Cómo configurar la pasarela compartida y Inter VSYS

Resumen

Palo Alto Networks soporta múltiples sistemas virtuales y comunicaciones entre sistemas virtuales para permitir la flexibilidad necesaria en muchas organizaciones. A los efectos de este documento, dos sistemas virtuales de ejemplo reflejan el de un teletrabajador típico que necesita cortafuegos virtuales separados tanto para el trabajo como para el hogar, pero donde ambos sistemas virtuales comparten una única conexión ISP externa, de lo contrario se denominan Gateway. La configuración de ambos escenarios se cubrirá para mostrar el uso compartido de la conexión ISP externa en ambos sistemas virtuales, así como los pasos necesarios para permitir que los dos sistemas virtuales internos (WORK_192 y HOME_10) se comuniquen entre sí.

El propósito de este documento es mostrar más de los pasos tácticos necesarios para configurar estas características.

Diseño lógico:

Pasos

Parte 1: configuración de sistema virtual y Gateway compartido

1. Para empezar, vaya al dispositivo > configuración > configuración general y compruebe si la capacidad del sistema multi virtual está activada.
   
2. Las dos interfaces internas ethernet1/2 (WORK_192) y ethernet1/3 (Zone: HOME_10) deben configurarse en sistemas virtuales únicos. No ponga la interfaz externa (ethernet1/1; Zone: SHARED_UNTRUST) en un vsys, ya que obtendrá la configuración como una puerta de enlace compartida en el paso 4.
   Nota: Revise el diseño lógico en la sección Overview para obtener información sobre cómo se configuran las interfaces para este documento.
3. Para definir los sistemas virtuales, en la ficha dispositivo, seleccione sistemas virtuales. Asegúrese de que cada vsys sea visible para el otro configurando la columna de sistemas virtuales visibles. Por ejemplo, vsys1 trabajo debe ver vsys2 casa y viceversa.
   
   
4. Para agregar la puerta de enlace compartida, seleccione "agregar" en el dispositivo > gateways compartidos y asigne un nombre y un identificador. Para agregar una interfaz a esto, seleccione la interfaz de las interfaces de red > y seleccione la puerta de enlace compartida en el menú del sistema virtual. En este ejemplo, Ethernet 1/1 es la interfaz externa con una dirección IP del ISP y debe establecerse en consecuencia.
   
   
5. Verifique que las interfaces estén correctamente configuradas yendo a la pestaña red y seleccionando interfaces.
   Interfaces de red >
   
6. Cada interfaz va a participar en el mismo router virtual, en este caso llamado All-Routes. La colocación de todas las zonas en el mismo enrutador virtual no permite la comunicación desde/hacia la puerta de enlace compartida y/o otros sistemas virtuales. Esto se controlará por la política de seguridad y se cubrirá en el paso 8 y la parte 2 de la sección siguiente.
   Red > router virtual
   
   una única ruta predeterminada para el siguiente salto en el ISP es todo lo que se establece para los propósitos de este documento. Si se necesitan rutas adicionales, añádalos a este enrutador virtual. Tenga en cuenta que el router virtual no es miembro de ningún sistema virtual y se refleja en la tercera columna de la captura de pantalla anterior como none.
   
7. Ahora cree las zonas externas para las zonas de inicio a desconfianza y de trabajo a desconfianza eligiendo zonas bajo la ficha red. Estas dos zonas externas son para establecer políticas que permitan o denieguen el tráfico de las zonas internas (es decir, HOME_10 y WORK_192) a la zona de SHARED_UNTRUST. Pueden ser efectivamente examinadas como zonas de tránsito para mover el tráfico fuera de la zona interna a una zona externa, en este caso, la zona de Gateway compartida. Es importante establecer el tipo en externo y también definir la zona a la que se está configurando la ruta de comunicación.
   
   
8. Al establecer la Directiva, cree reglas para permitir que el tráfico desde las redes internas salga a la puerta de enlace compartida en el lado no confiable del cortafuegos. Aquí es donde entrarán en juego las zonas de vivienda a desconfianza y de trabajo a desconfianza. Además, NAT deberá establecerse en el sistema virtual Shared_External_GW que alberga la zona SHARED_UNTRUST.
   Para establecer la Directiva, vaya a la política de seguridad >. Asegúrese de elegir el sistema virtual en el que está estableciendo la Directiva.
   
   
9. Como se mencionó anteriormente, NAT se establecerá sólo en el sistema virtual Shared_External_GW. Para configurar un NAT de ocultación donde todos los hosts de las zonas WORK_192 y HOME_10 usarán la interfaz externa de la pasarela compartida (es decir, la dirección de ISP externa atada a Ethernet 1/1), vaya a NAT bajo la ficha Directiva. Asegúrese de elegir el sistema virtual Shared_External_GW, ya que es donde se configura todo NAT para este diseño. En este caso, la zona de origen se establecerá en ' any ', ya que el concepto aquí es que todos los sistemas virtuales compartirán esta puerta de enlace externa. A continuación se presenta un simple Hide NAT cuya fuente traduce hosts internos a la dirección IP externa del ISP.
   
10. Para probar, generar tráfico de los hosts en las redes WORK_192 y HOME_10 a Internet y observar el tráfico en el registro de tráfico (monitor > logs > tráfico)
    
    

Parte 2: comunicación entre VSYS (sistema virtual)

El concepto de inter-VSYS o comunicación entre sistemas virtuales internos es similar al de la configuración de Gateway compartido. Para aquellos sistemas virtuales que necesiten comunicarse entre sí, es necesario configurar zonas externas individuales y, a continuación, establecer directivas para permitir este tráfico.

1. Para el Inter-VSYS, la zona HOME_10 necesita poder llegar a la zona WORK_192 y viceversa. Por lo tanto, es necesario configurar dos nuevas zonas externas y, a continuación, la directiva creada para controlar el tráfico entre zonas. Para configurar estas zonas, vaya a la ficha red y elija zonas.
   
   
   Una vista de todas las zonas tanto para el Gateway compartido como para la comunicación entre VSYS:
   
2. Al establecer la Directiva, cree reglas para permitir el tráfico entre las zonas. Aquí es donde entrarán en juego las zonas externas de hogar a trabajo y de trabajo a hogar. El tráfico entre los hosts en estas zonas utiliza estas zonas externas como el tránsito y por lo tanto es necesario establecer en la política en consecuencia.
   
   Para establecer la Directiva, vaya a la política de seguridad >. Asegúrese de elegir el sistema virtual en el que está estableciendo la Directiva.
   
   
3. Para probar, genere tráfico de los hosts en las redes WORK_192 y HOME_10 a zonas opuestas y supervise el registro de tráfico para la actividad (monitor > logs > tráfico).
   

Propietario: jhess