Getting Started: Layer-3 Unterschnittstellen

Getting Started: Layer-3 Unterschnittstellen

297774
Created On 09/25/18 18:55 PM - Last Modified 07/18/19 20:11 PM


Resolution


Ich habe meine Firewall ausgepackt und VLANs konfigurieren möchten – Unterschnittstellen

 

Jetzt, dass Ihre neue Palo Alto Networks Firewall ist und ausgeführt wird, betrachten wir die Mischung durch die Schaffung von Layer 3 Unterschnittstellen VLAN-Tags hinzufügen. Unsere ersten Raten in der Get-Started-Serie beschrieben die ersten Schritte nach dem Auspacken Ihrer Firewall und der Aktualisierung und Konfiguration im vWire oder Layer 3-Modus. Schauen Sie sich an , ich habe meine Firewall ausgepackt, was nun? und Ich habe meine Firewall ausgepackt und das getan, was Sie mir gesagt haben, was nun?  

 

Möglicherweise gibt es mehrere Netzwerksegmente in Ihrer Organisation auf Arbeitsstationen von Benutzern von öffentlichen Webservern zu trennen. Ein guter Weg, um zu verhindern, dass diese Netzwerke miteinander kommunizieren ist durch die Implementierung von VLANs auf die Core-Switch, Gastgeber befindet sich in einem VLAN von Kommunikation mit Hosts in einem anderen, ohne irgendeine Form von Bridge oder Gateway Verbindung sowohl virtuelle Netzwerke zu verhindern.

 

Die erste Konfiguration, die, der wir betrachten wollen, baut auf wo wir haben im vorherigen immer begann Guide aufgehört. Die Firewall verfügt über Layer 3 Schnittstellen und jetzt werden wir die Vertrauen-Schnittstelle zu ändern, damit er mit einer Bündelfunk Schalter-Schnittstelle kommunizieren kann.

 

Der Unterschied zwischen einer regulären oder Zugriffs-, Switchport-Konfiguration und einem Trunkener Switchport besteht darin, dass der Access- Port nicht mit dem Ethernet-Header mit irgendwelchen Paketen manipulieren wird, während ein trunk- Port einen VLAN Anhängen wird. Tag in Form eines IEEE 802.1 q- Headers zu Paketen. Dies sorgt dafür, dass Pakete VLAN-Informationen außerhalb der Schalter beibehalten und als LAN-Netzwerken durch den nächsten Gastgeber empfangen diese Pakete behandelt werden.

 

Schnittstelle GigabitEthernet1/36
 Switchport
 -Zugang VLAN 100
 Switchport-Modus Zugang
 Switchport nonegotiate
 Spanning-tree PortFast

... neu konfigurieren... 

schnittStelle GigabitEthernet1/36
 Switchport
 Switchport-Stamm erlaubt VLAN 100.200
 Switchport
 -Modus trunk-Schalt Hafen nonegotiate
 Spanning-tree PortFast

Wir werden unsere Konfiguration von einer regulären Schnittstelle auf markierte unter Schnittstellen umstellen.

 

1. Erstellen von Unterschnittstellen

 

Der erste Schritt ist die physische Firewall die IP-Konfiguration entfernen.

  1. Navigieren Sie zu der Registerkarte "Netzwerk".
  2. Gehen Sie auf Schnittstellen auf der linken Seite.
  3. Öffnen Sie die Konfiguration der Netzwerkschnittstelle.
  4. Navigieren Sie zur Registerkarte IPv4.
  5. Wählen Sie das Subnetz.
  6. Klick Löschen.

2015-10-28_09-06-19.png

 

Wir können jetzt gehen Sie voran und fügen ein Subinterface.

2015-10-28_09-16-05.png

 

Wir müssen in der Konfiguration Subinterface eine Schnittstellennummer und ein Tag zuweisen. Das Tag muss das VLAN exakt übereinstimmen, aber die Schnittstellennummer kann unterschiedlich sein. Zur Vereinfachung der Verwaltung empfiehlt es sich, die gleiche Id als VLAN-Tag festlegen. Fügen Sie die Interfaceto der 'Standard' Virtual Router und das "Vertrauen" Sicherheitszone zuweisen.

 

2015-10-28_09-18-56.png

 

Als Nächstes navigieren Sie zur Registerkarte IPv4 und fügen Sie die IP-Adresse der Schnittstelle.

2015-10-28_09-31-07.png

 

Dann navigieren Sie zu der Registerkarte "erweitert" und setzen Sie die Management-Profil "Ping".

2015-10-28_09-31-45.png

 

Als nächstes haben wir einen Webserver zum Netzwerk hinzugefügt und legte ihn in VLAN-200 auf den Schalter.

 

2015-10-28_09-43-07.png

Also müssen wir eine zweite Subinterface hinzufügen und legen sie als VLAN-Tag 200. Wir erstellen auch eine neue Security-Zone, so dass wir es anderen Sicherheitsrichtlinie zuweisen können.

2015-10-28_09-48-12.png

 

Wir rufen die neue Zone "dmz"

2015-10-28_09-50-15.png

 

und weisen Sie der Schnittstelle ein anderes IP-Subnetz

2015-10-28_09-51-12.png

 

und wir legen auch die Management-Profil "Ping".

2015-10-28_09-53-18.png

 

Ihre Konfiguration der Netzwerkschnittstelle sollte jetzt etwa so aussehen:

2015-10-28_09-53-53.png

 

2. Konfigurieren von DHCP

 

Wir müssen jetzt den DHCP-Server verschieben, den wir letztes Mal, um die neue Subinterface erstellt.

  1. Navigieren Sie zu der Registerkarte "Netzwerk".
  2. Öffnen Sie das Menü im linken Bereich DHCP.
  3. Öffnen Sie die DHCP-Konfiguration für Interface ethernet1/2.
  4. Ändern Sie die Schnittstelle zu ethernet1/2.100 neue Subinterface übereinstimmen.

2015-10-28_10-48-03.png

 

3. Erstellen Sie eine neue NAT-Richtlinie

 

Der nächste Schritt ist die Schaffung eine NAT-Politik um Hosts im Internet zugänglichen Webserver über die externe IP-Adresse der Firewall zu erlauben.

  1. Navigieren Sie zu der Registerkarte "Richtlinien".
  2. Offenen NAT-Konfiguration aus dem linken Bereich.
  3. Klicken Sie auf hinzufügen, um eine neue NAT-Richtlinie erstellen.

 

2015-10-28_11-03-18.png

 

In der Registerkarte "ursprüngliche Paket" setzen wir die Quell- und Zonen, um die Vertraulichkeit und die Ziel-Adresse der externen IP-Adresse der Firewall. Die Zielzone ist Vertraulichkeit, weil die Firewall versucht, die Zielzone ein empfangenes Paket basierend auf seine routing-Tabelle zu bestimmen. In diesem Fall bevor NAT angewendet wird, gehört die ursprüngliche IP-Zieladresse, zur Unglaubwürdigkeit Zone.

2015-10-28_11-05-57.png

 

In der Registerkarte "übersetzt Paket" fügen wir die physischen IP-Adresse des Webservers.

2015-10-28_11-07-09.png

 

4. Sicherheitspolitik hinzufügen

 

Der letzte Schritt ist die Schaffung von Sicherheitsrichtlinien, damit das Vertrauen und Vertraulichkeit Zone um den Webserver zuzugreifen.

  1. Navigieren Sie zu Richtlinien.
  2. Öffnen Sie die Sicherheitsrichtlinien im linken Fensterbereich.
  3. Klicken Sie auf hinzufügen, um eine neue Regel erstellen und nennen Sie es Access_to_webserver.

2015-10-28_10-16-09.png

Jetzt legen wir die Quelle Zone "Vertraulichkeit".

2015-10-28_10-29-58.png

 

Das Ziel "dmz" und die Zieladresse setzen wir auf die externe IP-Adresse der Firewall.

2015-10-28_11-07-45.png

 

Wir werden Anwendung Surfen ermöglichen.

2015-10-28_10-17-49.png

 

Aktivieren Sie mehrere Sicherheitsprofile, um sicherzustellen, dass der Webserver vor Angriffen geschützt ist.

2015-10-28_10-18-25.png

 

Wiederholen Sie diesen Schritt für eine Sicherheitsrichtlinie aus der Vertrauen-Zone, so dass zusätzliche Anwendungen hinzugefügt werden können.

2015-10-28_10-31-46.png

 

In das Ziel setzen wir Sicherheitszone "dmz" und die interne IP-Adresse des Webservers.

2015-10-28_11-00-29.png

 

Fügen Sie zusätzliche Anwendungen für das Management.

2015-10-28_10-32-55.png

 

Ihre Sicherheitsrichtlinie sollte jetzt etwa so aussehen:

2015-10-28_11-12-49.png

 

Nachdem Sie diese neue Konfiguration zu begehen, Interface ethernet1/2 akzeptieren "tagged" Pakete für VLAN-100 und 200 und der Webserver nach außen verfügbar sein werden.

 

Vielen Dank fürdie Lektüre —Bitte hinterlassen Sie alle Kommentare im Kommentarbereich unten.

 

Viele Grüße,

Tom

 

Wenn Ihnen dieser Artikel gefallen hat, bitte nehmen Sie auch einen Blick auf die Follow-up-Artikel:

Ich habe meine Firewall ausgepackt, aber wo sind die Protokolle?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRkCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language