Para empezar, Capa 3, NAT y DHCP

Para empezar, Capa 3, NAT y DHCP

26951
Created On 09/25/18 19:05 PM - Last Modified 06/05/23 09:17 AM


Resolution


En la instalación anterior de los tutoriales de vídeo de introducción, le mostré cómo configurar la interfaz de administración, preparar licencias, descargar actualizaciones y crear una primera política de seguridad en su nuevo cortafuegos. En esta instalación, voy a mostrar cómo configurar las interfaces de capa 3, asegúrese de que las conexiones salientes están establecidas para la traducción de direcciones de red, o NAT, y ayudarle a crear un servidor DHCP para que los clientes se asignen automáticamente una dirección IP en su red local.

Si usted no ha visto el primer video tutorial, por favor tome un momento y comprobarlo y luego continuar con este video. EchemOs



un vistazo a lo que tenemos y lo que queremos lograr:
  • IP del router: 198.51.100.1
  • Firewall IP: 198.51.100.2
  • IP interna del cortafuegos: 10.0.0.1
  • Gama del cliente DHCP: 10.0.0.50-10.0.0.250
Nuestro primer paso será preparar las zonas. Como ya hemos creado una pequeña política de seguridad la última vez, podemos simplemente reutilizar las zonas existentes y establecerlas en la capa 3. Vayamos a la pestaña red, y en las zonas, abramos las propiedades de las zonas Trust y Untrust, y cambiemos su tipo a la capa 3.

Ahora podemos hacer lo mismo con las interfaces: abrir las propiedades a ethernet1/1, y cambiar su tipo a la capa 3. verás que ' virtual
Wire ' ahora ha sido sustituido por ' virtual router '. Vamos a establecer que ' default ' por ahora. Voy a explicar un poco más sobre esto después de llegar allí. Establezca la zona como ' Untrust ' y pase a la ficha IPv4.

aquí es donde configuramos la dirección IP y la subred de esta interfaz. Voy a seguir adelante y poner mi dirección IP externa aquí, con la subred a/28.

Haga clic en aceptar y pase a la interfaz ethernet1/2, configure el enrutador virtual de forma predeterminada, la zona en la que confiar, muévase a IPv4 y establezca la interfaz con la dirección IP 10.0.0.1/24.

A continuación, vamos a la ficha avanzadas y creamos un nuevo perfil de administración.

Un perfil de administración permite que ciertos servicios estén disponibles en una interfaz física, incluida la funcionalidad de administración en caso de requerirlo. Pero por ahora, sólo vamos a habilitar ' Ping ' para que podamos hacer ping a la interfaz de la red local y probar la conectividad. Haga clic en Aceptar.

Ahora vamos al router virtual o VR. Se llama un enrutador virtual porque podemos configurar múltiples VRS que pueden cada uno mantener su propia tabla de enrutamiento sin interferir entre sí. La configuración de varios enrutadores con tablas de enrutamiento separadas permite separar las interfaces al asociarlas a diferentes enrutadores virtuales.

Nos adheriremos a la predeterminada por ahora, abrir las propiedades, e ir a las rutas estáticas.

Necesitará agregar una ruta predeterminada que permita enrutar el tráfico saliente al enrutador ascendente. Haga clic en Agregar para crear una nueva ruta, defina una descripción y establezca el destino en 0.0.0.0/0.

La interfaz será ethernet1/1 ya que esta es la interfaz de salida a Internet. El siguiente salto será la dirección IP de su router — en mi caso, esto será 198.51.100.1.

Luego, estableceremos DHCP. Haga clic en agregar y establezca la interfaz en etherner1/2, que es la red local. Habilitaremos ' Ping IP cuando asigne nueva IP, ' ya que esto enviará una solicitud de eco ICMP antes de asignar una dirección IP desde el pool de IP. El ping inicial impide la superposición de IPS en la red en caso de que ya se haya asignado una dirección IP estática a otra estación de trabajo. Estableceremos el tiempo de espera de 24 horas y crearemos un pool de IP para 10.0.0.50 a. 250. Como puede ver, puede crear fácilmente reservas aquí en caso de que desee reservar una IP específica para un host específico, como un ordenador portátil de gestión.

En la pestaña Advanced, puedes configurar la pasarela por defecto que tus clientes obtendrán, en mi caso es el firewalls 10.0.0.12, la máscara de subred 255.255.255.0. No tengo un servidor DNS interno, así que voy a establecer 4.2.2.2 y 8.8.8.8, pero si usted tiene un Microsoft o BIND DNS configurar internamente, poner su dirección IP aquí, junto con cualquier WINS u otras direcciones IP de servicio que pueda requerir. Si es necesario, también puede agregar algunas opciones de DHCP personalizadas.

A continuación, vamos a preparar la traducción de direcciones de red.

Primero tendrá que crear una nueva regla. Necesitará darle un nombre, y bajo la ficha ' paquete original ', defina la zona de origen, la zona de destino y la interfaz de destino. En el paquete traducido vamos a establecer la traducción de origen a IP dinámica y puerto, ya que no necesariamente necesitamos traducción uno-a-uno y vamos a establecer el tipo de dirección para simplemente utilizar la interfaz ethernet1/1 y su IP para la traducción. Si lo desea, puede establecer una IP diferente aquí, si su ISP le ha proporcionado una subred más grande en su conexión a Internet.

Una última cosa se interpone en nuestro camino antes de que podamos terminar-todavía tenemos que quitar el previosuly configuró el cable virtual — simplemente resalte el objeto default-vwire y haga clic en eliminar.

Ahora siga adelante y confirmar esta configuración.

En los clientes, usted querrá seguir adelante y borrar la caché ARP, ya que se estaban conectando previamente a un dispositivo de enrutamiento diferente, y actualizar el contrato de arrendamiento DHCP.

Espero que hayan disfrutado este video. Por favor, no dude en dejar un comentario y ver nuestros otros episodios en la serie de introducción.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUDCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language