Cómo configurar una VPN IPSEC con configuración de ruta y túnel desde CLI
Resolution
Resumen
Este documento proporciona los comandos CLI para crear una VPN IPSec, incluida la configuración de túnel y ruta, en un cortafuegos de Palo Alto Networks. Antes de ejecutar los comandos, asegúrese de que los perfiles criptográficos IKE e IPsec están configurados en el cortafuegos.
Nota: para los comandos enumerados en este documento, se recomienda utilizar los mismos cryptos IKE y IPSec para los nuevos túneles IPSEC.
Detalles
La siguiente información se utiliza como datos de ejemplo para los comandos.
| Túnel: | Tunnel. 10 (Zone = VPN) |
| Nombre del túnel: | Nueva York VPN |
| Router virtual: | Router virtual 1 |
| IKE Crypto: | IKE-Crypto-perfil IKE_Profile |
| Gateway de IKE: | Nueva York VPN |
| Crypto de IPsec: | IPSec-Crypto-perfil IPsec_Profile |
| Dirección IP del mismo nivel: | 100.100.100.1 |
| Subred del otro lado del túnel: | 192.168.3.0/24 |
Los comandos siguientes deben ejecutarse en el orden indicado.
> configurar
# establecer interfaz de red túnel unidades túnel. 10 IPv6 no habilitado
# establecer interfaz de red túnel unidades túnel. 10 IPv6 interface-ID EUI-64
# establecer interfaz de red túnel unidades túnel. 10 comentario "Nueva York VPN"
# Set zone red VPN layer3 Tunnel. 10
# Set red virtual-router "virtual router 1" interfaz [ethernet1/1 ethernet1/2 ethernet1/3 ethernet1/4 Tunnel. 10]
# establecer red IKE Gateway Nueva York protocolo VPN IKEv1 DPD habilitar no
# establecer red IKE Gateway Nueva York protocolo VPN IKEv1 DPD intervalo 5
# establecer red IKE Gateway Nueva York protocolo VPN IKEv1 DPD reintentar
# establecer red IKE Gateway Nueva York protocolo VPN IKEv1 IKE-Crypto-perfil IKE_Profile
# establecer red IKE Gateway Nueva York protocolo VPN IKEv1 de modo de cambio automático
# establecer red IKE Gateway Nueva York autenticación VPN pre-compartida-clave clave Paloalto
# establecer red IKE Gateway Nueva York protocolo VPN-Common NAT-Traversal no permitir
# establecer red IKE Gateway Nueva York protocolo VPN-común modo pasivo no
# establecer red IKE Gateway nueva VPN peer-Address IP 100.100.100.1
# establecer red IKE Gateway Nueva York VPN local-dirección interfaz ethernet1/1
# establecer túnel de red IPSec New York VPN Auto-Key IKE-Gateway Nueva York VPN
# establecer túnel de red IPSec New York VPN Auto-Key IPSec-Crypto-Profile IPsec_Profile
# establecer túnel de red IPSec New York Tunnel-monitor no permitir
# establecer túnel de red IPSec New York VPN anti-Replay sí
# establecer túnel de red IPSec Nueva York VPN Copy-tos no
# configurar túnel de red IPSec túnel de nueva VPN-túnel de interfaz. 10
# Set red virtual-router "virtual router 1" enrutamiento-tabla IP estática-ruta Route_to_NewYork interfaz túnel. 10
# configurar red virtual-router "virtual router 1" enrutamiento-tabla IP estática-ruta Route_to_NewYork métrica 10
# configurar red virtual-router "virtual router 1" enrutamiento-tabla IP estática-ruta Route_to_NewYork destino 192.168.3.0/24
Nota: dado que la función de clonación no está disponible a través de la interfaz de usuario Web, los comandos anteriores se pueden utilizar para clonar túneles IPSEC en el mismo cortafuegos o copiarlos en otro cortafuegos de Palo Alto Networks.
Para ver la configuración existente, ejecute el comando Mostrar con las opciones apropiadas.
Por ejemplo:
# Mostrar IKE de red
# Mostrar túnel de red IPSec
Propietario: kadak