如何使用 Palo-Alto 防火牆和 AWS VPN 建立動態路由型 VPN?

2 分的閱讀內容
0

我想要在 AWS 和 Palo-Alto 防火牆之間建立動態 AWS Virtual Private Network (AWS VPN)。

解決方法

前提

您必須擁有具有 IP-CIDR 且不會與內部部署網路重疊的虛擬私有雲端 (VPC)。此 VPC 必須與虛擬私有閘道 (VGW) 產生關聯,或連接至傳輸閘道 (TGW)。

AWS 組態

1.    建立客戶閘道 (CGW)。建立 CGW 時,您可以提供自主系統編號 (AS 編號) 或選擇預設選項。當您選擇預設值時,AWS 會為您的 CGW 提供 AS 編號。

2.    建立網站對網站 VPN。針對閘道,選擇 VGWTGW,針對路由選項,選擇動態

3.    從 AWS 管理主控台下載組態檔案

組態檔案提供下列項目:

  • AWS 公有 IP 和預先共用金鑰
  • Palo-Alto 通道介面的 IP 位址和 MTU 組態
  • 在 Palo-Alto 防火牆中設定的邊界閘道協定 (BGP) 組態和 BGP IP

Palo-Alto 組態

依預設,Palo-Alto 提供支援路由型 VPN 的新一代防火牆。因此,在 Palo-Alto 和 AWS 之間建立 VPN 時,不需要代理 ID。

注意: 以下加密、DH 群組和驗證設定對於 IKE 加密和 IPsec 加密維持不變。依預設,階段 1 和階段 2 設定的生命週期為 8 小時和 1 小時。

  • 加密: AES-256-GCM
  • DH 群組: 20
  • 驗證: SHA-384

1.    使用上面的演算法建立 IKE 加密設定檔

2.    使用上面的演算法建立 IPsec 加密設定檔

3.    建置通道介面。針對 IPv4,提供通道介面 IP。您可以在從 AWS 管理主控台下載的組態檔案的區段 3 中找到此資訊。在進階下方,將 MTU 設定為 1427

4.    使用下列組態建立 IKE 閘道

  • 針對版本,選擇僅限 IKEv2,針對驗證,選擇預先共用金鑰
  • 在進階區段中,確定已開啟 NAT 周遊
  • 選擇在步驟 1 中建立的 IKE 加密設定檔。
  • 5 秒的間隔開啟活躍性檢查

5.    從網路索引標籤,選擇 IPsec 通道,然後建立 IPsec 通道。選擇在上一個步驟中建立的通道介面和 IKE 閘道。

6.    認可變更。完成此操作之後,對防火牆進行 SSH 存取,然後執行下列命令以開始 VPN 交涉:

test vpn ike-sa gateway <IKE-Gateway-Name>

test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>

在 GUI 介面的IPsec 通道下方,狀態現在是綠色。

將 BGP 路由配置為 Palo-Alto

注意: AWS VPN 不支援正常重新啟動和雙向轉送偵測 (BFD)。

首先,建立轉散佈設定檔。然後,使用下列設定](https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/networking/bgp/configure-bgp#id5a996ef8-59f6-4ed4-9e5c-1d262f173e0b)設定 BGP[:

1.    在一般索引標籤上,選擇勾選方塊以開啟 BGP。

2.    新增路由器 ID,然後輸入 Palo-Alto AS 編號

3.    在對等群組索引標籤上,選擇建立新的對等群組

4.    針對對等 AS,輸入 AWS AS 編號。針對對等位址,輸入 AWS BGP IP。您可以在先前從 AWS 管理主控台下載的組態檔案的區段 4 中找到這兩個編號。

4.    在連線選項中,針對保持活躍性間隔選擇 10 秒。針對保留通話時間,選擇 30 秒

5.    選擇 R****edist 規則索引標籤,然後建立轉散佈規則。針對名稱,選擇您先前建立的轉散佈設定檔。然後,選擇認可變更

接下來,確認已建立 BGP。

1.    選擇網路索引標籤,然後選擇虛擬路由器

2.    選擇更多執行時間統計資料,然後選擇 BGP。在對等下方,確認狀態已建立

相關資訊

如何下載 AWS Site-to-Site VPN 範例組態檔案?

AWS 官方
AWS 官方已更新 1 年前