More than 1 year has passed since last update.

PaloaltoVM(10.0.4) インタフェース設定

Posted at 2022-02-05

今回はインタフェース周りの設定をしていきます。

1. Zone作成

管理画面上の「NETWORK」タブをクリックします。画面左の「ゾーン」をクリックし画面下の「追加」をクリックします。

今回はvCenterから仮想マシンに二つネットワークを追加しています。（WAN/private）それぞれをExternal、Internalというゾーン名で２つ作成します。まずは、Externalから作成します。タイプはレイヤー３を選択し、「OK」ボタンをクリックします。

Externalのゾーンが作成されました。同様にInternalのゾーンも作成します。

2. インタフェース管理

次にインターフェスの管理ポリシーを作成します。これを作成してインタフェースに設定しないとPingなど応答できないので、先に作成しましょう。

「NETWORK」タブから「インタフェース管理」をクリックして、「追加」をクリックします。

名前を「IF-MGMT」としてネットワークサービスの「Ping」にチェックを入れて「OK」ボタンをクリックします。

3. インタフェース設定

では、インタフェース設定をしていきます。

「NETWORK」タブから「インタフェース」をクリックし、「ethernet1/1」をクリックします。画面が遷移しますので、インタフェースタイプは「レイヤー3」を選択し、画面下の設定タブの仮想ルータは「default」、セキュリティゾーンは「External」を選択します

IPv4タブ画面下の「追加」をクリックしてIPアドレスを入力します。

詳細タブをクリックして、管理プロファイルから「IF-MGMT」を選択して「OK」をクリックします。同様にethernet1/2もZone Internalとして設定しコミットしましょう。

コミットが成功すると下記のように表示されます。

ここで、PaloaltoにSSH接続してshow interface allコマンドを発行してみます。

admin@PA-VM> show interface all

total configured hardware interfaces: 2

name                    id    speed/duplex/state            mac address
--------------------------------------------------------------------------------
ethernet1/1             16    10000/full/up                 00:50:56:8c:11:72
ethernet1/2             17    10000/full/up                 00:50:56:8c:85:0e

aggregation groups: 0


total configured logical interfaces: 2

name                id    vsys zone             forwarding               tag    address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/1         16    1    External         vr:default               0      172.16.0.254/25
ethernet1/2         17    1    Internal         vr:default               0      10.10.1.254/24

admin@PA-VM>

ethernet1/1 と ethernet1/2 のMACアドレスが仮想マシンのネットワークアダプタのMACアドレスと同じであることが分かります。どうやら上から順番に割り当てられたようです。

対抗ノードがこの時点ではおりませんでしたが、一応Pingを実施してみます。

admin@PA-VM> ping host 10.10.1.254
PING 10.10.1.254 (10.10.1.254) 56(84) bytes of data.
64 bytes from 10.10.1.254: icmp_seq=1 ttl=64 time=0.034 ms
64 bytes from 10.10.1.254: icmp_seq=2 ttl=64 time=0.017 ms
64 bytes from 10.10.1.254: icmp_seq=3 ttl=64 time=0.024 ms
64 bytes from 10.10.1.254: icmp_seq=4 ttl=64 time=0.016 ms
^C
--- 10.10.1.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.016/0.022/0.034/0.009 ms
admin@PA-VM>
admin@PA-VM> ping host 172.16.0.254
PING 172.16.0.254 (172.16.0.254) 56(84) bytes of data.
64 bytes from 172.16.0.254: icmp_seq=1 ttl=64 time=0.018 ms
64 bytes from 172.16.0.254: icmp_seq=2 ttl=64 time=0.015 ms
64 bytes from 172.16.0.254: icmp_seq=3 ttl=64 time=0.021 ms
64 bytes from 172.16.0.254: icmp_seq=4 ttl=64 time=0.015 ms
^C
--- 172.16.0.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.015/0.017/0.021/0.003 ms
admin@PA-VM>

それぞれのインタフェースが反応していますね。

4. その他

次回はセキュリティポリシーを作成してみたいと思います。

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up