Kommunikation zwischen zwei VSYS über einen Transit VSYS

Kommunikation zwischen zwei VSYS über einen Transit VSYS

18460
Created On 09/25/18 19:50 PM - Last Modified 03/02/23 05:27 AM


Environment


  • Palo Alto Firewalls
  • PAN-OS 8.1
  • Vsys-Kommunikation über Transit Vsys

Resolution


Die Kommunikation zwischen zwei Vsys über einen Transit-Vsys wird nicht unterstützt. Das Paket wird von der firewall gelöscht. Flow basic zeigt an, dass "Paket policy gelöscht, von/zur Zone, die fürdie Suche nicht verfügbar ist " Firewall die Zielzone nicht finden kann.

 

Problemumgehung

Lassen Sie mich sagen, vsys1 will mit Vsys 2 über vsys3 kommunizieren.

 

3Vsys.PNG

 

Verschieben Sie den Datenverkehr von vsys1 nach vsys3 und dann aus der firewall . Bringen Sie nun den Datenverkehr von außerhalb des firewall zu vsys3 und dann zu vsys2 zurück.

 

Wenn host1 versucht, "ping 10.50.242.180" zu Ping, funktioniert der Host Ping nicht. Der Datenverkehr wird von der firewall gelöscht. Um diese Arbeit zu machen, müssen wir Source + Destination NAT auf FW63 (mit der oben genannten Topologie) und Host1 sollten Ping auf 10.50.244.180 tun.

 

  • VSYS1 hat eine externe Zone Trustäußler, eine Trust-L3-Zone, TrustVR. VSYS1 hat Visisbilität gegenüber VSYS
  • VSYS2 hat eine externe Zone DMZExternal, eine DMZ- L3-Zone, DMZVR . VSYS2 hat die Sichtbarkeit zu VSYS3
  • VSYS3 hat eine externe Zone Untrustexterne eine Unvertrauens Zone, UntrustVR. VSYS2 hat die Sicht auf VSYS1, VSYS3

 

VSYS sind wie folgt konfiguriert:

 

3vsysVSYS.PNG

 

Die Zonen sind wie folgt konfiguriert:

 

3vsyszonen.PNG

DMZVR, TrustVR haben eine Standardroute, die auf UntrustVR verweist. UntrustVR hat eine Rückroute für 10.50.240.0/24, die auf TrustVR hinweist. UntrustVR hat eine Rückfahrtsroute für 10.50.242.0/24 und zeigt DMZVR auf:

 

3VsysRouting.PNG

 

SchnittStellen sind wie folgt konfiguriert:

 

3VsysSchnittstelle.PNG

 

Sicherheits Policen

 

VSYS1 verfügt über die folgende policy Sicherheit, um eingehenden und ausgehenden Datenverkehr zu ermöglichen:

 

3VsysVSYS1Politik.PNG

 

VSYS2 verfügt über die folgende policy Sicherheit, um eingehenden und ausgehenden Datenverkehr zu ermöglichen:

 

3VsysVSYS2Politik.PNG

 

VSYS3 verfügt über folgende policy Sicherheit, um eingehenden und ausgehenden Datenverkehr zu ermöglichen:

 

3VsysVSYS3Politik.PNG

 

VSYS3-Quelle NAT :

3vsysVSYS3SourceNAT.PNG

 

Jetzt müssen wir 4 Routen auf FW63 Original-Subnet 10.50.240.0/24, 10.50.242.0/24 und niert Subnet 10.50.244.0/24, 10.50.245.0/24 hinzufügen, die auf VSYS3 zurückblicken:

 

FW63.PNG

 

 

NAT Regel auf FW63

 

Wenn FiW63 ein Ping erhält, das von host1 initiiert wird, wird die Quelle dieses Verkehrs 10.50.241.57 und das Ziel wird 10.50.244.180. Jetzt müssen wir das Ziel ändern, um 10.50.242.180, damit VSYS3 den Verkehr auf host2 schickt. Wir müssen die Schnittstelle von NAT FW63 IP beziehen. Wenn die Quelle NAT nicht fertig ist, VSYS firewall wird der Den datenverkehr sende, weil der Rücklaufverkehr Quelle 10.50.242.180 hat und das Ziel 10.50.241.57 ist.

 

S+ D NAT 63.PNG
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfwCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language