Introducción: La capa 3 Subinterfaces

Introducción: La capa 3 Subinterfaces

297818
Created On 09/25/18 18:55 PM - Last Modified 07/18/19 20:11 PM


Resolution


Me has desempaquetado mi firewall y quiero configurar VLANs, subinterfaces

 

Ahora que su nuevo Palo Alto Networks firewall está arriba y funcionando, echemos un vistazo a agregar etiquetas de VLAN a la mezcla mediante la creación de subinterfaces de capa 3. Nuestras cuotas iniciales en la serie Get Started describen los primeros pasos después de desempaquetar el firewall y actualizarlo y configurarlo en el modo VWire o Layer 3. Mira que he desempaquetado mi firewall, ¿ahora qué? y he desempaquetado mi Firewall e hice lo que me dijiste, ¿ahora qué?  

 

Puede haber varios segmentos de red en su organización para segregar usuario estaciones de trabajo de servidores públicos. Una buena manera de evitar que estas redes comunicarse entre sí es mediante la implementación de VLAN en el switch de core, prevención de anfitriones en una VLAN de comunicarse con los hosts de otro, sin algún tipo de puente o gateway para conectar ambas redes virtuales.

 

La primera configuración que veremos se basa en donde lo dejamos en la anterior guía comenzó consiguiendo. El firewall tiene interfaces de capa 3 y ahora vamos a cambiar la interfaz trust por lo que se puede comunicar con una interfaz de switch troncal.

 

La diferencia entre una configuración regular, o de acceso, switchport y un switchport troncal, es que el Puerto de acceso no manipulará el encabezado Ethernet con ningún paquete, mientras que un Puerto troncal adjuntará una VLAN etiqueta en forma de un encabezado IEEE 802.1 q a los paquetes. Esto asegura que paquetes VLAN información fuera del interruptor y deben tratarse como diversas redes LAN por el siguiente anfitrión recibir estos paquetes.

 

interfaz GigabitEthernet1/36
 switchport
 switchport acceso VLAN 100
 switchport modo
 de acceso switchport nonegociar PortFast
 de árbol de extensión

... reconfigure... 

interfaz GigabitEthernet1/36
 switchport
 switchport tronco permitido VLAN 100.200
 switchport modo tronco
 switchport nonegocie
 atravesar-árbol PortFast

Vamos a cambiar nuestra configuración de una interfaz regular a subinterfaces etiquetadas.

 

1. Crear subinterfaces

 

El primer paso es quitar la configuración IP del servidor de seguridad física.

  1. Desplácese hasta la ficha red.
  2. Ir a Interfaces en el panel izquierdo.
  3. Abra la configuración de la interfaz.
  4. Desplácese hasta la ficha IPv4.
  5. Seleccione la subred.
  6. Haga clic en eliminar.

2015-10-28_09-06-19.png

 

Ahora podemos seguir adelante y añadir una subinterfaz.

2015-10-28_09-16-05.png

 

En la configuración de la subinterfaz, tenemos que asignar un número de interfaz y una etiqueta. La etiqueta debe coincidir exactamente con la VLAN, pero el número de interfaz puede ser diferente. Para facilidad de administración, es mejor establecer el mismo identificador como la etiqueta de VLAN. Añadir interfaceto el Router Virtual 'default' y asignarlo a la 'confianza' zona de seguridad.

 

2015-10-28_09-18-56.png

 

A continuación, desplácese hasta la ficha IPv4 y agregar la IP a la interfaz.

2015-10-28_09-31-07.png

 

Luego vaya a la ficha Opciones avanzadas y configurar el perfil de gestión 'ping'.

2015-10-28_09-31-45.png

 

A continuación, hemos agregado un servidor Web a la red y lo colocó en 200 de VLAN en el conmutador.

 

2015-10-28_09-43-07.png

Así que necesitaremos añadir una segunda subinterfaz y etiqueta de la VLAN 200. También vamos a crear una nueva zona de seguridad por lo que podemos aplicar la política de seguridad diferentes a él.

2015-10-28_09-48-12.png

 

Llamaremos a la nueva zona 'zona desmilitarizada'

2015-10-28_09-50-15.png

 

y asignar la interfaz de una subred IP diferente

2015-10-28_09-51-12.png

 

y también establecemos el perfil de gestión 'ping'.

2015-10-28_09-53-18.png

 

La configuración de la interfaz ahora debe verse similar a esto:

2015-10-28_09-53-53.png

 

2. Configurar DHCP

 

Ahora necesitaremos mover el servidor DHCP que creamos una última vez a la nueva subinterfaz.

  1. Desplácese hasta la ficha red.
  2. Abrir menú DHCP desde el panel izquierdo.
  3. Abra la configuración de DHCP para la interfaz ethernet1/2.
  4. Cambiar la interfaz a ethernet1/2.100 para que coincida con la nueva subinterfaz.

2015-10-28_10-48-03.png

 

3. Crear una nueva Directiva NAT

 

El siguiente paso es crear una política NAT para permitir que los hosts en internet hasta el servidor Web a través de la dirección IP externa del firewall.

  1. Desplácese hasta la ficha directivas.
  2. Configuración de NAT abierta en el panel izquierdo.
  3. Haga clic en Agregar para crear una nueva política NAT.

 

2015-10-28_11-03-18.png

 

En la ficha del paquete Original, hemos creado las zonas de origen y de destino a untrust y la dirección de destino a la dirección IP externa del firewall. La zona de destino es untrust porque el firewall intentará determinar la zona de destino de un paquete recibido basado en su tabla de enrutamiento. En este caso, la dirección IP de destino original, antes de aplica el NAT, pertenece a la zona untrust.

2015-10-28_11-05-57.png

 

En la ficha paquete traducido, agregamos la dirección IP física del servidor Web.

2015-10-28_11-07-09.png

 

4. Añadir la política de seguridad

 

El último paso es crear políticas de seguridad que permita la confianza y untrust zona para acceder el servidor Web.

  1. Desplácese hasta las políticas.
  2. Abrir las políticas de seguridad desde el panel izquierdo.
  3. Haga clic en Agregar para crear una nueva regla y asígnele el nombre access_to_webserver.

2015-10-28_10-16-09.png

Por ahora, instalaremos la zona de la fuente a 'untrust.'

2015-10-28_10-29-58.png

 

Instalaremos el destino a la 'zona desmilitarizada' y la dirección de destino a la IP externa del firewall.

2015-10-28_11-07-45.png

 

Nosotros te permitirá aplicaciones navegación web.

2015-10-28_10-17-49.png

 

Permiten varios perfiles de seguridad para asegurarse de que el servidor web está protegido de los ataques.

2015-10-28_10-18-25.png

 

Repita este paso para una política de seguridad de la zona de confianza, por lo que pueden añadir aplicaciones adicionales.

2015-10-28_10-31-46.png

 

En el destino, a establecer zona de seguridad 'zona desmilitarizada' y la dirección IP interna del servidor Web.

2015-10-28_11-00-29.png

 

Añadir aplicaciones adicionales para la gestión.

2015-10-28_10-32-55.png

 

Su política de seguridad debe ahora verse similar a esto:

2015-10-28_11-12-49.png

 

Después cometes esta nueva configuración, interfaz ethernet1/2 aceptará 'etiquetados' paquetes para la VLAN 100 y 200 y el servidor web estará disponibles para el mundo exterior.

 

Gracias por leerpor favor deje cualquier comentario en la sección de comentarios.

 

Saludos,

Tom

 

Si has disfrutado de este artículo, por favor, también echa un vistazo en el artículo de seguimiento:

Yo he descomprimido mi firewall, pero ¿dónde están los registros?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRkCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language