Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Consejos y trucos: Inter VSYS enrutamiento - Knowledge Base - Palo Alto Networks

Consejos y trucos: Inter VSYS enrutamiento

147778
Created On 09/25/18 18:59 PM - Last Modified 03/26/21 16:42 PM


Resolution


A sistema virtual ( VSYS ) es una instancia lógica independiente firewall dentro de un único chasis físico.Habilitar sistemas virtuales en el suyo firewall puede ayudarle a separar lógicamente las redes físicas entre sí. Las redes separadas pueden resultar muy útiles cuando no se deben conectar redes específicas entre sí. El uso de sistemas virtuales ( VSYS ) también le permite controlar qué administradores pueden controlar ciertas partes de la red y la firewall configuración.

 

En algunos casos, sin embargo, es necesario habilitar cierta conectividad entre VSYS . En lugar de conectar físicamente las redes separadas, lo que podría causar una posible brecha de seguridad, se puede habilitar el enrutamiento limitado para permitir que sólo se comuniquen subredes específicas. A continuación, se puede aplicar la seguridad policy para evitar el abuso de este puente entre redes.

 

En primer lugar, la visibilidad debe habilitarse entre VSYS . Puesto que un VSYS actúa como un sistema independiente, no es consciente de ningún otro que VSYS resida en el mismo chasis físico.

 

visibilidad vsys

A continuación, es necesario crear un nuevo tipo de zona, denominada 'Externo', en cada una VSYS para permitir que las sesiones se atraviesan en una zona que conecta VSYS . El tipo Externo formará una red de tipos que permite VSYS comunicarse.

 

2015-12 -22 _11-45 -44. png

 

En cada VSYS participante, cree una zona con el tipo 'Externo.' Agregue el sistema virtual de destino para permitir que esta zona represente el control VSYS remoto. Se pueden agregar varios VSYS destinos.

 

zona externa

 

VSYSA continuación, cada uno debe configurarse con una seguridad policy que permita que la zona local se conecte a la zona externa o de la zona externa a la red de confianza, si la conexión debe considerarse entrante. Por ejemplo, en el caso de una OOB red, IT-VSYS se puede permitir una conexión saliente a la zona externa y se podría permitir una conexión entrante desde OOB VSYS la zona externa.

inter vsys seguridad policy

 

Puesto que el Routers virtual no es consciente de las subredes disponibles en el control remoto, el VSYS ruteo necesita ser agregado para dirigir correctamente el tráfico a la zona externa.

Interfaces

 

Configure cada virtual router para ser configurado con las rutas para las subredes remotas apropiadas, con el salto siguiente fijado al VSYS router virtual remoto'. En mi ejemplo, el enrutador virtual ' testing ' tendrá que configurarse con una ruta estática para la subred 10.6.0.0/24 de Lab-Trust que apunte al enrutador virtual vr_lab, y una ruta de retorno en el enrutador virtual vr_lab, para la subred de prueba-confianza 10.100.0.0/24 apuntando a el enrutador virtual remoto vr_testing.

 

Ruta inter vsys

 

Ruta inter vsys

 

Cuando se confirma esta configuración, los clientes ubicados en las zonas de confianza de vsys1 y vsys2 podrán conectarse entre sí mediante Microsoft Remote Desktop o aplicaciones mssql por policy seguridad.



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSVCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language