Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
パロ ・ アルトのネットワーク ファイアウォールの構成 MPLS ネットワークに接続する方法 - Knowledge Base - Palo Alto Networks

パロ ・ アルトのネットワーク ファイアウォールの構成 MPLS ネットワークに接続する方法

50628
Created On 09/25/18 17:58 PM - Last Modified 06/07/23 08:02 AM


Resolution


詳細

 

企業は MPLS の Wan に接続してさまざまなサイト、便利な内部ネットワーク サイト間の接続を提供できます。  多くの場合、展開された MPLS ルータは、MPLS を通過するトラフィックの可視性と制御を提供するファイアウォール経由で内部ネットワークに接続されます。  パロ ・ アルトのネットワーク ファイアウォールの構成方法や MPLS クラウドから渡す許可するトラフィックを決定する上で重要な側面です。パロ ・ アルトのネットワーク ファイアウォールが MPLS ルータではないが、終了サイトで MPLS MPLS ルータに接続によって MPLS クラウドへの論理接続ポイントとして使用できますが重要です。

 

ネットワーク トポロジの例:

MPLS 例 3. png

 

推奨事項

 

ゾーン

制御およびモニターのトラフィック通過 MPLS クラウド中に他のインタ フェースとは異なるゾーンに MPLS ルータに接続するイーサネット インターフェイスに割り当てることが重要です。それは後で MPLS ゾーンからとも、または他の内部領域からのトラフィックを許可するセキュリティ ポリシーを定義する方が簡単になります。このシナリオでは、トラフィックのログはゾーン間で作成されたセキュリティ ポリシーの利用できます。MPLS クラウドに接続するインターフェイスがたとえば信頼と同じゾーンにある場合、MPLS の既定のトラフィックによってネットワークと信頼ネットワーク許可し、する明示的なセキュリティ ポリシー拒否するトラフィックから信頼がない限りログに記録されません。ゾーン。

 

MPLS インターフェイス Example.PNG

 

ルーティング

ファイアウォール、MPLS でのサイトですべてのネットワークのためのルートが必要です。これは、MPLS ルータの IP アドレスと次ホップ IP アドレスによってこれらのネットワーク用の静的ルートを構成することによって実現できます。別の可能性は多くのネットワークと多くのサイトがある場合に、各サイトでルーターで動的経路制御を展開します。                                                                                       

 

MPLS ルート Example.PNG

 

セキュリティ ポリシー

2 つはポリシーを作成できる許可サイト間の完全な接続が必要なまたは初期設定で目的内部ゾーンと内部ゾーンが MPLS ゾーンに到達する 1 つに到達する MPLS ゾーンの一つ。  サイト間で、どのようなアクセスを必要に応じて、セキュリティ ポリシーを制限できますのみ必要な操作を許可します。 

 

MPLS セキュリティ Rules.PNG

 

NAT のポリシー

NAT ポリシーは通常、WAN を使用する他のサイトにプライベート ネットワークに到達する 1 つのサイトからプライベート ネットワークからプライベート アドレスの範囲を変換する必要はありませんので構成する必要はありません。  しかし 2 つのサイトのサブネットを重ねることに表示されない場合は、一意のサブネットに割り当てることによって一方の端にアドレスを非表示にする NAT を使用できます。  同様の手法は、ipsec vpn トンネルで使用され、ipsec vpn トンネリングで NAT を使用する方法に 記載されています。  そのアドレスがマップされるサブネットのみアクセスできますからポイント マップされたアドレスを使用して、サーバーにアクセスして、すべての DNS レコードを参照するための影響を念頭に。

 

注:通常、ローカル MPLS ルーターは、リモートサイトネットワークに到達するためのルートを持っている必要があります。また、リモート サイトは、ローカル サイトに到達するためのルートを用意する必要があります。リモート サイトの場所にファイアウォールがある場合、そのポリシーは同様を通過するトラフィックを許可する必要があります。

 

所有者: astanton



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClLwCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language