代理 ID 限制错误

问题

提交后显示以下错误:
提交错误: 隧道接口隧道. x 多绑定限制 (10) 已达到.

原因

每个阶段2的代理 id 的最大数目有一个限制。

解决办法

要实现具有10多个代理 id 的 vpn, 请配置另一个具有相同阶段1和第二阶段2的隧道。

或

超网代理 id。例如, 而不是使用 10.1. 0.0/16, 10.2. 0.0/16, 该范围可以 supernetted 到 10.0/0.0, 以避免多个条目。

配置第一个 VPN:

转到网络 > 接口。创建新的隧道接口。分配以下参数:

• 命名隧道 2
• 虚拟路由器选择现有的虚拟路由器.
• 区域选择将从其发起通信的3层内部区域.

  

转到网络 > 网络配置文件 > ike 网关屏幕, 在此屏幕上配置 ike 阶段1网关。单击 "新建" 并输入:

• IKE 网关siteX, 或任何您选择的名称.
• 本地 IP 地址选择与其他 VPA 端点最接近的防火墙接口. 这是防火墙的 "公用" 接口。
• 对等 IP 地址在其他 VPN 端点上输入 "公用" 接口的 ip 地址.
• 预共享密钥输入您选择的键, 并记住它, 以便您可以在其他防火墙的 VPN 配置中输入它.

  

要配置 IKE 阶段 2 VPN, 请转到网络 > IPSec 隧道。创建具有以下参数的新 VPN:

• 命名vpn 到 siteX, 或您选择的任何名称.
• 隧道接口拉下以选择隧道. 2
• ike 网关拉下以选择您在上一步中创建的 ike 网关

  

接下来, 生成代理 id。记住限制是 10:

创建第二个 IPSec 隧道时, 可以引用相同的 IKE 网关。请记住使用不同的隧道接口 (在此示例中, 隧道 3):

不能从第一个隧道复制代理 id。它们必须至少有一个不同的元素。您可以在列表中使用不同的本地代理10。

注:从 PAN OS 5.0, 代理 id 限制已增加到 250, 除了帕洛阿尔托网络 PA-200, 它有一个限制25代理 id. 配置了250代理 id 的隧道的吞吐量类似于只有一个配置的隧道。每个代理 ID 都对 VPN 隧道的平台限制进行计数。

所有者: dlorenzen