はじめに-レイヤー 3、NAT、および DHCP

はじめに-レイヤー 3、NAT、および DHCP

26955
Created On 09/25/18 19:05 PM - Last Modified 06/05/23 09:17 AM


Resolution


入門ビデオチュートリアルの前の記事では、管理インターフェイスのセットアップ、ライセンスの準備、更新プログラムのダウンロード、および新しいファイアウォールの最初のセキュリティポリシーの作成方法について説明しました。この記事では、レイヤ3インターフェイスを構成する方法、ネットワークアドレス変換または NAT に対して発信接続が設定されていること、およびクライアントにローカルネットワークの IP アドレスが自動的に割り当てられるように DHCP サーバーを作成する際に役立つことを示す予定です。

あなたが最初のチュートリアルビデオを見ていない場合は、時間を割いて、それをチェックアウトしてから、このビデオを続行してください。



私たちが持っているものと私たちが達成したいものを見てみましょう:
  • ルータの IP アドレス: 198.51.100.1
  • ファイアウォールの IP: 198.51.100.2
  • ファイアウォールの内部 IP アドレス: 10.0.0.1
  • クライアントの DHCP 範囲: 10.0.0.50-10.0.0.250
私たちの最初のステップは、ゾーンを準備することです。前回は少しのセキュリティポリシーを作成したので、既存のゾーンを再設定して、レイヤ3にセットするだけで済みます。[ネットワーク] タブに移動し、ゾーン内で信頼ゾーンと untrust 領域のプロパティを開き、その種類を [レイヤ 3] に変更します。

今、私たちは、インターフェースで同じことをすることができます: ethernet1/1 へのプロパティを開いて、そしてそのタイプをレイヤー3に変えて下さい。「仮想
ワイヤ」が「仮想ルーター」に置き換えられたことがわかります。今のところ ' デフォルト ' に設定してみましょう。私はそこに着く後、このことについてもう少し説明します。ゾーンを ' Untrust ' に設定し、[IPv4] タブに移動します。ここでは、

このインターフェイスの IP アドレスとサブネットを構成します。私は先に行くと、/28 サブネットで、ここに私の外部 IP アドレスを置く。[OK] をクリックし、

インターフェイス ethernet1/2 に移動し、デフォルトに仮想ルータを設定するには、ゾーンを信頼し、IPv4 に移動し、IP アドレス 10.0.0.1/24 にインターフェイスを設定します。

次に、[詳細設定] タブに進み、新しい管理プロファイルを作成します。

管理プロファイルを使用すると、これを必要とする場合の管理機能など、特定のサービスを物理インターフェイスで利用できるようになります。しかし、今のところ、我々は、ローカルネットワークとテストの接続からのインターフェイスに ping を行うことができますので、' ping ' を有効にするつもりだ。[OK] をクリックします。

これで、仮想ルーターまたは VR に移動します。仮想ルーターと呼ばれるのは、互いに干渉することなく、それぞれが独自のルーティングテーブルを保持できる複数の VRs を構成できるためです。個別のルーティングテーブルを使用して複数のルーターを構成すると、異なる仮想ルーターに接続してインターフェイスを分離できます。ここでは、

既定の設定に固執し、プロパティを開き、静的ルートに移動します。

送信トラフィックがアップストリームルーターにルーティングされるようにする既定のルートを追加する必要があります。[追加] をクリックして新しいルートを作成し、説明を設定して、宛先を 0.0.0.0/0 に設定します。

このインターフェイスは、インターネットへの出力インターフェイスとして ethernet1/1になります。次のホップは、ルータの IP アドレスになります-私の場合には、これは198.51.100.1 されます。

次に、DHCP を設定します。[追加] をクリックし、インターフェイスをローカルネットワークである etherner1/2 に設定します。ip プールから ip アドレスを割り当てる前に ICMP エコー要求を送信するので、「新しい ip を割り当てるときに ip を ping する」を有効にします。最初の ping は、静的 IP アドレスが既に別のワークステーションに割り当てられている場合に、ネットワーク内の重複している IPs を防ぎます。タイムアウトを24時間に設定し、10.0.0.50 の IP プールを250に作成します。おわかりのように、管理用ラップトップのように特定のホストに特定の IP を予約したい場合には、ここで簡単に予約を作成することができます。[

詳細設定] タブでは、クライアントが取得するデフォルトゲートウェイを構成できますが、私の場合はファイアウォール10.0.0.12、サブネットマスク255.255.255.0 です。私は内部の dns サーバーを持っていないので、私は4.2.2.2 と8.8.8.8 を設定しますが、Microsoft またはバインド DNS が内部的に設定されている場合は、その ip アドレスをここに入れ、一緒に任意の WINS または他のサービス ip アドレスを必要とする場合があります。必要に応じて、カスタム DHCP オプションを追加することもできます。

次に、ネットワークアドレス変換を準備します。

まず、新しいルールを作成する必要があります。名前を付ける必要があり、[元のパケット] タブで、[ソースゾーン]、[デスティネーションゾーン]、および [デスティネーションインターフェイス] を設定します。我々は必ずしも1から1の翻訳を必要としないと我々は、単にインターフェイス ethernet1/1 と翻訳のための IP を使用するようにアドレスの種類を設定しようとしているとして、翻訳パケットでは、動的 IP とポートにソースの翻訳を設定するつもりだ。必要に応じて、ISP がインターネット接続で大きなサブネットを提供している場合は、ここで別の IP アドレスを設定できます。

最後に1つのことを我々の方法で終了する前に立っている-我々はまだ previosuly 構成された仮想線を削除する必要があります-単にデフォルトの vwire オブジェクトを強調表示し、[削除] をクリックします。次

に、この構成をコミットしてください。

クライアントでは、以前は別のルーティングデバイスに接続していたため、arp キャッシュをクリアし、DHCP リースを更新する必要があります。

私はあなたがこのビデオを楽しんでほしい。お気軽にコメントを残して、私たちの他のエピソードをチェックアウトを開始シリーズ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUDCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language