Introducción: Capa 2 Interfaces

Introducción: Capa 2 Interfaces

195842
Created On 09/25/18 18:55 PM - Last Modified 06/15/23 22:44 PM


Resolution


¿Qué más puede hacer mi Firewall? Interfaces de capa2 :

 

En las entregas anteriores de empezar, cubrimos cómo configurar el cortafuegos desde el principio. En esta próxima serie, que va cubriendo más características avanzadas de configuración que le ayudará a fina sintonía su firewall para adaptarse mejor a su entorno. Esta semana, a echar un vistazo en interfaces de capa 2 y cómo el firewall puede configurarse para proporcionar puente entre VLANs y hacer cumplir las políticas de seguridad y proporcionar prevención de amenazas para mantener su red segura.

 

Ya cubrimos las etiquetas VLAN como subinterfaces de capa 3 en la introducción-subinterfaces de capa 3, pero pan-os también permite crear verdaderas interfaces de capa 2 que actúan de la misma manera que un switch.

 

Empezaremos con un ejemplo sencillo donde tenemos dos interfaces de capa 2 en la misma zona y en la misma VLAN. Este escenario podría ser práctico si, por ejemplo, tiene clientes y servidores en la misma subred IP y desea permitir sesiones para ser formado, pero necesita controlar que aplicaciones se utilizan o necesitan proporcionar prevención de amenazas sin necesidad de cambiar la subred IP.

 

En el interruptor, podrían establecer cada conjunto de máquinas en una VLAN separada, por ejemplo, servidores de VLAN 20 y clientes en la VLAN 30 y tienes el firewall sirven como un puente entre estas VLANS:

 

  1. En primer lugar, usted necesitará crear una interfaz VLAN para ser utilizado por los interfaces físicas que establecerá en capa 2. Desplácese hasta la ficha red, abrir Interfaces desde el panel izquierdo y abra la ficha VLAN. Ya habrá una interfaz por defecto VLAN actual, que se puede reutilizar si quieres, pero vamos a crear una nueva haciendo clic en el botón Agregar. interfaz de VLAN
    A asignar la interfaz de un ID, añadir cualquier comentario relevante y asignar la interfaz por defecto de routers virtuales y agregar a la zona de confianza. Nota que el identificador es simplemente un número de identificación de la interfaz y no influye en ningún 802.1Q tagging.

    interfaz de VLAN

    Si intenta asignar una VLAN a la interfaz, se dará cuenta que no cualquier disponible aun, pues adelante y haga clic en el nuevo enlace VLAN, para comenzar a crear un nuevo objeto VLAN.

    interfaz de VLAN


    Simplemente darle un nombre y haga clic en aceptar por ahora.

    interfaz de VLANinterfaz de VLAN

    La interfaz VLAN debe verse algo como esto. Siga adelante y haga clic en Aceptar.

  2. Desde aquí, vamos a establecer interfaces ethernet1/2 Layer2 y la adecuada configuración de VLAN. Desplácese hasta la ficha Ethernet y abra propiedades de interfaz ethernet1/2, y cambiar el tipo de interfaz a 2.Ethernet 2


    Después de configurar la interfaz a la Capa2, establecer la VLAN en el objeto recién creado de VLAN, pero cuenta que la zona de seguridad no muestra ninguna opción. Esto es porque todavía no hemos creado las zonas de seguridad de capa 2. 

    interfaz de Ethernet

    Cualquier zona de seguridad configurada en el firewall también se une a un tipo de red específica, como de nivel 3, VWire o capa 2. En la configuración de VLAN en el paso 1, hemos añadido la interfaz VLAN.100 y el enrutador predeterminado capa 3 confiar en zona de seguridad. Esto es para permitir el tráfico pasar del nivel 2 al nivel 3. Tomaremos un vistazo después de que hemos completado esta fase de la introducción de la capa 2.

    Haga clic en el enlace de zona nueva para crear una nueva zona denominada L2-confianza:

    Zona de seguridad de capa 2
  3. Repita el paso anterior para interfaz ethernet1/3.

    interfaces

  4. La última etapa es crear una política de seguridad intrazone para permitir el control más granular sobre las aplicaciones de conexión de ambos segmentos y aplicar perfiles de seguridad a estas sesiones. Abra la ficha directivas y desplácese a la seguridad en el panel izquierdo. Haga clic en Agregar para crear una nueva política de seguridad. De la lista desplegable de tipo de regla, seleccione 'intrazone' como el tipo.

    política de seguridad intrazone
    A continuación, desplácese hasta la ficha fuente, haga clic en agregar y configurar la zona de la fuente a L2-confianza.
    política de seguridad intrazone
    Porque este es un intrazone la política de seguridad, la selección de la zona de destino se ha hecho inaccesible y depende de la configuración de fuente.
    política de seguridad intrazone
    Configurar las aplicaciones para lo que es apropiado entre los segmentos. Estas son sólo las aplicaciones que desea permitir entre los hosts internos. Esto no se aplica a las conexiones van a o desde otras redes.

    política de seguridad intrazone

    Por último, defina los perfiles de seguridad de modo que las sesiones entre sus hosts internos también se inspeccionen para detectar vulnerabilidades, ataques, virus, etc.

    política de seguridad intrazone

    Su política de seguridad ahora debería ser similar a lapolítica de seguridad intrazone

    siguiente: Rule1, como se ve anteriormente, se usará en el próximo segmento, Layer2 Routing.

 

Esta configuración se asegurará sus anfitriones todos siguen en la misma subred IP, pero pueden ser segregados según su función.

Diagrama 2

 

Se pueden agregar más interfaces para proporcionar aún más segmentos o subinterfaces etiquetadas se pueden agregar de una manera similar como se describe en Introducción: capa 3: subinterfaces.

 

2 subinterfaces

 

Capa de enrutamiento 2

 

Como siguiente paso, puede que desee habilitar acceso a internet para los hosts en su red, por lo que necesitarás activar algunas funciones de capa 3 en la configuración del 2. Usted puede haber notado cierta configuración de capa 3-mirar en la configuración de VLAN anterior, y es donde tenemos que activar la función.

 

  1. Desplácese hacia la ficha red.
  2. Interfaces de acceso en el panel izquierdo.
  3. Abra la ficha VLAN.
  4. Editar el objeto vlan.100.
  5. Desplácese hasta la ficha IPv4.
  6. Haga clic en Agregar.
  7. Introduzca la dirección IP, que los hosts de la red servirá de puerta de enlace predeterminada, con su máscara de subred.

 

VLAN layer3

La interfaz VLAN ahora funciona como una interfaz de capa 3 hacia el mundo exterior. Ninguna sesión provenientes de sus anfitriones internos al mundo exterior será manejada por el firewall como provenientes de la zona de capa 3 confianza ir a la zona Untrust de capa 3.

 

2 layer3 diagrama

 

Tenga en cuenta que necesite alguna configuración adicional para permitir las conexiones salientes, incluyendo la ruta por defecto en tu router virtual, configuración de NAT para que la subred IP interna se traduce la dirección IP pública del firewall y tal vez un servidor DHCP para asignar automáticamente direcciones IP a unirse a su red de estaciones de trabajo. Por favor, eche un vistazo a Cómo empezar: capa 3, NAT y DHCP donde cubrimos estos pasos de configuración con más detalle.

 

La política NAT necesaria para llegar a internet:

política de NAT


La configuración del Router Virtual:

router virtual

 

 

Espero que disfrutado de este artículo y encontrar útil. No dude en enviar cualquier comentarios o preguntas en la sección de comentarios abajo.

 

 

Saludos,

Tom

 

Para obtener más detalles sobre las interfaces de la capa 2, por favor eche un vistazo a la nota técnica de la red Layer 2.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRqCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language