Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Trucs et astuces: Inter VSYS routage - Knowledge Base - Palo Alto Networks

Trucs et astuces: Inter VSYS routage

147778
Created On 09/25/18 18:59 PM - Last Modified 03/26/21 16:42 PM


Resolution


A système virtuel ( VSYS ) est une instance distincte et firewall logique dans un seul châssis physique.L’activation de systèmes virtuels firewall sur votre peut vous aider à séparer logiquement les réseaux physiques les uns des autres. Les réseaux distincts peuvent être très utiles lorsque des réseaux spécifiques ne doivent pas être connectés les uns aux autres. L’utilisation de systèmes VSYS virtuels () vous permet également de contrôler quels administrateurs peuvent contrôler certaines parties du réseau et de la firewall configuration.

 

Dans certains cas, cependant, une certaine connectivité doit être activée entre VSYS . Plutôt que de connecter physiquement les réseaux distincts, ce qui pourrait provoquer une brèche de sécurité potentielle, un routage limité peut être activé pour permettre uniquement aux sous-réseaux spécifiques de communiquer. La policy sécurité peut alors être appliquée pour prévenir l’abus de ce pont entre les réseaux.

 

Tout d’abord, la visibilité doit être activée entre VSYS . VSYSPuisqu’un agit comme un système autonome, il n’est pas au courant de tout autre résidant sur le même châssis VSYS physique.

 

visibilité VSys

Ensuite, un nouveau type de zone, appelé « Externe », doit être créé sur chacune pour VSYS permettre aux sessions de traverser dans une zone qui se connecte. VSYS Le type externe formera un réseau de toutes sortes qui permet VSYS de communiquer.

 

2015-12 -22 _11-45 -44. png

 

Sur chaque VSYS participant, créez une zone avec le type « Externe ». Ajoutez le système virtuel de destination pour permettre à cette zone de représenter la VSYS télécommande. Plusieurs destinations VSYS peuvent être ajoutées.

 

zone externe

 

Chacun VSYS d’eux doit ensuite être configuré avec une sécurité qui permet à la zone locale de se connecter à la zone externe ou policy de la zone externe au réseau de confiance, si la connexion doit être considérée comme entrante. Par exemple, dans le cas OOB d’un réseau, le IT-VSYS peut être autorisé une connexion sortante à la zone externe, et le OOB VSYS pourrait permettre une connexion entrante à partir de la zone externe.

inter vsys sécurité policy

 

Étant donné que les routeurs virtuels ne sont pas au courant des sous-réseaux disponibles dans la VSYS télécommande, le routage doit être ajouté pour diriger correctement le trafic vers la zone externe.

Interfaces

 

Configurez chaque routeur virtuel à configurer avec des itinéraires pour les sous-réseaux distants appropriés, avec le prochain jeu de saut sur le VSYS routeur virtuel à distance. Dans mon exemple, le routeur virtuel «testing» devra être configuré avec un itinéraire statique pour le sous-réseau 10.6.0.0/24 de la confiance Lab, pointant vers le routeur virtuel vr_lab, et un itinéraire de retour sur le routeur virtuel vr_lab, pour tester la confiance sous-réseau 10.100.0.0/24 pointant vers le routeur virtuel distant vr_testing.

 

route inter VSys

 

route inter VSys

 

Lorsque cette configuration est engagée, les clients situés dans les zones de confiance des deux vsys1 et vsys2 seront en mesure de se connecter les uns aux autres en utilisant le microsoft remote desktop, ou applications mssql par la sécurité policy .



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSVCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language