Palo Alto IPsec VPN

1、概述

对于防火墙之间的 IPSec 连接，将整个 IP 数据包（标头和负载）嵌入另一个 IP 负载中，并且

应用新标头。新标头将传出防火墙接口的 IP 地址作为源 IP 地址使用，而将隧道远端的传入防

火墙接口作为目标 IP 地址使用。当数据包到达隧道远端的防火墙时，将原始数据包解密并发送

到实际目标主机。

标准拓扑如下图所示：

有两种配置方法：

• 基于路由的配置：不需要定义特殊规则或明确引用 VPN 隧道；路由和加密决策仅由目标 IP 地址确定。
• 基于策略的配置：需要配置隧道的代理 ID。如果需要多个阶段 2 隧道，则在每个隧道上配置不同的代理 ID。

有两种类型的SA：IKE SA 和 IPSEC SA。IKE SA的主要任务是形成一个加密的安全隧道，第二步的IPSEC SA使用第一阶段形成的安全隧道进行ipsec sa的协商。

IKE 阶段 1 对防火墙相互进行身份验证，并设置安全控制通道。它将使用 IKE 加密配置文件进行 IKE SA 协商。

IKE 阶段 2 流经阶段 1 SA，负责协商相关防火墙背后的网络通信的实际隧道。它将使用IPSec 加密配置文件进行 IPSec SA 协商。

2、具体配置流程

    1. 规划网络拓扑，然后确定所需隧道数。

    2. 使用配置信息定义 IKE 网关，这些配置用于与对端网关进行 IKE 协议协商。

    3. 为使用 IKE SA 协商的 VPN 隧道中的标识、身份验证和加密操作配置协议和算法：

    4. 配置建立 IPSec VPN 隧道所需的参数。

    5. 指定防火墙监测 IPSec 隧道的方式。

    6. 设置静态路由或指定路由协议，以将通信重定向到新建的隧道中。

    7. 设置安全策略，以过滤和检查通信。

•  传出通信正在进入隧道 — 对于源，请使用明文区域。对于目标，请使用隧道接口区域。
•  传入通信正在离开隧道 — 对于源，请使用隧道接口区域。对于目标，请使用明文区域。

步骤如下：

• 0、新建隧道接口
• 1、配置ike sa（配置p1提议、配置ike gateway）
• 2、配置ipsec sa（配置p2提议、配置ipsec tunnel）
• 3、配置路由条目，添加tunnel接口到对端访问的路由
• 4、配置放行策略，

具体配置过程和hillstone较为类似

0、在接口中新建隧道接口，如下图所示：

1-1、配置P1提议（可选），在network>network profiles>IKE crypto 配置IKE隧道的加密方式

1-2、配置IKE gateway，在network>network profiles>IKE gateway 新建 IKEgateway

 

 

2-1、配置P2提议（可选），在在network>network profiles>Ipsec crypto 配置ipsec隧道的加密方式

2-2、配置ipsec tunnel

具体说明如下：

3、配置路由条目

4、配置policy放行

设置从本地内网到对端vpn、对端vpn到本地内网的双向放行策略。如果ipsec vpn为单向访问，只需要配置单向的策略即可。

其中ipsec-HS为tunnel接口所在的区域。

 

标签：Alto,隧道,Palo,配置,接口,IKE,SA,VPN,ipsec
来源： https://blog.csdn.net/angus_he/article/details/98741077