Gewusst wie: konfigurieren Sie Palo Alto Networks Firewalls als mit einem MPLS-Netzwerk verbunden
Resolution
Details
Indem Sie verschiedene Websites auf MPLS WANs, bieten Unternehmen bequem interne Netzwerkverbindung zwischen den Standorten. Oft sind die MPLS-Router bereitgestellt mit dem internen Netzwerk über die Firewall, bietet Transparenz und Kontrolle für den Datenverkehr über das MPLS verbunden. Wie die Palo Alto Networks Firewall konfiguriert ist, ist ein wichtiger Aspekt bei der Bestimmung, welcher Datenverkehr durchgelassen wird, oder von der MPLS-Cloud. Es ist wichtig zu bedenken, dass die Firewalls von Palo Alto Networks nicht MPLS Router, sondern als eine logische Verbindungspunkt in die MPLS-Cloud dienen können, verbunden mit dem MPLS-Router, der MPLS am Standort beendet.
Beispiel-Netzwerk-Topologie:
Empfehlungen
Zonen
Zur Kontrolle und Monitor Verkehr vorbei über die MPLS-Cloud es ist wichtig, weisen Sie die Ethernet-Schnittstelle mit dem MPLS-Router in eine andere Zone als die anderen Schnittstellen anschließen. Es wird einfacher sein, später Sicherheitsrichtlinien definieren, die Datenverkehr zu oder von der MPLS-Zone und auch zu oder von anderen internen Zonen ermöglichen. In diesem Szenario können Verkehr Protokolle für die Sicherheitsrichtlinien zur Verfügung, die zwischen den Zonen erstellt werden. Wenn die Verbindung zur Cloud MPLS-Schnittstelle beispielsweise in derselben Zone wie das Vertrauen ist, werden dann durch den Standard-Verkehr zwischen MPLS und Vertrauen Netze erlaubt und nicht protokolliert, es sei denn, ein ausdrückliche Sicherheit Politik verweigern Verkehr von und nach das Vertrauen Zone.
Routen
Die Firewall erfordert Routen für jedes Netzwerk an den Standorten in die MPLS. Dies kann erreicht werden, indem Sie statische Routen für diese Netze mit den nächsten Hop IP-Adresse als die MPLS-Router IP-Adresse konfigurieren. Eine weitere Möglichkeit ist die Bereitstellung dynamisches routing auf dem Router an jedem Standort gibt es viele Netzwerke und viele Sehenswürdigkeiten.
Sicherheitsrichtlinien
Wenn volle Konnektivität zwischen den Standorten notwendig oder gewünscht in Ersteinrichtung ist, dann können zwei Richtlinien erstellt werden können; eine für die MPLS-Zone, internen Zonen und eine für die interne Zonen zu erreichen die MPLS-Zone zu erreichen. Je nachdem, welche Zugriff auf die Standorte benötigt wird können dann die Sicherheitsrichtlinien eingeschränkt werden, um nur zu ermöglichen, was notwendig ist.
NAT-Richtlinien
Keine NAT-Richtlinien konfiguriert werden müssen, da in der Regel gibt es keine Notwendigkeit, die privaten Adressbereiche zu übersetzen, weil das WAN private Netzwerke von einer Website ermöglicht, auf der anderen Seite die privaten Netzwerke zu erreichen. Allerdings scheint es überlappende Subnetze an beiden Standorten vorhanden sein kann NAT eingesetzt werden, um die Adressen an einem Ende zu verbergen, indem Sie ihnen ein eindeutiges Subnetz zuordnen. EINE ähnliche Technik wird mit IPSEC-VPN-Tunneln verwendet, die in der Verwendung von NAT in einem IPSec-VPN -Tunnel dokumentiert ist. Im Subnetz, deren Adressen zugeordnet sind kann nur zugegriffen werden, das zeigen die zugeordneten Adressen verwenden, also denken Sie daran die Implikationen für den Zugriff auf Server und verweisen auf alle DNS-Einträge.
Hinweis: typischerweise muss der lokale MPLS-Router Routen haben, um die entfernten Sites-Netzwerke zu erreichen. Auch muss die remote-Site Routen vorhanden, um den Ort zu erreichen. Wenn eine Firewall im Ort am entfernten Standort vorhanden ist, müssen seine Politik ebenso Datenverkehr durch.
Besitzer: Astanton