Exemple de configuration de tunnel IPSec-pare-feu Palo Alto Networks à Cisco ASA

Voici un exemple de configuration de tunnel IPSec avec un pare-feu Palo Alto Networks qui se connecte à un pare-feu Cisco ASA.

 

Proposition de la phase 1

ASA Cisco:

Crypto ISAKMP Policy 10

pré-partagée authentification

cryptage 3des

hachage sha

Groupe 2

durée de vie 86400

 

Pare-feu Palo Alto Networks:

<ike-crypto-profiles></ike-crypto-profiles>

   <entry name="default"></entry>

      <encryption></encryption>

         <member>Aes192</member>

         <member>AES256</member>

         <member>AES128</member>

         <member>3des</member>

     

   <hash></hash>

      <member>SHA1</member>

      <member>MD5</member>

  

   <dh-group></dh-group>

      <member>Group2</member>

      <member>Group1</member>

  

   <lifetime></lifetime>

      <hours>24</hours>

  

  

 

Proposition de la phase 2

ASA Cisco:

Crypto IPSec Transform-Set Palo-Alto ESP-AES-256 ESP-SHA-HMAC

Crypto carte à l'extérieur 20 Set Transform-Set Palo-Alto

 

Pare-feu Palo Alto Networks:

<ipsec-crypto-profiles></ipsec-crypto-profiles>

   <entry name="default"></entry>

      <esp></esp>

         <encryption></encryption>

            <member>AES256</member>

        

         <authentication></authentication>

            <member>SHA1</member>

        

     

      <dh-group></dh-group>

      <lifetime></lifetime>

         <hours>24</hours>

     

  

<crypto-profiles></crypto-profiles>

 

Passerelle

ASA Cisco:

Crypto carte à l'extérieur 20 Set Peer 10.9.3.8

tunnel-groupe 10.9.3.8 type IPSec-l2l

tunnel-Group 10.9.3.8 IPSec-attributs

pre-shared-key *

ISAKMP KeepAlive seuil infini

invite le contexte du nom d'hôte

Cryptochecksum: 2e764f8b78fffa0bef7a212795ec0ebe

 

Pare-feu Palo Alto Networks:

<gateway></gateway>

   <entry name="XYZ.ASA"></entry>

      <peer-address></peer-address>

         <ip>10.88.12.253</ip>

     

      <local-address></local-address>

         <ip>10.9.3.8/24</ip>

         <interface>ethernet1/1</interface>

     

      <authentication></authentication>

         <pre-shared-key></pre-shared-key>

            <key>k2VXNMN7gOjEFUe6y8ALut8vWzxw5TY0</key>

        

     

      <protocol></protocol>

         <ikev1></ikev1>

            <exchange-mode>Auto</exchange-mode>

            <ike-crypto-profile>Par défaut</ike-crypto-profile>

            <dpd></dpd>

               <enable>Oui</enable>

               <interval>10</interval>

               <retry>3</retry>

           

        

     

  

 

Phase 2-ID de proxy/tunnel

ASA Cisco:

Access-List ASAtoPAN permis étendu IP 10.211.168.0 255.255.252.0 10.61.0.0 255.255.0.0

Crypto carte en dehors de 20 ASAtoPAN adresse d'allumette

 

Pare-feu Palo Alto Networks:

<tunnel></tunnel>

   <ipsec></ipsec>

      <entry name="XYZTunnel"></entry>

         <anti-replay>Pas</anti-replay>

         <copy-tos>Pas</copy-tos>

         <tunnel-monitor></tunnel-monitor>

            <enable>Pas</enable>

        

         <tunnel-interface>tunnel. 1</tunnel-interface>

         <auto-key></auto-key>

            <ike-gateway></ike-gateway>

               <entry name="XYZ.ASA"></entry>

           

            <ipsec-crypto-profile>Par défaut</ipsec-crypto-profile>

            <proxy-id></proxy-id>

               <local>10.61.0.0/16</local>

               <remote>10.211.168.0/22</remote>

           

         

      

   

 

 

Remarque: le champ de protocole sous proxy-ID doit correspondre des deux côtés.

 

propriétaire : panagent