入门教程: 图层 2 接口

入门教程: 图层 2 接口

195848
Created On 09/25/18 18:55 PM - Last Modified 06/15/23 22:44 PM


Resolution


我的防火墙还能做什么?层2接口-

 

在前几期文章入门,我们讨论了如何从头设置防火墙。在这接下来的系列中,我们将会涉及更多的高级的配置功能,将帮助您细调优您的防火墙以更好地适应您的环境。这个星期,我们会看看第二层接口和如何设置防火墙提供弥合之间同时强制实施安全策略并提供威胁预防的 Vlan,以保持您的网络安全。

 

我们已经将 VLAN 标记作为3层子在入门级3子中,但泛型操作系统还使您能够创建真正的2层接口, 其作用方式与交换机相同.

 

我们会用一个简单的例子开始,我们有两个层 2 接口在同一区域、同一 VLAN。如果,例如,你有同一 IP 子网上的服务器和客户端并且想要允许会话地形成,但需要以控制哪些应用程序使用,并且/或者需要提供威胁预防而无需更改 IP 子网,这种情况下可能是实际。

 

开关,你可以设置机器每套入单独的 VLAN,举个例子,在 VLAN 20 中的服务器和客户端在 VLAN 30 和有防火墙作为这些 VLAN 之间的桥梁:

 

  1. 首先,你需要创建一个 VLAN 接口用于由我们将设置为 2 层的物理接口。导航到网络选项卡,从左窗格中打开接口和开放的 VLAN 标签。已经有一个默认 VLAN 接口存在,该你如果你喜欢可以重复使用,但我们会创建一个新通过单击添加按钮。vlan 接口
    你会为接口分配一个 ID、添加任何相关的注释和将该接口分配给默认的虚拟路由器和将它添加到信任区域。请注意,ID 是简单识别号码为接口,并且不会影响任何 802.1 q 标记。

    vlan 接口

    如果您然后尝试重新分配给该接口的 VLAN,您会注意到没有任何可用,那么去吧,单击新的 VLAN 链接,以开始创建一个新的 VLAN 对象。

    vlan 接口


    只是给它一个名字,现在单击确定。

    vlan 接口vlan 接口

    VLAN 接口应该看起来有点像这样。往前走并单击确定。

  2. 从这里,我们要设置接口 ethernet1/2 2 层并设置适当的 VLAN 配置。导航到以太网选项卡并打开 ethernet1/2 接口的属性,然后将接口类型更改为 2 层。以太网 2 层


    后将接口设置为 2 层,设置 VLAN 为新创建的 VLAN 对象,但是请注意,安全区不显示任何选项。这是因为我们尚未创建任何层 2 安全区域。 

    以太网接口

    在防火墙上配置任何安全区也附加到特定的网络类型,像层 3、VWire 或第 2 层。在步骤 1 中的 VLAN 配置,我们添加了 VLAN.100 接口的默认路由器和层 3 信任安全区域。这是为了让通信传送从 2 层到 3 层。我们会看看,之后我们已经完成了这一阶段的层 2 介绍。

    单击新的区域链接,以创建新的区域命名为 L2 信任:

    第 2 层安全区
  3. 对于接口 ethernet1/3 重复上面的步骤。

    接口

  4. 最后一个阶段是创建主要安全策略以允许应用程序连接两个部分,将安全配置文件应用到这些会话更精细的控制。打开策略选项卡,在左窗格中导航到安全。单击添加创建一个新的安全策略。从规则类型下拉列表中,选择主要作为类型。

    主要安全策略
    接下来,导航到源选项卡,单击添加,并且设置为 L2 信任的源区。
    主要安全策略
    因为这是主要的安全策略,目标区选择已无法访问,是取决于源配置。
    主要安全策略
    设置在什么是适当的线段之间的应用。这些都是只你想允许内部主机之间的应用程序。这不适用于任何连接到或来自其他网络。

    主要安全策略

    最后, 设置安全配置文件, 以便在内部主机之间的任何会话也检查漏洞、漏洞、病毒等。

    主要安全策略

    您的安全策略现在应该看起来类似于此:主要安全策略

    Rule1, 如上所示, 将在下一段中使用 Layer2 路由.

 

此配置将确保您的主机都保持相同的 IP 子网,但可以根据他们的角色被隔离。

2 层关系图

 

可以添加更多的接口以提供更多的段或标记的子可以以类似于入门中描述的方式添加: 3 层-子.

 

2 层子接口

 

层 2 路由

 

作为下一步,你可能想要为您的网络中的主机启用互联网访问,所以您将需要启用 2 层配置中的一些层 3 功能。你可能已经注意到一些层 3 看在早些时候,VLAN 配置中的配置,这是在哪里,我们将需要启用的功能。

 

  1. 向后定位到网络选项卡。
  2. 在左窗格中的访问接口。
  3. VLAN 标签中打开。
  4. 编辑 vlan.100 对象。
  5. 导航到 IPv4 选项卡。
  6. 单击 "添加"。
  7. 输入您的网络上的主机将使用的默认网关和子网掩码的 IP 地址。

 

vlan layer3

VLAN 接口现在作为一个层 3 界面对外面的世界。来自你到外面的世界的内部主机的任何会话将由防火墙作为来自层 3 信任区域层 3 不信任区去处理。

 

2 层 layer3 图

 

请务必注意你可能需要一些额外的配置,以允许对出站连接,包括虚拟路由器 NAT 配置所以内部的 IP 子网将被转换为防火墙和也许一个 DHCP 服务器的公共 IP 地址的默认路由要自动将 IP 地址分配给工作站加入您的网络。请查看入门级-3 层、NAT 和 DHCP,我们将更详细地讨论这些配置步骤.

 

NAT 政策需要访问互联网:

nat 政策


虚拟路由器配置:

虚拟路由器

 

 

我希望你喜欢这篇文章,发现它很有用。随意张贴在下面的评论部分的任何评论或问题。

 

 

问候,

汤姆

 

有关2层接口的详细信息, 请查看2 层网络 上的技术说明。

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRqCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language