我想要在 AWS 和 Palo-Alto 防火牆之間建立動態 AWS Virtual Private Network (AWS VPN)。
解決方法
前提
您必須擁有具有 IP-CIDR 且不會與內部部署網路重疊的虛擬私有雲端 (VPC)。此 VPC 必須與虛擬私有閘道 (VGW) 產生關聯,或連接至傳輸閘道 (TGW)。
AWS 組態
1. 建立客戶閘道 (CGW)。建立 CGW 時,您可以提供自主系統編號 (AS 編號) 或選擇預設選項。當您選擇預設值時,AWS 會為您的 CGW 提供 AS 編號。
2. 建立網站對網站 VPN。針對閘道,選擇 VGW 或 TGW,針對路由選項,選擇動態。
3. 從 AWS 管理主控台下載組態檔案。
組態檔案提供下列項目:
- AWS 公有 IP 和預先共用金鑰
- Palo-Alto 通道介面的 IP 位址和 MTU 組態
- 在 Palo-Alto 防火牆中設定的邊界閘道協定 (BGP) 組態和 BGP IP
Palo-Alto 組態
依預設,Palo-Alto 提供支援路由型 VPN 的新一代防火牆。因此,在 Palo-Alto 和 AWS 之間建立 VPN 時,不需要代理 ID。
注意: 以下加密、DH 群組和驗證設定對於 IKE 加密和 IPsec 加密維持不變。依預設,階段 1 和階段 2 設定的生命週期為 8 小時和 1 小時。
- 加密: AES-256-GCM
- DH 群組: 20
- 驗證: SHA-384
1. 使用上面的演算法建立 IKE 加密設定檔。
2. 使用上面的演算法建立 IPsec 加密設定檔。
3. 建置通道介面。針對 IPv4,提供通道介面 IP。您可以在從 AWS 管理主控台下載的組態檔案的區段 3 中找到此資訊。在進階下方,將 MTU 設定為 1427。
4. 使用下列組態建立 IKE 閘道:
- 針對版本,選擇僅限 IKEv2,針對驗證,選擇預先共用金鑰。
- 在進階區段中,確定已開啟 NAT 周遊。
- 選擇在步驟 1 中建立的 IKE 加密設定檔。
- 以 5 秒的間隔開啟活躍性檢查。
5. 從網路索引標籤,選擇 IPsec 通道,然後建立 IPsec 通道。選擇在上一個步驟中建立的通道介面和 IKE 閘道。
6. 認可變更。完成此操作之後,對防火牆進行 SSH 存取,然後執行下列命令以開始 VPN 交涉:
test vpn ike-sa gateway <IKE-Gateway-Name>
test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>
在 GUI 介面的IPsec 通道下方,狀態現在是綠色。
將 BGP 路由配置為 Palo-Alto
注意: AWS VPN 不支援正常重新啟動和雙向轉送偵測 (BFD)。
首先,建立轉散佈設定檔。然後,使用下列設定](https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/networking/bgp/configure-bgp#id5a996ef8-59f6-4ed4-9e5c-1d262f173e0b)設定 BGP[:
1. 在一般索引標籤上,選擇勾選方塊以開啟 BGP。
2. 新增路由器 ID,然後輸入 Palo-Alto AS 編號。
3. 在對等群組索引標籤上,選擇建立新的對等群組。
4. 針對對等 AS,輸入 AWS AS 編號。針對對等位址,輸入 AWS BGP IP。您可以在先前從 AWS 管理主控台下載的組態檔案的區段 4 中找到這兩個編號。
4. 在連線選項中,針對保持活躍性間隔選擇 10 秒。針對保留通話時間,選擇 30 秒。
5. 選擇 R****edist 規則索引標籤,然後建立轉散佈規則。針對名稱,選擇您先前建立的轉散佈設定檔。然後,選擇認可變更。
接下來,確認已建立 BGP。
1. 選擇網路索引標籤,然後選擇虛擬路由器。
2. 選擇更多執行時間統計資料,然後選擇 BGP。在對等下方,確認狀態已建立。
相關資訊
如何下載 AWS Site-to-Site VPN 範例組態檔案?