По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В этой статье произведем настройку туннеля IPSec между Palo Alto и Cisco ASA Firewall. Далее будет использован брандмауэр Palo Alto с прошивкой PANOS 8.1.10. Хотя, конфигурация почти такая же и в других версиях PANOS. Для понимания этой статьи вам необходимы базовые знания по IPSec VPN. Для настройки этой конфигурации вам не нужна дополнительная лицензия на обоих устройствах. Для настройки туннеля IPSec необходимо иметь статический маршрутизируемый IP- адрес. Итак, давайте начнем настройку!
Как настроить IPSec VPN между Cisco ASA и брандмауэром Palo Alto
Что нужно сделать - настроить туннель IPSec между Cisco ASA и брандмауэром Palo Alto
Как выше говорилось, вам понадобиться статический маршрутизируемый IP-адрес как в Palo Alto, так и в брандмауэре Cisco ASA. В этом примере я использую два маршрутизируемых IP- адреса на обоих брандмауэрах Palo Alto и Cisco ASA (между ними настроена связь, и они доступны друг другу). IP-адрес 1.1.1.1 настроен на брандмауэре Cisco ASA и 2.2.2.2 настроен на брандмауэре Palo Alto как показано ниже:
Как вы заметили, подсеть LAN 192.168.1.0/24 связана с Cisco ASA, а с другой стороны, подсеть LAN 192.168.2.0/24 связана с брандмауэром Palo Alto. Прежде чем перейти к части конфигурации, просто проверьте доступность обоих устройств с помощью утилиты ping.
admin@PA-220> ping host 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
64 bytes from 1.1.1.1: icmp_seq1 ttl=64 time=0.177 ms
64 bytes from 1.1.1.1: icmp_seq2 ttl=64 time=0.157 ms
Шаги по настройке туннеля IPSec на брандмауэре Palo Alto
Во-первых, мы настроим туннель IPSec на брандмауэре Palo Alto. Для настройки фазы 1 и фазы 2 туннеля IPSec в Palo Alto необходимо выполнить следующие действия.
Создание зоны безопасности на брандмауэре Palo Alto
Во-первых, нам нужно создать отдельную зону безопасности на брандмауэре Palo Alto. Для того чтобы настроить зону безопасности, вам нужно перейти Network >> Zones>> Add. Здесь вам нужно указать название зоны безопасности. Вы можете ввести любое удобное имя.
Создание туннельного интерфейса на брандмауэре Palo Alto
Вам необходимо определить отдельный виртуальный туннельный интерфейс для туннеля IPSec. Чтобы определить интерфейс туннеля, перейдите в раздел Network >> Interfaces>> Tunnel. Выберите виртуальный маршрутизатор, который в моем случае используется по умолчанию. Кроме того, в файле зоны безопасности необходимо выбрать зону безопасности, определенную на Шаге 1. Хотя для этого интерфейса вам не нужно указывать IP-адрес IPv4 или IPv6. Кроме того, вы можете прикрепить профиль управления на вкладке Advanced, если вам это нужно.
Определение IKE Crypto Profile [Фаза 1 туннеля IPSec]
Теперь вам нужно определить фазу 1 туннеля IPSec. Вам нужно зайти Network >> Network Profiles >> IKE Crypto >> Add. Здесь вам нужно дать дружественное имя для IKE Crypto profile. Затем определите DH группу, метод шифрования и аутентификации. По умолчанию срок службы ключа составляет 8 часов. Вы можете изменить его в соответствии с вашим требованием.
Определение Crypto Profile IPSec [Фаза 2 туннеля IPSec]
Теперь вам нужно определить фазу 2 туннеля IPSec. Вам нужно перейти Network>> Network Profiles >> IPSec Crypto >> Add. Здесь, вы должны дать понятное имя для профиля шифрования по протоколу IPSec. Выберите протокол IPsec в соответствии с вашими требованиями. У вас есть ESP (Encapsulation Security Protocol) и AH (Authentication Header) протокол для IPSec. Затем определите группу DH, метод шифрования и аутентификации. По умолчанию срок службы ключа составляет 1 час. Вы можете изменить его в соответствии с вашим требованием.
Определение профиля шлюза IKE
Теперь вам нужно перейти Network >> Network Profiles >> IKE Gateways >> Add. На вкладке Общие (General) необходимо определить имя профиля шлюза IKE. В поле Interface вам нужно ввести/определить свой интернет-интерфейс, в моем случае ethernet1/1, который имеет IP-адрес 2.2.2.2. Установите переключатель в поле Peer IP Address Type в IP. Укажите адрес в поле Peer address, в моем случае 1.1.1.1. Выберите метод аутентификации в поле Authentication, т. е. выберите или общий ключ (Pre Shared Key) или сертификат (Certificate). В этом сценарии я использую предварительный общий ключ (Pre-shared Key). Затем определите предварительный общий ключ (Pre-shared Key) и запишите его, потому что он нужен для определения в FortiGate Firewall. Введите в поля Local Identification и Peer Identification локальный и удаленный IP-адреса.
Нажмите на Advanced Option, в IKEv1 выберите Ike Crypto Profile, который определяется на Шаге 3.
Создание туннеля IPSec
Мы определили шлюз IKE и IPSec Crypto profile для нашего туннеля IPSec. Теперь мы должны определить туннель IPSec. Перейдите в раздел Network >> IPSec Tunnels >> Add. Определите удобное имя для туннеля IPSec. Затем выберите туннельный интерфейс, который определен в шаге 2. Выберите профили для Ike Gateway и IPsec Crypto Profile, которые определены в шаге 3 и шаге 5 соответственно.
Перейдите на вкладку идентификаторы (IDs) прокси-серверов и определите локальные и удаленные сети. В этом сценарии я использую подсети 192.168.1.0/24 и 192.168.2.0/24 в LAN.
Создание политики безопасности для туннельного трафика IPSec
Теперь вам нужно создать профиль безопасности, который позволяет передавать трафик из зоны VPN в зону доверия. Вам нужно перейти Policies >> Security >> Add, чтобы определить новую политику.
Настройка маршрута для одноранговой частной сети
Теперь вам нужно предоставить статический маршрут для частной сети. Просто перейдите в раздел Network >> Virtual Routers >> Default >> Static Routes >> Add. Выберите имя для этого маршрута и определите целевую сеть для этого маршрута, т.е. 192.168.1.0/24 в данном примере. Выберите следующий переход к туннельному интерфейсу, который определен в шаге 2.
Мы закончили настройку туннеля IPSec в брандмауэре Palo Alto. Теперь мы настроим туннель IPSec в FortiGate Firewall.
Этапы настройки туннеля IPSec в брандмауэре Cisco ASA
Теперь мы настроим туннель IPSec в брандмауэре Cisco ASA. Здесь, в этом примере, я использую программное обеспечение Cisco ASA версии 9.8 (1). Хотя конфигурация туннеля IPSec такая же и в других версиях.
Ниже показаны основные шаги настройки IPSec на Cisco ASA:
Настройка фазы 1 (IKEv1)
Определение туннельной группы (Tunnel Group) и предварительного общего ключа (Pre-Shared Key)
Настройка фазы 2 (IPSec)
Настройка расширенного ACL (Extended ACL) и криптографической карты (Crypto Map)
Итак, давайте начнем настройку с настройки фазы 1 Cisco ASA. Перейдите в режим глобальной конфигурации Cisco ASA и начните с приведенных ниже команд
Настройка фазы 1 (IKEv1) на Cisco ASA
ciscoasa(config)# crypto ikev1 enable outside
ciscoasa(config)# crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)# authentication pre-share
ciscoasa(config-ikev1-policy)# encryption 3des
ciscoasa(config-ikev1-policy)# hash md5
ciscoasa(config-ikev1-policy)# group 2
ciscoasa(config-ikev1-policy)# lifetime 7200
Теперь давайте быстро разберемся в значении каждой команды.
Encryption: 3des – используется для шифрования трафика фазы 1
Хэш: md5 – это алгоритм хеширования. Он аутентифицирует наши данные с помощью хэша
Group: 2 – Диффи Хеллман группа 2
Authentication – в этом примере мы используем предварительный общий ключ в качестве аутентификации
Lifetime: 7200 – 86400 срок службы по умолчанию для Фазы 1
В Cisco ASA нам нужно включить криптографию IKEv1 к интерфейсу, обращенному к интернету. Итак, мы можем сделать это с помощью приведенной ниже команды:
ciscoasa(config)# crypto ikev1 enable outside
Настройка туннельной группы и предварительного общего ключа на Cisco ASA
Теперь нам нужно определить туннельный интерфейс и предварительный общий ключ. В этой статье я использую сеть GNS3 в качестве предварительного общего ключа.
ciscoasa(config)# tunnel-group 2.2.2.2 type ipsec-l2l
ciscoasa(config)# tunnel-group 2.2.2.2 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key GNS3Network
Настройка IPSec IKEv1 (Фаза 2)
Здесь нам нужно определить методы шифрования и аутентификации для IPSec Фазы 2
ciscoasa(config-ikev1-policy)# crypto ipsec ikev1 transform-set ESP-AES-SHA esp-3des esp-md5-hmac
ciscoasa(config)# crypto ipsec security-association lifetime seconds 7200
А теперь давайте быстро разберемся в каждой команде.
ESP: ESP означает инкапсулирование полезной нагрузки безопасности, и это протокол IPSec
3DES: 3DES – это один из алгоритмов шифрования
MD5: MD5 – это алгоритм хеширования, который используется для поддержания целостности данных
7200 секунд: срок службы ключа IPSec Phase2
Настройка криптографической карты (Crypto MAP) и расширенного ACL (Extended ACL) для разрешения трафика IPSec на Cisco ASA
Это заключительный этап нашей конфигурации. Здесь нам нужно определить расширенный ACL, чтобы разрешить трафик. Кроме того, здесь нам нужно настроить криптокарту и вызвать настроенную криптокарту на внешний интерфейс. Я настраиваю два адресных объекта для упрощения списка управления доступом (ACL).
Адресный объект и расширенный ACL для разрешения трафика
ciscoasa(config)# object-group network local-network
ciscoasa(config-network-object-group)# network-object 192.168.1.0 255.255.255.0
ciscoasa(config-network-object-group)# object-group network remote-network
ciscoasa(config-network-object-group)# network-object 192.168.2.0 255.255.255.0
ciscoasa(config-network-object-group)# access-list asa-paloalto-vpn extended permit ip object-group local-network object-group remote-network
Настройка криптографической карты
ciscoasa(config)# crypto map outside_map 10 match address asa-paloalto-vpn
ciscoasa(config)# crypto map outside_map 10 set pfs group2
ciscoasa(config)# crypto map outside_map 10 set peer 2.2.2.2
ciscoasa(config)# crypto map outside_map 10 set ikev1 transform-set ESP-ASE-SHA
Включение криптокарты на внешнем интерфейсе
ciscoasa(config)# crypto map outside_map interface outside
Инициирование туннеля IPSec и проверка трафика с помощью Wireshark
На этом этапе мы просто должны инициировать трафик по туннелю IPSec. Если обе фазы туннеля IPSec работают, то ваша настройка идеальна. Итак, давайте получим доступ к CLI брандмауэра Palo Alto и инициируем туннель IPSec:
admin@PA-VM>test vpn ipsec-sa
admin@PA-VM>test vpn ipsec-sa
Теперь давайте получим доступ к туннелям Device >> IPSec и проверим состояние только что созданного туннеля IPSec! Если оба фазовых туннеля находятся в состоянии UP, то они будут выглядеть так, как показано на рисунке ниже:
А теперь давайте запустим трафик с одного из брандмауэров. Я инициирую движения в направлении Palo Alto межсетевой экран от Cisco ASA.
ciscoasa# ping 192.168.2.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
?!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 30/30/30 ms
Первый пакет отбрасывается только из-за запроса и ответа ARP. Больше никакой пакет не будет отброшен.
Необязательно: если вы пытаетесь инициировать трафик от IP интерфейса Cisco ASA (т.е. в данном примере), вам нужно разрешить доступ управления к подсети.
ciscoasa(config)# management-access inside
Устранение неполадок в туннеле IPSec
В этой части этой статьи мы обсудим некоторые основные команды, которые помогут вам устранить неполадки туннеля IPSec, настроенного между Cisco ASA и маршрутизатором Cisco.
Устранение неполадок туннеля IPSec на брандмауэре Cisco ASA
ciscoasa# show running-config ipsec
ciscoasa# show running-config crypto ikev1
ciscoasa# show running-config crypto map
Устранение неполадок IPSec-туннель на брандмауэре Palo Alto
Давайте откроем Monitor >> System и воспользуемся фильтром "(subtype eq vpn)". Здесь вы найдете все журналы, связанные с VPN.
Если у вас возникли проблемы с туннелем IPSec, вы можете использовать следующие команды для запуска туннеля IPSec:
admin@PA-CM>test vpn ipsec-sa
admin@PA-CM>test vpn ipsec-sa
Анализ трафика IPSec через Wireshark
Во время настройки туннеля IPSec мы определили ESP (Encapsulating Security Payload) как протокол IPsec, поэтому весь реальный трафик, который идет к одноранговому концу, будет зашифрован с помощью этого протокола. Таким образом, вы найдете только ESP- пакеты в захвате пакетов, как показано ниже
Резюме
В этой статье мы настраиваем туннель IPSec между брандмауэром Cisco ASA и брандмауэром следующего поколения Palo Alto. Мы также обсудили алгоритмы шифрования и аутентификации. Однако для настройки IPSec VPN между двумя удаленными сетями необходимо использовать статические маршрутизируемые IP-адреса.
Мы уже рассказывали про Asterisk Manager Interface (AMI) в предыдущих статьях. Если кратко – AMI интерфейс служит для получения команд от внешних приложений на управление АТС – инициацию вызовов, например.
Как правило, приложения, которые используют AMI именно внешние и подключаются с других хостов. Именно поэтому, необходимо наверняка знать – работает ли AMI корректно? Об это и поговорим.
Windows: проверка Telnet
Самый просто способ проверки – проверка с помощью Telnet. Нам нужно просто указать IP – адрес и порт AMI (как правило, это 5038, если не меняли) и выполнить телнет коннекцию.
Проверку надежнее всего проводить с хоста, с которого будет подключаться ваше приложение, так как AMI имеет возможность фильтрации по IP;
В качестве клиента мы воспользуемся Putty. Открываем клиент и указываем следующее:
Host Name (or IP address) - IP – адрес вашего сервера с Asterisk;
Port - 5038, стандартный порт AMI (если вы его не меняли);
Connection Type - отмечаем Telnet;
Выполняем подключение. Если все работает хорошо, то вы увидите следующее:
Linux: проверка Telnet
Если вы хотите выполнить проверку с Linux – based машины, то просто дайте следующую команду в консоли:
[admin@merionet ~]# telnet 192.168.1.14 5038
Trying 192.168.1.14...
Connected to localhost.
Escape character is '^]'.
Asterisk Call Manager/2.8.0
Третья часть тут
Поскольку трафик в реальном времени начал передаваться по сетям с коммутацией пакетов, QoS стал серьезной проблемой. Передача голоса и видео полагается на то, что сеть способна быстро переносить трафик между хостами (с низкой задержкой) и с небольшими колебаниями межпакетного разнесения (jitter). Дискуссии вокруг QoS фактически начались в первые дни сети с коммутацией пакетов, но достигли высшей точки примерно в то время, когда рассматривался ATM. На самом деле, одним из главных преимуществ ATM была возможность тщательно контролировать способ, которым обрабатывались пакеты, когда они передавались по сети с коммутацией пакетов.
С провалом ATM на рынке, появились два направления идей о приложениях, которые требуют сильного контроля над jitter и delay:
Эти приложения никогда не будут работать в сетях с коммутацией пакетов. Такого рода приложения всегда должны запускаться в отдельной сети.
Это просто поиск правильного набора элементов управления QoS, чтобы позволить таким приложениям работать в сетях с коммутацией пакетов.
Основное, что больше всего волновало большинство провайдеров и инженеров, была голосовая связь, и основной вопрос сводился к следующему: можно ли обеспечить приличную голосовую связь по сети, также передающей большие файлы и другой "nonreal - time" трафик? Были изобретены сложные схемы, позволяющие классифицировать и маркировать пакеты (называемые QoS-маркировкой), чтобы сетевые устройства знали, как правильно их обрабатывать. Картографические системы были разработаны для переноса этих маркировок QoS из одного типа сети в другой, и много времени и усилий было вложено в исследование механизмов массового обслуживания-порядка, в котором пакеты отправляются по интерфейсу. На рис. 1 показана примерная диаграмма одной системы QoS, и сопоставления между приложениями и маркировками QoS будет достаточно, чтобы проиллюстрировать сложность этих систем.
Увеличение скорости связи оказывают двойной эффект на обсуждение QoS:
Более быстрые каналы связи будут (это очевидно) нести больше данных. Поскольку любой отдельный голосовой и видеопоток становится сокращающейся частью общего использования полосы пропускания, необходимость строго сбалансировать использование полосы пропускания между различными приложениями стала менее важной.
Время, необходимое для перемещения пакета из памяти в провод через микросхему, уменьшается с каждым увеличением пропускной способности.
По мере того, как доступная пропускная способность увеличивалась, потребность в сложных стратегиях массового обслуживания для противодействия jitter становилась все менее значимой. Это увеличение скорости было дополнено новыми системами массового обслуживания, которые гораздо эффективнее управляют различными видами трафика, уменьшая необходимость маркировки и обработки трафика детализированным способом.
Такое увеличение пропускной способности часто обеспечивалось переходом от медного волокна к стекловолокну. Оптоволокно не только обеспечивает большую полосу пропускания, но и более надежную передачу данных. Способ построения физических связей также эволюционировал, делая их более устойчивыми к поломкам и другим материальным проблемам. Вторым фактором, увеличивающим доступность полосы пропускания, стал рост Интернета. По мере того, как сети становились все более распространенными и более связанными, отказ одного канала оказывал меньшее влияние на объем доступной полосы пропускания и на потоки трафика по сети.
Поскольку процессоры стали быстрее, появилась возможность разрабатывать системы, в которых отброшенные и задержанные пакеты будут иметь меньшее влияние на качество потока в реальном времени. Увеличение скорости процессора также позволило использовать очень эффективные алгоритмы сжатия, уменьшая размер каждого потока. На стороне сети более быстрые процессоры означали, что control plane могла быстрее вычислять набор loop-free путей через сеть, уменьшая как прямые, так и косвенные последствия сбоев связи и устройств.
В конечном счете, хотя QoS все еще важен, его можно значительно упростить. Четырех-шести очередей часто бывает достаточно для поддержки даже самых сложных приложений. Если требуется больше, некоторые системы теперь могут либо проектировать потоки трафика через сеть, либо активно управлять очередями, чтобы сбалансировать сложность управления очередями и поддержки приложений.
Централизованный Control Plane - есть ли смысл?
В 1990-х годах, чтобы решить многие из предполагаемых проблем с сетями с коммутацией пакетов, таких как сложные плоскости управления и управление QoS, исследователи начали работать над концепцией, называемой активной сетью. Общая идея состояла в том, что плоскость управления для сети с коммутацией пакетов может и должна быть отделена от устройств пересылки, чтобы позволить сети взаимодействовать с приложениями, запущенными поверх нее.
Базовая концепция более четкого разделения плоскостей управления и данных в сетях с коммутацией пакетов была вновь рассмотрена при формировании рабочей группы по переадресации и разделению элементов управления (ForCES) в IETF. Эта рабочая группа в основном занималась созданием интерфейса, который приложения могли бы использовать для установки пересылки информации на сетевые устройства. Рабочая группа была в конечном итоге закрыта в 2015 году, и ее стандарты никогда не применялись широко.
В 2006 году исследователи начали эксперимент с плоскостями управления в сетях с коммутацией пакетов без необходимости кодирования модификаций на самих устройствах- особая проблема, поскольку большинство этих устройств продавались поставщиками как неизменяемые устройства (или black boxes). Конечным результатом стал OpenFlow, стандартный интерфейс, который позволяет приложениям устанавливать записи непосредственно в таблицу пересылки (а не в таблицу маршрутизации). Исследовательский проект был выбран в качестве основной функции несколькими поставщиками, и широкий спектр контроллеров был создан поставщиками и проектами с открытым исходным кодом. Многие инженеры считали, что технология OpenFlow позволила бы реконструировать инженерные сети за счет централизации управления.
В реальности, все будет по-иному-то, что, скорее всего, произойдет в мире сетей передачи данных: лучшие части централизованной control plane будут поглощены существующими системами, а полностью централизованная модель будет выброшена на обочину, оставив на своем пути измененные представления о том, как control plane взаимодействует с приложениями и сетью в целом.