レイヤー 3 サブインタ フェースの開始。

私のファイアウォールを展開した Vlan を構成するし -サブインタ フェース

 

今では新しいパロアルト ネットワーク ファイアウォールを実行して、レイヤー 3 のサブインタ フェースを作成することによってミックスに VLAN タグを追加することを見てみましょう。最初の分割払いでは、ファイアウォールをアンパックして、VWire または Layer 3 モードで更新および構成された後の第一歩を説明しました。私は私のファイアウォールをアンパックしたチェックアウト、今何?と私は私のファイアウォールをアンパックして、 あなたが私に言ったことをした、今何?  

 

パブリック web サーバからユーザのワークステーションを分離する組織で複数のネットワーク セグメントがあります。これらのネットワークが相互に通信することを防ぐために良い方法は、ブリッジまたは両方の仮想ネットワークを接続するゲートウェイのいくつかのフォームをせずに、別のホストとの通信の 1 つの VLAN にあるホストを防止するコア スイッチで Vlan を実装することによってです。

 

見ていきます最初の構成は、以前スタート ガイドでやめたところに基づいています。ファイアウォール レイヤー 3 インターフェイスがあり、私たちは基幹スイッチのインタ フェースと通信できるように信頼のインターフェイスを変更するつもりは今。

 

通常の、またはアクセス、switchport の構成とトランクの switchport の違いは、アクセスポートが任意のパケットでイーサネットヘッダーを改ざんしないことですが、トランクポートは、 VLAN を接続するのに対しタグを IEEE 802.1 q ヘッダーの形式でパケットにします。これにより、パケットが VLAN スイッチ外情報を保持し、次にこれらのパケットを受信するホストによって異なる LAN ネットワークとして扱われるべき。

 

インタフェース GigabitEthernet1/36
 switchport
 switchport アクセス vlan 100
 switchport モードアクセス
switchport nonegotiate
スパニングツリー portfast

...

インターフェイス GigabitEthernet1/36
 switchport
 switchport トランク許可 vlan 100200
 switchport モードトランク
switchport nonegotiate
スパンツリー portfast           

通常のインターフェイスからタグ付きサブインタフェースに設定を切り替えます。

 

1。サブインタ フェースの作成

 

最初のステップは、物理的なファイアウォールから IP 構成を削除することです。

1. [ネットワーク] タブに移動します。
2. 左側のペインのインターフェイスに移動します。
3. インターフェイスの構成を開きます。
4. [IPv4] タブに移動します。
5. サブネットを選択します。
6. [削除] をクリックします。

 

我々 は今先に行くし、サブインタ フェースを追加できます。

 

サブインターフェイス構成でインターフェイス番号とタグを割り当てなければなりません。タグ VLAN を一致する必要がありますが、インターフェイス番号が異なる場合があります。管理の容易さ、VLAN タグに同じ id を設定することをお勧めします。'Default' 仮想ルータを追加し、'信頼' のセキュリティ ゾーンに割り当てます。

 

 

次に、[IPv4] タブに移動し、インターフェイスに ip アドレスを追加します。

 

[詳細] タブに移動し、' ping ' 管理プロファイルを設定

 

次に、私たちネットワークに web サーバを追加し、スイッチの VLAN 200 にそれを置きます。

 

だから我々 は 2 番目のサブインタ フェースを追加し、VLAN タグ 200 に設定する必要があります。また、それに異なるセキュリティ ポリシーを適用できるように新しいセキュリティ ゾーンを作成します。

 

新しいゾーン「dmz」と呼びましょう

 

異なる IP サブネットにインターフェイスを割り当てると

 

私たちも 'ping' 管理プロファイルを設定します

 

インターフェイスの構成は次のようになります。

 

2。DHCP を再構成します。

 

我々 は今、我々 は新しいサブインターフェイスを前回作成 DHCP サーバーに移動する必要があります。

1. [ネットワーク] タブに移動します。
2. 左側のペインから DHCP のメニューを開きます。
3. インターフェイス ethernet1/2 の DHCP 構成を開きます。
4. Ethernet1/2.100 新しいサブインターフェイスを一致させるためにインタ フェースを変更します。

 

3。新しい NAT ポリシーを作成します。

 

次のステップは、NAT ファイアウォールの外部 IP アドレス経由でウェブサーバに到達するインターネット上のホストを許可するポリシーを作成することです。

1. [ポリシー] タブに移動します。
2. 左側のペインから NAT 構成を開く。
3. 新しい NAT ポリシーを作成する追加] をクリックします。

 

 

オリジナルのパケットのタブでは、ファイアウォールの外部 IP アドレスに untrust、ソースと宛先ゾーンと宛先アドレスの設定を行って私たち。移動先のゾーンは、ファイアウォールが、ルーティング テーブルに基づいて受信したパケットの宛先ゾーンを決定しようので untrust です。この場合、元の送信先 IP アドレスに NAT を適用すると、前に信頼ゾーンに属しています。

 

パケットの変換] タブでは、ウェブ サーバーの物理 IP アドレスを追加します。

 

4. セキュリティ ポリシーを追加します。

 

最後の手順は、信頼を許可し、untrust ゾーン web サーバにアクセスするためのセキュリティ ポリシーを作成することです。

1. ポリシーに移動します。
2. 左側のペインからセキュリティ ポリシーを開きます。
3. 新しい規則を作成し、名前を access_to_webserver に追加] をクリックします。

今のところ、'untrust' にソース ゾーンを設定します

 

ファイアウォールの外部 ip アドレスに 'dmz' 先および宛先アドレスを設定します。

 

アプリケーションの web ブラウジングをようにいたしますのでいます。

 

Web サーバが攻撃から保護されていることを確認するいくつかのセキュリティ プロファイルを有効にします。

 

追加のアプリケーションを追加できるように、信頼ゾーンからセキュリティ ポリシーに対してこの手順を繰り返します。

 

[送り先] セキュリティ ゾーンに設定してみます「dmz」とウェブ サーバーの内部 IP アドレス。

 

さらに管理用アプリケーションを追加します。

 

セキュリティ ポリシーは次のようになります。

 

この新しい構成をコミットすると、インターフェイス ethernet1/2 は、VLAN 100 'タグ' パケットを受け付けます、200 やウェブサーバが外の世界に利用可能になります。

 

読んでいただきありがとうございます-下のコメント欄にコメントを残してください。

 

敬具します。

トム

 

この記事を楽しんでいる場合フォロー アップの記事を見てもください。

私のファイアウォールを展開したが、ログはどこにありますか?