配置瞻 SRX IPSEC VPN 隧道到帕洛阿尔托网络防火墙的提示
70321
Created On 09/25/18 19:20 PM - Last Modified 06/15/23 19:35 PM
Resolution
概述
这份文件是用于提供简单的提示, 以帮助配置一个瞻博网络 VPN。
在这个示例配置中, 瞻博 SRX 防火墙正在使用在帕洛阿尔托网络防火墙上终止的基于 VPN 配置。
小贴士
IPSEC 代理 id
- 只要代理 ID 在两边都匹配, VPN 就会出现。如果配置了基于 VPN 的 SRX, 则不需要配置代理 ID。
SRX 安全隧道接口配置:
- VPN 将在隧道接口 (st0) 上出现或没有 IP 地址。它不强制在隧道接口上没有 IP。
- 已找到减少两个设备上的 MTU 以帮助连接。减少 MTU, 直到它是稳定的。测试显示, 值1350仍然足够大, 但小到不能在路上丢弃。
SRX IPSEC VPN 配置:
- SRX 上的 "PFS group2" 等同于 "IPSEC 加密" DH 组 2 "策略在泛上。
- "df-位清楚" 在 SRX 工作与平底锅很好和允许大于1350的数据包被分割并且被送通过隧道。
- 要简化配置, 请禁用 SRX 和 PA 上的隧道监视。
- 客户可以配置 "立即建立隧道" 或 "建立隧道的交通" 在 SRX, 使他们的 VPN。配置了第二个选项后, 只有在接收到与配置的代理 ID 匹配的通信时, SRX 才会启动 VPN 协商。第一个选项确保 SRX 在执行提交后立即启动 VPN 协商。
SRX 安全策略配置:
- 如果 VPN 隧道终止到 SRX 上的信任接口, 则您仍然必须有一个允许信任信任通信 (在接口到隧道接口) 的安全策略。
所有者︰ panagent