Getting Started: Layer-3 Unterschnittstellen
Resolution
Ich habe meine Firewall ausgepackt und VLANs konfigurieren möchten – Unterschnittstellen
Jetzt, dass Ihre neue Palo Alto Networks Firewall ist und ausgeführt wird, betrachten wir die Mischung durch die Schaffung von Layer 3 Unterschnittstellen VLAN-Tags hinzufügen. Unsere ersten Raten in der Get-Started-Serie beschrieben die ersten Schritte nach dem Auspacken Ihrer Firewall und der Aktualisierung und Konfiguration im vWire oder Layer 3-Modus. Schauen Sie sich an , ich habe meine Firewall ausgepackt, was nun? und Ich habe meine Firewall ausgepackt und das getan, was Sie mir gesagt haben, was nun?
Möglicherweise gibt es mehrere Netzwerksegmente in Ihrer Organisation auf Arbeitsstationen von Benutzern von öffentlichen Webservern zu trennen. Ein guter Weg, um zu verhindern, dass diese Netzwerke miteinander kommunizieren ist durch die Implementierung von VLANs auf die Core-Switch, Gastgeber befindet sich in einem VLAN von Kommunikation mit Hosts in einem anderen, ohne irgendeine Form von Bridge oder Gateway Verbindung sowohl virtuelle Netzwerke zu verhindern.
Die erste Konfiguration, die, der wir betrachten wollen, baut auf wo wir haben im vorherigen immer begann Guide aufgehört. Die Firewall verfügt über Layer 3 Schnittstellen und jetzt werden wir die Vertrauen-Schnittstelle zu ändern, damit er mit einer Bündelfunk Schalter-Schnittstelle kommunizieren kann.
Der Unterschied zwischen einer regulären oder Zugriffs-, Switchport-Konfiguration und einem Trunkener Switchport besteht darin, dass der Access- Port nicht mit dem Ethernet-Header mit irgendwelchen Paketen manipulieren wird, während ein trunk- Port einen VLAN Anhängen wird. Tag in Form eines IEEE 802.1 q- Headers zu Paketen. Dies sorgt dafür, dass Pakete VLAN-Informationen außerhalb der Schalter beibehalten und als LAN-Netzwerken durch den nächsten Gastgeber empfangen diese Pakete behandelt werden.
Schnittstelle GigabitEthernet1/36
Switchport
-Zugang VLAN 100
Switchport-Modus Zugang
Switchport nonegotiate
Spanning-tree PortFast
... neu konfigurieren...
schnittStelle GigabitEthernet1/36
Switchport
Switchport-Stamm erlaubt VLAN 100.200
Switchport
-Modus trunk-Schalt Hafen nonegotiate
Spanning-tree PortFast
Wir werden unsere Konfiguration von einer regulären Schnittstelle auf markierte unter Schnittstellen umstellen.
1. Erstellen von Unterschnittstellen
Der erste Schritt ist die physische Firewall die IP-Konfiguration entfernen.
- Navigieren Sie zu der Registerkarte "Netzwerk".
- Gehen Sie auf Schnittstellen auf der linken Seite.
- Öffnen Sie die Konfiguration der Netzwerkschnittstelle.
- Navigieren Sie zur Registerkarte IPv4.
- Wählen Sie das Subnetz.
- Klick Löschen.
Wir können jetzt gehen Sie voran und fügen ein Subinterface.
Wir müssen in der Konfiguration Subinterface eine Schnittstellennummer und ein Tag zuweisen. Das Tag muss das VLAN exakt übereinstimmen, aber die Schnittstellennummer kann unterschiedlich sein. Zur Vereinfachung der Verwaltung empfiehlt es sich, die gleiche Id als VLAN-Tag festlegen. Fügen Sie die Interfaceto der 'Standard' Virtual Router und das "Vertrauen" Sicherheitszone zuweisen.
Als Nächstes navigieren Sie zur Registerkarte IPv4 und fügen Sie die IP-Adresse der Schnittstelle.
Dann navigieren Sie zu der Registerkarte "erweitert" und setzen Sie die Management-Profil "Ping".
Als nächstes haben wir einen Webserver zum Netzwerk hinzugefügt und legte ihn in VLAN-200 auf den Schalter.
Also müssen wir eine zweite Subinterface hinzufügen und legen sie als VLAN-Tag 200. Wir erstellen auch eine neue Security-Zone, so dass wir es anderen Sicherheitsrichtlinie zuweisen können.
Wir rufen die neue Zone "dmz"
und weisen Sie der Schnittstelle ein anderes IP-Subnetz
und wir legen auch die Management-Profil "Ping".
Ihre Konfiguration der Netzwerkschnittstelle sollte jetzt etwa so aussehen:
2. Konfigurieren von DHCP
Wir müssen jetzt den DHCP-Server verschieben, den wir letztes Mal, um die neue Subinterface erstellt.
- Navigieren Sie zu der Registerkarte "Netzwerk".
- Öffnen Sie das Menü im linken Bereich DHCP.
- Öffnen Sie die DHCP-Konfiguration für Interface ethernet1/2.
- Ändern Sie die Schnittstelle zu ethernet1/2.100 neue Subinterface übereinstimmen.
3. Erstellen Sie eine neue NAT-Richtlinie
Der nächste Schritt ist die Schaffung eine NAT-Politik um Hosts im Internet zugänglichen Webserver über die externe IP-Adresse der Firewall zu erlauben.
- Navigieren Sie zu der Registerkarte "Richtlinien".
- Offenen NAT-Konfiguration aus dem linken Bereich.
- Klicken Sie auf hinzufügen, um eine neue NAT-Richtlinie erstellen.
In der Registerkarte "ursprüngliche Paket" setzen wir die Quell- und Zonen, um die Vertraulichkeit und die Ziel-Adresse der externen IP-Adresse der Firewall. Die Zielzone ist Vertraulichkeit, weil die Firewall versucht, die Zielzone ein empfangenes Paket basierend auf seine routing-Tabelle zu bestimmen. In diesem Fall bevor NAT angewendet wird, gehört die ursprüngliche IP-Zieladresse, zur Unglaubwürdigkeit Zone.
In der Registerkarte "übersetzt Paket" fügen wir die physischen IP-Adresse des Webservers.
4. Sicherheitspolitik hinzufügen
Der letzte Schritt ist die Schaffung von Sicherheitsrichtlinien, damit das Vertrauen und Vertraulichkeit Zone um den Webserver zuzugreifen.
- Navigieren Sie zu Richtlinien.
- Öffnen Sie die Sicherheitsrichtlinien im linken Fensterbereich.
- Klicken Sie auf hinzufügen, um eine neue Regel erstellen und nennen Sie es Access_to_webserver.
Jetzt legen wir die Quelle Zone "Vertraulichkeit".
Das Ziel "dmz" und die Zieladresse setzen wir auf die externe IP-Adresse der Firewall.
Wir werden Anwendung Surfen ermöglichen.
Aktivieren Sie mehrere Sicherheitsprofile, um sicherzustellen, dass der Webserver vor Angriffen geschützt ist.
Wiederholen Sie diesen Schritt für eine Sicherheitsrichtlinie aus der Vertrauen-Zone, so dass zusätzliche Anwendungen hinzugefügt werden können.
In das Ziel setzen wir Sicherheitszone "dmz" und die interne IP-Adresse des Webservers.
Fügen Sie zusätzliche Anwendungen für das Management.
Ihre Sicherheitsrichtlinie sollte jetzt etwa so aussehen:
Nachdem Sie diese neue Konfiguration zu begehen, Interface ethernet1/2 akzeptieren "tagged" Pakete für VLAN-100 und 200 und der Webserver nach außen verfügbar sein werden.
Vielen Dank fürdie Lektüre —Bitte hinterlassen Sie alle Kommentare im Kommentarbereich unten.
Viele Grüße,
Tom
Wenn Ihnen dieser Artikel gefallen hat, bitte nehmen Sie auch einen Blick auf die Follow-up-Artikel:
Ich habe meine Firewall ausgepackt, aber wo sind die Protokolle?