Comment faire des ports inutilisés de Palo Alto Networks firewall un commutateur
13781
Created On 09/03/20 23:43 PM - Last Modified 03/26/21 18:36 PM
Objective
- De nombreuses petites entreprises ou grandes entreprises ayant des bureaux distants peuvent vouloir réduire au minimum le nombre d’appareils qu’elles doivent administrer à ces endroits.
- Pour cette raison, les clients peuvent vouloir utiliser des ports inutilisés de leur PANW NGFW comme ports d’aiguillage éliminant ainsi la nécessité d’un commutateur physique distinct.
- Cela peut également s’appliquer PANW SE à « s et leurs réseaux d’origine.
NOTE:
Nous allons également activer le DHCP serveur sur la firewall centralisation des composants du réseau directement sur le firewall . Cela rend également beaucoup plus facile d’identifier des dispositifs spécifiques à partir de la firewall .
Environment
ANY PANW Firewall
Procedure
Conditions préalables:
- Activer firewall et abonnements
- Pour ce document, nous avons remplacé la configuration Jour 1 (étape optionnelle dans le lien ci-dessus) par la configuration Home Skillet qui crée un réseau simple de 2 zones destiné à un usage domestique. La poêle de fer (configuration jour 1) est également un point de départ valide car aucun de ces modèles ne s’adresse aux étapes de configuration layer-2 que nous configurerons ici.
Veuillez noter qu’IronSkillets ne contient aucune configuration réseau/zone, quelle que soit la façon dont HomeSkillet (construit au-dessus d’IronSkillet) le fait. HomeSkillet inclut une option hybride L2/L3. Notez également que cet article est lié PAN-OS à 9.1 et le HomeSkillet inclut des configurations pour 10.0 et 9.1.
- Les mises à jour dynamiques sont téléchargées et appliquées
- Le modèle de configuration ci-joint suppose firewall qu’il PA-220 s’agit PAN-OS d’un 9.1.x en cours d’exécution. Des instructions étape par étape seront incluses qui fonctionneront pour d’autres firewall modèles et OS niveaux. Pour mettre à niveau suivez ces étapes :
- Le routeur WiFi pour le réseau est configuré en mode Couche-2 avec DHCP serveur désactivé. Le firewall sera le nouveau DHCP serveur:
- Connectez les appareils dans une chaîne daisy dans cet ordre :
- Service Provider Device (modem câble) > PANW Firewall > Routeur WiFi
- Connectez les appareils dans une chaîne daisy dans cet ordre :
Étapes de configuration À l’aide du bouton facile (déploiements de nouveaux terrains seulement) :
- Utiliser HomeSkillet
- HomeSkillet est plus facile à utiliser si vous chargez d’abord PanHandler
Étapes de configuration manuelles :
- Connectez-vous à la firewall . Si c’est la première fois que vous vous connectez à cet appareil, suivez les instructions ici :
- Créer une nouvelle zone de sécurité Layer-2 : les zones > réseau > ajouter
- Nom: Internal-L2
- Type: couche
De Network > Interfaces, changez les ports ethernet1/2 en passant par ethernet 1/8 pour être couche 2 et assignez-les tous à la nouvelle zone L2 créée ci-dessus :
- Créer une nouvelle interface vlan : interfaces > réseau > VLAN > Ajouter
Dans l’exemple, nous avons nommé l’interface « vlan » et nous utilisons la zone de sécurité interne (confiance) Layer-3 appelée « interne ».
Cliquez sur « IPv4 » et assignez votre passerelle réseau par défaut. Dans cet exemple, nous utilisons 10.0.10.254/24:
Cliquez sur onglet Avancé et assigner le profil de gestion. Nécessaire pour que vous puissiez vous connecter à cette interface à l’avenir.
- Créez des VLANs : Réseau > VLANs > Ajouter. Incluez les interfaces 2-8.
- Créer un DHCP serveur
- Réseau > DHCP > DHCP serveur > Ajouter
- Assigner à l’interface « vlan » créée précédemment
- Pool « Ajouter » IP qui fonctionne au sein de votre réseau
- Les affectations statiques peuvent être ajoutées en IP cartographiant les MAC adresses aux adresses de cette même page.
- Cliquez sur « Options » et ajoutez les options appropriées pour Gateway, Subnet Mask DNS et les NTP serveurs. L’option « héritée » retirera cette option de la source d’héritage répertoriée en haut de la page. Dans ce cas, ethernet1/1 fait face au modem câble / ISP et héritera des paramètres qui sont attribués par le ISP . Modifiez-les en option dans vos paramètres préférés.
- Cliquez sur Commit