Ejemplo de configuración de túnel IPSec-Palo Alto Networks Firewall to Cisco ASA

A continuación se muestra una configuración de túnel IPSec de ejemplo con un firewall de redes palo alto que se conecta a un cortafuegos de Cisco ASA.

 

Propuesta de la fase 1

Cisco ASA:

Crypto ISAKMP policy 10

participación previa autenticación

encriptación 3des

Hash sha

Grupo 2

Lifetime 86400

 

Palo alto Firewall de redes:

<ike-crypto-profiles></ike-crypto-profiles>

   <entry name="default"></entry>

      <encryption></encryption>

         <member>aes192</member>

         <member>AES256</member>

         <member>AES128</member>

         <member>3des</member>

     

   <hash></hash>

      <member>SHA1</member>

      <member>MD5</member>

  

   <dh-group></dh-group>

      <member>Grupo2</member>

      <member>Grupo1</member>

  

   <lifetime></lifetime>

      <hours>24</hours>

  

  

 

Propuesta de la fase 2

Cisco ASA:

Crypto IPSec Transform-Set palo-alto ESP-AES-256 ESP-Sha-HMAC

mapa Crypto fuera de 20 set transformar-Set palo-alto

 

Palo alto Firewall de redes:

<ipsec-crypto-profiles></ipsec-crypto-profiles>

   <entry name="default"></entry>

      <esp></esp>

         <encryption></encryption>

            <member>AES256</member>

        

         <authentication></authentication>

            <member>SHA1</member>

        

     

      <dh-group></dh-group>

      <lifetime></lifetime>

         <hours>24</hours>

     

  

<crypto-profiles></crypto-profiles>

 

Puerta de enlace

Cisco ASA:

mapa criptográfico fuera de 20 set peer 10.9.3.8

túnel-grupo 10.9.3.8 tipo IPSec-L2L

túnel-grupo 10.9.3.8 IPSec-atributos

pre-shared-key *

ISAKMP keepalive umbral infinito

contexto de nombre de host prompt

Cryptochecksum: 2e764f8b78fffa0bef7a212795ec0ebe

 

Palo alto Firewall de redes:

<gateway></gateway>

   <entry name="XYZ.ASA"></entry>

      <peer-address></peer-address>

         <ip>10.88.12.253</ip>

     

      <local-address></local-address>

         <ip>10.9.3.8/24</ip>

         <interface>ethernet1/1</interface>

     

      <authentication></authentication>

         <pre-shared-key></pre-shared-key>

            <key>k2VXNMN7gOjEFUe6y8ALut8vWzxw5TY0</key>

        

     

      <protocol></protocol>

         <ikev1></ikev1>

            <exchange-mode>Automático</exchange-mode>

            <ike-crypto-profile>Predeterminado</ike-crypto-profile>

            <dpd></dpd>

               <enable>Sí</enable>

               <interval>10</interval>

               <retry>3</retry>

           

        

     

  

 

Fase 2-ID de proxy/túnel

Cisco ASA:

Access-List ASAtoPAN Extended permit IP 10.211.168.0 255.255.252.0 10.61.0.0 255.255.0.0

mapa Crypto fuera de 20 partidos dirección ASAtoPAN

 

Palo alto Firewall de redes:

<tunnel></tunnel>

   <ipsec></ipsec>

      <entry name="XYZTunnel"></entry>

         <anti-replay>No</anti-replay>

         <copy-tos>No</copy-tos>

         <tunnel-monitor></tunnel-monitor>

            <enable>No</enable>

        

         <tunnel-interface>Tunnel. 1</tunnel-interface>

         <auto-key></auto-key>

            <ike-gateway></ike-gateway>

               <entry name="XYZ.ASA"></entry>

           

            <ipsec-crypto-profile>Predeterminado</ipsec-crypto-profile>

            <proxy-id></proxy-id>

               <local>10.61.0.0/16</local>

               <remote>10.211.168.0/22</remote>

           

         

      

   

 

 

Nota: el campo de protocolo bajo proxy-ID debe coincidir en ambos lados.

 

Propietario: panagent