A continuación se muestra una configuración de túnel IPSec de ejemplo con un firewall de redes palo alto que se conecta a un cortafuegos de Cisco ASA.
Propuesta de la fase 1
Cisco ASA:
Crypto ISAKMP policy 10
participación previa autenticación
encriptación 3des
Hash sha
Grupo 2
Lifetime 86400
Palo alto Firewall de redes:
<ike-crypto-profiles></ike-crypto-profiles>
<entry name="default"></entry>
<encryption></encryption>
<member>aes192</member>
<member>AES256</member>
<member>AES128</member>
<member>3des</member>
<hash></hash>
<member>SHA1</member>
<member>MD5</member>
<dh-group></dh-group>
<member>Grupo2</member>
<member>Grupo1</member>
<lifetime></lifetime>
<hours>24</hours>
Propuesta de la fase 2
Cisco ASA:
Crypto IPSec Transform-Set palo-alto ESP-AES-256 ESP-Sha-HMAC
mapa Crypto fuera de 20 set transformar-Set palo-alto
Palo alto Firewall de redes:
<ipsec-crypto-profiles></ipsec-crypto-profiles>
<entry name="default"></entry>
<esp></esp>
<encryption></encryption>
<member>AES256</member>
<authentication></authentication>
<member>SHA1</member>
<dh-group></dh-group>
<lifetime></lifetime>
<hours>24</hours>
<crypto-profiles></crypto-profiles>
Puerta de enlace
Cisco ASA:
mapa criptográfico fuera de 20 set peer 10.9.3.8
túnel-grupo 10.9.3.8 tipo IPSec-L2L
túnel-grupo 10.9.3.8 IPSec-atributos
pre-shared-key *
ISAKMP keepalive umbral infinito
contexto de nombre de host prompt
Cryptochecksum: 2e764f8b78fffa0bef7a212795ec0ebe
Palo alto Firewall de redes:
<gateway></gateway>
<entry name="XYZ.ASA"></entry>
<peer-address></peer-address>
<ip>10.88.12.253</ip>
<local-address></local-address>
<ip>10.9.3.8/24</ip>
<interface>ethernet1/1</interface>
<authentication></authentication>
<pre-shared-key></pre-shared-key>
<key>k2VXNMN7gOjEFUe6y8ALut8vWzxw5TY0</key>
<protocol></protocol>
<ikev1></ikev1>
<exchange-mode>Automático</exchange-mode>
<ike-crypto-profile>Predeterminado</ike-crypto-profile>
<dpd></dpd>
<enable>Sí</enable>
<interval>10</interval>
<retry>3</retry>
Fase 2-ID de proxy/túnel
Cisco ASA:
Access-List ASAtoPAN Extended permit IP 10.211.168.0 255.255.252.0 10.61.0.0 255.255.0.0
mapa Crypto fuera de 20 partidos dirección ASAtoPAN
Palo alto Firewall de redes:
<tunnel></tunnel>
<ipsec></ipsec>
<entry name="XYZTunnel"></entry>
<anti-replay>No</anti-replay>
<copy-tos>No</copy-tos>
<tunnel-monitor></tunnel-monitor>
<enable>No</enable>
<tunnel-interface>Tunnel. 1</tunnel-interface>
<auto-key></auto-key>
<ike-gateway></ike-gateway>
<entry name="XYZ.ASA"></entry>
<ipsec-crypto-profile>Predeterminado</ipsec-crypto-profile>
<proxy-id></proxy-id>
<local>10.61.0.0/16</local>
<remote>10.211.168.0/22</remote>
Nota: el campo de protocolo bajo proxy-ID debe coincidir en ambos lados.
Propietario: panagent