導入設定 : Layer 3サブ・インターフェイス

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Getting Started: Layer 3 Subinterfaces
https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Layer-3-Subinterfaces/ta-p/67...

 
ファイアウォールを開梱して、
Vlan(サブ・インターフェイス)の設定をしたい

 

 

現在、新しいパロアルトネットワークス・ファイアウォールが起動して、動作している状況です。作成した様々なLayer 3サブ・インターフェイスにタグ付けしたVLANを追加してみましょう。一連の導入設定ガイドでは、ファイアウォールの箱を開梱し、ソフトウェアのアップグレード、VWireもしくはLayer3モードの設定が終わった後の最初のステップについて記述しています。 I've unpacked my firewall, now what? と I've unpacked my firewall and did what you told me, now what?  を参照してください。

 

あなたの組織では、インターネット上のWeb Serverとユーザのワークステーションを分けるために複数のネットワークセグメントが存在しているかもしれません。これらのネットワークが相互に通信するのを防ぐには、コアスイッチにVLANを実装し、両方のバーチャルネットワークを接続するブリッジやゲートウェイなしで、1つのVLANにあるホストが別のVLANにあるホストと通信できないようにします。

 

まず、前回の導入設定ガイドの続きから見ていきましょう。ファイアウォールにはLayer3インターフェイスがあり、トランクインターフェイスと通信できるようにTrustインターフェイスを変更する予定です。

 

レギュラーもしくはアクセス・スイッチポートとトランク・スイッチポートの違いは、アクセス・ポートがいかなるパケットでもイーサネットヘッダーを改ざんしないのに対して、トランク・ポートは IEEE 802.1Q ヘッダーの形式でVLANタグを付加することです。これにより、パケットはスイッチ外でVLAN情報を保持し、これらのパケットを受信する次のホストによって違うLANネットワークとして扱われることが保証されます。

 

interface GigabitEthernet1/36
 switchport
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
 spanning-tree portfast

...reconfigure...

interface GigabitEthernet1/36
 switchport
 switchport trunk allowed vlan 100,200
 switchport mode trunk
 switchport nonegotiate
spanning-tree portfast

インターフェイス設定を、VLANタグ設定のサブインターフェイスに変更します。

 

1. サブインターフェイス設定

 

最初に物理ファイアウォールからIP設定を削除します。

  1. Networkタブに移動。
  2. 左パネルのInterfacesに移動。
  3. Interface設定を開く。
  4. IPv4タブを開く。
  5. ネットワークアドレスを選択。
  6. Deleteをクリック。

2015-10-28_09-06-19.png

 

サブインターフェイスを追加する準備ができました。

2015-10-28_09-16-05.png

 

サブインターフェイス設定では、インターフェイス番号とタグを割り当てます。タグはVLANと一致している必要がありますが、インターフェイス番号は違っても構いません。管理を容易にするために、双方を同じにしたほうがよいでしょう。そしてインターフェイスをDefault Virtual Routerに割り当て、Trustセキュリティ・ゾーンに設定します。

 

2015-10-28_09-18-56.png

 

次に、IPv4タブに移って、インターフェイスにIPアドレスを追加します。

2015-10-28_09-31-07.png

 

次に、Advancedタブに移り、Management Profileで'ping'を選択します。

2015-10-28_09-31-45.png

 

 

次に、Webサーバーを次の図のようにスイッチのVLAN 200に加えます。

 

2015-10-28_09-43-07.png

第2のサブインターフェイス設定が必要で、それをVLAN 200タグに設定します。違うセキュリティ・ゾーンを作成し、違うセキュリティ・ポリシーを設定することができます。

2015-10-28_09-48-12.png

 

'dmz'ゾーンを作成します。

2015-10-28_09-50-15.png

 

 

そして、違うインターフェイスとIPサブネットを割り当てます。

2015-10-28_09-51-12.png

 

そしてManagement Profileに'ping'を設定します。

2015-10-28_09-53-18.png

 

インターフェイス設定は以下のようになっているかと思います。

2015-10-28_09-53-53.png

 

2. DHCP再設定

 

前回設定したDHCPサーバー設定を新しいサブインターフェイス設定に移動します。

  1. Networkタブに移動。
  2. 左パネルから、DHCPメニューを選択。
  3. インターフェイスethernet1/2用のDHCP設定を開く。
  4. インターフェイスをethernet1/2.100に新しいサブインターフェイス設定に一致するよう変更。

2015-10-28_10-48-03.png

 

3. 新しいNAT ポリシー設定

 

次のステップは、ファイアウォールの外部アドレス経由で、インターネット上のWebサーバにホストが接続するためのNATポリシーを設定します。

  1. Policiesタブに移動。
  2. NAT設定を左側パネルから選択。
  3. Addをクリックして、新しいNATポリシーを作成。

 

2015-10-28_11-03-18.png

 

Original Packetタブでは送信元、宛先ゾーンをuntrustそして、宛先アドレスを、ファイアウォールの外部アドレスに設定します。宛先ゾーンがuntrustなのは、ファイアウォールは宛先ゾーンを受信パケットのルーティングテーブルベースで決定するからです。この場合、NAT変換前の宛先IPアドレスが適用され、untrustゾーンとなります。

2015-10-28_11-05-57.png

 

Translated Packetタブでは、Webサーバーの物理アドレスを設定します。

2015-10-28_11-07-09.png

 

4. Securityポリシーの追加

 

最後のステップでは、Webサーバーにアクセスするために、TrustからUntrustゾーンを許可するSecurityポリシーを追加します。

  1. Policiesタブに移動。
  2. 左パネルからSecurityを開く。
  3. Addをクリックして、access_to_webserverという名前のSecurityポリシーを追加。

2015-10-28_10-16-09.png

ここでは、送信元ゾーンが'untrust'を選択、

2015-10-28_10-29-58.png

 

宛先には'dmz'を選択、宛先アドレスには、ファイアウォールの外部IPアドレスを設定します。

2015-10-28_11-07-45.png

 

アプリケーションにはweb-browsingを追加し、

2015-10-28_10-17-49.png

 

攻撃者からWebサーバーを守るために、必要なSecurityプロファイルを選択します。

2015-10-28_10-18-25.png

 

TrustゾーンからのSecurityポリシーのステップを繰り返し、追加のアプリケーションを設定します。

2015-10-28_10-31-46.png

 

Destinationでは、Securityゾーンに'dmz'を、アドレスにはWebサーバーの内部アドレスを設定します。

2015-10-28_11-00-29.png

 

追加の管理用Applicationsを加えます。

2015-10-28_10-32-55.png

 

設定されたSecurityポリシーは以下の様になっています。

2015-10-28_11-12-49.png

 

新しい設定をcommitした後に、インターフェイスethernet1/2がVLAN 100と200のタグ付きパケットを処理でき、Webサーバーが外部インターネットに対して公開されていることが確認できます。

  

もしこの記事に興味がありましたら、次のフォローアップ記事も併せてご参照ください。

I’ve unpacked my firewall, but where are the logs?

 

著者: reaper

Ask Questions Get Answers Join the Live Community
記事ダッシュボード
バージョン履歴
改訂番号
3/3
最終更新:
‎08-02-2018 07:19 PM
更新者:
 
寄稿者: