CLI からルートとトンネルの構成を使用して IPSEC VPN を構成する方法

概要

このドキュメントでは、パロアルトネットワークファイアウォールで、トンネルとルートの構成を含む IPSec VPN を作成するための CLI コマンドを提供します。コマンドを実行する前に、IKE と IPSec の暗号化プロファイルがファイアウォール上で構成されていることを確認してください。

メモ:このドキュメントに記載されているコマンドについては、新しい ipsec トンネルに同じ IKE および ipsec cryptos を使用することをお勧めします。

詳細

次の情報は、コマンドのサンプルデータとして使用されます。

以下のコマンドは、記載されている順序で実行する必要があります。

>構成

# 設定ネットワークインターフェイストンネルユニットトンネル. 10 ipv6 が有効になっていない

# 設定ネットワークインターフェイストンネルユニットトンネル. 10 ipv6 インターフェイス-id の義-64

# ネットワークインターフェイストンネルユニットトンネルを設定します。10コメント "ニューヨークの VPN"

# セットゾーン vpn ネットワーク layer3 トンネル10

# 設定ネットワーク仮想ルータ "仮想ルータ 1" インターフェイス [ethernet1/1 ethernet1/2 ethernet1/3 ethernet1/4 トンネル. 10]

# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 dpd を有効にしない

# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 dpd 間隔5

# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 dpd 再試行

# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 ike-暗号化プロファイル IKE_Profile

# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 交換モード自動

# 設定ネットワーク ike ゲートウェイニューヨーク VPN 認証事前共有キーキー paloalto

# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル-共通の nat トラバーサルを有効にしない

# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル-コモンパッシブモードなし

# ネットワーク ike ゲートウェイニューヨーク VPN ピアアドレス ip 100.100.100.1 を設定します。

# 設定ネットワーク ike ゲートウェイニューヨーク VPN のローカルアドレスインターフェイス ethernet1/1

# 設定ネットワークトンネル ipsec ニューヨーク vpn の自動キー ike ゲートウェイニューヨーク vpn

# 設定ネットワークトンネル ipsec のニューヨークの VPN の自動キーの ipsec-暗号化プロファイル IPsec_Profile

# 設定ネットワークトンネル ipsec ニューヨークの VPN トンネル-モニタを有効にしない

# 設定ネットワークトンネル ipsec ニューヨークの VPN の反リプレイはい

# 設定ネットワークトンネル ipsec ニューヨークの VPN コピー-tos の

# 設定ネットワークトンネル ipsec ニューヨークの VPN トンネル-インターフェイストンネル10

# 設定ネットワーク仮想ルータ "仮想ルータ 1" ルーティング-テーブルの ip 静的-ルート Route_to_NewYork インターフェイストンネル10

# 設定ネットワーク仮想ルータ "仮想ルータ 1" ルーティング-テーブルの ip 静的-ルート Route_to_NewYork メトリック10

# 設定ネットワーク仮想ルータ "仮想ルータ 1" ルーティング-テーブルの ip 静的-ルート Route_to_NewYork 宛先 192.168.3.0/24

注:複製機能は web UI を通じて使用できないため、上記のコマンドを使用して、同じファイアウォール上の IPSec トンネルを複製したり、別のパロアルトネットワークファイアウォールにコピーしたりすることができます。

既存の構成を表示するには、showコマンドを適切なオプションで実行します。

例えば：

# ネットワーク ike を表示する

# 表示ネットワークトンネルの ipsec

所有者: kadak