PaloAlto

PaloAltoのサブインターフェース設定方法

当記事ではPaloAltoにおけるサブインターフェースの設定方法について記載します

若手エンジニア志望者を募集!支度金あり

サブインターフェースとは

サブインターフェースは、インターフェースを論理分割することで、
一つのポートで異なるセグメントの通信をルーティングさせることが出来る機能です。
この機能によって、インターフェースを効率的に利用することが出来ます。

また、当機能を使用するにはL2Switch(以下、L2SWと記載)等に別途VLANの設定が必要となりますが、
当記事はPaloAltoにおけるサブインターフェースの設定方法について記載します。

 

 

設定・使用環境について

設定環境

今回は、セグメント帯の異なる2つの端末を、一つのポートでインターネットにそれぞれアクセスできるようにサブインターフェースの設定を行います。

 

使用環境

PaloAlto:PA-220 PAN-OS 10.1.7

※L2SWにおけるVLAN関連の設定はすでに入っている

サブインターフェースの設定方法

 

各サブインターフェースに割り当てるゾーン

ethernet1/7.10:VLAN10_test

ethernet1/7.20:VLAN20_test

 

端末1側の設定

NETWORK →インターフェース→ サブインターフェースを作成したいインターフェースを選択→画面左下の「⊕サブインターフェースの追加」を選択(今回はethernet1/7に追加)

 

全般

インターフェース識別用サフィックス:ethernet1/7.10(図の枠で囲まれた項目)
※入力する数字は管理しやすいようにVLAN IDと同一の値にする場合が多い

コメント:説明文を任意で入力

タグ:VLAN IDを入力(今回は10)

設定

仮想ルーター:VR_test(インターネット抜け用)

セキュリティゾーン:Vlan10_test

IPv4

タイプ:スタティック

IP:10.0.200.1/24(端末1のデフォルトゲートウェイ)

 

詳細

管理プロファイル:Trust_test(Pingを許可する用)

 

端末2側の設定

全般

インターフェース識別用サフィックス:ethernet1/7.20(図の枠で囲まれた項目)
※入力する数字は管理しやすいようにVLAN IDと同一の値にする場合が多い

コメント:説明文を任意で入力

タグ:VLAN IDを入力(今回は20)

設定

仮想ルーター:VR_test(インターネット抜け用)

セキュリティゾーン:Vlan20_test

IPv4

タイプ:スタティック

IP:192.168.99.1/24(端末1のデフォルトゲートウェイ)

詳細

管理プロファイル:Trust_test(Pingを許可する用)

 

ポリシーへVLANを割り振る

インターネット抜け用のポリシーに端末1と2が所属するVLANを追加

 

今回の環境では送信元NATを行うため、NAT用ポリシーにも追加

 

 

疎通確認

端末1、端末2からGoogleのDNSサーバへそれぞれpingを送り、ログを確認してみます。

※端末1、2はそれぞれ、etharnet1/7.10、ethernet1/7.20のVLANに所属している

# ping 8.8.8.8

MONITOR → トラフィック → 該当ログの虫眼鏡のマークをクリックして詳細ログを表示

端末1のログ

VLAN10側のサブインターフェースから通信が抜けている事が確認できます

 

端末2のログ

VLAN20側のサブインターフェースから通信が抜けている事が確認できます

 

まとめ

今回はPaloAltoにおけるサブインターフェースの設定方法について簡単な環境を例に紹介いたしました。

PaloAltoでの設定自体は特に難しくはないかと思いますが、
L2SW等に別途VLANの設定を入れる必要がある点はご留意ください。

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

自社WebサーバにAWS WAFを適用しました(5)~運用後の経過~前のページ

Microsoft Graph APIを利用してMicrosoft Defenderのアラート情報を取得する方法次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. ログフォワーダー「okurun.jar」について
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. NW機器

    PaloAltoの送信元・宛先NAT設定方法

    当記事ではPaloAltoにおける送信元NAT・宛先NATの設定方法に…

  2. NW機器

    【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2…

    ※本記事の内容は、2021年11月15日現在の公開情報をもとに記載して…

  3. PaloAlto

    PAN-OS 9系以降におけるURLフィルタリングプロファイルの設計変更の話

    当記事では、PAN-OS 9系以降からURL フィルタリングプロファイ…

  4. PaloAlto

    【PaloAlto】ActiveDirectoryとUser-ID Agentの設定方法

    当記事ではPaloAltoにおけるActive DirectoryとU…

  5. PaloAlto

    Paloaltoにおけるセキュリティプロファイルの除外IP(exempt-ip)について

    当記事では、Paloaltoにおけるセキュリティプロファイルの除外IP…

  6. NW機器

    Palo AltoにおけるCEF形式ログ送信設定

    当記事では、Palo Alto におけるCEF形式でのログの送信方法に…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. 実践記事

    DNSキャッシュポイズニングやってみた
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP