プロキシ ID の制限エラー
Resolution
問題
コミット後に次のエラーが表示されます:
コミットエラー: トンネルインターフェイストンネル. x 多重結合の制限 (10) に達しました。
原因
フェーズ2あたりのプロキシ id の最大数には制限があります。
解決方法
10を超えるプロキシ id を持つ vpn を実装するには、同じフェーズ1と第2フェーズ2で別のトンネルを構成します。
または
プロキシ id をスーパーネットします。たとえば、10.1.0.0/16、10.2.0.0/16 を使用する代わりに、複数のエントリを回避するために、範囲を 10.0.0.0/8 に supernetted することができます。
最初の VPN を構成するには:
ネットワークに行く > インターフェイス。新しいトンネルインターフェイスを作成します。次のパラメータを割り当てます。
- 名前トンネル 2
- 仮想ルーター既存の仮想ルーターを選択します。
- [ゾーン] トラフィックの発信元となるレイヤ3内部ゾーンを選択します。
[ネットワーク] > [ネットワークプロファイル] > [ike ゲートウェイ] 画面で、この画面で ike フェーズ1ゲートウェイを構成します。[新規] をクリックして入力します。
- IKE ゲートウェイの gw-siteX、または任意の名前を選択します。
- [ローカル IP アドレス] 他の VPA エンドポイントに最も近いファイアウォールインターフェイスを選択します。これは、ファイアウォールの "パブリック" インターフェイスです。
- ピア ip アドレス他の VPN エンドポイントの "パブリック" インターフェイスの ip アドレスを入力します。
- 事前共有キーあなたの選択のキーを入力し、それを覚えているので、他のファイアウォールの VPN 構成でそれを入力することができます。
IKE フェーズ 2 VPN を構成するには、[ネットワーク] > [IPSec トンネル] に移動します。次のパラメータを使用して新しい VPN を作成します。
- 名前vpn-siteX、または任意の名前を選択します。
- トンネルのインターフェイスは、トンネルを選択するプルダウン。
- ike ゲートウェイをプルダウンして、前の手順で作成した ike ゲートウェイを選択します
次に、プロキシ id を作成します。限界は10であることを覚えなさい:
2番目の IPSec トンネルを作成するときは、同じ IKE ゲートウェイを参照できます。別のトンネルインターフェイス (この例では、トンネル 3) を使用することを忘れないでください。
最初のトンネルからプロキシ id を複製することはできません。少なくとも1つの要素が異なる必要があります。10のリストでは、異なるローカルプロキシを使用できます。
注: PAN-OS 5.0 から、プロキシ id の制限は、25プロキシの id の制限があるパロアルトネットワーク PA-200 を除いて250に増加しています。250プロキシ id が構成されたトンネルのスループットは、構成されているトンネルの1つだけと似ています。各プロキシ ID は、VPN トンネルのプラットフォーム制限に対してカウントされます。
所有者: dlorenzen