Gewusst wie: Einrichten von freigegebenen Gateway und Inter VSYS

Gewusst wie: Einrichten von freigegebenen Gateway und Inter VSYS

73942
Created On 09/25/18 17:27 PM - Last Modified 06/15/23 20:18 PM


Resolution


Übersicht

Palo Alto Networks unterstützt mehrere virtuelle Systeme und die Kommunikation zwischen virtuellen Systemen, um die Flexibilität zu ermöglichen, die in vielen Organisationen benötigt wird. Für die Zwecke dieses Dokuments spiegeln zwei Beispiel virtuelle Systeme die eines typischen telepenpendler wider, der separate virtuelle Firewalls sowohl für die Arbeit als auch für die Wohnung benötigt, aber in denen beide virtuellen Systeme eine einzige externe ISP-Verbindung haben, die sonst als Shared Gateway. Das Setup für beide Szenarien wird abgedeckt, um die Aufteilung der externen ISP-Verbindung über beide virtuellen Systeme zu zeigen, sowie die Schritte, die notwendig sind, damit die beiden internen virtuellen Systeme (WORK_192 und HOME_10) miteinander kommunizieren können.

 

Der Zweck dieses Dokuments ist es, mehr der taktischen Schritte zu zeigen, die notwendig sind, um diese Funktionen zu konfigurieren.

 

Logisches Design:

Diagram_1. png

Schritte

Teil 1: virtuelles System und geteiltes Gateway-Setup

  1. Um zu beginnen, gehen Sie zu Device > Setup > allgemeine Einstellungen und überprüfen Sie, ob die Multi Virtual System Capability aktiviert ist.
    New-01. PNG
  2. Die beiden internen Schnittstellen Ethernet1/2 (WORK_192) und Ethernet1/3 (Zone: HOME_10) sollten in einzigartige virtuelle Systeme konfiguriert werden. Legen Sie die externe Schnittstelle (Ethernet1/1; Zone: SHARED_UNTRUST) nicht in einen Vsys, da Sie als geteiltes Gateway in Schritt 4 eingerichtet wird.
    Hinweis: ÜberPrüfen Sie das logische Design im Übersichts Bereich, um Informationen darüber zu finden, wie die Schnittstellen für dieses Dokument konfiguriert sind.
  3. Um die virtuellen Systeme zu definieren, wählen Sie in der Registerkarte Geräte virtuelle Systeme. Vergewissern Sie sich, dass Sie jeden Vsys sichtbar machen, indem Sie die sichtbare virtuelle System Spalte konfigurieren. Vsys1 Arbeit sollte zum Beispiel vsys2 Heimat und umgekehrt sehen.
    New-02. PNG
    New-03. PNG
  4. Um das geteilte Gateway hinzuzufügen, wählen Sie "Add" unter Gerät > Shared Gateways und weisen Sie einen Namen und einen Ausweis zu. Um eine Schnittstelle hinzuzufügen, wählen Sie die Schnittstelle von Netzwerk > SchnittStellen und wählen Sie das geteilte Gateway aus dem virtuellen System-Menü. In diesem Beispiel ist Ethernet 1/1 die externe Schnittstelle mit einer IP-Adresse des ISP und müsste entsprechend eingestellt werden.
    New-04a. PNG
    New-04b. PNG
  5. ÜberPrüfen Sie, ob die Schnittstellen richtig eingerichtet sind, indem Sie zum Netzwerk-Tab gehen und SchnittStellen auswählen
    Netzwerk > InterfacesNew-05. PNG
  6. Jede Schnittstelle wird am gleichen virtuellen Router teilnehmen, in diesem Fall mit den genannten all-Routen. Die Platzierung aller Zonen im gleichen virtuellen Router erlaubt keine Kommunikation zum/vom geteilten Gateway und/oder anderen virtuellen Systemen. Diese wird von der Sicherheitspolitik kontrolliert und wird in Schritt 8 und im Abschnitt Teil 2 abgedeckt.
    Netzwerk > virtueller Router
    New-06. PNG
    eine einzige Standard-Route zum nächsten Hop auf dem ISP ist alles, was für die Zwecke dieses Dokuments gesetzt ist. Wenn zusätzliche Routen benötigt werden, fügen Sie diese in diesen virtuellen Router ein. Beachten Sie, dass der virtuelle Router kein Mitglied eines virtuellen Systems ist und sich in der dritten Spalte im obigen Screenshot als keines widerspiegelt.
    Neu-07_alt. Png
  7. Erstellen Sie nun die externen Zonen für die Home-to-Treuhand-und Work-to-Untrust-Zonen, indem Sie Zonen unter der Registerkarte Netzwerk auswählen. Diese beiden externen Zonen sind für die Festlegung von Richtlinien, um den Verkehr aus den internen Zonen zu erlauben oder zu verweigern (z. HOME_10 und WORK_192) in die SHARED_UNTRUST Zone. Sie können effektiv als Transitzonen betrachtet werden, um den Verkehr von der innenzone in eine Außenzone, in diesem Fall in die geteilte Gateway-Zone, zu verlagern. Es ist wichtig, den Typ auf extern einzustellen und auch die Zone zu definieren, in die der Kommunikationsweg eingerichtet wird.
    New-09. PNG
    New-10. PNG
  8. Wenn Sie die Politik festlegen, erstellen Sie Regeln, die den Verkehr von den internen Netzen zum geteilten Gateway auf der nicht vertrauenswürdigen Seite der Firewall ermöglichen. Hier kommen die Heimat-und die Work-to-Untrust-Zonen ins Spiel. Darüber hinaus muss NAT auf das virtuelle Shared_External_GW System gesetzt werden, das die SHARED_UNTRUST Zone beherbergt.
    Um die Politik zu setzen, gehen Sie zur Politik > Sicherheitspolitik. Vergewissern Sie sich, dass Sie das virtuelle System wählen, in dem Sie die Richtlinien setzen.
    New-11. PNG
    New-12. PNG
  9. Wie bereits erwähnt, wird NAT nur auf dem virtuellen System Shared_External_GW gesetzt. Um ein Hide NAT zu konfigurieren, in dem alle Hosts in den WORK_192 und den HOME_10-Zonen die geteilte Gateway-externe Schnittstelle verwenden (d.h. die externe ISP-Adresse, die an Ethernet 1/1 gebunden ist), gehen Sie zu NAT unter der Registerkarte Politik. Vergewissern Sie sich, dass Sie das virtuelle Shared_External_GW-System wählen, da hier alle NAT für dieses Design konfiguriert werden. In diesem Fall wird die Quell Zone auf "Any" gesetzt, da das Konzept hier ist, dass alle virtuellen Systeme dieses externe Gateway teilen werden. Das folgende ist ein einfaches Versteck-NAT, dessen Quelle interne Hosts in die externe ISP-IP-Adresse übersetzt.
    New-13. PNG
  10. Um zu testen, generieren Sie den Verkehr von Hosts in den WORK_192 und HOME_10 Netzen ins Internet und beobachten Sie den Verkehr im Verkehrsprotokoll (Monitor > Protokolle > Verkehr)
    Image_14. png
    Image_15. png

 

Teil 2: Inter-VSYS (Virtual System) Communication

Das Konzept für Inter-VSYS oder die Kommunikation zwischen internen virtuellen Systemen ähnelt dem des Shared-Gateway-Setups. Für die virtuellen Systeme, die miteinander kommunizieren müssen, ist es notwendig, einzelne externe Zonen einzurichten und dann die Richtlinien zu setzen, um diesen Verkehr zu ermöglichen.

  1. Für Inter-VSYS muss die HOME_10 Zone in der Lage sein, die WORK_192 Zone zu erreichen und umgekehrt. Es müssen also zwei neue Außenzonen eingerichtet und dann die Politik geschaffen werden, um den Verkehr zwischen den Zonen zu kontrollieren. Um diese Zonen zu setzen, gehen Sie zum Netzwerk-Tab und wählen Zonen.
    New-16. PNG
    New-17. PNG
    Ein Blick auf alle Zonen für Shared Gateway und Inter-Vsys Kommunikation:New-18. PNG
  2. Wenn Sie die Politik festlegen, bauen Sie Regeln auf, die den Verkehr zwischen den Zonen ermöglichen. Hier kommen die Haus-zu-Werk-und Work-to-Home-Außenzonen ins Spiel. Der Verkehr zwischen den Wirten in diesen Zonen nutzt diese Außenzonen als Transit und muss daher entsprechend in die Politik eingestellt werden.

    Um die Politik zu setzen, gehen Sie zur Politik > Sicherheitspolitik. Vergewissern Sie sich, dass Sie das virtuelle System wählen, in dem Sie die Richtlinien setzen.
    New-19. PNG
    New-20. PNG
  3. Um zu testen, generieren Sie den Verkehr von Hosts in den WORK_192 und HOME_10-Netzen in entgegengesetzte Zonen und überwachen Sie das Verkehrsprotokoll für die Aktivität (Monitor > Logs > Traffic).
    Image_21. png

 

Besitzer: Jhess

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFgCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language