サンプルの IPSec トンネルの構成-Cisco ASA へのパロアルトネットワークファイアウォール

以下は、Cisco ASA ファイアウォールに接続するパロアルトネットワークファイアウォールを使用した IPSec トンネル構成の例です。

 

フェーズ1の提案

シスコアサ:

暗号 isakmp ポリシー10

認証の事前共有

3 des 暗号化

ハッシュ社

グループ 2

有効期間 86400

 

パロアルトネットワークファイアウォール:

<ike-crypto-profiles></ike-crypto-profiles>

   <entry name="default"></entry>

      <encryption></encryption>

         <member>は aes192</member>

         <member>aes256</member>

         <member>aes128</member>

         <member>3 des</member>

     

   <hash></hash>

      <member>sha1</member>

      <member>md5</member>

  

   <dh-group></dh-group>

      <member>group2</member>

      <member>group1</member>

  

   <lifetime></lifetime>

      <hours>24</hours>

  

  

 

フェーズ2の提案

シスコアサ:

暗号化 ipsec 変換-セットパロアルト esp-aes-256 esp-sha-hmac

20以外の暗号化マップは、変換セットのパロアルトを設定する

 

パロアルトネットワークファイアウォール:

<ipsec-crypto-profiles></ipsec-crypto-profiles>

   <entry name="default"></entry>

      <esp></esp>

         <encryption></encryption>

            <member>aes256</member>

        

         <authentication>

            <member>sha1</member>

         </authentication>

     

      <dh-group></dh-group>

      <lifetime></lifetime>

         <hours>24</hours>

     

  

<crypto-profiles></crypto-profiles>

 

ゲートウェイ

シスコアサ:

20セットピア10.9.3.8 外の暗号マップ

トンネル群10.9.3.8 型 ipsec-l2l

トンネルグループ 10.9.3.8 ipsec 属性

shared のキー *

isakmp キープアライブしきい値無限

プロンプトのホスト名コンテキスト

Cryptochecksum: 2e764f8b78fffa0bef7a212795ec0ebe

 

パロアルトネットワークファイアウォール:

<gateway></gateway>

   <entry name="XYZ.ASA"></entry>

      <peer-address></peer-address>

         <ip>10.88.12.253</ip>

     

      <local-address></local-address>

         <ip>10.9.3.8/24</ip>

         <interface>ethernet1/1</interface>

     

      <authentication>

         <pre-shared-key></pre-shared-key>

            <key>k2VXNMN7gOjEFUe6y8ALut8vWzxw5TY0</key>

        

      </authentication>

      <protocol></protocol>

         <ikev1></ikev1>

            <exchange-mode>自動</exchange-mode>

            <ike-crypto-profile>既定</ike-crypto-profile>

            <dpd></dpd>

               <enable>うん</enable>

               <interval>10</interval>

               <retry>3</retry>

           

        

     

  

 

フェーズ 2-プロキシ ID/トンネル

シスコアサ:

アクセスリスト ASAtoPAN 拡張許可 ip 10.211.168.0 255.255.252.0 10.61.0.0 255.255.0.0

20以外の暗号化マップアドレス ASAtoPAN

 

パロアルトネットワークファイアウォール:

<tunnel></tunnel>

   <ipsec></ipsec>

      <entry name="XYZTunnel"></entry>

         <anti-replay>違います</anti-replay>

         <copy-tos>違います</copy-tos>

         <tunnel-monitor></tunnel-monitor>

            <enable>違います</enable>

        

         <tunnel-interface>トンネル1</tunnel-interface>

         <auto-key></auto-key>

            <ike-gateway></ike-gateway>

               <entry name="XYZ.ASA"></entry>

           

            <ipsec-crypto-profile>既定</ipsec-crypto-profile>

            <proxy-id></proxy-id>

               <local>10.61.0.0/16</local>

               <remote>10.211.168.0/22</remote>

           

         

      

   

 

 

注: プロキシ ID の下のプロトコルフィールドは両側で一致する必要があります。

 

所有者: panagent