X-防火墙中的 Auth 支持是什么 PAN ，以及如何排除故障？

• 什么是 X- 奥思？
• 如何排除 X- 身份验证？

• 帕洛阿尔托网络防火墙运行 PAN-OS 8.1 及以上
• 这假定客户 Globalprotect 已经设置了门户和网关，并启用了 X- 网关上的 Auth 支持。 此配置位于网络>>网关>>代理>>隧道设置>>启用 X- 身份支持
• 它还假定客户端已正确配置第三方 VPN 客户端应用程序。

• Xauth（内部扩展身份验证 IKE ）是帕洛阿尔托网络 VPN 用于支持使用网关的第三方软件 Globalprotect 。
• 它允许第三方 VPN 客户端通过 Globalprotect 身份验证配置文件进行身份验证，作为谈判的一部分 IKE 。   
• IKE V。1必须用于第三方客户端。
• 支持 IPSec 客户端：第三方 VPN 客户支持
• 帕洛阿尔托网络 firewall 使用 OpenSL 加密库 -参考： GlobalProtect 应用加密功能
• 客户在第三方应用程序中设置加密配置，只要 firewall 支持这些参数（并且 PSK 是正确的）， IKE 第 1 阶段和第 2 阶段就应成功协商。
• Globalprotect IPsec加密配置文件不用于 X- 身份验证客户端。
• 最终设备只需在设备本身和 Globalprotect 网关接口之间设置一个隧道。  
• 隧道的故障排除与任何 IPSec 隧道的故障排除方式大致相同。 有关可用资源列表，请参阅下面的文档。

• 以下是 X- Auth 在网站上所做的描述 IETF ：

  IKE[]允许设备
使用预共享密钥或数字证书使用双向身份验证方法设置安全会话
。 然而 IKE ，[]没有提供一种方法来
利用今天广泛部署的遗留身份验证方法
。

本文档描述了使用现有单向
身份验证机制（如 RADIUS "SecurID"）的方法，以及 OTP
IPsec 协议中 ISAKMP 的方法。 本草案的目的不是
替换或加强 []中描述的现有身份验证机制
IKE ，而是允许使用传统
身份验证机制扩展这些认证机制。

此协议的设计方式是，扩展身份验证
可以使用第 1 阶段（即
主模式或侵略性模式）的任何操作模式以及
[]支持的任何身份验证方法来完成 IKE 。 此协议也可以轻松扩展以
支持新的模式或身份验证方法。
但是，此协议确实要求第 1 阶段身份验证方法完全
安全。