如何配置 L3 未标记子在不同区域内进行通信

如何配置 L3 未标记子在不同区域内进行通信

47523
Created On 09/25/18 17:59 PM - Last Modified 06/09/23 08:47 AM


Resolution


概述

本文档提供有关如何配置3层未加标签子的步骤。

 

步骤

  1. 转到网络 > 接口。
  2. 选择物理接口。
  3. 启用未标记的子接口。

    未标记的 L3 子设计为在物理设备上没有 ip 地址的情况下工作。

    ss1.png

  4. 创建未加标签的子, 并为它们分配不同的虚拟路由器和区域。

    下面的截图显示三 L3 子配置 eth1/6.10、eth1/6.11 和 eth1/6.12:

    ss2.png

    • 子接口接口: 以太网 1/6.10 被分配了一个区域 L3-Trust
    • 子接口接口: 以太网 1/6.11 被分配了一个区域 L3-DMZ
    • 子接口接口: 以太网 1/6.12 被分配了一个区域 L3-Trust
  5. 转到 "策略 > 安全性" 以查看从 L3-Trust 到 L3-DMZ 通信的安全策略。

    ss3.png

  6. 来自每个租户的所有传出通信量都是子接口 IP 地址的源 NAT。  转到 "策略" nat 查看主机10.10.10.10 子接口以太网 1/6.10 后面的 nat 策略, 以便与子接口以太网 1/6.11 后面的主机11.11.11.11 通信。

    ss4.png

  7. 转到 "策略 > 安全性" 以查看应用于从 L3-DMZ 到 L3-Trust 通信的安全策略。

    ss5.png

  8. 转到 "策略" nat 查看主机11.11.11.11 子接口 Ehternet 1/6.11 后面的 nat 策略, 以便与子接口以太网 1/6.10 后面的主机10.10.10.10 通信。

    ss6.png

通过以上配置, 主机 10.10.10.10 (子接口以太网 1/6.10) 可以 ping 主机 11.11.11.11 (后面 Etherent 1/6.11) 和其他方式。

 

所有者: ppatel
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClMFCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language