Getting Started: Layer-2-Schnittstellen

Getting Started: Layer-2-Schnittstellen

195846
Created On 09/25/18 18:55 PM - Last Modified 06/15/23 22:44 PM


Resolution


Was kann meine Firewall noch tun? Layer 2 Interfaces

 

In den früheren Ausgaben des Getting Started legten wir die Firewall von Grund auf neu einrichten. In dieser nächsten Serie werden wir abdecken mehr erweiterte Konfiguration-Funktionen, die Ihnen, feine hilft Melodie Ihre Firewall, um besser an Ihre Umgebung anzupassen. Diese Woche nehmen wir einen Blick auf Layer 2 Schnittstellen und wie die Firewall eingerichtet werden kann, bieten Brückenschlag zwischen VLANs gleichzeitig Durchsetzung von Sicherheitsrichtlinien und Gefahrenabwehr, Ihr Netzwerk zu schützen.

 

Wir haben bereits VLAN-Tags als Layer-3-unter Schnittstellen abgedeckt , um — Layer 3-unter Schnittstellen zu starten, aber Pan-OS ermöglicht es Ihnen auch, echte Layer-2-Schnittstellen zu erstellen, die den gleichen Weg wie ein Schalter wirken.

 

Wir beginnen mit einem einfachen Beispiel, wo haben wir zwei Layer-2-Schnittstellen in der gleichen Zone und den gleichen VLAN. Dieses Szenario kann praktisch sein, wenn zum Beispiel Sie Server und Clients auf der gleichen IP-Subnetz haben und Sitzungen gebildet werden, sondern müssen zu steuern, welche Anwendungen verwendet werden, und/oder Gefahrenabwehr zur Verfügung stellen, ohne Änderung des IP-Subnetzes müssen zulassen möchten.

 

Auf den Schalter könnte Sie jeden Satz von Maschinen in ein separates VLAN, z. B. Server in VLAN 20 und Clients in VLAN 30, und die Firewall als eine Brücke zwischen diesen VLANS dienen:

 

  1. Zunächst musst du eine VLAN-Schnittstelle von der physikalischen Schnittstellen verwendet werden, setzen wir auf Ebene 2 zu erstellen. Navigieren Sie zu der Registerkarte "Netzwerk", offene Schnittstellen im linken Fensterbereich, und öffnen Sie die Registerkarte "VLAN". Schon ein VLAN Standardschnittstelle vorhanden, die Sie nach Belieben wiederverwenden kann, aber wir werden eine neue erstellen, indem Sie auf die Schaltfläche "hinzufügen". VLAN-interface
    Sie weisen der Schnittstelle eine ID, alle relevanten Kommentar hinzufügen und weisen Sie die Schnittstelle zu Standard Virtual Router und der Trust Zone hinzufügen. Beachten Sie, dass die ID einfach eine Identifikationsnummer für die Schnittstelle ist und keinen auf irgendwelche 802.1Q Einfluss hat tagging.

    VLAN-interface

    Wenn Sie dann versuchen, die Schnittstelle eine VLAN zuweisen, werden Sie feststellen, sind noch verfügbar, also los und klicken Sie auf den neuen VLAN-Link zum Starten ein neues VLAN-Objekt erstellen.

    VLAN-interface


    Einfach geben sie einen Namen und klicken Sie auf "OK" für jetzt.

    VLAN-interfaceVLAN-interface

    Das VLAN-Interface sollte ungefähr so aussehen. Gehen Sie voran und klicken Sie auf "OK".

  2. Von hier aus gehen wir Schnittstellen ethernet1/2 Layer2 und die richtige VLAN-Konfiguration. Navigieren Sie zur Registerkarte Ethernet öffnen Sie Interface ethernet1/2 Eigenschaften zu, und ändern Sie den Schnittstellentyp in Layer2.Ethernet layer2


    Nach dem Festlegen der Schnittstelle auf Layer2, das VLAN auf das neu erstellte VLAN-Objekt festgelegt, aber beachten Sie, dass die Sicherheitszone keine Option angezeigt wird. Und zwar deshalb, weil wir noch keine Layer-2-Sicherheitszonen erstellt haben. 

    Ethernet-Schnittstelle

    Jede Sicherheitszone auf die Firewall konfiguriert ist auch eine spezifische Netzwerk-Typ, wie Layer 3, VWire oder Layer-2 beigefügt. Die VLAN-Konfiguration in Schritt 1 haben wir die VLAN.100-Schnittstelle Standard-Router und Layer 3 Vertrauen Sicherheitszone. Dies soll Datenverkehr von Layer 2, Layer 3 zu ermöglichen. Wir nehmen einen Blick auf, dass, nachdem wir diese Phase der Layer-2-Einführung abgeschlossen haben.

    Klicken Sie auf die neue Zone erstellen eine neue Zone namens L2-Vertrauen:

    Layer-2-Sicherheitszone
  3. Wiederholen Sie die oben genannten Schritte für Interface ethernet1/3.

    Schnittstellen

  4. Die letzte Etappe ist die Schaffung eine Intrazone Sicherheitspolitik um eine feiner abgestufte Kontrolle über Anwendungen verbinden beide Segmente und Sicherheitsprofile für diese Sitzungen zu ermöglichen. Öffnen Sie die Registerkarte "Richtlinien" und navigieren Sie zur Sicherheit auf der linken Seite. Klicken Sie auf hinzufügen, um eine neue Sicherheitsrichtlinie erstellen. Wählen Sie aus der Dropdownliste Regeltyp "Intrazone" den Typ.

    Intrazone Sicherheitspolitik
    Als Nächstes navigieren Sie zu der Registerkarte "Quelle", klicken Sie auf hinzufügen, und stellen Sie die Quelle Zone L2-Trust.
    Intrazone Sicherheitspolitik
    Denn dies ist ein Intrazone Sicherheitspolitik, die Zielauswahl Zone unzugänglich gemacht worden und ist abhängig von der Konfiguration.
    Intrazone Sicherheitspolitik
    Legen Sie die Anwendungen, was zwischen den Segmenten angebracht ist. Dies sind nur die Anwendungen, die Sie zwischen den internen Hosts zulassen möchten. Dies gilt nicht für alle Verbindungen ins oder aus anderen Netzen kommen.

    Intrazone Sicherheitspolitik

    Schließlich stellen Sie Sicherheitsprofile ein, so dass alle Sitzungen zwischen ihren internen Hosts auch auf Schwachstellen, Exploits, Viren und so weiter überprüft werden.

    Intrazone Sicherheitspolitik

    Ihre Sicherheitspolitik sollte nun ähnlich aussehen:Intrazone Sicherheitspolitik

    Rule1 wird, wie oben gesehen, im nächsten Segment, Layer2 Routing, verwendet.

 

Diese Konfiguration sichert Ihre Gastgeber bleiben alle im selben IP-Subnetz, sondern können je nach ihrer Rolle getrennt werden.

Layer2-Diagramm

 

Weitere Schnittstellen können hinzugefügt werden, um noch mehr Segmente zur Verfügung zu stellen, oder markierte unter Schnittstellen können in einer ähnlichen Weise hinzugefügt werden, wie in Getting Started beschrieben: Layer 3 —-unter Schnittstellen.

 

Layer2-Unterschnittstellen

 

Schicht 2 Routing

 

Als nächsten Schritt sollten Sie Internet-Zugang für die Hosts in Ihrem Netzwerk zu aktivieren, müssen Sie einige Layer 3-Funktionalität in der Layer2-Config zu aktivieren. Sie können einige Layer 3-auf der Suche nach Konfiguration in die VLAN-Konfiguration früher bemerkt haben, und dies ist, wo wir die Funktionalität zu aktivieren müssen.

 

  1. Navigieren Sie zurück zur Registerkarte "Netzwerk".
  2. Schnittstellen auf der linken Seite.
  3. Öffnen Sie die Registerkarte "VLAN".
  4. Bearbeiten Sie das vlan.100-Objekt.
  5. Navigieren Sie zur Registerkarte IPv4.
  6. Klick Hinzufügen.
  7. Geben Sie die IP-Adresse verwenden die Hosts in Ihrem Netzwerk als das Standard-Gateway mit der Subnetzmaske.

 

VLAN layer3

Die VLAN-Schnittstelle fungiert nun als Layer-3-Schnittstelle nach außen. Alle Sitzungen, die aus Ihren internen Hosts mit der Außenwelt werden durch die Firewall als kämen sie aus der Schicht 3 Trust Zone auf der Schicht 3 Vertraulichkeit Zone abgewickelt.

 

Layer2 layer3 Diagramm

 

Bitte beachten Sie, dass Sie möglicherweise einige zusätzliche Konfiguration für ausgehende Verbindungen, einschließlich der Standard-Route in Ihrem virtuellen Router, NAT-Konfiguration, so dass die interne IP-Subnetz, die öffentliche IP-Adresse von der Firewall und vielleicht einen DHCP-Server übersetzt wird für Arbeitsstationen, die Teilnahme an Ihrem Netzwerk automatisch IP-Adressen zuweisen. Bitte werfen Sie einen Blick auf den Einstieg — Layer 3, NAT und DHCP, wo wir diese Konfigurationsschritte genauer abdecken.

 

Die NAT-Politik erforderlich, um im Internet zu erreichen:

NAT-Politik


Der virtuelle Router-Konfiguration:

Virtual router

 

 

Ich hoffe, dass Sie diesen Artikel genossen und fand es nützlich. Zögern Sie nicht, irgendwelche Bemerkungen oder Fragen in den Kommentaren unten zu posten.

 

 

Viele Grüße,

Tom

 

Weitere Informationen zu Layer 2-Schnittstellen finden Sie in der Tech-Notiz zu Layer 2 Networking.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRqCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language