這篇文章是續篇 致力於設定設備的細節 帕洛阿爾托網絡 。 這裡我們想談談設置 IPSec 站台到站台 VPN 在設備上 帕洛阿爾托網絡 以及連接多個網際網路供應商的可能設定選項。
為了進行演示,將使用連接總部和分公司的標準方案。 為了提供容錯的 Internet 連接,總部使用兩個提供者的同時連接:ISP-1 和 ISP-2。 該分公司僅與一個提供者 ISP-3 連接。 防火牆PA-1和PA-2之間建立兩條隧道。 隧道運作模式 主備,Tunnel-1 處於活動狀態,當 Tunnel-2 發生故障時,Tunnel-1 將開始傳輸流量。 Tunnel-1 使用到 ISP-1 的連接,Tunnel-2 使用到 ISP-2 的連接。 所有 IP 位址都是隨機產生的,用於演示目的,與現實無關。
要建置Site-to-Site VPN,將使用 IPSec的 — 一組確保透過 IP 傳輸的資料受到保護的協定。 IPSec的 將使用安全協定工作 ESP (封裝安全有效負載),這將確保傳輸資料的加密。
В IPSec的 包括 IKE (網際網路金鑰交換)是負責協商 SA(安全關聯)的協議,SA 是用於保護傳輸資料的安全參數。 PAN 防火牆支援 IKEv1 и IKEv2.
В IKEv1 VPN 連線分兩個階段建置: IKEv1 第 1 階段 (IKE 隧道)和 IKEv1 第 2 階段 (IPSec隧道),這樣就創建了兩條隧道,其中一條用於防火牆之間交換業務訊息,第二條用於流量傳輸。 在 IKEv1 第 1 階段 有兩種操作模式 - 主模式和激進模式。 積極模式使用更少的訊息並且速度更快,但不支援對等身分保護。
IKEv2 來取代 IKEv1,並與 IKEv1 它的主要優點是較低的頻寬要求和更快的 SA 協商。 在 IKEv2 使用更少的服務訊息(總共 4 個),支援 EAP 和 MOBIKE 協議,並添加了一種機制來檢查創建隧道的對等方的可用性 - 活性檢查,取代 IKEv1 中的失效對等點偵測。 如果檢查失敗,那麼 IKEv2 可以重置隧道,然後第一時間自動恢復。 您可以了解更多差異 .
如果在不同廠商的防火牆之間建立隧道,那麼在實施中可能會存在錯誤 IKEv2,並且為了與此類設備兼容,可以使用 IKEv1。 在其他情況下,最好使用 IKEv2.
設定步驟:
• 在ActiveStandby 模式下設定兩個網路供應商
有多種方法可以實現此功能。 其中之一是使用該機制 路徑監控,從版本開始可用 泛作業系統 8.0.0。 本範例使用版本 8.0.16。 此功能類似於 Cisco 路由器中的 IP SLA。 靜態預設路由參數配置從特定來源位址向特定 IP 位址發送 ping 封包。 在這種情況下,ethernet1/1 介面每秒 ping 預設閘道一次。 如果連續 XNUMX 次 ping 沒有回應,則認為該路由已損壞並從路由表中刪除。 相同的路由配置為第二個互聯網供應商,但具有更高的度量(它是備份路由)。 一旦從表中刪除第一條路由,防火牆將開始透過第二條路由發送流量 - 故障轉移。 當第一個提供者開始回應 ping 時,其路由將返回表並由於更好的指標而替換第二個提供者 - 故障恢復. 普羅什科 故障轉移 需要幾秒鐘的時間,具體取決於配置的時間間隔,但無論如何,該過程都不是瞬時的,並且在此期間流量會丟失。 故障恢復 無流量損失地通過。 有機會做 故障轉移 更快,與 BFD,如果網路供應商提供這樣的機會。 BFD 支援從型號開始 PA-3000系列 и VM-100。 最好不要指定提供者的網關作為 ping 位址,而是指定始終可存取的公共 Internet 位址。
• 建立隧道介面
隧道內的流量透過特殊的虛擬介面進行傳輸。 它們中的每一個都必須配置來自傳輸網路的 IP 位址。 在此範例中,變電站 1/172.16.1.0 將用於 Tunnel-30,變電站 2/172.16.2.0 將用於 Tunnel-30。
隧道介面在該部分中創建 網路 -> 介面 -> 隧道。 您必須指定虛擬路由器和安全區域,以及對應傳輸網路的 IP 位址。 介面號可以是任意值。
在第 高級 可以指定 管理層簡介這將允許在給定介面上執行 ping 操作,這對於測試可能很有用。
• 設定 IKE 設定檔
IKE 設定檔 負責建立 VPN 連線的第一階段;此處指定隧道參數 IKE 第一階段。 配置檔案是在該部分中建立的 網路 -> 網路設定檔 -> IKE 加密。 需要指定加密演算法、雜湊演算法、Diffie-Hellman 群和金鑰生存期。 一般來說,演算法越複雜,效能越差,應根據具體的安全需求進行選擇。 但是,嚴格不建議使用低於 14 的 Diffie-Hellman 組來保護敏感資訊。 這是由於協定的脆弱性,只能透過使用2048 位元及更高的模組大小或在第19、20、21、24 組中使用的橢圓加密演算法來緩解。與其他演算法相比,這些演算法具有更高的性能傳統密碼學。 。 和 .
• 設定IPSec 設定檔
建立 VPN 連線的第二階段是 IPSec 隧道。 它的SA參數配置在 網路 -> 網路設定檔 -> IPSec 加密設定檔。 這裡需要指定IPSec協定 - AH 或 ESP,以及參數 SA — 雜湊演算法、加密、Diffie-Hellman 群組和金鑰生命週期。 IKE加密模板和IPSec加密模板中的SA參數可能不相同。
• 設定 IKE 網關
IKE網關 - 這是一個指定用於建置 VPN 隧道的路由器或防火牆的物件。 對於每個隧道,您需要建立自己的隧道 IKE網關。 在這種情況下,將建立兩個隧道,一條穿過每個 Internet 提供者。 指示對應的出接口及其IP位址、對端IP位址和共用金鑰。 證書可以用作共享密鑰的替代方案。
此處顯示了先前建立的 IKE 加密設定檔。 第二個物件的參數 IKE網關 類似,但 IP 位址除外。 如果帕洛阿爾托網路防火牆位於 NAT 路由器後面,那麼您需要啟用該機制 NAT穿越.
• 設定IPSec 隧道
IPSec隧道 顧名思義,是一個指定 IPSec 隧道參數的物件。 這裡需要指定隧道介面和之前建立的對象 IKE網關, IPSec 加密設定檔。 為了確保路由自動切換到備援隧道,必須使能 隧道監控器。 這是一種使用 ICMP 流量檢查對等方是否存活的機制。 作為目的位址,需要指定建立隧道的對端隧道介面的IP 位址。 此設定檔指定計時器以及連線遺失時應採取的措施。 等待恢復 – 等待連線恢復, 故障轉移 — 沿著不同的路線發送流量(如果可用)。 設定第二條隧道完全相似;指定第二條隧道介面和 IKE 閘道。
• 設定路由
本範例使用靜態路由。 在PA-1防火牆上,除了兩條預設路由外,還需要指定兩條到分公司10.10.10.0/24子網路的路由。 一條路由使用 Tunnel-1,另一條路由使用 Tunnel-2。 通過 Tunnel-1 的路由是主要路由,因為它的度量較低。 機制 路徑監控 不用於這些路線。 負責切換 隧道監控器.
PA-192.168.30.0 上需要設定子網路 24/2 的相同路由。
• 設定網路規則
為了使隧道正常工作,需要三個規則:
- 若要 路徑監視器 允許外部介面上的 ICMP。
- 為 IPSec的 允許應用程式 IKE и 安全協議 在外部介面上。
- 允許內部子網路和隧道介面之間的流量。
結論
本文討論設定容錯 Internet 連線的選項以及 站點到站點 VPN。 我們希望這些資訊是有用的,並且讀者能夠了解所使用的技術 帕洛阿爾托網絡。 如果您對設定有疑問以及對未來文章的主題有建議,請在評論中寫下,我們將很樂意回答。
來源: www.habr.com