パロアルトネットワークを構成する方法Firewallデュアル ISP および自動VPNフェイルオーバー
Resolution
概要
このドキュメントでは、Palo Alto Networks を構成する方法について説明しますfirewallそれはデュアルを持っていますISPと組み合わせて接続VPNトンネル。
構成の目標:
- A 2 つのインターネット接続を備えた単一のデバイス (高可用性)
- 静的サイト間 VPN
- インターネット接続の自動フェイルオーバーと VPN
設定
この設定は、ブランチ オフィスと本社間の接続を提供するためによく使用されます。ISP1 はプライマリとして使用されますISPイーサネット 1/3 で。 ISP2 はバックアップですISPEthernet1/4 で。
構成
構成は両方のファイアウォールで同一であるため、1 つのみfirewall構成について説明します。 この例では、2 つの仮想ルーター (VR )。
インターフェイス構成
2 つのインターフェイスを構成します。
- Eth 1/3: untrust ゾーンの 10.185.140.138/24 (ISP1 への接続)
- Eth 1/4: untrust ゾーンの 10.80.40.38/24 (ISP2 への接続)
仮想ルーター
2 つの仮想ルーターがあります。
- VR1: プライマリ (ISP1) (Ethernet1/3)
- VR2: セカンダリ (ISP2) (Ethernet1/4)
各VR持っていますISPインターフェイスは接続されていますが、他のすべてのインターフェイスは接続されたままになりますVRセカンダリ、および将来のすべてのインターフェイス。 目的は、すべてのインターフェースが、接続されたルートとルート上のルートによって認識されるようにすることです。VRメインのときのルーティング方法としてISP低下する。
- 主要なVREthernet1/3 インターフェイスが接続されている
- プライマリーVRルートには、セカンダリに戻るすべてのプライベート アドレスのデフォルト ルートとリターン ルートが含まれますVR、実際のインターフェイスは接続されたルートです。 トラフィックが、PBF 、トラフィックはセカンダリに戻る方法を知っていますVRインターフェイスが存在する場所。
- セカンダリVR以下に示すように、他のすべてのインターフェイスに Ethernet1/4 が接続されています。
- セカンダリVR接続されたすべてのインターフェイスのルートは、接続されたルートとしてルーティング テーブルに表示され、トンネルのルートは次のように処理されます。Policy -ベースの転送 (PBF )。
- プライマリからのトラフィックを強制するにはISPを使用します。PBF Trusted Zone からの調達:
- のfirewallを伝えるPBFプライベート ネットワーク宛てのトラフィックを転送しないでください。これは、インターネット上でプライベート アドレスをルーティングできないためです (転送する必要があるプライベート ネットワーク アドレスが存在する可能性があるため)。 [否定] をクリックします。
- 以下の例に示すように、監視対象の宛先が利用できない場合、ルールを無効にする監視を使用して、プライマリ インターフェイスからの転送を設定します。 セカンダリのルーティング テーブルを使用するようにトラフィックを元に戻すVR接続されたすべてのルートが存在する場所。
- ソースの構成NAT policy両方の ISP に。 両方の送信元の [元のパケット] タブで宛先インターフェイスを定義してください。NATルール。
複数の VR がある理由は、両方のトンネルが同時に稼働しているためです。 ISP1 に接続している場合は、できるだけ早く ISP2 にフェールオーバーします。 バックアップの場合VPNISP2 経由のネットワークはすでにネゴシエートされているため、フェイルオーバー プロセスが高速化されます。
フェーズ 1 の構成
それぞれについてVPNトンネル、構成IKEゲートウェイ。
フェーズ 2 の構成
それぞれについてVPNトンネル、IPSec トンネルを構成します。 IPSec トンネルで、別のパロアルト ネットワークに接続するようにトンネルを構成する場合は、アクション フェールオーバーで監視を有効にします。firewall . それ以外の場合は、PBF監視とセカンダリ トンネルのルートを使用します。
トンネル監視 (Palo Alto Networksfirewall別のパロアルトネットワークへの接続firewall)
- 監視付きのプライマリ トンネル。
- 監視付きのセカンダリ トンネル。
- アクションで、監視プロファイルをフェイルオーバーに設定します。
- この方法では、トンネル監視を使用して、ルーティング テーブルに 2 つのルートがあり、最初のルートはプライマリのメトリック 10 です。VPNトラフィック、およびセカンダリのメトリックが 20 の 2 番目のトラフィックVPN. トンネルはセカンダリで終了するためVR、ルートはその上に配置されますVR.
Policy-ベースの転送 (Palo Alto Networksfirewall別の接続firewallベンダー)
- この方法は、接続が 2 つのファイアウォール間にある場合に使用できます。
- どのソースゾーンからの状態。
- トラフィックがトンネルの反対側のネットワーク宛てであることを示します (この場合は 192168.10.0/24)。
- トラフィックをトンネルに転送します。
- ときPBF宛先に到達できないため、他のVPN同じ宛先を持つが、他の構成済みトンネルを使用しているルートでルーティング テーブルの使用を開始します。
ノート:上記の例では、プローブが 192.168.10.2 に送信され、到達可能かどうかがチェックされます。 プローブにはソースが必要ですIPを使用します。IP出力インターフェイスのIPインターフェイス「トンネル」のアドレス。 もしIPアドレスがトンネル インターフェイスに設定されていない場合、PBFルールが有効になることはありません。 このシナリオでは、任意のIP172.16.0.1/30 のように設定する必要があります。A宛先 192.168.10.2 のスタティック ルートは、ネクスト ホップをトンネル インターフェイスとして追加する必要があります。 さもないとPBFから開始されたトラフィックのため、常に失敗します。firewallヒットしませんPBFルール。 リモート デバイスがパケットを返す方法を認識していることを確認してください。 Cisco で作業する場合ASA、トラフィックを 172.16.0.1/30 に戻す方法を認識していることを確認してください。 さらに、プロキシを構成しますIDPalo Alto Networks デバイスの IPSec トンネル構成で、このネットワークに対して。
所有者: rvanderveken