如何配置 IPSec VPN

NOTE:帕洛阿尔托网络仅支持 IPSec 的隧道模式VPN. IPSec 不支持传输模式VPN.

第1步

去网络 > 接口 > 隧道选项卡，点击添加创建一个新的隧道接口并分配以下参数：

• 名称：隧道.1
• 虚拟路由器：（选择您希望隧道接口所在的虚拟路由器）
• 安全区域：（为隧道接口配置一个新区域，以便更精细地控制进/出隧道的流量）

NOTE:如果隧道接口所在的区域与流量将起源或离开的区域不同，则policy需要允许流量从源区域流向包含隧道接口的区域。
在隧道接口上配置 ip-address 是可选的。 一个需要IP-地址，如果您打算在隧道接口上运行动态路由协议。

第2步

• 去网络 > 网络配置文件 >IKE加密货币，
• 点击添加并定义IKE加密配置文件（IKEv1 Phase-1）参数。
• 名字无所谓，随心所欲。
• 这些参数应该在遥控器上匹配firewall为了IKE第一阶段谈判成功。

步骤 3

• 去网络 > 网络配置文件 >IKE网关配置IKE第一阶段网关。
• 版本：有版本选项，您可以在其中选择仅 IKEv1 模式、仅 IKEv2 模式或 IKEv2 首选模式。

• 界面：连接到互联网的外部接口。
• 本地和对等标识：定义本地/对等网关的格式和标识，它们与 IKEv1 阶段 1 的预共享密钥一起使用SA和 IKEv2SA成立。

• 启用被动模式- 这firewall处于仅响应者模式。 这firewall只会回应IKE连接，从不启动它们。
• 交换模式- 设备可以接受主模式和攻击模式协商请求；但是，只要有可能，它就会启动协商并允许在主模式下进行交换

第四步

• 在下面网络 > 网络配置文件 > IPSec 加密， 点击添加要创建新配置文件，请定义 IPSec 加密配置文件以指定用于识别、身份验证和加密的协议和算法VPN基于 IPSec 的隧道SA协商（IKEv1 阶段 2）。
• 这些参数应该在遥控器上匹配firewall为了IKE第二阶段谈判成功。

 

步骤 5

• 在下面网络 > IPSec 隧道， 点击添加创建一个新的 IPSec 隧道。
• 在 General 窗口中使用 Tunnel Interface，IKE Gateway 和 IPSec Crypto Profile 从上面设置参数来建立 IPSecVPN防火墙之间的隧道。

 

NOTE:如果隧道的另一端是支持policy-基于VPN，您必须定义代理 ID
配置 IPSec 隧道代理时 -ID配置以识别本地和远程IP用于 NATed 流量的网络，Proxy-ID IPSec 隧道的配置必须使用 Post-NAT IP网络信息，因为 Proxy-ID信息定义了 IPSec 配置允许通过隧道的网络。

 

步骤 6

• 在下面网络 > 虚拟路由器，单击您的虚拟路由器配置文件，然后单击静态路由,
• 为落后于另一个的网络添加一条新路由VPN端点。 使用正确的隧道接口。
• 点击OK完成后。

 

步骤 7

配置所需的安全规则/策略

允许IKE协商和 IPSec/ESP数据包。 默认情况下IKE协商和 IPSec/ESP数据包将通过 intrazone 默认允许被允许。
如果您希望进行更精细的控制，您可以专门允许所需的流量并拒绝其余流量。


允许传入和传出流量通过隧道。 如果您需要对传入和传出流量进行精细控制，您可以为每个方向创建单独的规则。

步骤 8

犯罪配置。

NOTE:
只有当有有趣的流量流向隧道时，隧道才会出现。
手动发起隧道，检查状态和清除隧道参考：
如何检查状态、清除、恢复和监控IPSEC VPN隧道