Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Gewusst wie: konfigurieren Sie Palo Alto Networks Firewalls als... - Knowledge Base - Palo Alto Networks

Gewusst wie: konfigurieren Sie Palo Alto Networks Firewalls als mit einem MPLS-Netzwerk verbunden

50628
Created On 09/25/18 17:58 PM - Last Modified 06/07/23 08:02 AM


Resolution


Details

 

Indem Sie verschiedene Websites auf MPLS WANs, bieten Unternehmen bequem interne Netzwerkverbindung zwischen den Standorten.  Oft sind die MPLS-Router bereitgestellt mit dem internen Netzwerk über die Firewall, bietet Transparenz und Kontrolle für den Datenverkehr über das MPLS verbunden.  Wie die Palo Alto Networks Firewall konfiguriert ist, ist ein wichtiger Aspekt bei der Bestimmung, welcher Datenverkehr durchgelassen wird, oder von der MPLS-Cloud. Es ist wichtig zu bedenken, dass die Firewalls von Palo Alto Networks nicht MPLS Router, sondern als eine logische Verbindungspunkt in die MPLS-Cloud dienen können, verbunden mit dem MPLS-Router, der MPLS am Standort beendet.

 

Beispiel-Netzwerk-Topologie:

MPLS Beispiel 3. png

 

Empfehlungen

 

Zonen

Zur Kontrolle und Monitor Verkehr vorbei über die MPLS-Cloud es ist wichtig, weisen Sie die Ethernet-Schnittstelle mit dem MPLS-Router in eine andere Zone als die anderen Schnittstellen anschließen. Es wird einfacher sein, später Sicherheitsrichtlinien definieren, die Datenverkehr zu oder von der MPLS-Zone und auch zu oder von anderen internen Zonen ermöglichen. In diesem Szenario können Verkehr Protokolle für die Sicherheitsrichtlinien zur Verfügung, die zwischen den Zonen erstellt werden. Wenn die Verbindung zur Cloud MPLS-Schnittstelle beispielsweise in derselben Zone wie das Vertrauen ist, werden dann durch den Standard-Verkehr zwischen MPLS und Vertrauen Netze erlaubt und nicht protokolliert, es sei denn, ein ausdrückliche Sicherheit Politik verweigern Verkehr von und nach das Vertrauen Zone.

 

MPLS-Schnittstelle Example.PNG

 

Routen

Die Firewall erfordert Routen für jedes Netzwerk an den Standorten in die MPLS. Dies kann erreicht werden, indem Sie statische Routen für diese Netze mit den nächsten Hop IP-Adresse als die MPLS-Router IP-Adresse konfigurieren. Eine weitere Möglichkeit ist die Bereitstellung dynamisches routing auf dem Router an jedem Standort gibt es viele Netzwerke und viele Sehenswürdigkeiten.                                                                                       

 

MPLS-Route Example.PNG

 

Sicherheitsrichtlinien

Wenn volle Konnektivität zwischen den Standorten notwendig oder gewünscht in Ersteinrichtung ist, dann können zwei Richtlinien erstellt werden können; eine für die MPLS-Zone, internen Zonen und eine für die interne Zonen zu erreichen die MPLS-Zone zu erreichen.  Je nachdem, welche Zugriff auf die Standorte benötigt wird können dann die Sicherheitsrichtlinien eingeschränkt werden, um nur zu ermöglichen, was notwendig ist. 

 

MPLS-Sicherheit-Rules.PNG

 

NAT-Richtlinien

Keine NAT-Richtlinien konfiguriert werden müssen, da in der Regel gibt es keine Notwendigkeit, die privaten Adressbereiche zu übersetzen, weil das WAN private Netzwerke von einer Website ermöglicht, auf der anderen Seite die privaten Netzwerke zu erreichen.  Allerdings scheint es überlappende Subnetze an beiden Standorten vorhanden sein kann NAT eingesetzt werden, um die Adressen an einem Ende zu verbergen, indem Sie ihnen ein eindeutiges Subnetz zuordnen.  EINE ähnliche Technik wird mit IPSEC-VPN-Tunneln verwendet, die in der Verwendung von NAT in einem IPSec-VPN -Tunnel dokumentiert ist.  Im Subnetz, deren Adressen zugeordnet sind kann nur zugegriffen werden, das zeigen die zugeordneten Adressen verwenden, also denken Sie daran die Implikationen für den Zugriff auf Server und verweisen auf alle DNS-Einträge.

 

Hinweis: typischerweise muss der lokale MPLS-Router Routen haben, um die entfernten Sites-Netzwerke zu erreichen. Auch muss die remote-Site Routen vorhanden, um den Ort zu erreichen. Wenn eine Firewall im Ort am entfernten Standort vorhanden ist, müssen seine Politik ebenso Datenverkehr durch.

 

Besitzer: Astanton



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClLwCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language