Más contenido relacionado Paloalto#11. 【paloalto】#1
アジェンダ
0900~0910 起動・物理結線
0910~0920 ホスト名設定
0920~0940 ゾーン設定、インターフェース設定
0950~1000 インターフェースプロファイル
1000~1010 コンフィグの差分
1010~1020 ping、スタティックルート
1020~1030 インターネット疎通、ログ確認
鈴木メモ
palo×3、PC×5、スイッチ×2
GUIとCUIでセッションを2つ使う
commitはCUIでしておき、次の設定をGUIで
今日、出来るようになる事
paloaltoの初期設定(GUI)(CUI)
鈴木備忘メモ
1
untrustのPCに以下を追加
route print
route add 192.168.10.0 mask 255.255.255.0 192.168.210.207
route add 192.168.20.0 mask 255.255.255.0 192.168.210.208
route add 192.168.30.0 mask 255.255.255.0 192.168.210.209
route print
R05ルーターに以下を追加
ip route 192.168.10.0 255.255.255.0 192.168.210.207
ip route 192.168.20.0 255.255.255.0 192.168.210.208
ip route 192.168.30.0 255.255.255.0 192.168.210.209
2. 【paloalto】#1 システム構成図
trust(192.168.10.0/24) trust(192.168.20.0/24) trust(192.168.30.0/24)
2
DMZ(192.168.214.0/24)
untrust(192.168.210.0/24)
1
1 1
2
2 2
3
3 3
1 2 3
1 2 3
9
8
R05ルータ
インターネット
8
192.168.210.207 192.168.210.208
192.168.210.209
192.168.214.1 192.168.214.2 192.168.214.3
192.168.214.10
255.255.255.0
192.168.214.1
192.168.214.2
192.168.214.3
192.168.10.1 192.168.20.1
192.168.30.1
192.168.1.2
192.168.20.10 192.168.30.10
route print
route add 192.168.10.0 mask 255.255.255.0 192.168.210.207
route add 192.168.20.0 mask 255.255.255.0 192.168.210.208
route add 192.168.30.0 mask 255.255.255.0 192.168.210.209
route print
192.168.210.210
255.255.255.0
192.168.210.254
DMZのPC
untrustのPC
社内のPC
社内のPC
社内のPC
MGT
192.168.1.1
192.168.10.10
3. 【paloalto】#1 IPアドレス表
参加者1 参加者2 参加者3
PCのIPアドレス 192.168.1.2
↓
192.168.10.10
192.168.1.2
↓
192.168.20.10
192.168.1.2
↓
192.168.30.10
paloalto
ethernet1/1
192.168.210.207 192.168.210.208 192.168.210.209
ethernet1/2 192.168.10.1 192.168.20.1 192.168.30.1
ethernet1/3 192.168.214.1 192.168.214.2 192.168.214.3
3
4. 【paloalto】#1 PCにIPアドレスを設定する
手順1 paloaltoに電源を入れます
本モデルのpaloaltoは起動に8分程度かかります。
利用する機器 PA-200 2018年10月に販売終了
2021年8月 1台12,500円~15,000円でヤフオクで落札可能
手順2 PCのIPアドレスを「192.168.1.2」に変更する。
理由:paloaltoの「MGT」ポートの初期IPアドレスが「192.168.1.1」の為。
「windows+r」→「ncpa.cpl」→「OK」
「イーサネット」or「ローカルエリア接続」
手順3
「インターネットプロトコルバージョン4」→「プロパティ」
→「次のIPアドレスを使う」
→IPアドレス「192.168.1.2」「255.255.255.0」
手順4
物理結線を実施する
PC ←→ PaloaltoのMGTポート
paloalto 1/1 ←→ untrustスイッチ
paloalto 1/2 ←→ DMZスイッチ
4
LEDランプが点灯
した事を確認する
13. 【paloalto】#1
GUI設定(差分のコンフィグ)を確認してコミットする
手順21 CLIとwebで確認する
手順22 コミットする。1分40秒程度待つ
Webから
「Device」→「設定監査」→「20」→「実行」
13
admin@PA-01> show config diff
interface {
ethernet {
ethernet1/1 {
- virtual-wire;
+ layer3 {
+ ipv6 {
+ neighbor-discovery {
+ router-advertisement {
+ enable no;
+ }
+ }
+ }
+ ndp-proxy {
+ enabled no;
+ }
+ ip {
+ 192.168.210.208/24;
+ }
+ lldp {
+ enable no;
+ }
+ }
admin@PA-02> configure
Entering configuration mode
[edit]
admin@PA-02# commit
Commit job 4 is in progress. Use Ctrl+C to return to command prompt
..........................55%...60%75%..98%.................100%
Configuration committed successfully
[edit]
admin@PA-02#
確認point
1.
下スクロール
14. 【paloalto】#1 paloaltoから疎通試験をする。
手順23 PCのIPアドレスを変更する
(192.168.10.10 192.168.210.10 192.168.30.10)
手順24 paloaltoの接続ポートを
「MGT」から「2」に変更する
teratermの接続先IPを「192.168.10.1」「192.168.20.1」
「192.168.30.1」に変更する
手順25 paloaltoからPCに疎通確認を実施する
paloaltoから社内のPCへ
paloaltoからuntrustのPCへ
paloaltoのpingは
どのインターフェースから、どのホストへの形で記載します
14
admin@PA-01> ping source 192.168.10.1 host 192.168.10.10
PING 192.168.10.10 (192.168.10.10) from 192.168.10.1 : 56(84) bytes of data.
64 bytes from 192.168.10.10: icmp_seq=1 ttl=128 time=0.766 ms
64 bytes from 192.168.10.10: icmp_seq=2 ttl=128 time=0.607 ms
64 bytes from 192.168.10.10: icmp_seq=3 ttl=128 time=0.733 ms
^C
--- 192.168.10.10 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2006ms
rtt min/avg/max/mdev = 0.607/0.702/0.766/0.068 ms
admin@PA-01>
admin@PA-01> ping source 192.168.210.207 host 192.168.210.210
PING 192.168.210.210 (192.168.210.210) from 192.168.210.207 : 56(84) bytes of data.
64 bytes from 192.168.210.210: icmp_seq=2 ttl=128 time=0.836 ms
64 bytes from 192.168.210.210: icmp_seq=3 ttl=128 time=0.806 ms
64 bytes from 192.168.210.210: icmp_seq=4 ttl=128 time=0.768 ms
^C
--- 192.168.210.210 ping statistics ---
4 packets transmitted, 3 received, 25% packet loss, time 3023ms
rtt min/avg/max/mdev = 0.768/0.803/0.836/0.036 ms
admin@PA-01>
15. 【paloalto】#1 paloaltoからインターネットへ つなげる(1)
手順26 ブラウザのIPアドレスを変更する
デフォルトルート、ネクストホップを設定する。
「Network」→「仮想ルータ―」→「default」
スタティックルート
「+追加」
15
名前
→「Default-Route」
宛先
→「0.0.0.0/0」
インターフェース
→「ethernet1/1」
ネクストホップ
→「IPアドレス」
「192.168.210.254」
16. 【paloalto】#1 paloaltoからインターネットへ つなげる(2)
手順27 コミット、
googleのDNSサーバへつながるかを確認する。
PAを超える(またぐ)通信を確認します
手順28 社内PCから、googleのDNSサーバにpingします。
ping 8.8.8.8
通信出来ます
16
admin@PA-02> configure
Entering configuration mode
[edit]
admin@PA-02# commit
Commit job 5 is in progress. Use Ctrl+C to return to command prompt
.....................55%.....75%....98%................100%
Configuration committed successfully
[edit]
admin@PA-02# exit
Exiting configuration mode
admin@PA-02> ping source 192.168.210.208 host 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.210.208 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=2 ttl=117 time=4.15 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=117 time=7.25 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=117 time=6.06 ms
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 3 received, 25% packet loss, time 3032ms
rtt min/avg/max/mdev = 4.152/5.826/7.257/1.279 ms
admin@PA-02>