在隧道中配置具有 VPN 重叠子网范围的多个代理 ID
29680
Created On 04/09/19 09:24 AM - Last Modified 06/06/25 19:06 PM
Symptom
在配置 IPSec VPN 时,代理 ID 是支持 Policy 基于 VPN 的同行的要求。
有时,多个本地和远程子网需要 VPN 为同一对等点进行通信。 如果对等端 policy 是基于 VPN 您将需要在 Palo Alto 隧道配置上设置多个代理 ID firewall 以与对等商的政策匹配。
即使配置正确,流量也可能因为代理 ID 存储在 Dataplane 中的方式 DP 而中断。本文重点介绍在配置具有相同对等体(用于重叠子网的)的多个代理 ID 时使用的最佳做法。
Environment
- 任何 PAN-OS .
- 帕洛阿尔托 Firewall .
- IPSEC VPN 配置为代理ID。
Cause
配置多个代理 ID 时,ID 的命名 Policy 非常重要,因为代理匹配的顺序 ID 取决于代理 ID 名称的字符串顺序。
示例:
假设在隧道配置下配置了 4 个代理 ID:
TestProxyID-1 : 本地 = 10.1.1.0/24, 远程 = 192.168.30.0/24 代理
ID-10_8_0_0 : 本地 = 10.8.1.0/24, 远程 = 192.168.30.0/24
代理 id-10_123_0_0 : 本地 = 10.123.1.0/24, 远程 = 192.168.30.0/24
全网: 本地 = 10.0.0.0/8, 远程 = 192.168.30.0/24
当代理 ID 存储时 DP ,它们使用字符串比较( ASCII 排序)
进行排序以确定排序顺序,我们可以使用任何排序工具,如https://www.textfixer.com/tools/alphabetical-order.php
使用上述字符串排序订单,用于上述代理 ID 名称:
所有网络: 本地 = 10.0.0.0/8, 远程 = 192.168.30.0/24 代理
id-10_123_0_0 : 本地 = 10.123.1.0/24, 远程 = 192.168.30.0/24
代理 ID-10_8_0_0 : 本地 = 10.8.1.0/24, 远程 = 192.168.30.0/24
TestProxyID-1 : 本地 = 10.1.1.0/24, 远程 = 192.168.30.0/24
IPSEC 安全性 SA 将按此顺序存储。 DP 这将影响流量处理,因为当某个流量需要使用代理 ID 之一进行加密时,它会从上到下查找第一个匹配的代理 ID 。
在上述示例中,即使 "所有网络" 代理 ID 在配置底部定义,但在 DP 它将是第一个顺序。
在上述示例中,如果任何流量从源 10.123.1.0/24 通过此 IPSEC 隧道发送到遥控器 IP ,则不会通过 "代理 id-10_123_0_0" 发送,而是通过 "AllNetworks"发送。 因此,这可能会在远程端失败,后者正在根据代理 ID 检查传入的流量。
Resolution
对于具有重叠子网的代理 ID,请定义代理 ID 名称,以便 ID 根据字符串排序,更具体的代理名称高于更广泛的代理 ID 名称。
Additional Information
提示和技巧:为什么使用 A VPN 代理 ID