GlobalProtect サテライトを設定する方法
68973
Created On 09/25/18 17:15 PM - Last Modified 10/05/23 04:19 AM
Resolution 詳細
GlobalProtect サテライトを使用すると、従来のハブおよびスポーク型 vpn の導入が簡素化され、複数の支社を備えたエンタープライズネットワークを、リモートのサテライトデバイスで必要最小限の構成で迅速に展開することが可能に なります。このソリューションでは、デバイス認証と IPSec の証明書を使用してデータを保護します。
セットアップには、ポータル、ゲートウェイ、およびサテライトの構成が含まれています。
注: この構成は、ポータルとゲートウェイの両方に同じインターフェイスを使用し、7.0. X を実行しているデバイスでテストされます。以前のバージョン間の構成の違いを覚えておいてください。
証明書の要件:
GlobalProtect ポータルの設定:
ポータル (ネットワーク-> GlobalProtect-> ポータル-> 追加) を構成し、ポータル/ゲートウェイとして機能するインターフェイスを追加します。 注: 認証プロファイルは、コミットエラーを回避するために追加されたものであることに注意してください。サテライトの登録にシリアル番号を使用している場合は使用されません。このプロファイルは、シリアル番号を使用して登録されていない衛星のユーザ名/パスワードベースの認証のために提供されます。上記のケースでは、ユーザー名/パスワードベースの認証にローカルユーザーを使用している認証プロファイルが作成されています。ゲートウェイと優先度を追加してサテライトを構成します。サテライトのシリアル番号を追加することにより、ポータルは上記で構成された認証プロファイルをバイパスし、代わりにシリアル番号を使用してサテライトを検証します。
メモ: 上記のサテライト構成では、シリアル番号が追加されていないことに注意してください。シリアル番号ベースの登録が必要な場合は、サテライトデバイスのシリアル番号を追加できます。また、報) ds-truster のルート CA 証明書と、構成に追加されている発行元についても確認してください。発行元の証明書は、接続時にサテライトによって生成された証明書署名要求に署名するためにポータルによって使用されます。 GlobalProtect サテライトの証明書失効を提供するために、ポータルを OCSP レスポンダー (デバイス > 証明書管理 > ocsp レスポンダー) として構成します。また、管理プロファイルの下にある OCSP サービスをポータルインターフェイスに binded こともできます。外部 CA が使用されている場合、OSCP レスポンダの設定は rerequired になりません。
ゲートウェイの構成:
ゲートウェイ (ネットワーク > GlobalProtect > ゲートウェイ > Add) を構成し、適切なインターフェイスと証明書プロファイルを使用して、ゲートウェイへのサテライトの認証を行います。 注: 証明書プロファイルを持つことは必須であり、コミットは失敗します。認証プロファイルは必須ではありません。
このサテライトにトンネルインターフェイスをバインドし、IP プールとアクセスルートのネットワーク設定を構成します。メモ: ip プールは、サテライトのトンネルインタフェースに ip を割り当てるために使用されます。サテライトの背後にあるネットワークからのトラフィックが、トンネルを経由してゲートウェイに正しくルーティングされるように、サテライトのルーティングテーブルにアクセスルートがインストールされます。 ゲートウェイは、サテライト構成 > ルートフィルタの下にある [公開されたルートを受け付ける] チェックボックスをオンにして、サテライトによってアドバタイズされるすべての/選択ルートを受け入れることができます。
ポータルとゲートウェイの構成をコミットします。
衛星の構成:
新しい IPSec トンネル構成を作成し、GlobalProtect サテライトとしてタイプを選択します。トンネルインターフェイス、ポータルの構成、およびポータルアドレスに到達できるインターフェイスを追加します。
サテライトがゲートウェイへのルートをアドバタイズするには、「すべての静的および接続されたルートをゲートウェイに公開する」チェックボックスをオンにして、すべての静的および接続ルートをアドバタイズするか、サブネットを追加して選択したルートのみを提供します。以下のスナップショットでは、サテライトはゲートウェイにのみネットワーク 20.1.1.0/24 をアドバタイズするように構成されています。
サテライトで変更をコミットすることを忘れないでください。
接続のテスト
サテライトで [ゲートウェイ情報] をクリックすると、そのシリアル番号がサテライトの登録に使用されなかった場合に、ポータルに認証するための資格情報を入力するオプションが提供されます。bwloe スナップショットは、ステータス、割り当てられた IP をトンネルインタフェースおよびアクセスルートにハイライト表示します。
ゲートウェイでこの情報を確認します。
所有者: sdarapuneni