パロ ・ アルトのネットワーク ファイアウォールの静的 IP アドレスと Cisco VTI に動的 IP アドレス間を VPN トンネル

パロ ・ アルトのネットワーク ファイアウォールの静的 IP アドレスと Cisco VTI に動的 IP アドレス間を VPN トンネル

53961
Created On 09/25/18 17:39 PM - Last Modified 06/08/23 09:59 AM


Resolution


問題の状況

サイト間 IPSec VPN は、パロ ・ アルトのネットワーク ファイアウォールと Cisco ルータの間に構成されています。ただし、VTI VPN トンネル付属していません。

原因

IKE フェーズ 1 ローカルとピアの識別の不一致による問題があります。

解決方法

  1. PA のファイアウォールを構成する (ネットワーク > IKE ゲートウェイ > IKE ゲートウェイの構成)、次の例のように。ローカルおよびピアの識別が Cisco ルーターと一致していることを確認します。
    1. PNG
    注:もう一方の端が動的 IP の場合は、積極的な Exchange モードを使用し、パッシブモードを有効にします。ローカルを選択、IKE フェーズ 1 の Id をピアし、Cisco ルータの設定に合わせます。

  2. VTI モードで Cisco のルータ、IKE のゲートウェイを構成する (下の例を参照してください)。  ここでも、ローカルおよびピアの識別がパロアルトネットワークファイアウォールと一致していることを確認します。
    9. PNG

    同等の暗号マップモードで Cisco ルータを使用して、IKE ゲートウェイを設定します (後述の例を参照)。
    2. PNG

所有者: jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHVCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language