下来帕洛阿尔托网络防火墙静态 IP 地址和思科 VTI 动态 IP 地址之间的 VPN 隧道

症状

已帕洛阿尔托网络防火墙和 Cisco 路由器之间配置 IPSec 站点到站点 VPN。然而，VTI VPN 隧道不出来。

原因

这个问题可能是由于 IKE 阶段 1 本地和同行鉴定不匹配。

解决办法

1. PA 防火墙配置 (网络 > IKE 网关 > 配置 IKE 网关)，如下面的示例。确保本地和对等标识与 Cisco 路由器匹配。
   
   注意:如果另一端是动态 IP, 使用积极的 Exchange 模式并启用被动模式. 选择本地和同行鉴定为 IKE 阶段 1，这与 Cisco 路由器的配置相匹配。
   
   
2. 与 Cisco 路由器在 VTI 模式下，配置 IKE 网关 （见下面的示例）。  再次, 确保本地和对等标识与帕洛阿尔托网络防火墙匹配。
   
   
   使用 Cisco 路由器在等效的加密映射模式下, 配置 IKE 网关 (参见下面的示例).
   

所有者： jlunario