Web UI および CLI からデータプレーンインターフェイスを使うためのサービス ルートの設定について

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Setting a Service Route for Services to Use a Dataplane Interface from the Web UI and CLI
https://live.paloaltonetworks.com/t5/Configuration-Articles/Setting-a-Service-Route-for-Services-to-...

 

概要

標準ではファイアウォールはDNS、Email、Palo Alto Updates, User-ID エージェント, Syslog, Panorama 等を含む様々なサービスの通信にマネジメント インターフェイスを使用します。サービスルートを使用することでファイアウォールとサーバー間の通信についてデータプレーンを通過するように設定することができます。

 

詳細

Web UIでの設定

Device > セットアップ > サービス > サービス ルートの設定 へ移動し、適切なサービスルートを設定します。

service route.png

 

以下に示すように、事前に定義されていないサービスのサービスルートを設定する場合は、宛先アドレスを手動で入力することで設定できます:

SR.PNG.png

上記の例では、10.66.22.245 または 10.66.18.252 宛てのサービスルートがそれぞれ 10.66.22.88 およびマネジメント インターフェイスを送信元として設定されています。

 

CLI での設定

コマンドのオプションを表示するために次のコマンドを実行します。 set deviceconfig system route service:

> configure

# set deviceconfig system route service <tab or '?' key>

  dns                DNS server(s)

  email              SMTP gateway(s)

  netflow            Netflow server(s)

  ntp                NTP server(s)

  paloalto-updates   Palo Alto update server

  panorama           Panorama serve

  proxy              Proxy server

  radius             RADIUS server

  snmp               SNMP server(s)

  syslog             Syslog server(s)

  uid-agent          UID agent(s

  url-updates        URL update server

  wildfire           WildFire service

  <value>            Service name

 

Palo Alto Networks のアップデートを受信するためにサービスルートとして利用可能なデータプレーン インターフェイスを表示するコマンド:

# set deviceconfig system route service paloalto-updates source-address

  10.10.10.2/24     10.10.10.2/24

  10.140.59.2/30    10.140.59.2/30

  10.30.14.59       mgmt 10.30.14.59

  10.30.6.59/24     10.30.6.59/24

  172.15.1.2/24     172.15.1.2/24

  192.168.59.1/16   192.168.59.1/16

  <value>           Source IP address to use to reach destination

 

以下の例示コマンドでは特定のデータプレーン インターフェイスを使用する Palo Alto Networks のアップデート通信に対するサービスルートを設定しています:

# set deviceconfig system route service paloalto-updates source-address 10.140.59.2/30

 

事前に定義されていないサービスのサービスルートはCLIを通して設定することも可能です。
例:

# set deviceconfig system route destination 10.66.22.245 source-address 10.66.22.88/23

 

注: セキュリティ ルール ベースで通信を許可しログに記録するための明示的なポリシーが必要となります。

 

著者 : pchanda

Ask Questions Get Answers Join the Live Community
記事ダッシュボード
バージョン履歴
改訂番号
3/3
最終更新:
‎07-18-2016 08:13 PM
更新者:
 
寄稿者: