So konfigurieren Sie ein Palo Alto-Netzwerk Firewall mit zwei ISPs und automatischem VPN Failover
Resolution
Übersicht
In diesem Dokument wird erläutert, wie Sie ein Palo Alto-Netzwerk firewall konfigurieren, das über eine duale ISP Verbindung in Kombination mit VPN Tunneln verfügt.
Konfiguration-Ziele:
- A Einzelnes Gerät mit zwei Internetanschlüssen (Hohe Verfügbarkeit)
- Statische Site-to-Site VPN
- Automatisches Failover für Internetkonnektivität und VPN
Setup
Dieses Setup wird häufig verwendet, um Verbindung zwischen einer Zweigstelle und ein Hauptquartier bereitzustellen.ISP1 wird als primäres ISP Ethernet1/3 verwendet. ISP2 ist die Sicherung ISP auf Ethernet1/4.
Konfiguration
Die Konfiguration ist auf beiden Firewalls identisch, sodass nur eine firewall Konfiguration besprochen wird. In diesem Beispiel gibt es zwei virtuelle Router ( VR ).
Konfiguration der Netzwerkschnittstelle
Zwei Schnittstellen zu konfigurieren:
- ETH 1/3: 10.185.140.138/24 (Anschluss an ISP1) im Bereich Sicherheitszertifikat
- ETH 1/4: 10.80.40.38/24 (Anschluss an ISP2) im Bereich Sicherheitszertifikat
Virtuelle Router
Es gibt zwei virtuelle Router:
- VR1: Primäre (ISP1) (Ethernet1/3)
- VR2: Secondary (ISP2) (Ethernet1/4)
Jede VR hat eine Schnittstelle ISP angeschlossen, aber alle anderen Schnittstellen bleiben mit VR Secondary verbunden, sowie alle zukünftigen Schnittstellen. Der Zweck besteht darin, alle Schnittstellen durch verbundene Routen und Routen auf der als Routing-Methode bekannt zu VR machen, wenn der Main ISP ausfällt.
- Primär VR ist Ethernet1/3-Schnittstelle angeschlossen
- Die primären VR Routen enthalten die Standardroute und Rückgaberouten für alle privaten Adressen zurück in die Sekundäre VR , wo die tatsächlichen Schnittstellen als verbundene Routen sind. Wenn der Datenverkehr durch die erzwungen PBF wird, weiß der Datenverkehr, wie er zurück zum Sekundären VR gelangt, in dem die Schnittstellen leben.
- Sekundär VR ist das Ethernet1/4 mit allen anderen Schnittstellen verbunden, wie unten gezeigt:
- Sekundäre VR Routen für alle verbundenen Schnittstellen werden in der Routingtabelle als verbundene Routen angezeigt, und die Route für den Tunnel wird von Policy -Based Forwarded ( übernommen. PBF
- Um den Datenverkehr aus der primären Schnittstelle zu ISP erzwingen, verwenden Sie die PBF Beschaffung aus der vertrauenswürdigen Zone:
- Der firewall weist den an, datenverkehr, der PBF an ein privates Netzwerk bestimmt ist, nicht weiterzuleiten, da er keine privaten Adressen im Internet weiterleiten kann (da es möglicherweise private Netzwerkadressen gibt, die weitergeleitet werden müssen). Klicken Sie zu negieren.
- Wie im folgenden Beispiel dargestellt, richten Sie die Weiterleitung aus der Primärschnittstelle mit Überwachung, um die Regel deaktivieren, wenn das Ziel, die zu überwachenden nicht verfügbar ist. Setzen Sie den Datenverkehr zurück, um die Routingtabelle der sekundären Tabelle zu verwenden, in der VR alle verbundenen Routen vorhanden sind.
- Konfigurieren Sie eine Quelle NAT policy für beide ISPs. Stellen Sie sicher, dass Sie die Zielschnittstelle auf der Registerkarte "Originalpaket" für beide NAT Quellregeln definieren.
Der Grund für mehrere VRs ist weil beide Tunnel zur gleichen Zeit ausgeführt werden. Wenn die Verbindung zu ISP1 ist, es wird Failover zu ISP2 so bald wie möglich. Wenn die Sicherung VPN über ISP2 bereits ausgehandelt ist, wird der Failovervorgang beschleunigt.
Phase 1-Konfiguration
Konfigurieren Sie für jeden VPN Tunnel ein IKE Gateway.
Phase 2 Konfiguration
Konfigurieren Sie für jeden VPN Tunnel einen IPSec-Tunnel. Aktivieren Sie im IPSec-Tunnel die Überwachung mit Aktionsfailover, wenn Sie die Tunnel so konfigurieren, dass sie eine Verbindung zu anther Palo Alto Networks firewall herstellen. Andernfalls richten Sie die PBF mit Überwachung und einer Route für den sekundären Tunnel ein.
Tunnelüberwachung (Palo Alto Networks firewall Verbindung zu einem anderen Palo Alto Networks firewall )
- Primäre Tunnel mit Überwachung.
- Sekundäre Tunnel mit Überwachung.
- Konfigurieren Sie in Aktion das Monitorprofil zu Fail Over.
- Bei dieser Methode gibt es mit der Tunnelüberwachung zwei Routen in der Routingtabelle, die erste mit der Metrik 10 für den primären VPN Datenverkehr und die zweite mit der Metrik 20 für die sekundäre VPN . Da die Tunnel auf der Sekundären enden, werden die Routen auf dieser VR VR platziert.
Policy-Basierte Weiterleitung (Palo Alto Networks firewall Verbindung zu einem anderen firewall Anbieter)
- Diese Methode kann verwendet werden, wenn die Verbindung zwischen zwei Firewalls ist.
- Aus welcher Quelle-Zone geben.
- Angeben, wann die Daten an das Netzwerk auf der anderen Seite des Tunnels bestimmt sind (in diesem Fall ist es 192168.10.0/24).
- Leiten Sie den Verkehr durch den Tunnel.
- Wenn der PBF deaktiviert ist, da das Ziel nicht erreichbar ist, verwendet das andere VPN die Routingtabelle mit einer Route, die dasselbe Ziel hat, aber den anderen konfigurierten Tunnel verwendet.
Hinweis: Im obigen Beispiel wird eine Sonde an 192.168.10.2 gesendet, um zu überprüfen, ob sie erreichbar ist. Der Test punktiv muss über eine IP Quelladresse verfügen und die IP der Ausgangsschnittstelle verwenden, die die IP Adresse der Schnittstelle "Tunnel" ist. Wenn eine IP Adresse auf der Tunnelschnittstelle nicht konfiguriert ist, wird die PBF Regel nie aktiviert. In diesem Szenario muss eine beliebige IP Route konfiguriert werden, z. B. 172.16.0.1/30. A Statische Route für Ziel 192.168.10.2 muss mit Next-Hop als Tunnelschnittstelle hinzugefügt werden. Andernfalls PBF wird immer fehlschlagen, da der von der initiierte Datenverkehr firewall die Regel nicht PBF trifft. Stellen Sie sicher, dass das entfernte Gerät weiß, wie das Paket zurück. Wenn Sie mit einem Cisco ASA arbeiten, stellen Sie sicher, dass er weiß, wie Der Datenverkehr an 172.16.0.1/30 zurückgegeben wird. Konfigurieren Sie außerdem einen Proxy ID für dieses Netzwerk in der IPSec-Tunnelkonfiguration des Palo Alto Networks-Geräts.
Inhaber: rvanderveken