这篇文章是续篇 致力于设置设备的细节 Palo Alto Networks公司 。 这里我们想谈谈设置 IPSec 站点到站点 VPN 在设备上 Palo Alto Networks公司 以及连接多个互联网提供商的可能配置选项。
为了进行演示,将使用连接总部和分支机构的标准方案。 为了提供容错的 Internet 连接,总部使用两个提供商的同时连接:ISP-1 和 ISP-2。 该分支机构仅与一个提供商 ISP-3 连接。 防火墙PA-1和PA-2之间建立两条隧道。 隧道运行模式 主备,Tunnel-1 处于活动状态,当 Tunnel-2 出现故障时,Tunnel-1 将开始传输流量。 Tunnel-1 使用到 ISP-1 的连接,Tunnel-2 使用到 ISP-2 的连接。 所有 IP 地址都是随机生成的,用于演示目的,与现实无关。
要构建Site-to-Site VPN,将使用 安全 — 一组确保通过 IP 传输的数据受到保护的协议。 安全 将使用安全协议工作 ESP (封装安全有效负载),这将确保传输数据的加密。
В 安全 包括 IKE (互联网密钥交换)是负责协商 SA(安全关联)的协议,SA 是用于保护传输数据的安全参数。 PAN 防火墙支持 IKEv1 и IKEv2.
В IKEv1 VPN 连接分两个阶段构建: IKEv1 第 1 阶段 (IKE 隧道)和 IKEv1 第 2 阶段 (IPSec隧道),这样就创建了两条隧道,其中一条用于防火墙之间交换业务信息,第二条用于流量传输。 在 IKEv1 第 1 阶段 有两种操作模式 - 主模式和激进模式。 积极模式使用更少的消息并且速度更快,但不支持对等身份保护。
IKEv2 取代 IKEv1,并与 IKEv1 它的主要优点是较低的带宽要求和更快的 SA 协商。 在 IKEv2 使用更少的服务消息(总共 4 个),支持 EAP 和 MOBIKE 协议,并添加了一种机制来检查创建隧道的对等方的可用性 - 活性检查,取代 IKEv1 中的失效对等点检测。 如果检查失败,那么 IKEv2 可以重置隧道,然后第一时间自动恢复。 您可以了解更多差异 .
如果在不同厂家的防火墙之间建立隧道,那么在实施中可能会存在错误 IKEv2,并且为了与此类设备兼容,可以使用 IKEv1。 在其他情况下,最好使用 IKEv2.
设置步骤:
• 在ActiveStandby 模式下配置两个互联网提供商
有多种方法可以实现此功能。 其中之一是使用该机制 路径监控,从版本开始可用 泛操作系统 8.0.0。 本示例使用版本 8.0.16。 此功能类似于 Cisco 路由器中的 IP SLA。 静态默认路由参数配置从特定源地址向特定 IP 地址发送 ping 数据包。 在这种情况下,ethernet1/1 接口每秒 ping 默认网关一次。 如果连续 XNUMX 次 ping 没有响应,则认为该路由已损坏并从路由表中删除。 相同的路由配置为第二个互联网提供商,但具有更高的度量(它是备份路由)。 一旦从表中删除第一条路由,防火墙将开始通过第二条路由发送流量 - 故障转移。 当第一个提供商开始响应 ping 时,其路由将返回表并由于更好的指标而替换第二个提供商 - 故障恢复。 Процесс 故障转移 需要几秒钟的时间,具体取决于配置的时间间隔,但无论如何,该过程都不是瞬时的,并且在此期间流量会丢失。 故障恢复 无流量损失地通过。 有机会做 故障转移 更快,与 BFD,如果互联网提供商提供这样的机会。 BFD 支持从型号开始 PA-3000系列 и VM-100。 最好不要指定提供商的网关作为 ping 地址,而是指定一个始终可访问的公共 Internet 地址。
• 创建隧道接口
隧道内的流量通过特殊的虚拟接口进行传输。 它们中的每一个都必须配置有来自传输网络的 IP 地址。 在此示例中,变电站 1/172.16.1.0 将用于 Tunnel-30,变电站 2/172.16.2.0 将用于 Tunnel-30。
隧道接口在该部分中创建 网络 -> 接口 -> 隧道。 您必须指定虚拟路由器和安全区域,以及相应传输网络的 IP 地址。 接口号可以是任意值。
在第 高级 可以指定 管理层简介这将允许在给定接口上执行 ping 操作,这对于测试可能很有用。
• 设置 IKE 配置文件
IKE 配置文件 负责创建 VPN 连接的第一阶段;此处指定隧道参数 IKE 第一阶段。 配置文件是在该部分中创建的 网络 -> 网络配置文件 -> IKE 加密。 需要指定加密算法、散列算法、Diffie-Hellman 群和密钥生存期。 一般来说,算法越复杂,性能越差,应根据具体的安全需求进行选择。 但是,严格不建议使用低于 14 的 Diffie-Hellman 组来保护敏感信息。 这是由于协议的脆弱性,只能通过使用 2048 位及更高的模块大小或椭圆加密算法(在第 19、20、21、24 组中使用)来缓解。与其他算法相比,这些算法具有更高的性能传统密码学。 。 和 .
• 设置IPSec 配置文件
创建 VPN 连接的第二阶段是 IPSec 隧道。 它的SA参数配置在 网络 -> 网络配置文件 -> IPSec 加密配置文件。 这里需要指定IPSec协议 - AH 或 ESP,以及参数 SA — 散列算法、加密、Diffie-Hellman 组和密钥生命周期。 IKE加密模板和IPSec加密模板中的SA参数可能不相同。
• 配置 IKE 网关
IKE网关 - 这是一个指定用于构建 VPN 隧道的路由器或防火墙的对象。 对于每个隧道,您需要创建自己的隧道 IKE网关。 在这种情况下,将创建两条隧道,一条穿过每个 Internet 提供商。 指示对应的出接口及其IP地址、对端IP地址和共享密钥。 证书可以用作共享密钥的替代方案。
此处显示了先前创建的 IKE 加密配置文件。 第二个对象的参数 IKE网关 类似,但 IP 地址除外。 如果帕洛阿尔托网络防火墙位于 NAT 路由器后面,那么您需要启用该机制 NAT穿越.
• 设置IPSec 隧道
IPSec隧道 顾名思义,是一个指定 IPSec 隧道参数的对象。 这里需要指定隧道接口和之前创建的对象 IKE网关, IPSec 加密配置文件。 为了保证路由自动切换到备份隧道,必须使能 隧道监控器。 这是一种使用 ICMP 流量检查对等方是否处于活动状态的机制。 作为目的地址,需要指定建立隧道的对端隧道接口的IP 地址。 该配置文件指定计时器以及连接丢失时应采取的措施。 等待恢复 – 等待连接恢复, 故障转移 — 沿不同的路线发送流量(如果可用)。 设置第二条隧道完全相似;指定第二条隧道接口和 IKE 网关。
• 设置路由
本示例使用静态路由。 在PA-1防火墙上,除了两条默认路由外,还需要指定两条到分支机构10.10.10.0/24子网的路由。 一条路由使用 Tunnel-1,另一条路由使用 Tunnel-2。 通过 Tunnel-1 的路由是主要路由,因为它的度量较低。 机制 路径监控 不用于这些路线。 负责切换 隧道监控器.
PA-192.168.30.0 上需要配置子网 24/2 的相同路由。
• 设置网络规则
为了使隧道正常工作,需要三个规则:
- 若要 路径监视器 允许外部接口上的 ICMP。
- 为 安全 允许应用程序 艾克 и 网络安全 在外部接口上。
- 允许内部子网和隧道接口之间的流量。
结论
本文讨论设置容错 Internet 连接的选项以及 站点到站点VPN。 我们希望这些信息是有用的,并且读者能够了解所使用的技术 Palo Alto Networks公司。 如果您对设置有疑问以及对未来文章的主题有建议,请在评论中写下,我们将很乐意回答。
来源: habr.com