Problem
Folgende Fehleranzeige nach Übergabe:
Commit-Fehler: Tunnel Schnittstellen Tunnel. x mehrfach Bindungs Begrenzung (10) erreicht.
Ursache
Es gibt eine Grenze für die maximale Anzahl von Proxy-IDs pro Phase 2.
Lösung
Um VPNs mit mehr als 10 Proxy-IDs zu implementieren, konfigurieren Sie einen weiteren Tunnel mit der gleichen Phase 1 und der zweiten Phase 2.
oder
SuperNet die Proxy-IDs. Anstatt zum Beispiel 10.1.0.0/16, 10.2.0.0/16 zu verwenden, kann der Bereich auf 10.0.0.0/8 überlagert werden, um mehrere Einträge zu vermeiden.
Um das erste VPN zu konfigurieren:
Gehen Sie zu Netzwerk > Schnittstellen. Eine neue Tunnel Schnittstelle erstellen. Folgende Parameter zuweisen:
- Name Tunnel. 2
- Virtueller Router Wählen Sie den bestehenden virtuellen Router aus.
- ZoneWählen Sie die Ebene 3 innere Zone, aus der der Verkehr entstehen wird.
Gehen Sie zum Netzwerk > Netzwerk Profile > IKE Gateways Screen, um das IKE Phase 1 Gateway auf diesem Bildschirm zu konfigurieren. Klicken Sie auf neu und geben Sie:
- IKE Gateway GW-to-SITEX, oder jeder Name Ihrer Wahl.
- Lokale IP-Adresse Wählen Sie die Firewall-Schnittstelle am nächsten an der anderen VPA-Endpunkt. Dies ist die "öffentliche" Schnittstelle der Firewall.
- Peer-IP-Adresse Geben Sie die IP-Adresse der "Public"-Schnittstelle am anderen VPN-Endpunkt ein.
- Vor-Shared-Taste Geben Sie einen Schlüssel Ihrer Wahl ein, und denken Sie daran, so dass Sie ihn in die VPN-Konfiguration der anderen Firewall eingeben können.
Um die IKE Phase 2 VPN zu konfigurieren, gehen Sie zu Network > IPSec Tunnels. Erstellen Sie ein neues VPN mit folgenden Parametern:
- Nennen Sie VPN-to-SITEX oder irgendeinen Namen Ihrer Wahl.
- Tunnel Schnittstelle nach unten zu wählen Tunnel. 2
- IKE Gateway Pull Down, um das IKE Gateway auszuwählen, das Sie im vorherigen Schritt erstellt haben
Als Nächstes bauen Sie Ihre Proxy-IDs. Denken Sie daran, das Limit ist 10:
Wenn Sie Ihren zweiten IPSec-Tunnel erstellen, können Sie sich auf das gleiche IKE-Gateway beziehen. Denken Sie daran, eine andere Tunnel Schnittstelle zu verwenden (in diesem Beispiel Tunnel. 3):
Sie können die Proxy-IDs nicht aus dem ersten Tunnel duplizieren. Sie müssen mindestens ein Element haben, das anders ist. Sie können verschiedene lokale Proxies in Ihrer Liste von 10 verwenden.
Hinweis: von Pan-OS 5,0 wurde die Proxy-ID-Beschränkung auf 250 erhöht, mit Ausnahme der Palo Alto Networks PA-200, die ein Limit von 25 Proxy-IDs hat. Der Durchsatz von Tunneln mit 250 Proxy-IDs ist ähnlich wie bei Tunneln mit nur einem konfigurierten. Jede Proxy-ID zählt zur Platt Form Begrenzung für VPN-Tunnel.
Besitzer: dlorenzen