導入設定 : Layer 3サブ・インターフェイス

※この記事は以下の記事の日本語訳です。
Getting Started: Layer 3 Subinterfaces
https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Layer-3-Subinterfaces/ta-p/67...

 
ファイアウォールを開梱して、Vlan（サブ・インターフェイス）の設定をしたい

現在、新しいパロアルトネットワークス・ファイアウォールが起動して、動作している状況です。作成した様々なLayer 3サブ・インターフェイスにタグ付けしたVLANを追加してみましょう。一連の導入設定ガイドでは、ファイアウォールの箱を開梱し、ソフトウェアのアップグレード、VWireもしくはLayer3モードの設定が終わった後の最初のステップについて記述しています。 I've unpacked my firewall, now what? と I've unpacked my firewall and did what you told me, now what?  を参照してください。

あなたの組織では、インターネット上のWeb Serverとユーザのワークステーションを分けるために複数のネットワークセグメントが存在しているかもしれません。これらのネットワークが相互に通信するのを防ぐには、コアスイッチにVLANを実装し、両方のバーチャルネットワークを接続するブリッジやゲートウェイなしで、1つのVLANにあるホストが別のVLANにあるホストと通信できないようにします。

まず、前回の導入設定ガイドの続きから見ていきましょう。ファイアウォールにはLayer3インターフェイスがあり、トランクインターフェイスと通信できるようにTrustインターフェイスを変更する予定です。

レギュラーもしくはアクセス・スイッチポートとトランク・スイッチポートの違いは、アクセス・ポートがいかなるパケットでもイーサネットヘッダーを改ざんしないのに対して、トランク・ポートは IEEE 802.1Q ヘッダーの形式でVLANタグを付加することです。これにより、パケットはスイッチ外でVLAN情報を保持し、これらのパケットを受信する次のホストによって違うLANネットワークとして扱われることが保証されます。

interface GigabitEthernet1/36
 switchport
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
 spanning-tree portfast

...reconfigure...

interface GigabitEthernet1/36
 switchport
 switchport trunk allowed vlan 100,200
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast

インターフェイス設定を、VLANタグ設定のサブインターフェイスに変更します。

1. サブインターフェイス設定

最初に物理ファイアウォールからIP設定を削除します。

1. Networkタブに移動。
2. 左パネルのInterfacesに移動。
3. Interface設定を開く。
4. IPv4タブを開く。
5. ネットワークアドレスを選択。
6. Deleteをクリック。

サブインターフェイスを追加する準備ができました。

サブインターフェイス設定では、インターフェイス番号とタグを割り当てます。タグはVLANと一致している必要がありますが、インターフェイス番号は違っても構いません。管理を容易にするために、双方を同じにしたほうがよいでしょう。そしてインターフェイスをDefault Virtual Routerに割り当て、Trustセキュリティ・ゾーンに設定します。

次に、IPv4タブに移って、インターフェイスにIPアドレスを追加します。

次に、Advancedタブに移り、Management Profileで'ping'を選択します。

次に、Webサーバーを次の図のようにスイッチのVLAN 200に加えます。

第2のサブインターフェイス設定が必要で、それをVLAN 200タグに設定します。違うセキュリティ・ゾーンを作成し、違うセキュリティ・ポリシーを設定することができます。

'dmz'ゾーンを作成します。

そして、違うインターフェイスとIPサブネットを割り当てます。

そしてManagement Profileに'ping'を設定します。

インターフェイス設定は以下のようになっているかと思います。

2. DHCP再設定

前回設定したDHCPサーバー設定を新しいサブインターフェイス設定に移動します。

1. Networkタブに移動。
2. 左パネルから、DHCPメニューを選択。
3. インターフェイスethernet1/2用のDHCP設定を開く。
4. インターフェイスをethernet1/2.100に新しいサブインターフェイス設定に一致するよう変更。

3. 新しいNAT ポリシー設定

次のステップは、ファイアウォールの外部アドレス経由で、インターネット上のWebサーバにホストが接続するためのNATポリシーを設定します。

1. Policiesタブに移動。
2. NAT設定を左側パネルから選択。
3. Addをクリックして、新しいNATポリシーを作成。

Original Packetタブでは送信元、宛先ゾーンをuntrustそして、宛先アドレスを、ファイアウォールの外部アドレスに設定します。宛先ゾーンがuntrustなのは、ファイアウォールは宛先ゾーンを受信パケットのルーティングテーブルベースで決定するからです。この場合、NAT変換前の宛先IPアドレスが適用され、untrustゾーンとなります。

Translated Packetタブでは、Webサーバーの物理アドレスを設定します。

4. Securityポリシーの追加

最後のステップでは、Webサーバーにアクセスするために、TrustからUntrustゾーンを許可するSecurityポリシーを追加します。

1. Policiesタブに移動。
2. 左パネルからSecurityを開く。
3. Addをクリックして、access_to_webserverという名前のSecurityポリシーを追加。

ここでは、送信元ゾーンが'untrust'を選択、

宛先には'dmz'を選択、宛先アドレスには、ファイアウォールの外部IPアドレスを設定します。

アプリケーションにはweb-browsingを追加し、

攻撃者からWebサーバーを守るために、必要なSecurityプロファイルを選択します。

TrustゾーンからのSecurityポリシーのステップを繰り返し、追加のアプリケーションを設定します。

Destinationでは、Securityゾーンに'dmz'を、アドレスにはWebサーバーの内部アドレスを設定します。

追加の管理用Applicationsを加えます。

設定されたSecurityポリシーは以下の様になっています。

新しい設定をcommitした後に、インターフェイスethernet1/2がVLAN 100と200のタグ付きパケットを処理でき、Webサーバーが外部インターネットに対して公開されていることが確認できます。

もしこの記事に興味がありましたら、次のフォローアップ記事も併せてご参照ください。

I’ve unpacked my firewall, but where are the logs?

著者: reaper