Comment mettre en place la passerelle partagé et Inter VSYS

Comment mettre en place la passerelle partagé et Inter VSYS

73936
Created On 09/25/18 17:27 PM - Last Modified 06/15/23 20:18 PM


Resolution


Vue d’ensemble

Palo Alto Networks supporte plusieurs systèmes virtuels et les communications entre les systèmes virtuels pour permettre la flexibilité nécessaire dans de nombreuses organisations. Pour les besoins de ce document, deux exemples de systèmes virtuels reflètent celui d'un télétravailleur typique qui a besoin de pare-feu virtuels distincts pour le travail et la maison, mais où les deux systèmes virtuels partagent une connexion externe ISP unique, autrement appelé un partage Passerelle. Le programme d'Installation pour les deux scénarios sera couvert pour montrer le partage de la connexion d'ISP externe à travers les deux systèmes virtuels, ainsi que les étapes nécessaires pour permettre aux deux systèmes virtuels internes (WORK_192 et HOME_10) de communiquer les uns avec les autres.

 

Le but de ce document est de montrer plus de mesures tactiques nécessaires pour configurer ces fonctionnalités.

 

Conception logique:

Diagram_1. png

Étapes

Partie 1: configuration du système virtuel et de la passerelle partagée

  1. Pour commencer, allez sur Device > Setup > paramètres généraux et vérifiez si la capacité du système multi virtuel est activée.
    New-01. PNG
  2. Les deux interfaces internes ethernet1/2 (WORK_192) et ethernet1/3 (zone: HOME_10) doivent être configurées en systèmes virtuels uniques. Ne mettez pas l'interface externe (ethernet1/1; zone: SHARED_UNTRUST) dans un VSys car elle obtiendra l'installation comme passerelle partagée à l'étape 4.
    Remarque: Examinez la conception logique dans la section vue d'ensemble pour plus d'informations sur la façon dont les interfaces sont configurées pour ce document.
  3. Pour définir les systèmes virtuels, dans l'onglet Device, sélectionnez Virtual Systems. Assurez-vous de rendre chaque VSys visible à L'autre en configurant la colonne des systèmes virtuels visibles. Par exemple, vsys1 travail devrait voir vsys2 Home et vice-versa.
    New-02. PNG
    New-03. PNG
  4. Pour ajouter la passerelle partagée, sélectionnez "ajouter" sous Device > passerelles partagées et assignez un nom et un ID. Pour ajouter une interface à cela, sélectionnez l'interface de network > interfaces et sélectionnez la passerelle partagée dans le menu système virtuel. Dans cet exemple, l'ethernet 1/1 est l'interface externe avec une adresse IP du FAI et doit être définie en conséquence.
    New-04A. PNG
    New-04B. PNG
  5. Vérifiez que les interfaces sont correctement configurées en allant à l'onglet réseau et en sélectionnant interfaces.
    Network > interfacesNew-05. PNG
  6. Chaque interface va participer au même routeur virtuel, dans ce cas nommé All-routes. Le placement de toutes les zones dans le même routeur virtuel n'autorise pas les communications vers/depuis la passerelle partagée et/ou d'autres systèmes virtuels. Cette mesure sera contrôlée par la politique de sécurité et sera couverte à l'étape 8 et à la partie 2 ci-dessous.
    Réseau > routeur virtuel
    New-06. PNG
    un seul itinéraire par défaut vers le saut suivant sur le FAI est tout ce qui est défini pour les besoins de ce document. Si des itinéraires supplémentaires sont nécessaires, ajoutez-les à ce routeur virtuel. Notez que le routeur virtuel n'est pas un membre d'un système virtuel et se reflète dans la troisième colonne de la capture d'écran ci-dessus comme aucun.
    Nouveau-07_alt. Png
  7. Créez maintenant les zones externes pour les zones de non-confiance et de travail à désapprobation en choisissant des zones sous l'onglet réseau. Ces deux zones externes sont destinées à définir la stratégie pour autoriser ou refuser le trafic des zones internes (i.e. HOME_10 et WORK_192) dans la zone SHARED_UNTRUST. Ils peuvent être considérés efficacement comme des zones de transit pour déplacer le trafic hors de la zone interne à une zone externe, dans ce cas, la zone de passerelle partagée. Il est important de définir le type sur externe et de définir également la zone à laquelle le chemin de communication est configuré.
    New-09. PNG
    New-10. PNG
  8. Lors de la définition de stratégie, créez des règles pour autoriser le trafic des réseaux internes vers la passerelle partagée sur le côté non fiable du pare-feu. C'est là que les zones d'accueil-à-méfiance et de travail-à-méfiance entreront en jeu. En outre, NAT devra être défini sur le système virtuel Shared_External_GW qui héberge la zone SHARED_UNTRUST.
    Pour définir la stratégie, accédez à la stratégie de sécurité de la stratégie >. Assurez-vous de choisir le système virtuel dans lequel vous définissez la stratégie.
    New-11. PNG
    New-12. PNG
  9. Comme mentionné ci-dessus, NAT sera défini uniquement sur le système virtuel Shared_External_GW. Pour configurer un NAT Hide où tous les hôtes des zones WORK_192 et HOME_10 utiliseront l'interface externe de la passerelle partagée (c'est-à-dire l'adresse ISP externe liée à Ethernet 1/1), accédez à NAT sous l'onglet stratégie. Assurez-vous de choisir le système virtuel Shared_External_GW car c'est là que tous les NAT seront configurés pour cette conception. Dans ce cas, la zone source sera définie sur'any'puisque le concept ici est que tous les systèmes virtuels partageront cette passerelle externe. Ce qui suit est un NAT Hide simple qui la source traduit les hôtes internes à l'adresse IP du FAI externe.
    New-13. PNG
  10. Pour tester, générer du trafic d'hôtes dans les réseaux WORK_192 et HOME_10 sur Internet et observer le trafic dans le journal de trafic (Monitor > journaux > trafic)
    Image_14. png
    Image_15. png

 

Partie 2: communication inter-VSYS (système virtuel)

Le concept d'inter-VSYS ou de communication entre les systèmes virtuels internes est similaire à celui de l'installation de passerelle partagée. Pour les systèmes virtuels qui auront besoin de communiquer les uns avec les autres, il est nécessaire de configurer des zones externes individuelles puis définir la stratégie pour autoriser ce trafic.

  1. Pour l'inter-VSYS, la zone HOME_10 doit pouvoir atteindre la zone WORK_192 et vice versa. Ainsi, deux nouvelles zones externes doivent être configurées, puis la stratégie créée pour contrôler le trafic entre les zones. Pour définir ces zones, accédez à l'onglet réseau et choisissez zones.
    New-16. PNG
    New-17. PNG
    Une vue de toutes les zones pour la passerelle partagée et la communication inter-New-18. PNG VSYS:
  2. Lors de la définition de stratégie, créez des règles pour autoriser le trafic entre les zones. C'est là que les zones externes à domicile et à domicile vont entrer en jeu. Le trafic entre les hôtes de ces zones utilise ces zones externes comme transit et doit donc être défini dans la stratégie en conséquence.

    Pour définir la stratégie, accédez à la stratégie de sécurité de la stratégie >. Assurez-vous de choisir le système virtuel dans lequel vous définissez la stratégie.
    New-19. PNG
    New-20. PNG
  3. Pour tester, générer du trafic d'hôtes dans les réseaux WORK_192 et HOME_10 vers des zones opposées et surveiller le journal de trafic pour l'activité (moniteur > logs > trafic).
    Image_21. png

 

propriétaire : Claude

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFgCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language