共有のゲートウェイを設定し、VSYS を間する方法

概要

パロアルトネットワークは、複数の仮想システムと仮想システム間の通信をサポートし、多くの組織で必要な柔軟性を可能にします。このドキュメントでは、2つの仮想システムの例として、作業と自宅の両方に別々の仮想ファイアウォールを必要とするが、両方の仮想システムが1つの外部 ISP 接続を共有し、それ以外の場合は共有と呼ばれる典型的な在宅勤務者を反映しています。ゲートウェイ。両方の仮想システム間での外部 ISP 接続の共有、および2つの内部仮想システム (WORK_192 と HOME_10) が互いに通信できるようにするために必要な手順について、両方のシナリオのセットアップについて説明します。

このドキュメントの目的は、これらの機能を構成するために必要な戦術的手順の詳細を示すことです。

論理設計:

手順

パート 1: 仮想システムと共有ゲートウェイのセットアップ

1. 開始するには、[デバイス] > [セットアップ] > [全般設定] に移動し、マルチ仮想システム機能が有効になっているかどうかを確認します。
   
2. 2つの内部インターフェイス ethernet1/2 (WORK_192) と ethernet1/3 (ゾーン: HOME_10) は、一意の仮想システムに構成する必要があります。手順4で共有ゲートウェイとしてセットアップを取得するので、外部インターフェイス (ethernet1/1; zone: SHARED_UNTRUST) を vsys に入れないでください。
   メモ:このドキュメントに対するインタフェースの構成方法については、「概要」セクションの論理設計を参照してください。
3. 仮想システムを定義するには、[デバイス] タブで [仮想システム] を選択します。[表示される仮想システム] 列を構成することで、各 vsys を他方に表示するようにしてください。たとえば、vsys1 の仕事は vsys2 ホームとその逆を参照してください必要があります。
   
   
4. 共有ゲートウェイを追加するには、[デバイス] > [共有ゲートウェイ] の下にある [追加] を選択し、名前と ID を割り当てます。これにインタフェースを追加するには、[ネットワーク] > [インタフェース] からインタフェースを選択し、[仮想システム] メニューから共有ゲートウェイを選択します。この例では、イーサネット1/1 は ISP からの IP アドレスを持つ外部インターフェイスであり、それに応じて設定する必要があります。
   
   
5. [ネットワーク] タブをクリックし、[インターフェイス] を選択して、インターフェイスが正しく設定されていることを確認します。
   ネットワーク > インタフェース
   
6. 各インターフェイスは、同じ仮想ルーターに参加します (この場合は All ルートと呼ばれます)。すべてのゾーンを同じ仮想ルーターに配置しても、共有ゲートウェイやその他の仮想システムとの間の通信は許可されません。これはセキュリティポリシーによって制御され、手順8および下のパート2セクションで説明します。
   ネットワーク > 仮想ルーター
   
   ISP 上の次ホップへの1つの既定のルートは、このドキュメントの目的に設定されているすべてです。追加のルートが必要な場合は、この仮想ルーターに追加します。仮想ルータは、任意の仮想システムのメンバーではなく、上記のスクリーンショットの3番目の列に none として反映されていることに注意してください。
   
7. 次に、[ネットワーク] タブの [ゾーン] を選択して、Untrust と Untrust のゾーンの外部ゾーンを作成します。この2つの外部ゾーンは、内部ゾーンからのトラフィックを許可または拒否するポリシーを設定するためのものです (つまり、HOME_10 と WORK_192) を SHARED_UNTRUST ゾーンにします。これらは、内部ゾーンから外部ゾーン (この場合は共有ゲートウェイゾーン) にトラフィックを移動するために、効率的にトランジットゾーンとして見られます。型を外部に設定し、通信パスが設定されているゾーンも定義することが重要です。
   
   
8. ポリシーを設定するときに、内部ネットワークからのトラフィックをファイアウォールの信頼されていない側の共有ゲートウェイに許可するようにルールを構築します。これは、自宅から Untrust と仕事に Untrust ゾーンが遊びに来るところです。さらに、SHARED_UNTRUST ゾーンを収容する Shared_External_GW 仮想システムに NAT を設定する必要があります。
   ポリシーを設定するには、[ポリシー] > [セキュリティポリシー] に移動します。ポリシーを設定する仮想システムを選択してください。
   
   
9. 前述のように、NAT は Shared_External_GW 仮想システムでのみ設定されます。WORK_192 および HOME_10 ゾーンのすべてのホストが共有ゲートウェイの外部インターフェイス (イーサネット1/1 に関連付けられた外部 ISP アドレス) を使用する非表示の nat を構成するには、[ポリシー] タブの [nat] に移動します。この設計のためにすべての NAT が構成される場所であるため、必ず Shared_External_GW 仮想システムを選択してください。この場合、ソースゾーンはすべての仮想システムがこの外部ゲートウェイを共有するという概念から、「any」に設定されます。以下は、ソースが外部 ISP の IP アドレスに内部ホストを変換する単純な非表示の NAT です。
   
10. テストするには、WORK_192 および HOME_10 ネットワークのホストからインターネットにトラフィックを生成し、トラフィックログのトラフィックを監視します (モニタ > ログ > トラフィック)。
    
    

第2部: インター VSYS (仮想システム) 通信

内部仮想システム間の VSYS または通信の概念は、共有ゲートウェイのセットアップと似ています。相互に通信する必要がある仮想システムの場合は、個々の外部ゾーンを設定してから、このトラフィックを許可するようにポリシーを設定する必要があります。

1. VSYS については、HOME_10 ゾーンは、WORK_192 ゾーンとその逆に到達できるようにする必要があります。そのため、2つの新しい外部ゾーンをセットアップし、ゾーン間のトラフィックを制御するポリシーを作成する必要があります。これらのゾーンを設定するには、[ネットワーク] タブに移動し、[ゾーン] を選択します。
   
   
   共有ゲートウェイと VSYS 通信の両方のすべてのゾーンのビュー:
   
2. ポリシーを設定するときに、ゾーン間のトラフィックを許可するようにルールを構築します。これは、家庭の仕事と仕事に家の外部ゾーンが遊びに来るところです。これらのゾーン内のホスト間のトラフィックは、これらの外部ゾーンをトランジットとして使用し、それに応じてポリシーに設定する必要があります。
   
   ポリシーを設定するには、[ポリシー] > [セキュリティポリシー] に移動します。ポリシーを設定する仮想システムを選択してください。
   
   
3. テストするには、WORK_192 および HOME_10 ネットワーク内のホストから反対のゾーンへのトラフィックを生成し、トラフィックログを監視します (監視 > ログ > トラフィック)。
   

所有者: jhess