Error de limitación de ID de proxy

Error de limitación de ID de proxy

54084
Created On 09/25/18 19:43 PM - Last Modified 06/09/23 08:50 AM


Resolution


Incidencia

El siguiente error aparece después de commit:
error de confirmación: túnel de interfaz Tunnel. x limitación de enlace múltiple ( 10) alcanzado.

 

Causa

Hay un límite en el número máximo de IDs de proxy por fase 2.

 

Resolución

Para implementar VPNs con más de 10 ID de proxy, configure otro túnel con la misma fase 1 y segunda fase 2.

o

SuperNet los IDs de proxy. Por ejemplo, en lugar de usar 10.1.0.0/16, 10.2.0.0/16, el rango puede ser supermallado a 10.0.0.0/8 para evitar múltiples entradas.

 

Para configurar la primera VPN:

Ir a red > Interfaces. Crear una nueva interfaz de túnel. Asigne los siguientes parámetros:

  • Nombre Tunnel. 2
  • Enrutador virtual Seleccione el enrutador virtual existente.
  • ZonaSeleccione la zona interna de la capa 3 desde la que se originará el tráfico.

Ir a red > perfiles de red > pantalla de gateways IKE para configurar la pasarela IKE Phase 1 en esta pantalla. Haga clic en nuevo y escriba:

  • IKE Gateway GW-to-siteX, o cualquier nombre de su elección.
  • Dirección IP local Seleccione la interfaz del cortafuegos más cercana al otro extremo de VPA. Esta es la interfaz "pública" del firewall.
  • Dirección IP del interlocutor Introduzca la dirección IP de la interfaz "pública" en el otro extremo de VPN.
  • Clave pre-compartida Introduzca una clave de su elección y recuérdela para que pueda introducirla en la configuración VPN del otro Firewall.

Para configurar la VPN IKE Phase 2, vaya a los túneles de red > IPSec. Cree una nueva VPN con los siguientes parámetros:

  • Nombre VPN-to-siteX, o cualquier nombre de su elección.
  • Interfaz del túnel Tire hacia abajo para seleccionar Tunnel. 2
  • IKE Gateway Tire hacia abajo para seleccionar la puerta de enlace IKE que creó en el paso anterior

Luego, construya sus IDs de proxy. Recuerda que el límite es 10:

 

 

Al crear el segundo túnel IPSec, puede hacer referencia a la misma puerta de enlace IKE. Recuerde utilizar una interfaz de túnel diferente (en este ejemplo, Tunnel. 3):

 

No puede duplicar los ID de proxy del primer túnel. Deben tener al menos un elemento diferente. Puede utilizar diferentes proxies locales en la lista de 10.

 

Nota: desde pan-os 5,0, la limitación de ID de proxy se ha incrementado a 250 excepto en el palo alto Networks PA-200, que tiene un límite de 25 IDS proxy. El rendimiento de los túneles con 250 proxy configurados es similar a los túneles con sólo uno configurado. Cada ID de proxy cuenta hacia el límite de plataforma para túneles VPN.

 

Propietario: dlorenzen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clc9CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language