Mise en route : Couche 3 sous-interfaces

Mise en route : Couche 3 sous-interfaces

297814
Created On 09/25/18 18:55 PM - Last Modified 07/18/19 20:11 PM


Resolution


J’ai déballé mon pare-feu et que vous souhaitez configurer VLANs — sous-interfaces

 

Maintenant que votre nouveau Palo Alto Networks pare-feu est en place et en cours d’exécution, jetons un œil sur l’ajout de balises VLAN au mélange en créant des sous-interfaces Layer 3. Nos premiers versements dans la série Get Started décrivent les premières étapes après avoir déballé votre pare-feu et l'avoir mis à jour et configuré en mode VWire ou Layer 3. Check out J'ai déballé mon pare-feu, maintenant quoi? et J'ai déballé mon pare-feu et fait ce que tu m'as dit , maintenant quoi?  

 

Il peut y avoir plusieurs segments de réseau de votre organisation à séparer les postes de travail utilisateur de serveurs Web publics. Un bon moyen de prévenir ces réseaux de communiquer les uns avec les autres est en mettant en place des VLAN sur le commutateur principal, empêchant les hôtes situés dans un réseau local virtuel de communiquer avec des hôtes dans un autre, sans une certaine forme de pont ou une passerelle pour relier les deux réseaux virtuels.

 

La première configuration, que nous regarderons s’appuie sur là où nous avons laissé dans le précédent guide de démarrage. Le pare-feu a Layer 3 interfaces et nous allons maintenant changer l’interface de confiance si il peut communiquer avec une interface de contacteur à ressources partagées.

 

La différence entre une configuration régulière, ou Access, switchport et un switchport à tronc, est que le port d'accès ne falsifie pas L'en-tête Ethernet avec les paquets, alors qu'un port trunk va attacher un VLAN balise sous la forme d'un en -tête IEEE 802.1 q en paquets. Cela garantit que les paquets conservent les informations de VLAN à l’extérieur de l’interrupteur et doivent être traités comme des réseaux LAN différents par l’hôte suivant réception de ces paquets.

 

interface GigabitEthernet1/36
 switchport
 switchport Access VLAN 100
 switchport mode Access
 switchport nonegoci
 PortFast

... RECONFIGURE... 

interface GigabitEthernet1/36
 switchport
 switchport trunk permis VLAN 100 200
 switchport mode tronc
 switchport nonegoci
 enjambant-Tree PortFast

Nous allons changer notre configuration d'une interface régulière aux sous- interfaces étiquetées.

 

1. Création de sous-interfaces

 

La première étape consiste à supprimer la configuration IP du pare-feu physiques.

  1. Accédez à l’onglet réseau.
  2. Aller aux Interfaces sur le volet de gauche.
  3. Ouvrez la configuration de l’interface.
  4. Accédez à l’onglet IPv4.
  5. Sélectionnez le sous-réseau.
  6. Cliquez sur supprimer.

2015-10-28_09-06-19.png

 

Nous pouvons maintenant aller de l’avant et ajouter une sous-interface.

2015-10-28_09-16-05.png

 

Dans la configuration de sous-interface, nous avons besoin d’attribuer un numéro d’interface et une balise. La balise doit correspondre exactement à la VLAN, mais le nombre d’interface peut être différent. Pour faciliter la gestion, il est préférable de le mettre le même id de la balise de VLAN. Ajouter l’interfaceto de la « défaillance » Virtual Router et l’assigner à la Zone de sécurité « la confiance ».

 

2015-10-28_09-18-56.png

 

Ensuite, accédez à l’onglet IPv4 et ajoutez l’adresse IP à l’interface.

2015-10-28_09-31-07.png

 

Accédez à l’onglet Avancé, puis définir le profil de gestion de « ping ».

2015-10-28_09-31-45.png

 

Ensuite, nous avons ajouté un serveur Web sur le réseau et placé dans le VLAN 200 sur l’interrupteur.

 

2015-10-28_09-43-07.png

Donc, nous aurons besoin d’ajouter une deuxième sous-interface et affectez-lui la balise VLAN 200. Nous allons également créer une nouvelle Zone de sécurité donc nous pouvons appliquer la politique de sécurité différent pour elle.

2015-10-28_09-48-12.png

 

Nous allons l’appeler la nouvelle zone « dmz »

2015-10-28_09-50-15.png

 

et affecter l’interface d’un autre sous-réseau IP

2015-10-28_09-51-12.png

 

et nous allons également définir le profil de gestion de « ping ».

2015-10-28_09-53-18.png

 

Votre configuration de l’interface devrait maintenant ressembler à ceci :

2015-10-28_09-53-53.png

 

2. Reconfigurez le DHCP

 

Maintenant, nous aurons besoin de déplacer le serveur DHCP, que nous avons créé la dernière fois à la nouvelle sous-interface.

  1. Accédez à l’onglet réseau.
  2. Ouvrir le menu DHCP dans le volet gauche.
  3. Ouvrez la configuration DHCP pour l’interface ethernet1/2.
  4. Remplacez l’Interface ethernet1/2.100 pour correspondre à la nouvelle sous-interface.

2015-10-28_10-48-03.png

 

3. Créer une nouvelle stratégie NAT

 

L’étape suivante consiste à créer une stratégie NAT pour permettre aux hôtes sur internet afin d’atteindre le serveur Web via l’adresse IP externe du pare-feu.

  1. Accédez à l’onglet stratégies.
  2. Configuration NAT ouvert dans le volet gauche.
  3. Cliquez sur Ajouter pour créer une nouvelle stratégie NAT.

 

2015-10-28_11-03-18.png

 

Dans l’onglet du paquet d’origine, nous avons mis les zones source et destination à untrust et l’adresse de destination vers l’adresse IP externe du pare-feu. La zone de destination est untrust parce que le pare-feu tentera de déterminer la zone de destination d’un paquet reçu basé sur sa table de routage. Dans ce cas, l’adresse IP de destination originale, avant l’application de NAT, appartient à la zone untrust.

2015-10-28_11-05-57.png

 

Dans l’onglet Packet traduit, nous ajoutons la physique adresse IP du serveur Web.

2015-10-28_11-07-09.png

 

4. Ajouter la stratégie de sécurité

 

La dernière étape consiste à créer des stratégies de sécurité pour permettre à la fiducie et untrust zone pour accéder au serveur Web.

  1. Accédez à stratégies.
  2. Ouvrir les stratégies de sécurité dans le volet gauche.
  3. Cliquez sur Ajouter pour créer une nouvelle règle et nommez-le access_to_webserver.

2015-10-28_10-16-09.png

Pour l’instant, nous allons définir la zone source à « untrust. »

2015-10-28_10-29-58.png

 

Nous allons définir la destination de « dmz » et l’adresse de destination de l’adresse IP externe du pare-feu.

2015-10-28_11-07-45.png

 

Nous allons activer application navigation sur le web.

2015-10-28_10-17-49.png

 

Activer plusieurs profils de sécurité pour s’assurer que le serveur Web est protégé contre les attaques.

2015-10-28_10-18-25.png

 

Répétez cette étape pour une politique de sécurité de la zone de confiance, afin que des applications supplémentaires peuvent être ajoutées.

2015-10-28_10-31-46.png

 

Dans la destination, nous allons définir la Zone de sécurité « dmz » et l’adresse IP interne du serveur Web.

2015-10-28_11-00-29.png

 

Ajouter des applications supplémentaires pour la gestion.

2015-10-28_10-32-55.png

 

Votre stratégie de sécurité doit maintenant ressembler à ceci :

2015-10-28_11-12-49.png

 

Après avoir validé cette nouvelle configuration, interface ethernet1/2 acceptera les paquets « balisés » pour VLAN 100 et 200 et le serveur Web seront disponibles vers le monde extérieur.

 

Merci pour la lecture-S'il vous plaît laissez tous les commentaires dans la section commentaires ci-dessous.

 

Cordialement,

Tom

 

Si vous avez apprécié cet article, veuillez également jeter un oeil à l’article de suivi :

J’ai déballé mon pare-feu, mais où sont les journaux ?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRkCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language