Getting Started: Layer 3, NAT und DHCP

Getting Started: Layer 3, NAT und DHCP

95330
Created On 09/25/18 19:02 PM - Last Modified 06/01/23 09:29 AM


Resolution


Ich habe meine Firewall ausgepackt und Tat, was du mir erzählt, was nun?

 

In der vorherigen Tranche, immer gestartetdie Vorbereitung der Firewall, habe ich meine Firewall ausgepackt, jetzt was?, haben wir die ersten Schritte nach dem Auspacken Ihrer Firewall und immer in Betrieb. Diese Woche nehmen wir einen Blick auf wo man von hier aus gehen und Layer 3-Schnittstellen konfigurieren, ordnungsgemäße Weiterleitung einrichten und NAT aktivieren, damit die Firewall als ein Internet-Gateway fungieren kann.

 

 

Bevor wir loslegen, umreiße ich ein paar Dinge, die in Ihrem Netzwerk unterschiedlich, die Sie wollen sein können, beachten:

 

In den folgenden Beispielen mein ISP hat mir zugewiesen, die Internet IP-Subnetz des 198.51.100.0/28 die ich möchte beginnen mit auf das Sicherheitszertifikat Schnittstelle der Firewall anstelle des Routers. Um dies zu erreichen, wird NAT deaktiviert werden müssen und vielleicht einige andere Dinge geändert werden, um dies zu erreichen müssen. Da die Schritte hierzu variieren, abhängig von mehreren Faktoren ab, benötigen Sie möglicherweise einige Assitance von Ihrem ISP Ihren Router neu konfigurieren. Da es nicht unbedingt einer öffentlichen IP-Bereich verwenden, können Sie einfach den IP-Bereich nutzen Ihr ISP zur Verfügung gestellt.

 

Bitte beachten Sie diese Parameter für Ihr Netzwerk:

Meine Router-IP wird sein: 198.51.100.1

Meine Firewall IP werden: 198.51.100.2

Meine Firewall interne IP-Adresse werden: 10.0.0.1

Mein Client DHCP-Bereich werden: 10.0.0.50-10.0.0.250

 

Network.png

 

1. Vorbereitung der Zonen

 

Um loszulegen, werden wir zunächst die Zonen neu konfigurieren, die wir derzeit für unsere virtuellen Draht verwenden, so dass wir die gleichen Zonen wiederverwenden können. Wenn Sie die Namen ändern möchten, können Sie machen neue Zonen oder benennen Sie einfach die vorhandenen.

 

  1. Navigieren Sie zu der Registerkarte "Netzwerk".
  2. Offenen Zonen aus dem linken Bereich.
  3. Fahren Sie mit Vertrauen Zone Objekte öffnen und ändern Sie den Typ, Layer3, klicken Sie auf "OK". Wiederholen Sie diesen Vorgang für die Unglaubwürdigkeit Zone.

2015-10-21_10-57-07.png

 

 

2015-10-21_10-57-38.png

Machen Sie sich keine Sorgen, wenn die Schnittstellen-Box nach dieser Änderung leer istwir werden das im nächsten Schritt beheben.

 

2. Vorbereitung der Schnittstellen

 

  1. Navigieren Sie zu der Registerkarte "Netzwerk".
  2. Offene Schnittstellen aus dem linken Bereich. Wir sehen unsere 2 VWire-Schnittstellen, die bereits mit dem Internet verbunden sind, aber fehlen derzeit Zonenkonfiguration, aufgrund der oben genannten Schritt.
  3. Zunächst ethernet1/1, die werden unsere externe oder Vertraulichkeit, Schnittstelle zu öffnen. 

2015-10-21_11-06-38.png

 

 

Ändern Sie auf der Schnittstellentyp Dropdown-Liste virtuelle Draht in Layer3.

 

2015-10-21_11-09-23.png

 

Als nächstes setzen Sie den virtuellen Router auf Standard und die Sicherheits Zone, um zu trauen.

2015-10-21_11-10-37.png

 

Als nächstes fügen wir eine IP-Adresse der Schnittstelle.

  1. Navigieren Sie zur Registerkarte IPv4.
  2. Klick Hinzufügen.
  3. Die externe IP-Adresse Ihres ISP zur Verfügung gestellt.

2015-10-21_11-12-55.png

 

Klicken Sie auf "OK" und gehen Sie zu ethernet1/2. Setzen Sie die SchnittStelle auf Layer3, virtuellen Router auf Default und Security Zone, um zu Vertrauen.

2015-10-21_11-16-48.png

 

Legen Sie in der Registerkarte "IPv4" die IP-Adresse der Schnittstelle zu 10.0.0.1/24 und öffnen Sie die Registerkarte "erweiterte".

2015-10-21_11-16-48.png

 

In diesem Reiter gehen wir eine Management-Profil eingestellt, die uns erlauben wird, die Schnittstelle, die nützlich sein könnten wenn wir jemals brauchen, um interne Netzwerk Problembehandlung ping. Klicken Sie im Management-Profil-Dropdown auf den Link Management Profile :

2015-10-21_11-19-20.png

 

Vorerst können wir nur Ping-Service auf der Oberfläche.

2015-10-21_11-23-43.png

 

Durch Klicken auf "OK" auf die beiden Konfigurationsdialoge zur Schnittstellen-Seite zurückzukehren. Die Schnittstellen-Seite sollte jetzt wie folgt aussehen:

2015-10-21_11-29-47.png

 

3. Konfigurieren von routing

 

Als nächstes müssen wir sicherstellen, dass die Firewall mit dem Internet herstellen, so dass es ein Standard-Gateway benötigen können.

  1. Navigieren Sie zu der Registerkarte "Netzwerk".
  2. Öffnen Sie die virtuelle Router aus dem linken Bereich.
  3. Öffnen Sie die Standardeinstellung VR (virtual Router).

 

2015-10-21_11-33-10.png

 

 

Dieses holt oben die Konfiguration des virtuellen Routers verwenden wir für unsere neuen Layer-3-Schnittstellen werden wird. Es wird einen virtuellen Router bezeichnet, da die Firewall eine Einzelinstanz routing nicht beschäftigen, sondern kann mehrere, verschiedene Schnittstellen alle verpflichtet haben. Dies ermöglicht für routing Instanzen sich sehr voneinander unterscheiden, und Netzwerk-Trennung auf routing Ebene ermöglicht. Vorerst werde wir die stick haben wir:

 

2015-10-21_11-34-53.png

 

Fügen Sie eine statische Route.

  1. Statische Routen im linken Fensterbereich zu öffnen.
  2. Klicken Sie auf hinzufügen, um eine neue Route zu beginnen.

 

2015-10-21_11-41-24.png

 

Das Ziel setzen wir auf 0.0.0.0/0, die alle IP-Subnetze, die nicht mit der Firewall und Egress-Interface ethernet1/1 verbunden sind umfasst, da dies die externe Schnittstelle mit dem Internet-Router verbunden ist. Schließlich werden wir die Router IP-Adresse als nächster Hop gesetzt.

 

2015-10-21_11-42-25.png

 

4. Konfigurieren von DHCP

 

Unser nächste Schritt wird sein, um einen DHCP-Server auf der Vertrauen-Schnittstelle zu ermöglichen, so dass jeder Benutzer eine Verbindung herstellen, ohne eine statisch konfigurierte IP-Adresse mit dem Netzwerk verbinden können.

 

  1. Navigieren Sie zu der Registerkarte "Netzwerk".
  2. Öffnen Sie im linken Fensterbereich DHCP.
  3. Klicken Sie auf hinzufügen, um eine neue DHCP-Server-Konfiguration zu starten.

 

2015-10-21_11-52-50.png

 

Legen wir das Interface ethernet1/2 da dies das innere Schnittstelle. Um doppelte IP-Adressen im Netzwerk zu verhindern, falls jemand eine statische IP-Adress Konfiguration o seinen Arbeitsplatz eingestellt hat, können wir ping IP bei der Zuweisung neuer IP aktivieren.  Diese Option sendet einen Ping an eine IP-Adresse kann einen Host zugewiesen werden. Für den Fall, dass der Ping-Befehl eine Antwort erhält, wird der DHCP-Server wählt eine andere IP zuweisen und wiederholt den Schritt. Setzen wir den Mietvertrag für 1 Tag und die IP-Pools zu '10.0.0.50-10.0.0.250', Benutzer mit 201 IP-Adressen bereitzustellen.

 

2015-10-21_12-00-58.png

 

In der Registerkarte "Optionen" können wir konfigurieren, welche Standard-Gateway und DNS-Server die Clients erhalten, wenn Sie eine DHCP-Adresse anfordern. Wir müssen das Tor als 10.0.0.1 festlegen, wie diese es interne IP-Adresse der Firewall ist. Ich habe die DNS-Server sowie Googles 4.2.2.2 8.8.8.8 eingerichtet, aber Sie können Ihre eigenen ISP DNS-Server einstellen:

2015-10-21_12-02-23.png

Klicken Sie auf "OK", um dieses Bit und gehen wir bis zum letzten Teil wo wir NAT konfigurieren

 

5. Konfiguration von NAT

 

Der letzte Teil dieses Setup ist Network Address Translation zu konfigurieren. Dadurch wird sichergestellt, dass alle internen Hosts mit dem Internet gehen externe IP-Adresse der Firewall als Energiequelle nutzen. Dies ist erforderlich, da die privaten Netzwerk -IP-Bereiche 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 nicht im Internet geleitet werden und nur in einem privaten Netzwerk hinter einem NAT-fähigen Gateway verwendet werden können.

 

  1. Navigieren Sie zu der Registerkarte "Richtlinien".
  2. Öffnen Sie im linken Fensterbereich NAT.
  3. Klicken Sie auf hinzufügen, um eine neue NAT-Richtlinie erstellen.

2015-10-21_13-20-03.png

 Wir geben der NAT-Regel einen Namen zu identifizieren:

2015-10-21_13-21-33.png

 

Als nächstes gehen wir zum Original-Paket -Tab, wo wir die Quell-und Zielzonen und die Ziel Schnittstelle einstellen.

  1. Klicken Sie auf hinzufügen, um eine neue Quelle Zone einfügen.
  2. Vertrauen-Zone aus der Dropdown-Liste auswählen.
  3. In die Zielzone wählen Sie in der Dropdown-Liste Vertraulichkeit.
  4. Stellen Sie für die Zielschnittstelle ethernet1/1 ein, dies ist die externe Schnittstelle.
  5. Lassen Sie alles andere als ist und fahren Sie mit der Registerkarte "übersetzt-Paket".

 

2015-10-21_13-24-41.png

 

Schließlich werden wir aus dem ÜberSetzten Paket- Tab die ÜberSetzung der Quelladresse konfigurieren.  Stellen Sie den Übersetzungs Typ auf Dynamic IP und Port , um sicherzustellen, dass mehrere interne Clients gleichzeitige ausgehende Verbindungen hinter einer IP-Adresse verbergen können.

 

Über die anderen Optionen

  • Dynamic IP ist praktisch, um eine Gruppe von IP-Adressen hinter einer anderen Gruppe von IP-Adressen von gleicher Größe zu verstecken. Dies kann passieren, wenn eine Verbindung mit eingerichtet ist ein sekundäres Netzwerk wo IP-Adressen kann sich überschneiden, oder wo weiterleiten an die LAN-Subnet ist nicht möglich.
  • Statische IP-Adresse wird in der Regel festgelegt, wenn ein einzelner Host ausschließliche Verwendung einer NAT IP-Adresse haben.

2015-10-21_13-26-46.png

 

Als Adress-Typ wählen wir die Interface-Adresse

2015-10-21_13-34-34.png

und wählen Sie ethernet1/1

2015-10-21_13-35-51.png

und wählen Sie die konfigurierte IP-Adresse.

2015-10-21_13-36-23.png

Klicken Sie auf OK, um die NAT-Konfiguration abzuschließen.

 

6. Bereinigung und commit

 

Einen letzten Schritt, bevor wir fortfahren und diese Konfiguration zu begehen ist, die bisher verwendete virtuellen Draht-Objekt zu entfernen.

Navigieren Sie zu der Registerkarte "Netzwerk" und öffnen Sie virtuelle Drähte aus dem linken Bereich. Einmal dort, markieren Sie die Standard-VWire und klicken Sie auf löschen.

2015-10-21_13-44-35.png

 

Wenn die Standard-VWire gelöscht wird, gehen Sie vor und begehen Sie die Konfiguration.

2015-10-21_13-46-50.png

2015-10-21_13-41-01.png

2015-10-21_13-49-53.png

2015-10-21_13-51-03.png

 

7. Aktualisieren Sie Client-IP und ARP

 

Wir haben nun erfolgreich die Firewall aus virtuellen Draht auf Layer 3 Bereitstellung geschaltet. Ein Vorbehalt zu bedenken ist, dass die Schnittstellen jetzt nicht mehr als Bump-in-The-Wire fungieren— thEY haben ihre eigene Mac-Adresse und einige Clients. Möglicherweise müssen die Router seinen ARP-Cache aktualisiert haben, bevor die Schnittstellen können erfolgreich mit der Firewall zu kommunizieren.

 

Auf einem Windows-Host kann dies erreicht werden durch eine Eingabeaufforderung als Administrator starten

2015-10-21_13-55-19.png

 

und Ausführung um den ARP-Cache löschen "Arp -d" und "Ipconfig / renew" den neuen DHCP-Server eine DHCP-Lease erhalten.

 

C:\ > ARP-d

C:\ > ipconfig/renew

Windows IP Configuration

Ethernet Adapter lablan:

 Verbindungs spezifisches DNS-Suffix.    :
 IP-Adresse. . . . . . . . . . . . : 10.0.0.50
 Subnet Mask. . . . . . . . . . . : 255.255.255.0
 Default Gateway. . . . . . . . . : 10.0.0.1

 

Ich hoffe, dass Ihnen dieser Artikel gefallen hat. Bitte zögern Sie nicht lassen Sie Anmerkungen unten!

 

Viele Grüße,

Tom Piens

 

Wenn Ihnen dieser Artikel gefallen hat, bitte nehmen Sie auch einen Blick auf die Follow-up-Artikel:

Ich habe meine Firewall ausgepackt und VLANs konfigurieren möchten – Unterschnittstellen

Ich habe meine Firewall ausgepackt, aber wo sind die Protokolle?

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTFCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language