如何设置共享网关和除 VSYS

如何设置共享网关和除 VSYS

73956
Created On 09/25/18 17:27 PM - Last Modified 06/15/23 20:18 PM


Resolution


概述

帕洛阿尔托网络支持多个虚拟系统和虚拟系统之间的通信, 以允许许多组织所需的灵活性。为了本文档的目的, 两个示例虚拟系统反映了一个典型的迷惑, 他们需要分别用于工作和家庭的虚拟防火墙, 但两个虚拟系统共享单个外部 ISP 连接, 否则称为共享网关。这两种方案的安装程序都将包括在两个虚拟系统之间共享外部 ISP 连接, 以及允许两个内部虚拟系统 (WORK_192 和 HOME_10) 相互通信所需的步骤。

 

本文档的目的是显示配置这些功能所需的更多战术步骤。

 

逻辑设计:

Diagram_1. png

步骤

1部分: 虚拟系统和共享网关设置

  1. 要开始, 请转到设备 >> 安装程序 > 常规设置, 然后检查是否启用了多虚拟系统功能。
    新-01. PNG
  2. 应将两个内部接口 ethernet1/2 (WORK_192) 和 ethernet1/3 (区域: HOME_10) 配置为唯一的虚拟系统。不要将外部接口 (ethernet1/1; 区域: SHARED_UNTRUST) 放到 vsys 中, 因为它将在步骤4中将安装设置为共享网关。
    注意:查看 "概览" 部分中的逻辑设计, 了解有关如何为该文档配置接口的信息.
  3. 要定义虚拟系统, 请在 "设备" 选项卡中选择 "虚拟系统"。请确保通过配置可见的虚拟系统列使每个 vsys 可见。例如, vsys1 工作应该看到 vsys2 家, 反之亦然。
    新-02. PNG
    新-03. PNG
  4. 要添加共享网关, 请在 "设备 > 共享网关" 下选择 "添加", 并指定名称和 ID。要为此添加接口, 请从 "网络 > 接口" 中选择接口, 然后从 "虚拟系统" 菜单中选择共享网关。在本例中, 以太网1/1 是来自 ISP 的 IP 地址的外部接口, 需要相应地设置。
    新-04 a. PNG
    新-04 b. PNG
  5. 通过进入 "网络" 选项卡和选择接口, 验证接口是否已正确设置。
    网络 > 接口新-05. PNG
  6. 每个接口都将参与同一虚拟路由器, 在这种情况下, 命名为 "全路由"。将所有区域放置在同一虚拟路由器中不允许从共享网关和/或其他虚拟系统进行通信。这将由安全策略控制, 并包括在步骤8和下面的2部分中。
    网络 > 虚拟路由器对
    新-06. PNG
    ISP 下一跃点的单个默认路由是为本文档目的而设置的全部. 如果需要其他路由, 请将其添加到此虚拟路由器。请注意, 虚拟路由器不是任何虚拟系统的成员, 它在屏幕截图的第三列中反映为 none。
    New-07_alt。Png
  7. 现在, 通过选择 "网络" 选项卡下的 "区域", 为不信任和工作到不信任区域创建外部区域。这两个外部区域用于设置策略以允许或拒绝来自内部区域的通信 (即 HOME_10 和 WORK_192) 到 SHARED_UNTRUST 区。可以有效地将它们视为传输区域, 以便将内部区域的流量移到外部区域 (在这种情况下是共享网关区域)。将类型设置为外部并定义通信路径正在设置的区域非常重要。
    新-09. PNG
    新-10. PNG
  8. 设置策略时, 生成规则以允许从内部网络到防火墙不信任端的共享网关的通信。这是家庭对不信任和工作到不信任区域将发挥作用的地方。此外, NAT 将需要设置在 Shared_External_GW 虚拟系统的 SHARED_UNTRUST 区域。
    要设置策略, 请转到策略 > 安全策略. 请确保选择您要设置策略的虚拟系统。
    新-11. PNG
    新-12. PNG
  9. 如上所述, NAT 将只在 Shared_External_GW 虚拟系统上设置。要配置隐藏 NAT, WORK_192 和 HOME_10 区域中的所有主机都将使用共享网关外部接口 (即与以太网1/1 绑定的外部 ISP 地址), 请在 "策略" 选项卡下转到 NAT。请确保选择 Shared_External_GW 虚拟系统, 因为这是将为此设计配置所有 NAT 的地方。在这种情况下, 源区域将被设置为 "任意", 因为此处的概念是所有虚拟系统都将共享此外部网关。下面是一个简单的隐藏 NAT, 该源将内部主机转换为外部 ISP IP 地址。
    新-13. PNG
  10. 要测试、生成从 WORK_192 和 HOME_10 网络中的主机到 Internet 的通信, 并观察通信日志中的通信量 (监视器 > 日志 > 通信量)
    Image_14. png
    Image_15. png

 

2部分: VSYS 间 (虚拟系统) 通信

内部虚拟系统之间的 VSYS 或通信的概念与共享网关设置类似。对于需要相互通信的虚拟系统, 必须设置单独的外部区域, 然后设置策略以允许此通信。

  1. 对于跨 VSYS, HOME_10 区域需要能够到达 WORK_192 区域, 反之亦然。因此, 需要设置两个新的外部区域, 然后创建策略来控制区域间的通信。要设置这些区域, 请转到 "网络" 选项卡并选择 "区域"。
    新-16. PNG
    新-17. PNG
    共享网关和 VSYS 间通信的所有区域的视图:新-18. PNG
  2. 设置策略时, 生成规则以允许区域之间的通信。这就是家庭对工作和工作到家庭的外部区域将发挥作用的地方。这些区域中的主机之间的通信使用这些外部区域作为传输, 因此需要相应地在策略中设置。

    要设置策略, 请转到策略 > 安全策略. 请确保选择您要设置策略的虚拟系统。
    新-19. PNG
    新-20. PNG
  3. 要测试、生成来自 WORK_192 和 HOME_10 网络中的主机到相反区域的通信, 并监视活动的通信日志 (监视器 > 日志 > 通信量)。
    Image_21. png

 

所有者: jhess

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFgCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language