CLI からルートとトンネルの構成を使用して IPSEC VPN を構成する方法
Resolution
概要
このドキュメントでは、パロアルトネットワークファイアウォールで、トンネルとルートの構成を含む IPSec VPN を作成するための CLI コマンドを提供します。コマンドを実行する前に、IKE と IPSec の暗号化プロファイルがファイアウォール上で構成されていることを確認してください。
メモ:このドキュメントに記載されているコマンドについては、新しい ipsec トンネルに同じ IKE および ipsec cryptos を使用することをお勧めします。
詳細
次の情報は、コマンドのサンプルデータとして使用されます。
トンネル: | トンネル 10 (ゾーン = vpn) |
トンネルの名前: | ニューヨークの VPN |
仮想ルーター: | 仮想ルーター1 |
IKE 暗号: | ike 暗号化プロファイル IKE_Profile |
IKE ゲートウェイ: | ニューヨークの VPN |
IPsec 暗号化: | ipsec 暗号化プロファイル IPsec_Profile |
ピア IP アドレス: | 100.100.100.1 |
トンネルの反対側のサブネット: | 192.168.3.0/24 |
以下のコマンドは、記載されている順序で実行する必要があります。
>構成
# 設定ネットワークインターフェイストンネルユニットトンネル. 10 ipv6 が有効になっていない
# 設定ネットワークインターフェイストンネルユニットトンネル. 10 ipv6 インターフェイス-id の義-64
# ネットワークインターフェイストンネルユニットトンネルを設定します。10コメント "ニューヨークの VPN"
# セットゾーン vpn ネットワーク layer3 トンネル10
# 設定ネットワーク仮想ルータ "仮想ルータ 1" インターフェイス [ethernet1/1 ethernet1/2 ethernet1/3 ethernet1/4 トンネル. 10]
# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 dpd を有効にしない
# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 dpd 間隔5
# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 dpd 再試行
# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 ike-暗号化プロファイル IKE_Profile
# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル ikev1 交換モード自動
# 設定ネットワーク ike ゲートウェイニューヨーク VPN 認証事前共有キーキー paloalto
# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル-共通の nat トラバーサルを有効にしない
# 設定ネットワーク ike ゲートウェイニューヨーク VPN プロトコル-コモンパッシブモードなし
# ネットワーク ike ゲートウェイニューヨーク VPN ピアアドレス ip 100.100.100.1 を設定します。
# 設定ネットワーク ike ゲートウェイニューヨーク VPN のローカルアドレスインターフェイス ethernet1/1
# 設定ネットワークトンネル ipsec ニューヨーク vpn の自動キー ike ゲートウェイニューヨーク vpn
# 設定ネットワークトンネル ipsec のニューヨークの VPN の自動キーの ipsec-暗号化プロファイル IPsec_Profile
# 設定ネットワークトンネル ipsec ニューヨークの VPN トンネル-モニタを有効にしない
# 設定ネットワークトンネル ipsec ニューヨークの VPN の反リプレイはい
# 設定ネットワークトンネル ipsec ニューヨークの VPN コピー-tos の
# 設定ネットワークトンネル ipsec ニューヨークの VPN トンネル-インターフェイストンネル10
# 設定ネットワーク仮想ルータ "仮想ルータ 1" ルーティング-テーブルの ip 静的-ルート Route_to_NewYork インターフェイストンネル10
# 設定ネットワーク仮想ルータ "仮想ルータ 1" ルーティング-テーブルの ip 静的-ルート Route_to_NewYork メトリック10
# 設定ネットワーク仮想ルータ "仮想ルータ 1" ルーティング-テーブルの ip 静的-ルート Route_to_NewYork 宛先 192.168.3.0/24
注:複製機能は web UI を通じて使用できないため、上記のコマンドを使用して、同じファイアウォール上の IPSec トンネルを複製したり、別のパロアルトネットワークファイアウォールにコピーしたりすることができます。
既存の構成を表示するには、showコマンドを適切なオプションで実行します。
例えば:
# ネットワーク ike を表示する
# 表示ネットワークトンネルの ipsec
所有者: kadak