動作確認環境
- PA-200
- Version 8.1.19
L2 スイッチングをさせる設定方法
以下図のように Palo Alto の異なるインターフェースを同一 Vlan の untag ポートのように使用して、インターフェース間で L2 スイッチングをさせることを考えます。
このためには以下の設定を行います。
- Vlan を作成する
- 対象インターフェースをレイヤ 2 のインターフェースと設定し、さらに Vlan を対象インターフェースに設定する
- 対象インターフェース間で通信できるようセキュリティポリシーを設定する
Vlan を作成する
まず、Vlan を作成します。
GUI で設定する場合は、[Network → VLAN] 画面から Vlan を追加します。
以下の VLAN 設定画面が表示されるため、任意の名前を設定して OK をクリックします。
CLI で設定する場合は以下のようになります。
set network vlan <Vlan名>
設定例:
set network vlan Vlan100インターフェースの設定
次にインターフェースを設定します。
以下画像のように、インターフェースタイプを「レイヤー 2」とし、インターフェースの割当先の VLAN として作成しておいた VLAN を指定します。
同じ Vlan に所属させたいインターフェースすべてについてこの設定を行います。
CLI でインターフェースの割当先 VLAN の設定を行う場合、以下のように設定します。
set network vlan <Vlan名> interface [ <IF名①> <IF名②> ... ]
設定例:
set network vlan Vlan100 interface [ ethernet1/3 ethernet1/4 ]セキュリティポリシーの設定
レイヤー2 インターフェース間で通信を行うためには、レイヤー3 インターフェース間で通信を行う時と同様にセキュリティポリシーの設定を行う必要があります。
対象のレイヤー2 インターフェースにレイヤー2 タイプのゾーンを設定する必要があるため、レイヤー2 タイプのゾーンの作成から行います。
以下のようにレイヤー2 タイプのゾーンを作成し、インターフェースに対象のレイヤー2 インターフェースを設定します。
ここでは、デフォルトのセキュリティポリシーである intrazone-default (同一ゾーン内での通信を許可するポリシー) を利用して通信することとして、2つのレイヤー2 インターフェースに同じゾーンを設定しています。
CLI で設定する場合、設定例としては以下のようになります。
set zone sampleL2Zone network layer2 [ ethernet1/3 ethernet1/4 ]以上の設定で、レイヤー2 インターフェース間でスイッチングが可能になります。
Vlan インターフェースによるルーティングをさせる設定方法
次に、以下図のように Vlan インターフェースを介して外部ネットワークにルーティングをさせることを考えます。
このために必要な設定は以下です。
- Vlan インターフェースを作成し、Vlan、仮想ルータ、ゾーン等を紐づける設定を行う
- 通信要件に合わせてセキュリティポリシーを設定する
Vlan インターフェースを作成する
Vlan インターフェースの作成は [Network → インターフェース → Vlan タブ] から行います。
画面左下の [追加] をクリックすると以下のような設定画面が表示されます。
まず画面右上で Vlan インターフェースの Vlan ID を入力します。さらにインターフェースの割当先の欄で以下を設定します。
- VLAN: レイヤー2 インターフェースに割り当てた Vlan と同じ Vlan を指定
- 仮想ルーター: 仮想ルータを指定
- セキュリティゾーン: レイヤー3 のゾーンを指定
次に IPv4 タブを開き、Vlan インターフェースに設定する IP アドレスを追加します。この IP は外部ネットワークへルーティングする際のゲートウェイアドレスになります。
Vlan インターフェースでも詳細タブでインターフェース管理プロファイルを設定することができます。
CLI でコンフィグを確認すると以下のようになっています。
set network interface vlan units vlan.100 ipv6 neighbor-discovery router-advertisement enable no
set network interface vlan units vlan.100 ndp-proxy enabled no
set network interface vlan units vlan.100 adjust-tcp-mss enable no
set network interface vlan units vlan.100 ip 10.1.100.1/24
set network interface vlan units vlan.100 interface-management-profile Ping_OK
set network vlan Vlan100 virtual-interface interface vlan.100
set zone Vlan100_Zone network layer3 vlan.100
set network virtual-router default interface [ ethernet1/1 ethernet1/2 vlan.100 ]セキュリティポリシーの設定
例として Vlan インターフェースに紐づけた Vlan100_Zone ゾーンから Untrust ゾーンへの通信を許可するポリシーを設定します。
set rulebase security rules Vlan100_Zone_to_Untrust to Untrust
set rulebase security rules Vlan100_Zone_to_Untrust from Vlan100_Zone
set rulebase security rules Vlan100_Zone_to_Untrust source any
set rulebase security rules Vlan100_Zone_to_Untrust destination any
set rulebase security rules Vlan100_Zone_to_Untrust source-user any
set rulebase security rules Vlan100_Zone_to_Untrust category any
set rulebase security rules Vlan100_Zone_to_Untrust application any
set rulebase security rules Vlan100_Zone_to_Untrust service application-default
set rulebase security rules Vlan100_Zone_to_Untrust hip-profiles any
set rulebase security rules Vlan100_Zone_to_Untrust action allow以上設定で Vlan インターフェースを介して外部ネットワークにルーティングをさせることができます。
router#ping vrf VRF1 8.8.8.8 source 10.1.100.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.1.100.10
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/36/100 ms※PC-A<router>(IP:10.1.100.10) から 8.8.8.8 への通信テスト結果
コメント