Aracılığıyla paylaş

Şirket içinden CloudSimple VPN ağ geçidine yüksek kullanılabilirlik bağlantısı yapılandırma

  • Makale

Ağ yöneticileri, şirket içi ortamlarından CloudSimple VPN ağ geçidine yüksek kullanılabilirlik IPsec Siteden Siteye VPN bağlantısı yapılandırabilir.

Bu kılavuz, IPsec Siteden Siteye VPN yüksek kullanılabilirlik bağlantısı için şirket içi güvenlik duvarı yapılandırma adımlarını sunar. Ayrıntılı adımlar, şirket içi güvenlik duvarının türüne özeldir. Örnek olarak, bu kılavuzda iki tür güvenlik duvarı için adımlar verilmiştir: Cisco ASA ve Palo Alto Networks.

Başlamadan önce

Şirket içi güvenlik duvarını yapılandırmadan önce aşağıdaki görevleri tamamlayın.

  1. Kuruluşunuzun gerekli düğümleri sağladığını ve en az bir CloudSimple Özel Bulutu oluşturduğunu doğrulayın.
  2. Şirket içi ağınızla CloudSimple Özel Bulutunuz arasında Siteden Siteye VPN ağ geçidi yapılandırın.

Desteklenen 1. aşama ve 2. aşama teklifleri için bkz. VPN ağ geçitlerine genel bakış .

Şirket içi Cisco ASA güvenlik duvarını yapılandırma

Bu bölümdeki yönergeler Cisco ASA sürüm 8.4 ve üzeri için geçerlidir. Yapılandırma örneğinde Cisco Adaptive Security Appliance Yazılım Sürüm 9.10, IKEv1 modunda dağıtılır ve yapılandırılır.

Siteden Siteye VPN'nin çalışması için, şirket içi Cisco ASA VPN ağ geçidinin dış arabiriminde CloudSimple birincil ve ikincil genel IP'sinden (eş IP) UDP 500/4500 ve ESP'ye (IP protokolü 50) izin vermelisiniz.

1. Aşama 1'i (IKEv1) yapılandırma

Dış arabirimde 1. aşamayı (IKEv1) etkinleştirmek için Cisco ASA güvenlik duvarında aşağıdaki CLI komutunu girin.

crypto ikev1 enable outside

2. IKEv1 ilkesi oluşturma

Karma, kimlik doğrulaması, Diffie-Hellman grubu, yaşam süresi ve şifreleme için kullanılacak algoritmaları ve yöntemleri tanımlayan bir IKEv1 ilkesi oluşturun.

crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800

3. Tünel grubu oluşturma

IPsec öznitelikleri altında bir tünel grubu oluşturun. Eş IP adresini ve Siteden Siteye VPN ağ geçidinizi yapılandırırken ayarladığınız önceden paylaşılan tünel anahtarını yapılandırın.

tunnel-group <primary peer ip> type ipsec-l2l
tunnel-group <primary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

tunnel-group <secondary peer ip> type ipsec-l2l
tunnel-group <secondary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

4. 2. Aşamayı (IPsec) yapılandırma

2. aşamayı (IPsec) yapılandırmak için, şifrelenecek ve tünel oluşturulacak trafiği tanımlayan bir erişim denetim listesi (ACL) oluşturun. Aşağıdaki örnekte, ilgi çekici trafik, şirket içi yerel alt ağdan (10.16.1.0/24) Özel Bulut uzak alt ağından (192.168.0.0/24) alınan tünelden kaynaklanır. Siteler arasında birden çok alt ağ varsa, ACL birden çok giriş içerebilir.

Cisco ASA 8.4 ve sonraki sürümlerinde, ağlar, alt ağlar, konak IP adresleri veya birden çok nesne için kapsayıcı görevi görecek nesneler veya nesne grupları oluşturulabilir. Yerel ve uzak alt ağlar için bir nesne oluşturun ve bunları şifreleme ACL'si ve NAT deyimleri için kullanın.

Şirket içi yerel alt ağı nesne olarak tanımlama

object network AZ_inside
subnet 10.16.1.0 255.255.255.0

CloudSimple uzak alt akını nesne olarak tanımlama

object network CS_inside
subnet 192.168.0.0 255.255.255.0

İlgi çekici trafik için erişim listesi yapılandırma

access-list ipsec-acl extended permit ip object AZ_inside object CS_inside

5. Dönüşüm kümesini yapılandırma

anahtar sözcüğünü ikev1içermesi gereken dönüştürme kümesini (TS) yapılandırın. TS'de belirtilen şifreleme ve karma öznitelikleri , CloudSimple VPN ağ geçitleri için varsayılan yapılandırma bölümünde listelenen parametrelerle eşleşmelidir.

crypto ipsec ikev1 transform-set devtest39 esp-aes-256 esp-sha-hmac

6. Şifreleme haritasını yapılandırma

Şu bileşenleri içeren şifreleme haritasını yapılandırın:

  • Eş IP adresi
  • İlgilenen trafiği içeren tanımlı ACL
  • Dönüştürme Kümesi
crypto map mymap 1 set peer <primary peer ip> <secondary peer ip>
crypto map mymap 1 match address ipsec-acl
crypto map mymap 1 set ikev1 transform-set devtest39

7. Şifreleme haritasını uygulama

Şifreleme haritasını dış arabirime uygulayın:

crypto map mymap interface outside

8. Geçerli NAT kurallarını onaylayın

Aşağıdaki, kullanılan NAT kuralıdır. VPN trafiğinin başka bir NAT kuralına tabi olmadığından emin olun.

nat (inside,outside) source static AZ_inside AZ_inside destination static CS_inside CS_inside

Cisco ASA'dan örnek IPsec Siteden Siteye VPN çıktısı oluşturuldu

1. Aşama çıkışı:

Cisco ASA güvenlik duvarı için 1. aşama çıkışı

2. Aşama çıkışı:

Cisco ASA güvenlik duvarı için 2. aşama çıkışı

Şirket içi Palo Alto Networks güvenlik duvarını yapılandırma

Bu bölümdeki yönergeler Palo Alto Networks sürüm 7.1 ve üzeri için geçerlidir. Bu yapılandırma örneğinde Palo Alto Networks VM-Series Software Version 8.1.0 IKEv1 modunda dağıtılır ve yapılandırılır.

Siteden Siteye VPN'nin çalışması için, şirket içi Palo Alto Networks ağ geçidinin dış arabiriminde CloudSimple birincil ve ikincil genel IP'sinden (eş IP) UDP 500/4500 ve ESP'ye (IP protokolü 50) izin vermelisiniz.

1. Birincil ve ikincil tünel arabirimleri oluşturma

Palo Alto güvenlik duvarında oturum açın, >Arabirimleri>Tünel>Ekle'yi seçin, aşağıdaki alanları yapılandırın ve Tamam'a tıklayın.

  • Arabirim Adı. İlk alan otomatik olarak 'tunnel' anahtar sözcüğüyle doldurulur. Bitişik alana 1 ile 9999 arasında bir sayı girin. Bu arabirim, şirket içi veri merkezi ile Özel Bulut arasında Siteden Siteye trafiği taşımak için birincil tünel arabirimi olarak kullanılacaktır.
  • Yorum. Tünelin amacının kolay tanımlanması için açıklamalar girin
  • Netflow Profili. Varsayılan olarak bırakın.
  • Config. Arabirimi Ata: Sanal Yönlendirici: Varsayılanı seçin. Güvenlik Bölgesi: Güvenilen LAN trafiği için bölgeyi seçin. Bu örnekte LAN trafiği için bölgenin adı 'Güven' şeklindedir.
  • IPv4. Ekle'ye tıklayın ve ortamınızda birincil tünel arabirimine atanacak ve tünelleri izlemek için kullanılacak (daha sonra açıklanacaktır) kullanılmayan /32 ip adreslerini ekleyin.

Bu yapılandırma yüksek kullanılabilirlik VPN'leri için olduğundan iki tünel arabirimi gerekir: Bir birincil ve bir ikincil. İkincil tünel arabirimini oluşturmak için önceki adımları yineleyin. Farklı bir tünel kimliği ve farklı bir kullanılmayan /32 ip adresi seçin.

2. Siteden Siteye VPN üzerinden ulaşılacak Özel Bulut alt ağları için statik yollar ayarlayın

Şirket içi alt ağların CloudSimple özel bulut alt ağlarına ulaşması için yollar gereklidir.

>Sanal Yönlendiricileri>varsayılan>Statik Yollar>Ekle'yi seçin, aşağıdaki alanları yapılandırın ve Tamam'a tıklayın.

  • Adı. Yolun amacının kolay tanımlanması için herhangi bir ad girin.
  • Hedef. Şirket içinden S2S tünel arabirimleri üzerinden ulaşılacak CloudSimple özel bulut alt ağlarını belirtin
  • Arabirim. Açılan listeden 1. adımda (Bölüm-2) oluşturulan birincil tünel arabirimini seçin. Bu örnekte tunnel.20 şeklindedir.
  • Sonraki Atlama. Hiçbiri seçeneğini belirtin.
  • uzaklığı Yönetici. Varsayılan olarak bırakın.
  • Metrik. 1 ile 65535 arasından herhangi bir değer girin. Anahtar, birincil tünel arabirimine karşılık gelen yol için eski yolu tercih eden ikincil tünel arabirimine göre daha düşük ölçüm girmektir. tunnel.20, tunnel.30 için 30 ölçüm değerinin aksine 20 ölçüm değerine sahipse tunnel.20 tercih edilir.
  • Yönlendirme Tablosu. Varsayılan olarak bırakın.
  • BFD Profili. Varsayılan olarak bırakın.
  • Yol izleme. İşaretlemeden bırakın.

Özel Bulut alt ağlarının ikincil tünel arabirimi aracılığıyla ikincil/yedekleme yolu olarak kullanacağı başka bir yol oluşturmak için önceki adımları yineleyin. Bu kez, birincil yol için farklı bir tünel kimliği ve daha yüksek bir ölçüm seçin.

3. Şifreleme profilini tanımlama

IKEv1 Aşama 1'de VPN tünellerini ayarlamak için kullanılacak tanımlama, kimlik doğrulaması ve şifreleme protokollerini ve algoritmalarını belirten bir şifreleme profili tanımlayın.

>Genişlet Ağ Profilleri>IKE Şifreleme>Ekle'yi seçin, aşağıdaki alanları yapılandırın ve Tamam'a tıklayın.

  • Adı. IKE şifreleme profilinin herhangi bir adını girin.
  • DH Grubu. Ekle'ye tıklayın ve uygun DH grubunu seçin.
  • Şifreleme. Ekle'ye tıklayın ve uygun şifreleme yöntemini seçin.
  • Kimlik doğrulaması. Ekle'ye tıklayın ve uygun kimlik doğrulama yöntemini seçin.
  • Anahtar ömrü. Varsayılan olarak bırakın.
  • IKEv2 Authentication Multiple. Varsayılan olarak bırakın.

4. IKE ağ geçitlerini tanımlama

VPN tünelinin her ucunda eşler arasında iletişim kurmak için IKE ağ geçitlerini tanımlayın.

>Genişlet Ağ Profilleri>IKE Ağ Geçitleri>Ekle'yi seçin, aşağıdaki alanları yapılandırın ve Tamam'a tıklayın.

Genel sekmesi:

  • Adı. Birincil CloudSimple VPN eş değeriyle eşlenecek IKE ağ geçidinin adını girin.
  • Sürüm. Yalnızca IKEv1 modu'nu seçin.
  • Adres Türü. IPv4 seçin.
  • Arabirim. Genel kullanıma yönelik veya dış arabirimi seçin.
  • Yerel IP Adresi. Varsayılan olarak bırakın.
  • Eş IP Adresi Türü. IP'yi seçin.
  • Eş Adresi. Birincil CloudSimple VPN eş IP adresini girin.
  • Kimlik doğrulaması. Önceden Paylaşılan Anahtar'ı seçin.
  • Önceden Paylaşılan Anahtar / Önceden Paylaşılan Anahtarı Onayla. CloudSimple VPN ağ geçidi anahtarıyla eşleşecek önceden paylaşılan anahtarı girin.
  • Yerel Kimlik. Şirket içi Palo Alto güvenlik duvarının genel IP adresini girin.
  • Eş Tanımlama. Birincil CloudSimple VPN eş IP adresini girin.

Gelişmiş Seçenekler sekmesi:

  • Pasif Modu etkinleştirin. İşaretlemeden bırakın.
  • NAT Geçişi'nin etkinleştirilmesi. Şirket içi Palo Alto güvenlik duvarı herhangi bir NAT cihazının arkasında değilse işaretsiz bırakın. Aksi takdirde, onay kutusunu seçin.

IKEv1:

  • Exchange Modu. Ana öğesini seçin.
  • IKE Şifreleme Profili. Daha önce oluşturduğunuz IKE Şifreleme profilini seçin. Parçalanmayı Etkinleştir kutusunu işaretsiz bırakın.
  • Ölü Eş Algılama. Kutuyu işaretsiz bırakın.

İkincil IKE ağ geçidini oluşturmak için önceki adımları yineleyin.

5. IPSEC Şifreleme profillerini tanımlama

>Genişletme Ağ Profilleri>IPSEC Şifreleme>Ekle'yi seçin, aşağıdaki alanları yapılandırın ve Tamam'a tıklayın.

  • Adı. IPsec şifreleme profili için bir ad girin.
  • IPsec Protokolü. ESP'yi seçin.
  • Şifreleme. Ekle'ye tıklayın ve uygun şifreleme yöntemini seçin.
  • Kimlik doğrulaması. Ekle'ye tıklayın ve uygun kimlik doğrulama yöntemini seçin.
  • DH Grubu. Pfs yok seçeneğini belirleyin.
  • Ömür boyu. 30 dakika olarak ayarlayın.
  • Etkinleştirmek. Kutuyu işaretsiz bırakın.

İkincil CloudSimple VPN eş olarak kullanılacak başka bir IPsec şifreleme profili oluşturmak için önceki adımları yineleyin. Aynı IPSEC Şifreleme profili hem birincil hem de ikincil IPsec tünelleri için de kullanılabilir (aşağıdaki yordama bakın).

6. Tünel izleme için izleme profilleri tanımlama

>Genişletme Ağ Profilleri>İzleyicisi>Ekle'yi seçin, aşağıdaki alanları yapılandırın ve Tamam'a tıklayın.

  • Adı. Hataya proaktif tepki vermek için tünel izleme için kullanılacak İzleyici profilinin herhangi bir adını girin.
  • Eylem. Yük Devretme'yi seçin.
  • Aralığı. 3 değerini girin.
  • Eşik. 7 değerini girin.

7. Birincil ve ikincil IPsec tünellerini ayarlayın.

>IPsec Tünelleri>Ekle'yi seçin, aşağıdaki alanları yapılandırın ve Tamam'a tıklayın.

Genel sekmesi:

  • Adı. Birincil CloudSimple VPN eşdüzeyiyle eşlenecek birincil IPSEC tüneli için herhangi bir ad girin.
  • Tünel Arabirimi. Birincil tünel arabirimini seçin.
  • Türü. Varsayılan olarak bırakın.
  • Adres Türü. IPv4 seçin.
  • IKE Ağ Geçidi. Birincil IKE ağ geçidini seçin.
  • IPsec Şifreleme Profili. Birincil IPsec profilini seçin. Gelişmiş seçenekleri göster'i seçin.
  • Yeniden Yürütme Koruması'nı etkinleştirin. Varsayılan olarak bırakın.
  • TOS Üst Bilgisini Kopyala. Kutuyu işaretsiz bırakın.
  • Tünel İzleyicisi. Kutuyu işaretleyin.
  • Hedef IP. Siteden Siteye bağlantı üzerinden izin verilen CloudSimple Özel Bulut alt asına ait herhangi bir IP adresini girin. Palo Alto üzerindeki tünel arabirimlerinin (tunnel.20 - 10.64.5.2/32 ve tunnel.30 - 10.64.6.2/32 gibi) Siteden Siteye VPN üzerinden CloudSimple Özel Bulut IP adresine ulaşmasına izin verildiğinden emin olun. Ara sunucu kimlikleri için aşağıdaki yapılandırmaya bakın.
  • Profil. İzleyici profilini seçin.

Proxy Kimlikleri sekmesi: IPv4>Ekle'ye tıklayın ve aşağıdakileri yapılandırın:

  • Proxy Kimliği. İlgi çekici trafik için herhangi bir ad girin. Bir IPsec tüneli içinde taşınan birden çok Ara Sunucu kimlikleri olabilir.
  • Yerel. Siteden Siteye VPN üzerinden Özel Bulut alt ağlarıyla iletişim kurmasına izin verilen şirket içi yerel alt ağları belirtin.
  • Uzaktan. Yerel alt ağlarla iletişim kurmasına izin verilen Özel Bulut uzak alt ağlarını belirtin.
  • Protokolü. Herhangi birini seçin.

İkincil CloudSimple VPN eş için kullanılacak başka bir IPsec tüneli oluşturmak için önceki adımları yineleyin.

Başvurular

Cisco ASA'da NAT'yi yapılandırma:

Cisco ASA 5500 Serisi Yapılandırma Kılavuzu

Cisco ASA'da desteklenen IKEv1 ve IKEv2 öznitelikleri:

Cisco ASA Serisi CLI Yapılandırma Kılavuzu

Cisco ASA'da IPsec Siteden Siteye VPN'i sürüm 8.4 ve üzeriyle yapılandırma:

ASA'da ASDM veya CLI ile IKEv1 IPsec Siteden Siteye Tünelleri Yapılandırma

Azure'da Cisco Adaptive Security Appliance sanal (ASAv) yapılandırma:

Cisco Uyarlamalı Güvenlik Sanal Gereci (ASAv) hızlı başlangıç Kılavuzu

Palo Alto'da Proxy Kimlikleri ile Siteden Siteye VPN yapılandırma:

Siteden Siteye VPN Ayarlama

Tünel izleyicisi ayarlanıyor:

Tünel İzlemeyi Ayarlama

IKE ağ geçidi veya IPsec tünel işlemleri:

IKE Ağ Geçidini veya IPsec Tünelini Etkinleştirme/Devre Dışı Bırakma, Yenileme veya Yeniden Başlatma