如何配置将封装的通信发送到对等方的外部 IP 地址的隧道
20161
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 20:26 PM
Resolution
概述
本文档简要介绍如何在以下网络方案中构建隧道:
<=> <=><=>互联网<VPN-Peer></VPN-Peer> </=> </=> </=>
[L3-trust 区] [L3-untrust 区]
该隧道将对 PA LAN 和 VPN 对等方的公共 IP 地址之间的通信进行加密。此方案引发一个问题, 因为帕洛阿尔托网络防火墙上的 vpn 是基于路由的, 并且必须同时为 vpn 对等 IP 地址执行以下操作:
- IKE 和 ESP 需要转发到 Internet 网关
- 客户端的通信量 (受保护的通信量) 需要路由到隧道接口
详细
在此示例中, PA LAN 为 192.168.181.0/24, VPN 对等方的公共 IP 地址为10.193.17.21。局域网将在10.193.17.21 上访问该服务。
要解决此问题, 请执行以下步骤:
- 创建隧道接口
- 创建一个正常的 IKE 网关, 如对于站点到站点的 vpn
- 创建正常的 IPSEC 隧道, 如传统的站点到站点 vpn
- 在此步骤中, 通常将静态路由配置为将通信量推送到对等方的受保护 IP 地址到隧道接口。而是配置一个 PBF (基于策略的转发) 规则:
- 源区域: l3-trust
- 源地址: PA LAN (例如 192.168.181.0/24),
- 目标地址: 对等方的公共 IP (例如: 10.193.17.21
- 行动: 向前
- 出口 I/F: 隧道接口 (例如隧道 5)
- 在隧道接口上设置 IP 地址。此 IP 地址没有真正使用, 可以设置为公司中任何未使用的 ip 地址 (例如 172.17.1. 1/32)。如果未设置, 则在提交过程中将出现以下错误消息:
错误: pbf 规则 "a1": 在 pbf 接口隧道上未定义 ip/ipv6 地址. 5. 错误: 无法分析 pbf 策略 - 提交更改
提交操作完成后, 请从 PA LAN 中的一个主机测试连接。
所有者: rweglarz