導入設定 : Layer 3サブ・インターフェイス

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Getting Started: Layer 3 Subinterfaces
https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Layer-3-Subinterfaces/ta-p/67...

 
ファイアウォールを開梱して、
Vlan(サブ・インターフェイス)の設定をしたい

 

 

現在、新しいパロアルトネットワークス・ファイアウォールが起動して、動作している状況です。作成した様々なLayer 3サブ・インターフェイスにタグ付けしたVLANを追加してみましょう。一連の導入設定ガイドでは、ファイアウォールの箱を開梱し、ソフトウェアのアップグレード、VWireもしくはLayer3モードの設定が終わった後の最初のステップについて記述しています。 I've unpacked my firewall, now what? と I've unpacked my firewall and did what you told me, now what?  を参照してください。

 

あなたの組織では、インターネット上のWeb Serverとユーザのワークステーションを分けるために複数のネットワークセグメントが存在しているかもしれません。これらのネットワークが相互に通信するのを防ぐには、コアスイッチにVLANを実装し、両方のバーチャルネットワークを接続するブリッジやゲートウェイなしで、1つのVLANにあるホストが別のVLANにあるホストと通信できないようにします。

 

まず、前回の導入設定ガイドの続きから見ていきましょう。ファイアウォールにはLayer3インターフェイスがあり、トランクインターフェイスと通信できるようにTrustインターフェイスを変更する予定です。

 

レギュラーもしくはアクセス・スイッチポートとトランク・スイッチポートの違いは、アクセス・ポートがいかなるパケットでもイーサネットヘッダーを改ざんしないのに対して、トランク・ポートは IEEE 802.1Q ヘッダーの形式でVLANタグを付加することです。これにより、パケットはスイッチ外でVLAN情報を保持し、これらのパケットを受信する次のホストによって違うLANネットワークとして扱われることが保証されます。

 

interface GigabitEthernet1/36
 switchport
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
 spanning-tree portfast

...reconfigure...

interface GigabitEthernet1/36
 switchport
 switchport trunk allowed vlan 100,200
 switchport mode trunk
 switchport nonegotiate
spanning-tree portfast

インターフェイス設定を、VLANタグ設定のサブインターフェイスに変更します。

 

1. サブインターフェイス設定

 

最初に物理ファイアウォールからIP設定を削除します。

  1. Networkタブに移動。
  2. 左パネルのInterfacesに移動。
  3. Interface設定を開く。
  4. IPv4タブを開く。
  5. ネットワークアドレスを選択。
  6. Deleteをクリック。

2015-10-28_09-06-19.png

 

サブインターフェイスを追加する準備ができました。

2015-10-28_09-16-05.png

 

サブインターフェイス設定では、インターフェイス番号とタグを割り当てます。タグはVLANと一致している必要がありますが、インターフェイス番号は違っても構いません。管理を容易にするために、双方を同じにしたほうがよいでしょう。そしてインターフェイスをDefault Virtual Routerに割り当て、Trustセキュリティ・ゾーンに設定します。

 

2015-10-28_09-18-56.png

 

次に、IPv4タブに移って、インターフェイスにIPアドレスを追加します。

2015-10-28_09-31-07.png

 

次に、Advancedタブに移り、Management Profileで'ping'を選択します。

2015-10-28_09-31-45.png

 

 

次に、Webサーバーを次の図のようにスイッチのVLAN 200に加えます。

 

2015-10-28_09-43-07.png

第2のサブインターフェイス設定が必要で、それをVLAN 200タグに設定します。違うセキュリティ・ゾーンを作成し、違うセキュリティ・ポリシーを設定することができます。

2015-10-28_09-48-12.png

 

'dmz'ゾーンを作成します。

2015-10-28_09-50-15.png

 

 

そして、違うインターフェイスとIPサブネットを割り当てます。

2015-10-28_09-51-12.png

 

そしてManagement Profileに'ping'を設定します。

2015-10-28_09-53-18.png

 

インターフェイス設定は以下のようになっているかと思います。

2015-10-28_09-53-53.png

 

2. DHCP再設定

 

前回設定したDHCPサーバー設定を新しいサブインターフェイス設定に移動します。

  1. Networkタブに移動。
  2. 左パネルから、DHCPメニューを選択。
  3. インターフェイスethernet1/2用のDHCP設定を開く。
  4. インターフェイスをethernet1/2.100に新しいサブインターフェイス設定に一致するよう変更。

2015-10-28_10-48-03.png

 

3. 新しいNAT ポリシー設定

 

次のステップは、ファイアウォールの外部アドレス経由で、インターネット上のWebサーバにホストが接続するためのNATポリシーを設定します。

  1. Policiesタブに移動。
  2. NAT設定を左側パネルから選択。
  3. Addをクリックして、新しいNATポリシーを作成。

 

2015-10-28_11-03-18.png

 

Original Packetタブでは送信元、宛先ゾーンをuntrustそして、宛先アドレスを、ファイアウォールの外部アドレスに設定します。宛先ゾーンがuntrustなのは、ファイアウォールは宛先ゾーンを受信パケットのルーティングテーブルベースで決定するからです。この場合、NAT変換前の宛先IPアドレスが適用され、untrustゾーンとなります。

2015-10-28_11-05-57.png

 

Translated Packetタブでは、Webサーバーの物理アドレスを設定します。

2015-10-28_11-07-09.png

 

4. Securityポリシーの追加

 

最後のステップでは、Webサーバーにアクセスするために、TrustからUntrustゾーンを許可するSecurityポリシーを追加します。

  1. Policiesタブに移動。
  2. 左パネルからSecurityを開く。
  3. Addをクリックして、access_to_webserverという名前のSecurityポリシーを追加。

2015-10-28_10-16-09.png

ここでは、送信元ゾーンが'untrust'を選択、

2015-10-28_10-29-58.png

 

宛先には'dmz'を選択、宛先アドレスには、ファイアウォールの外部IPアドレスを設定します。

2015-10-28_11-07-45.png

 

アプリケーションにはweb-browsingを追加し、

2015-10-28_10-17-49.png

 

攻撃者からWebサーバーを守るために、必要なSecurityプロファイルを選択します。

2015-10-28_10-18-25.png

 

TrustゾーンからのSecurityポリシーのステップを繰り返し、追加のアプリケーションを設定します。

2015-10-28_10-31-46.png

 

Destinationでは、Securityゾーンに'dmz'を、アドレスにはWebサーバーの内部アドレスを設定します。

2015-10-28_11-00-29.png

 

追加の管理用Applicationsを加えます。

2015-10-28_10-32-55.png

 

設定されたSecurityポリシーは以下の様になっています。

2015-10-28_11-12-49.png

 

新しい設定をcommitした後に、インターフェイスethernet1/2がVLAN 100と200のタグ付きパケットを処理でき、Webサーバーが外部インターネットに対して公開されていることが確認できます。

  

もしこの記事に興味がありましたら、次のフォローアップ記事も併せてご参照ください。

I’ve unpacked my firewall, but where are the logs?

 

著者: reaper