Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Tipps & Tricks: VSYS Inter-Routing - Knowledge Base - Palo Alto Networks

Tipps & Tricks: VSYS Inter-Routing

147778
Created On 09/25/18 18:59 PM - Last Modified 03/26/21 16:41 PM


Resolution


A virtuelles System ( VSYS ) ist eine separate, logische firewall Instanz innerhalb eines einzelnen physischen Gehäuses.Wenn Sie virtuelle Systeme auf Ihrem System aktivieren, firewall können Sie physische Netzwerke logisch voneinander trennen. Separate Netzwerke können sehr praktisch sein, wenn bestimmte Netzwerke nicht miteinander verbunden werden sollten. Mit der Verwendung virtueller Systeme ( VSYS ) können Sie auch steuern, welche Administratoren bestimmte Teile des Netzwerks und der Konfiguration steuern firewall können.

 

In einigen Fällen muss jedoch eine gewisse Konnektivität zwischen aktiviert VSYS werden. Anstatt die einzelnen Netzwerke physisch zu verbinden, was zu einem möglichen Sicherheitsbruch führen könnte, kann eine begrenzte Routing-Möglichkeit ermöglicht werden, nur bestimmte Subnetze zu kommunizieren. Die Sicherheit policy kann dann angewendet werden, um den Missbrauch dieser Brücke zwischen Netzwerken zu verhindern.

 

Erstens muss die Sichtbarkeit zwischen aktiviert VSYS werden. Da ein VSYS eigenständiges System als eigenständiges System fungiert, ist ihm kein anderes System bekannt, VSYS das sich auf demselben physischen Gehäuse befindet.

 

Vsys Sicht

Als Nächstes muss für jede Zone ein neuer Zonentyp mit dem Namen "Extern" erstellt werden, VSYS damit Sitzungen in eine Zone durchlaufen können, die eine Verbindung VSYS herstellt. Der externe Typ bildet ein Netzwerk von Arten, die VSYS kommunizieren können.

 

2015-12 -22 _11-45 -44. png

 

Erstellen Sie auf jeder Teilnehmerin VSYS eine Zone mit dem Typ 'Extern'. Fügen Sie das virtuelle Zielsystem hinzu, damit diese Zone die Remotezone darstellen VSYS kann. Es können mehrere Ziele VSYS hinzugefügt werden.

 

Außenzone

 

Jede VSYS sollte dann mit einer Sicherheit konfiguriert policy werden, die es der lokalen Zone ermöglicht, eine Verbindung mit der externen Zone oder von der externen Zone zum vertrauenswürdigen Netzwerk herzustellen, wenn die Verbindung als eingehend betrachtet werden soll. Im Fall eines Netzwerks OOB kann z. IT-VSYS B. eine ausgehende Verbindung zur externen Zone und die OOB VSYS eine eingehende Verbindung aus der externen Zone zugelassen werden.

inter vsys-Sicherheit policy

 

Da die virtuellen Router die in der Remote verfügbaren Subnetze nicht VSYS kennen, muss Routing hinzugefügt werden, um den Datenverkehr ordnungsgemäß an die externe Zone weiterzuleiten.

Schnittstellen

 

Konfigurieren Sie jeden virtuellen Router, der mit Routen für die entsprechenden Remotesubnetze konfiguriert werden soll, wobei der nächste Hop auf den virtuellen Remoterouter festgelegt VSYS ist. In meinem Beispiel muss der virtuelle Router "testing" mit einer statischen Route für das Lab-Trust-Subnet 10.6.0.0/24 konfiguriert werden, das auf den virtuellen Router vr_lab zeigt, und eine Rückroute auf dem virtuellen Router vr_lab, für testing-Trust Subnet 10.100.0.0/24, die auf der vr_testing Remote Virtual Router.

 

Inter Vsys Route

 

Inter Vsys Route

 

Wenn diese Konfiguration festgeschrieben ist, können Clients, die sich in den Vertrauenszonen von vsys1 und vsys2 befinden, über den Microsoft Remotedesktop oder mssql-Anwendungen gemäß der Sicherheit eine Verbindung zueinander policy herstellen.



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSVCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language