awọn ẹgbẹ 19, 20, 21, 24. Awọn algoridimu wọnyi ni iṣẹ ṣiṣe ti o ga julọ ni akawe si ibile cryptography. ... ATI .
• Ṣiṣeto Profaili IPSec
Ipele keji ti ṣiṣẹda asopọ VPN jẹ oju eefin IPSec. SA paramita fun o ti wa ni tunto ni Nẹtiwọọki -> Awọn profaili Nẹtiwọọki -> Profaili Crypto IPSec. Nibi o nilo lati pato ilana IPSec - AH tabi ESP, bakanna bi awọn paramita SA - awọn algoridimu hashing, fifi ẹnọ kọ nkan, awọn ẹgbẹ Diffie-Hellman ati igbesi aye bọtini. Awọn paramita SA ni IKE Crypto Profaili ati IPSec Profaili Crypto le ma jẹ kanna.
• Tito leto IKE Gateway
IKE Gateway - Eyi jẹ ohun kan ti o ṣe afihan olulana tabi ogiriina pẹlu eyiti a kọ oju eefin VPN kan. Fun oju eefin kọọkan o nilo lati ṣẹda tirẹ IKE Gateway. Ni idi eyi, awọn eefin meji ni a ṣẹda, ọkan nipasẹ olupese Intanẹẹti kọọkan. Ni wiwo ti njade ti o baamu ati adiresi IP rẹ, adiresi IP ẹlẹgbẹ, ati bọtini pinpin jẹ itọkasi. Awọn iwe-ẹri le ṣee lo bi yiyan si bọtini pinpin.
Eyi ti o ṣẹda tẹlẹ jẹ itọkasi nibi IKE Crypto Profaili. Awọn paramita ti ohun keji IKE Gateway iru, ayafi IP adirẹsi. Ti ogiriina Palo Alto Networks wa lẹhin olulana NAT, lẹhinna o nilo lati mu ẹrọ ṣiṣẹ NAT Traversal.
• Ṣiṣeto IPSec Eefin
IPSec Eefin jẹ ohun kan ti o pato awọn IPSec eefin paramita, bi awọn orukọ ni imọran. Nibi o nilo lati pato wiwo oju eefin ati awọn nkan ti o ṣẹda tẹlẹ IKE Gateway, IPSec Crypto Profaili. Lati rii daju yiyi iyipada laifọwọyi si oju eefin afẹyinti, o gbọdọ mu ṣiṣẹ Atẹle oju eefin. Eyi jẹ ẹrọ ti o ṣayẹwo boya ẹlẹgbẹ kan wa laaye nipa lilo ijabọ ICMP. Gẹgẹbi adiresi opin irin ajo, o nilo lati pato adiresi IP ti oju eefin oju eefin ti ẹlẹgbẹ pẹlu eyiti a ti kọ oju eefin naa. Profaili naa ṣalaye awọn aago ati kini lati ṣe ti asopọ ba sọnu. Duro Bọsipọ - duro titi asopọ yoo fi mu pada, Ikuna Lori - firanṣẹ ijabọ ni ọna ti o yatọ, ti o ba wa. Ṣiṣeto oju eefin keji jẹ iru patapata; wiwo oju eefin keji ati IKE Gateway ti wa ni pato.
• Ṣiṣeto ipa-ọna
Apẹẹrẹ yii nlo ipa ọna aimi. Lori ogiriina PA-1, ni afikun si awọn ipa ọna aiyipada meji, o nilo lati pato awọn ipa-ọna meji si subnet 10.10.10.0/24 ni ẹka naa. Ọna kan nlo Tunnel-1, Tunnel-2 miiran. Ọna nipasẹ Tunnel-1 jẹ akọkọ nitori pe o ni metiriki kekere kan. Ilana Abojuto ọna ko lo fun awọn ọna wọnyi. Lodidi fun yi pada Atẹle oju eefin.
Awọn ipa ọna kanna fun subnet 192.168.30.0/24 nilo lati tunto lori PA-2.
Ṣiṣeto awọn ofin nẹtiwọki
Fun oju eefin lati ṣiṣẹ, awọn ofin mẹta nilo:
- Lati ṣiṣẹ Atẹle ọna Gba ICMP laaye lori awọn atọkun ita.
- fun IPsec gba apps Ike и ipsec lori ita atọkun.
- Gba ijabọ laarin awọn subnets inu ati awọn atọkun oju eefin.
ipari
Nkan yii n jiroro lori aṣayan ti eto asopọ Intanẹẹti ọlọdun ẹbi ati Aaye-si-Aye VPN. A nireti pe alaye naa wulo ati pe oluka naa ni imọran ti awọn imọ-ẹrọ ti a lo ninu Palo Alto Networks. Ti o ba ni awọn ibeere nipa iṣeto ati awọn imọran lori awọn akọle fun awọn nkan iwaju, kọ wọn sinu awọn asọye, a yoo dun lati dahun.
orisun: www.habr.com