如何配置将封装的通信发送到对等方的外部 IP 地址的隧道

概述

本文档简要介绍如何在以下网络方案中构建隧道:

<=> <=><=>互联网<VPN-Peer></VPN-Peer> </=> </=> </=>

[L3-trust 区]       [L3-untrust 区]

该隧道将对 PA LAN 和 VPN 对等方的公共 IP 地址之间的通信进行加密。此方案引发一个问题, 因为帕洛阿尔托网络防火墙上的 vpn 是基于路由的, 并且必须同时为 vpn 对等 IP 地址执行以下操作:

1. IKE 和 ESP 需要转发到 Internet 网关
2. 客户端的通信量 (受保护的通信量) 需要路由到隧道接口

详细

在此示例中, PA LAN 为 192.168.181.0/24, VPN 对等方的公共 IP 地址为10.193.17.21。局域网将在10.193.17.21 上访问该服务。

要解决此问题, 请执行以下步骤:

1. 创建隧道接口
2. 创建一个正常的 IKE 网关, 如对于站点到站点的 vpn
3. 创建正常的 IPSEC 隧道, 如传统的站点到站点 vpn
4. 在此步骤中, 通常将静态路由配置为将通信量推送到对等方的受保护 IP 地址到隧道接口。而是配置一个 PBF (基于策略的转发) 规则:
   • 源区域: l3-trust
   • 源地址: PA LAN (例如 192.168.181.0/24),
   • 目标地址: 对等方的公共 IP (例如: 10.193.17.21
   • 行动： 向前
   • 出口 I/F: 隧道接口 (例如隧道 5)
     
5. 在隧道接口上设置 IP 地址。此 IP 地址没有真正使用, 可以设置为公司中任何未使用的 ip 地址 (例如 172.17.1. 1/32)。如果未设置, 则在提交过程中将出现以下错误消息:
   错误: pbf 规则 "a1": 在 pbf 接口隧道上未定义 ip/ipv6 地址. 5. 错误: 无法分析 pbf 策略
6. 提交更改

提交操作完成后, 请从 PA LAN 中的一个主机测试连接。

所有者： rweglarz