以下は、Cisco ASA ファイアウォールに接続するパロアルトネットワークファイアウォールを使用した IPSec トンネル構成の例です。
フェーズ1の提案
シスコアサ:
暗号 isakmp ポリシー10
認証の事前共有
3 des 暗号化
ハッシュ社
グループ 2
有効期間 86400
パロアルトネットワークファイアウォール:
<ike-crypto-profiles></ike-crypto-profiles>
<entry name="default"></entry>
<encryption></encryption>
<member>は aes192</member>
<member>aes256</member>
<member>aes128</member>
<member>3 des</member>
<hash></hash>
<member>sha1</member>
<member>md5</member>
<dh-group></dh-group>
<member>group2</member>
<member>group1</member>
<lifetime></lifetime>
<hours>24</hours>
フェーズ2の提案
シスコアサ:
暗号化 ipsec 変換-セットパロアルト esp-aes-256 esp-sha-hmac
20以外の暗号化マップは、変換セットのパロアルトを設定する
パロアルトネットワークファイアウォール:
<ipsec-crypto-profiles></ipsec-crypto-profiles>
<entry name="default"></entry>
<esp></esp>
<encryption></encryption>
<member>aes256</member>
<authentication>
<member>sha1</member>
</authentication>
<dh-group></dh-group>
<lifetime></lifetime>
<hours>24</hours>
<crypto-profiles></crypto-profiles>
ゲートウェイ
シスコアサ:
20セットピア10.9.3.8 外の暗号マップ
トンネル群10.9.3.8 型 ipsec-l2l
トンネルグループ 10.9.3.8 ipsec 属性
shared のキー *
isakmp キープアライブしきい値無限
プロンプトのホスト名コンテキスト
Cryptochecksum: 2e764f8b78fffa0bef7a212795ec0ebe
パロアルトネットワークファイアウォール:
<gateway></gateway>
<entry name="XYZ.ASA"></entry>
<peer-address></peer-address>
<ip>10.88.12.253</ip>
<local-address></local-address>
<ip>10.9.3.8/24</ip>
<interface>ethernet1/1</interface>
<authentication>
<pre-shared-key></pre-shared-key>
<key>k2VXNMN7gOjEFUe6y8ALut8vWzxw5TY0</key>
</authentication>
<protocol></protocol>
<ikev1></ikev1>
<exchange-mode>自動</exchange-mode>
<ike-crypto-profile>既定</ike-crypto-profile>
<dpd></dpd>
<enable>うん</enable>
<interval>10</interval>
<retry>3</retry>
フェーズ 2-プロキシ ID/トンネル
シスコアサ:
アクセスリスト ASAtoPAN 拡張許可 ip 10.211.168.0 255.255.252.0 10.61.0.0 255.255.0.0
20以外の暗号化マップアドレス ASAtoPAN
パロアルトネットワークファイアウォール:
<tunnel></tunnel>
<ipsec></ipsec>
<entry name="XYZTunnel"></entry>
<anti-replay>違います</anti-replay>
<copy-tos>違います</copy-tos>
<tunnel-monitor></tunnel-monitor>
<enable>違います</enable>
<tunnel-interface>トンネル1</tunnel-interface>
<auto-key></auto-key>
<ike-gateway></ike-gateway>
<entry name="XYZ.ASA"></entry>
<ipsec-crypto-profile>既定</ipsec-crypto-profile>
<proxy-id></proxy-id>
<local>10.61.0.0/16</local>
<remote>10.211.168.0/22</remote>
注: プロキシ ID の下のプロトコルフィールドは両側で一致する必要があります。
所有者: panagent