Cómo configurar una red de Palo Alto Firewall con ISP duales y conmutación por error automática VPN

Visión general

Este documento explica cómo configurar una red palo alto firewall que tenga una conexión dual en combinación con los ISP VPN túneles.

Objetivos de configuración:

• A dispositivo único con dos conexiones a Internet (alta disponibilidad)
• Sitio a sitio estático VPN
• Conmutación automática por error para conectividad a Internet y VPN

Programa de instalación

Esta configuración se utiliza con frecuencia para proporcionar conectividad entre una sucursal y un centro de mando.Isp1 se utiliza como el primario ISP en Ethernet1/3.  Isp2 es la copia de seguridad ISP en Ethernet1/4.

Configuración

La configuración es idéntica en ambos firewalls, por lo que solo se discute una firewall configuración. En este ejemplo, hay dos routers virtuales ( VR ).

Configuración de la interfaz

Configurar dos interfaces:

• ETH 1/3: 10.185.140.138/24 (conexión a ISP1) en la zona untrust
• ETH 1/4: 10.80.40.38/24 (conexión a ISP2) en la zona untrust

Enrutadores virtuales

Hay dos routers virtuales:

• VR1: Primaria (ISP1) (Ethernet1/3)
• VR2: Secundaria (ISP2) (Ethernet1/4)

Cada VR uno tiene una interfaz ISP conectada, pero todas las demás interfaces permanecerán conectadas a VR la secundaria, así como a todas las interfaces futuras. El propósito es dejar que todas las interfaces sean conocidas por las rutas conectadas y las rutas en el VR como su método de ruteo cuando el main ISP baja.

• Primary VR tiene la interfaz Ethernet1/3 conectada

• Las rutas principales VR incluyen la ruta predeterminada y las rutas de retorno para todas las direcciones privadas de nuevo a la VR secundaria, donde las interfaces reales son como rutas conectadas. Cuando el tráfico se fuerza fuera de la interfaz a través del PBF , el tráfico sabrá cómo volver al secundario donde viven las VR interfaces.

• El secundario VR tiene los Ethernet1/4 conectados con todas las otras interfaces, tal y como se muestra a continuación:

• Las VR rutas secundarias para toda la interfaz conectada aparecerán en la tabla de ruteo como rutas conectadas, y la ruta para el túnel será atendida por Policy -Based Forwarded ( PBF ).
• Para forzar el tráfico hacia fuera la ISP interfaz principal, utilice el PBF abastecimiento de la zona de confianza:

• El firewall indica al no PBF reenviar el tráfico destinado a una red privada, ya que no puede enrutar direcciones privadas en Internet (ya que puede haber direcciones de red privadas que necesitan ser reenviadas). Haga clic en anular.

• Como se muestra en el ejemplo a continuación, configurar el reenvío de la interfaz principal, con un control para desactivar la regla, si el destino monitoreado no está disponible. Revierta el tráfico para utilizar la tabla de ruteo del secundario VR donde existen todas las rutas conectadas.

• Configure un origen NAT policy para ambos ISP. Asegúrese de definir la interfaz de destino en la lengueta del "paquete original" para ambas reglas de NAT origen.

La razón para el VRs múltiples es porque ambos túneles están funcionando al mismo tiempo. Si la conectividad es ISP1, hará failover al ISP2 tan pronto como sea posible. Si el respaldo VPN sobre el ISP2 ya está negociado, eso acelerará el proceso de conmutación por error.

Configuración de fase 1

Para cada VPN túnel, configure una IKE puerta de enlace.

Configuración de fase 2

Para cada VPN túnel, configure un túnel IPSec. En el túnel IPSec, habilite la supervisión con la conmutación por error de la acción si configura los túneles para conectar con las redes de Palo firewall Alto. De lo contrario, configure el PBF con monitoreo y una ruta para el túnel secundario.

Monitoreo de túneles (conexión de las redes de Palo Alto firewall a otra red de Palo firewall Alto)

• Túnel principal con vigilancia.

• Túnel de secundaria con la supervisión.

• En acción, configurar el perfil de Monitor a fallar más.

• Con este método, utilizando la supervisión del túnel hay dos rutas en la tabla de ruteo, la primera con la métrica de 10 para el VPN tráfico primario, y la segunda con la métrica de 20 para la VPN secundaria. Puesto que los túneles terminan en la VR Secundaria, las rutas se colocarán en ese VR .

Policy-Reenvío basado (conexión de Palo Alto Networks firewall a un firewall proveedor diferente)

• Este método puede utilizarse cuando la conexión es entre dos firewalls.
• Indicar de qué zona de la fuente.

• Indicar cuando el tráfico está destinado a la red al otro lado del túnel (en este caso es 192168.10.0/24).

• Reenviar el tráfico por el túnel.

• Cuando PBF se inhabilita, porque el destino no es accesible, el otro VPN comenzará a utilizar la tabla de ruteo con una ruta que tenga el mismo destino pero esté utilizando el otro túnel configurado.

Nota: En el ejemplo anterior, un sondeo se envía al 192.168.10.2 para comprobar si es accesible. La sonda debe tener una dirección de origen IP y utilizará la interfaz de IP salida, que será la dirección del IP 'túnel' de la interfaz. Si IP una dirección no se configura en la interfaz del túnel, la PBF regla nunca se habilitará. En este escenario, se debe configurar una IP ruta estática arbitraria, tal como 172.16.0.1/30. A la static ruta para el destino 192.168.10.2 se debe agregar con el next-hop como interfaz del túnel. De lo PBF contrario, siempre fallará porque el tráfico iniciado desde el firewall no golpeará la PBF regla. Asegúrese de que el dispositivo remoto sabe cómo devolver el paquete. Cuando trabaje con cisco ASA , aseegurese sabe cómo devolver el tráfico a 172.16.0.1/30. Además, configure un proxy ID para esta red en la configuración del túnel IPSec del dispositivo Palo Alto Networks.

propietario: rvanderveken