Open in app

Sign in

Write

Sign in

Prisma SASE的Infra初始化與Service Connection配置

本文將介紹了 Prisma Access 的service infrastructure配置、IPSec VPN tunnel配置和service connection的流程。本文的重點有:

  • 配置 service infrastructure
  • 配置IPSec VPN tunnel
  • 配置service connection

配置 service infrastructure

本節介紹設定service infrastructure所涉及的步驟。 同時介紹如何為mobile users與remote networks設定 DNS。

規劃Service Infrastructure Subnet

在使用 Prisma Access 保護remote networks與mobile users之前,我們必須設定基礎設施子網路。

Prisma Access 將使用此子網路內的 IP 位址在remote networks與行動使用者之間建立網路主幹。 此子網路將是現有網路的擴展,因此不能與我們網路中的任何現有 IP 子網路重疊。

如上圖所示,服務基礎架構配置為 172.16.55.0/23,該位址不應與我們現有環境中的任何其他位址範圍重疊。 Palo Alto Networks 建議我們使用 /23 網路,但如果有超過 100 個站點或 5,000 個行動使用者,我們可以諮詢經銷商與原廠。 永遠都要考量可能需要更大服務基礎設施子網路的成長和其他項目。 一開始就確定子網路的大小很重要,因為以後嘗試更改子網路的大小可能有困難。

Service Infrastructure Settings — Shared

若要啟用remote network locations、行動使用者和計劃透過service connection連接到 Prisma Access 的總部或資料中心之間的通訊,請設定service infrastructure subnet。

Prisma Access 使用子網路建立網路主幹,以便在分公司網路、行動使用者和 Prisma Access 安全基礎設施之間以及與計劃透過服務連接連接到 Prisma Access 的總部和資料中心網路之間進行通訊。 如果要對remote networks或service connection使用動態路由,則也必須設定符合 RFC 6696 的 BGP 專private AS number。

Manage > Shared > Infrastructure Settings — Shared

以下要點在設定時需要注意:

  1. 要輸入Infra BGP AS
  2. 注意網段有沒有overlap
  3. 輸入Infra Ip subnet address

為 Prisma Access 新增基礎設施子網路時,請使用以下建議和要求。

  • 使用符合 RFC 1918 的 IP 位址 —
    雖然能支援使用不符合 RFC 1918 的IP 位址,但不建議這樣做,因為可能與Internet Public IP 位址空間發生衝突。
  • 注意網段有沒有overlap —
    請勿指定與 169.254.169.253、169.254.169.254 和 100.64.0.0/10 子網路範圍重疊的任何子網路,因為 Prisma Access 保留這些 IP 位址和子網路供其內部使用。 此子網路是現有網路的擴展,因此不能與在公司網路中使用的任何 IP 子網路或您 Prisma Access for users 或 Prisma Access for Network 指派的 IP address pool重疊。 由於服務基礎設施需要大量IP位址,因此必須指定/24子網路(例如172.16.55.0/24)。
  • 輸入Infra Ip subnet address

Infrastructure的DNS設定

Prisma Access 可指定DNS 伺服器來解析組織內部網域和外部網域。 Prisma Access 根據我們的 DNS 伺服器的設定代理 DNS request。

設定Infra DNS 將提供對公司網路上的服務(如 LDAP 和 DNS 伺服器)的訪問,特別是如果打算設定service connection以提供對總部或資料中心的此類資源的存取。 對內部網域清單中的網域的 DNS 查詢將傳送我們自己的 DNS 伺服器,以確保資源可供 Prisma Access remote network users和mobile users使用。

下圖顯示了內部和外部網域支援的 DNS 解析方法,並指示 Prisma Access 何時代理 DNS request。

Manage > Prisma Access > Prisma Access Setup and Add Internal Domain List

配置IPSec VPN tunnel

本節討論如何設定service connection的配置是 Prisma Access 的重要組成部分。 首先設定的 VPN tunnel將提供對總部或資料中心的存取。

設定Service Connection的IPSec tunnels

Manage > Service Connections > Primary Tunnel and Set Up the primary tunnel

Service Connection的IPSec tunnels的設定步驟

Step 1: 啟動Prisma Access Cloud Management
點選Manage > Service Connections > Primary Tunnel並設定primary tunnel。如果已經有primary可以接下來設定Secondary,如果primary掛了,它會跳到seondary。如果primary恢復正常,流量會自動跳回去。

Step 2: 給tunnel一個描述性名稱
點選Edit按鈕輸入一個描述性名稱。可以點選「Create New」按鈕建立新名稱,也可以透過點選「Manage」按鈕編輯現有名稱。

Step 3: 對IPSec Device選擇一個Branch Device Type
對於Branch Device IP 位址,請在標識tunnel endpoint的靜態 IP 位址或動態 IP 位址之間進行選擇。 如果將Branch Device IP 位址設定為動態,則還必須新增 HQ/DC 的 IKE ID(IKE Local Identification)或 Prisma Access(IKE Peer Identification),以使 IPSec peers能夠進行驗證。

Step 4: 開啟 Tunnel Monitoring
輸入 Prisma Access 總部/DC 網路上的Tunnel Monitoring Destination IP address以確定tunnel是否已啟動,如果分公司 IPSec 設備使用policy-based VPN,請輸入關聯的Proxy ID。

Step 5: 存檔該設定

IPSec VPN Tunnel Configuration

自訂 GlobalProtect app建立連接到 Prisma Access 的 VPN tunnel的設定。

tunnel設定包括兩個選項:

  • split tunneling —
    該選項可讓我們定義應用程式傳送至 Prisma Access 的流量以及可在地端路由的流量。 例如,業務不需要的頻寬吃很兇的應用程式可以在本地端路由出internet以節省頻寬。
  • Match criteria —
    Match criteria使我們能夠定義tunnel設置,告訴 Prisma Access 應接收設定的使用者、設備或系統。 例如,可以指定tunnel settings rule套用於特定region內 GlobalProtect app的所有instance。

自訂義Tunnel設定

自訂義的tunnel有兩種型態:

Authentication override
Authentication override讓 Prisma Access 能夠產生和接受安全、加密的 cookie 以進行使用者身份驗證。

以下為設定步驟:

  1. 針對 Authentication Override產生cookie —
    它使 Prisma Access 能夠產生加密的、特定於endpoint的 cookie 並向端點發行authentication cookie。
  2. 接受 Cookie 進行Authentication Override —
    它使 Prisma Access 能夠使用有效的加密 cookie 對使用者進行身份驗證。 當應用程式提供有效的 cookie 時,Prisma Access 會驗證該 cookie 最初是由 Prisma Access 加密的,解密該 cookie,然後對使用者進行身份驗證。
  3. Cookie Lifetime —
    它指定 cookie 有效的小時/天/週(預設為 24 小時)。 小時的範圍是 1 到 72; 週數為 1 到 52; 天數為 1 到 365。Cookie 過期後,使用者必須重新輸入其login credentials,然後 Prisma Access 隨後加密新的 Cookie 以傳送至應用程式。 該參數可以與配置的 Cookie lifetime相同或不同。
  4. 加密/解密 Cookie 的憑證 —
    它選擇用於加密和解密 cookie 的 RSA Certificate。

PS:
GlobalProtect app必須知道連接使用者的username,以便從使用者端點匹配並檢索關聯的authentication cookie。 應用程式檢索 cookie 後,會將其傳送至 Prisma Access 進行使用者驗證。

Split tunneling

Split tunneling可讓我們定義 GlobalProtect app允許或禁止哪些流量透過 VPN tunnel到達 Prisma Access。 它還透過排除不重要或無法提高生產力的 Prisma Access 流量來節省頻寬。

Local Network Access:
讓 Windows 和 Mac 使用者可以存取地端資源,而無需先連接到 Prisma Access。

Exclude Traffic:
根據應用程式、網域和路由(如 IP 位址)指定要從 Prisma Access policy inspection與enforcement中排除的流量。

Customize Include Traffic:
預設情況下,GlobalProtect app將所有流量路由到 Prisma Access,排除清單中指定的流量除外。 在GlobalProtect app清單中的應始終路由到 Prisma Access 的流量,即使它符合排除清單條件也會路由過去。

PS:
還有一個名為「Exclude Video Stream Traffic」的additional Tunnel setting。 這讓使用者可以選擇不將視訊串流從列出的應用程式傳送到 Prisma Access。 目前,此設定在全球範圍內套用。 視訊串流排除適用於 GlobalProtect 應用程式傳送至 Prisma Access 的所有流量,而不僅僅是使用者為此規則定義的符合條件。

配置service connection

本節介紹 Prisma Access 如何以不同方式將流量路由到總部 和資料中心 。

啟用Service Connections的路由與QoS

為了讓 Prisma Access 將流量路由到總部和資料中心,我們必須提供希望使用者能夠存取的子網路的路由資訊。 這可以以下透過三種方式完成:

Static Routes

確定希望mobile users或分公司存取的資料中心或總部的子網路或單獨的 IP 位址。 總部、資料中心和分公司站點的子網路不得相互重疊,不能與使用者指定的 Prisma Access IP pool或infra subnet重疊。 如果使用靜態路由來路由進出總部/DC 的流量,請新增要在分公司保護的 IP 子網路或 IP 位址。

注意:如果對 HQ/DC 網路上的 IP 子網路進行任何更改,則必須手動更新靜態路由。 此外,如果同時設定靜態路由和 BGP 路由,則靜態路由優先。

Creating a QoS Profile to Prioritize Business Critical Traffic

用於控制服務連線吞吐量的第二種方法是啟用 QoS 並建立 QoS profile。

Manage > Service Connections > QoS Set Up

如果我們計畫設定 Prisma Access security policy rules以將 QoS markings套用至ingress traffic,或者在總部/DC 擁有標記入口流量的設備,則可以透過定義對應類別的 QoS profile來調整egress站點的流量。使用最大和保證的頻寬值。 以下是有關如何定義 QoS profile的詳細資訊。

  1. Add QoS Profile —
    設定profile的頻寬限制。 將流出 HQ/DC service connection的流量的maximum throughput(以 Mbps 為單位)設定為egress max。 我們可以指定最高為 HQ/DC service connection的最大授權頻寬值。 將保證頻寬設定為Egress Guaranteed(以 Mbps 為單位)。 任何超過Egress Guaranteed的流量都是best effort,不保證的。
  2. Define the QoS Classes for Profile —
    單一 個QoS profile中最多有八個可定義的 QoS 類別。 除非另有配置,否則與 QoS 類別不符的流量將被指派為第 4 類。 QoS類別決定了符合QoS policy rule流量的優先順序和頻寬。 在這裡,我們將使用profile來定義每個 QoS 類別,然後將此profile附加到policy rule。
  3. Define Egress Max Value —
    QoS 類別的egress max value或多個 QoS 類別的combined egress max values不得超過 QoS profile的egress max values。
  4. Define Egress Guaranteed value —
    分配給該 QoS 類別的保證頻寬不是為該類別保留的; 未使用到的頻寬仍然可供所有流量使用。也就是說平時該類別沒有用到的可以給其他類別用,一旦有需要就會去取回。

設定動態路由與BGP

Manage > Service Connections > Routing

如果想要啟用 BGP 動態路由進出總部和資料中心的流量,需要為總部/資料中心的 eBGP 路由器提供以下 BGP 資訊:

  • Branch Router AS Number
    總部/DC的eBGP路由器所屬的AS。 這稱為Peer AS。
  • Router ID —
    IP 位址被指派為總部/DC 網路上 eBGP router的Router ID。 這稱為Peer IP address。
Sase
安全存取服務邊緣
零信任

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams