帕洛阿尔托网络防火墙和思科之间的 IPSec 站点站点
178733
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 21:29 PM
Resolution
详细
下面的关系图说明了 IPSec 站点到帕洛阿尔托网络防火墙和思科之间:
隧道接口
创建一个隧道接口并选择虚拟路由器和安全区。安全策略需要允许交通从 LAN 区到 VPN 的区域,如果将隧道接口放置在内部局域网网络时区以外的一些单独的分区。
IP 地址不是必需的。若要通过隧道运行的路由协议,你必须将 IP 地址添加到隧道接口。
环回接口
对于这种情况下,我们正在使用环回接口模拟用于测试目的,否则有内部区域中的主机是环回接口不需要。
第 1 阶段
创建阶段 1 策略,将两边都相同:
第二阶段
创建阶段 2 策略,将两边都相同:
IKE 网关
对等 IP 地址必须是可以通过接口以太网 1/1,到达如下所示:
IPSec 隧道
选择隧道接口、IKE 网关和 IPSec 加密配置文件,以确保代理 ID 添加,否则为第 2 阶段不会来。
路线
添加指向隧道接口的另一边的内部网络的路由,并选择无:
配置思科
ip 访问-列表扩展 Crypto_Acl
允许 ip 10.50.50.0 0.0.0.255 16.16.16.0 0.0.0.255
密码 isakmp 策略 16
encr aes
哈希 md5
身份验证预共享
组 5
加密 isakmp 密钥 cisco123 地址 0.0.0.0 0.0.0.0
加密 ipsec 转换-设置 TSET esp-aes esp
加密映射 CMAP 10 ipsec isakmp
集对等 10.50.240.55
集转换集 TSET
匹配地址 Crypto_Acl
接口 FastEthernet0/0
加密映射 CMAP
所有者: pakumar