はじめに: レイヤー 3、NAT、および DHCP

私は私のファイアウォールを展開したし、私に言ったことでした今は何ですか?

 

以前の記事では、はじめに-ファイアウォールの準備、私はファイアウォールをアンパックした、今何?、我々は、ファイアウォールをアンパックし、それを取得し、実行した後、最初の手順を説明した。今週は、ここから行くとレイヤー 3 インターフェイスを構成、適切なルーティングを設定、NAT を有効にするファイアウォールがインターネット ゲートウェイとして機能するようにどこを見て行きます。

 

 

私たちは始める前に注意してくださいする必要がありますあなたのネットワークで異なる場合がありますいくつかのことを概説します。

 

以下の例で私の ISP は、割り当て私インターネット ルーター代わりにファイアウォールの信頼のインターフェイスの使用を開始するのには、198.51.100.0/28 の IP サブネット。そのためには、NAT を無効にする必要があります、多分いくつかの他のものはこれを達成するために変更する必要があります。これを達成するために手順はいくつかの要因によって異なりますが、お使いのルーターを再構成する ISP からいくつかの支援を必要があります。パブリック ip アドレスの範囲を使用する絶対に必要はありません、単に使用できる ISP から提供された ip アドレスの範囲。

 

ネットワークのこれらのパラメーターに注意してください。

私のルータの ip アドレス: 198.51.100.1

私のファイアウォールの ip アドレス: 198.51.100.2

私のファイアウォールの内部 ip アドレス: 10.0.0.1

私のクライアントの DHCP 範囲になります: 10.0.0.50-10.0.0.250

 

 

1。ゾーンの準備

 

まず、我々 は、同じゾーンを再利用できるように私たちの仮想の線の現在使用中のゾーンを再構成する最初でしょう。名前を変更する場合は、新しいゾーンを作成したり、既存のものの単に名前を変更できます。

 

1. [ネットワーク] タブに移動します。
2. 左側のペインからゾーンをオープン。
3. 信頼ゾーン オブジェクトを開き、レイヤー 3、種類を変更する [ok] をクリックします。信頼ゾーンのこの手順を繰り返します。

 

 

この変更後に [インターフェイス] ボックスが空の場合は、次の手順で修正します。

 

2。インターフェイスの準備

 

1. [ネットワーク] タブに移動します。
2. 左のウィンドウからインターフェイスを開きます。 既にインターネットに接続しているが、上記のステップのためのゾーン構成が現在欠けている私たちの 2 VWire インターフェイスが表示されます。
3. Ethernet1/1、untrust、インターフェイスまたは、外部への私たちをあるを開くことによって開始します。 

 

 

インターフェイスの種類のドロップダウンでは、レイヤー 3 に仮想線を変更します。

 

 

次に、仮想ルーターをデフォルトに、セキュリティゾーンを untrust に設定します。

 

次に我々 はインターフェイスに IP アドレスを追加します。

1. [IPv4] タブに移動します。
2. [追加] をクリックします。
3. ISP から提供された外部 IP アドレスを入力します。

 

[Ok] をクリックし、ethernet1/2 に進みます。インターフェイスを Layer3、仮想ルーターを既定値に、セキュリティゾーンを信頼するように設定し ます。

 

[IPv4] タブでインターフェイスの IP アドレスを 10.0.0.1/24 に設定し、[詳細] タブを開きます。

 

このタブでは、内部ネットワークの問題のトラブルシューティングを行う必要がある場合に役に立つかもしれないインターフェイスに ping を実行できる管理プロファイルを設定するつもり。[管理プロファイル] ドロップダウンで、[管理プロファイル] リンクをクリックします。

 

今のところ、インターフェイスに ping サービスができます。

 

2 つの構成ダイアログ ボックスの [ok] をクリックして [インターフェイス] ページに戻ります。[インターフェイス] ページは次のようになります。

 

3。ルーティングの構成

 

次に、我々 はファイアウォールはデフォルト ゲートウェイが必要になりますので、インターネットに接続できるかどうかを確認する必要があります。

1. [ネットワーク] タブに移動します。
2. 左側のペインから仮想ルータを開きます。
3. 既定の VR (仮想ルーター) を開きます。

 

 

 

これは、私たちが私たちの新しいレイヤー 3 インターフェイスに使用する仮想ルーターの構成が表示されます。ファイアウォールは 1 つの単一のルーティングのインスタンスを採用していないが、いくつかの異なるインターフェイスにバインドされているすべてを持つことができますので、仮想ルーターが呼び出されます。これがルーティングを互いから非常に異なることができ、ルーティング レベルでネットワークの分離が可能になります。今のところ、我々 が持っているものに固執するよ。

 

 

静的ルートを追加します。

1. 左のウィンドウから静的ルートを開きます。
2. 新しいルートを開始する追加をクリックします。

 

 

宛先 0.0.0.0/0、これはインターネットのルータに接続されている外部インターフェイスとしてファイアウォールおよび ethernet1/1 出力インターフェイスに接続されていないすべての IP サブネットを包含するに設定します。最後にルータの IP アドレスを次のホップとして設定します。

 

 

4. DHCP の構成

 

静的に構成された IP アドレスを持たないネットワークに接続するすべてのユーザーが接続を得ることができますので、信頼のインターフェイス上の DHCP サーバーを有効にするのに次の手順になります。

 

1. [ネットワーク] タブに移動します。
2. 左側のペインから DHCP を開きます。
3. 新しい DHCP サーバーの構成を開始する追加をクリックします。

 

 

これは内部 ethernet1/2 にインタ フェースを設定します我々 のインターフェイス。誰かが自分のワークステーションの静的 ip アドレスの構成を設定している場合には、ネットワーク内の重複 ip アドレスを防ぐために、我々は新しい ip を割り当てるときに Ping の ipを有効にすることができます。  このオプションは、IP アドレスのホストに割り当てられる状態に ping を送信します。Ping では、応答を受信した場合に DHCP サーバーに割り当てる別の ip アドレスを選択して、手順を繰り返します。リース 1 日、201 の IP アドレスを持つユーザーを提供するために '10.0.0.50-10.0.0.250' に IP プールを設定します。

 

 

[オプション] タブで、デフォルト ゲートウェイと DNS サーバーが DHCP アドレスを要求するときにクライアントが受信を構成できます。私たちは、これのファイアウォールの内部 IP アドレスとして 10.0.0.1 のゲートウェイを設定する必要があります。Google の 4.2.2.2 と 8.8.8.8 DNS サーバーを設定したが、ISP の DNS サーバーを設定することができます。

このビットを完了し、移動しましょう最後の部分どこ我々 は NAT を構成 ok] をクリックします。

 

5。NAT の構成

 

このセットアップの最後の部分は、ネットワーク アドレス変換を構成することです。これをソースとしてファイアウォールの外部 IP アドレスを使用して内部のすべてのホストは、インターネットに行くことを確認して行います。これは、プライベートネットワークのIP 範囲 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16 がインターネット上でルーティングされず、NAT が有効なゲートウェイの背後にあるプライベートネットワークでのみ使用できるようにするために必要です。

 

1. [ポリシー] タブに移動します。
2. 左側のペインから NAT を開きます。
3. 新しい NAT ポリシーを作成する追加] をクリックします。

 我々 は簡単に識別名 NAT ルールをあげます。

 

次に、元の [パケット] タブに移動して、送信元と宛先のゾーンと宛先のインターフェイスを設定します。

1. 新しいソース領域を挿入する追加をクリックします。
2. 信頼ゾーンをドロップダウン リストから選択します。
3. 移動先のゾーンを選択ドロップ ダウン リストで untrust。
4. 先のインターフェイスのセット ethernet1/1, これは外部インターフェイスとして。
5. パケットの変換] タブに移動して、他のすべてを残すには。

 

 

最後に、[翻訳されたパケット] タブから、ソースアドレス変換 を設定します。 変換の種類を動的 ip およびポートに設定し、複数の内部クライアントが1つの ip アドレスの背後にある同時送信接続を非表示にできるようにします。

 

その他のオプションについて-

• 動的 ip は、同じサイズの ip アドレスの別のグループの背後にある ip アドレスのグループを非表示に便利になる。これはセカンダリ ネットワーク IP アドレスが重なる可能性がありますまたは LAN のサブネットへのルーティングはないとの接続を設定した場合に発生します。
• 静的 ip アドレスは、通常、単一のホストが NAT IP アドレスの排他的な使用を持っている場合に設定します。

 

アドレスの種類として、インターフェイスアドレスを使用するように選択します

ethernet1/1 を選択

その構成済み IP アドレスを選択します。

NAT 構成を完了するには、[ok] をクリックします。

 

6。クリーンアップとコミット

 

我々 は先に行くし、この構成を確定する前に 1 つの最後のステップは、以前使用していた仮想オブジェクトを削除することです。

[ネットワーク] タブに移動し、左側のペインから仮想ワイヤを開きます。一度、デフォルト VWire を強調表示し、[削除] をクリックします。

 

デフォルト VWire を削除すると、先に行くし、構成をコミットします。

 

7 です。クライアントの ip アドレスと ARP を更新します。

 

今正常に切り替え 3 層展開する仮想線からファイアウォールがあります。考慮するべき1つの注意点は、今のインターフェイスは、もはやバンプインワイヤとして機能していないことです-th ey は、独自の MAC アドレスといくつかのクライアントを持っている。潜在的に、ルーターはファイアウォールと通信インタ フェースすることができます正常にはその ARP キャッシュを更新する必要があります。

 

Windows ホストでは、これは、管理者としてコマンド プロンプトを起動することによって実現できます。

 

ARP キャッシュをクリアする「arp-d 'を実行して、' ipconfig/renew' 新しい DHCP サーバーから DHCP リースを取得します。

 

c:\ > arp-d

c:\ > ipconfig/renew

Windows IP 構成

イーサネットアダプタ lablan:

接続固有の DNS サフィックス。:
 IP アドレス。. . . . . . . . . . . : 10.0.0.50
サブネットマスク。. . . . . . . . . . : 255.255.255.0
デフォルトゲートウェイ。. . . . . . . . : 10.0.0.1

 

私はこの記事を楽しんでほしい。下記にコメントを残すこと自由に感じなさい!

 

敬具します。

トム Piens

 

この記事を楽しんでいる場合フォロー アップの記事を見てもください。

私のファイアウォールを展開した Vlan を構成するし -サブインタ フェース

私のファイアウォールを展開したが、ログはどこにありますか?