如何配置 GlobalProtect 卫星

详细

GlobalProtect 卫星简化了传统的集线器和分支 vpn 的部署, 使您能够快速部署多个分支机构的企业网络, 并在远程卫星设备上需要最少的配置量. 此解决方案使用设备身份验证和 IPSec 的证书来保护数据。 

安装程序包括将门户、网关和卫星配置为以下内容:

注意:此配置对门户和网关使用相同的接口, 并在运行7.0.X 的设备上进行测试. 记住早期版本之间的配置差异.

证书要求:

• 在门户上生成根 ca 证书 (自签名), 并在上面的根 ca 签名的门户和网关证书上使用服务器证书。 

  注意:确保 GlobalProtect 网关配置中的服务器证书的 CN (公用名称) 与 GlobalProtect 网关配置中 ip 地址配置的 ip 地址或 FQDN 匹配. (稍后配置)否则, 将生成错误 "证书公用名称与卫星上配置的主机名不匹配"。
  

• 以 PEM 格式导出根 CA (CACert), 不带私钥, 并将其导入附属设备 (设备 > 证书管理 > 证书 > 导入)。 该证书在卫星上用于验证门户/网关签证对 CACert。
  

GlobalProtect 门户配置:

1. 配置门户 (网络->> GlobalProtect 门户->> 添加) 并添加将充当门户/网关的接口。
   
2. 注意:请注意, 仅添加了身份验证配置文件以避免提交错误. 如果使用序列号用于注册卫星, 则不使用该方法。此配置文件将服务于以用户名/密码为基础的对未使用序列号注册的卫星进行身份验证。在上述情况下, 已经创建了一个身份验证配置文件, 使用本地用户进行基于用户名/密码的身份验证。
3. 通过添加网关和优先级来配置卫星。通过添加卫星的序列号, 门户将绕过上面配置的身份验证配置文件, 而是使用序列号来验证卫星。
   

   

   注意:请注意, 上述卫星配置中没有添加序列号. 如果需要基于序列号的注册, 则可以添加附属设备的序列号。还请注意在配置中添加的委托人根 CA 证书和颁发证书。该门户将使用颁发证书对连接上的卫星生成的证书签名请求进行签名。
4. 将门户配置为 OCSP 响应程序 (设备 > 证书管理 > OCSP 响应程序), 为 GlobalProtect 卫星提供证书吊销。还允许在管理配置文件绑定下的 OCSP 服务到门户界面。如果正在使用外部 CA, 则 OSCP 响应程序设置不 rerequired。

   

网关配置:

1. 配置网关 (网络 >> GlobalProtect >> 网关 > 添加), 具有适当的接口和证书配置文件, 将用于验证卫星到网关。 

   注意:强制具有证书配置文件或提交失败. 身份验证配置文件不是必需的。

   

2. 将隧道接口绑定到此卫星, 并配置 IP 池和访问路由的网络设置。注意: ip 池将用于将 ip 分配给卫星上的隧道接口. 访问路由将安装在卫星的路由表中, 以便从卫星后面的网络进行通信, 以便在隧道上正确路由到网关。
3. 网关可以接受由卫星通告的所有/选择性路由, 方法是检查 "接收已发布的路由" 复选框下的 "卫星配置" 路由筛选器。

   

4. 为门户和网关提交配置。

卫星配置:

1. 创建新的 IPSec 隧道配置并选择 GlobalProtect 卫星类型。添加隧道接口、门户配置和可以到达门户地址的接口。 

   

    

2. 要使卫星向网关通告路由, 请选中 "将所有静态和连接的路由发布到网关", 以通过添加子网来通告所有静态和连接的路由, 或者只公布选定的路由。在下面的快照中, 卫星被配置为网络 20.1. 1.0/24 只向网关做广告。

   

3. 记住在卫星上提交更改。

测试连接性

• 在卫星上, 单击 "网关信息", 如果没有使用序列号来注册该卫星, 它将提供一个选项来输入向门户验证的凭据。bwloe 快照突出显示状态、分配给隧道接口的 IP 和访问路由。
  

  

• 验证网关上的此信息。

所有者： sdarapuneni