帕洛阿尔托网络防火墙和思科之间的 IPSec 站点站点

帕洛阿尔托网络防火墙和思科之间的 IPSec 站点站点

178733
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 21:29 PM


Resolution


详细

下面的关系图说明了 IPSec 站点到帕洛阿尔托网络防火墙和思科之间:

Topology.jpg

 

隧道接口

创建一个隧道接口并选择虚拟路由器和安全区。安全策略需要允许交通从 LAN 区到 VPN 的区域,如果将隧道接口放置在内部局域网网络时区以外的一些单独的分区。

 

IP 地址不是必需的。若要通过隧道运行的路由协议,你必须将 IP 地址添加到隧道接口。

 

Tunnel.jpg

 

Tunnel1.png

 

Tunnel2.png

 

环回接口

对于这种情况下,我们正在使用环回接口模拟用于测试目的,否则有内部区域中的主机是环回接口不需要。

 

Looback 1、jpg

 

Looback 2.jpg

 

Looback 3.jpg

 

第 1 阶段

创建阶段 1 策略,将两边都相同:

Phase1.jpg

 

第二阶段

创建阶段 2 策略,将两边都相同:

 

Phase2.png

 

IKE 网关

对等 IP 地址必须是可以通过接口以太网 1/1,到达如下所示:

 

IkeGateway1.png

 

IkeGateway2.png

 

IPSec 隧道

选择隧道接口、IKE 网关和 IPSec 加密配置文件,以确保代理 ID 添加,否则为第 2 阶段不会来。

 

IPSectunnel1.png

 

IPSecTunnel2.png

 

路线

添加指向隧道接口的另一边的内部网络的路由,并选择无:

 

RouteToInternal.png

配置思科

 

ip 访问-列表扩展 Crypto_Acl
允许 ip 10.50.50.0 0.0.0.255 16.16.16.0 0.0.0.255

密码 isakmp 策略 16
encr aes
哈希 md5
身份验证预共享
组 5

加密 isakmp 密钥 cisco123 地址 0.0.0.0 0.0.0.0

加密 ipsec 转换-设置 TSET esp-aes esp

加密映射 CMAP 10 ipsec isakmp
集对等 10.50.240.55
集转换集 TSET
匹配地址 Crypto_Acl

接口 FastEthernet0/0
加密映射 CMAP

 

所有者: pakumar
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJ3CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language