VLAN interface – Thegioifirewall

Palo Alto Firewall Version 10.2.0: Hướng dẫn cấu hình VLAN Interface

TrungNghia — Tue, 15 Mar 2022 02:28:00 +0000

1. Mục đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cấu hình VLAN Interface trên thiết bị tường lửa Palo Alto.

Để hiểu rõ hơn interface vlan là gì và công dụng của nó như thế nào chúng ta sẽ qua mục 2.

2. Interface vlan là gì và công dụng của nó ?

Interface vlan trên Palo Alto có khái niệm tương tự như Birgde Port, Group Port, là một cổng ảo nhằm nhóm từ 2 hoặc nhiều interface vào thành một cổng duy với số kết nối tương đương số port được thêm.

Nó sẽ khác với khái niệm Port-Channel hoặc Link Aggregation, đối với các port này nó sẽ gộp nhiều port lại với nhau và cung cấp 1 kết nối duy nhất.

Chúng ta thường dùng Interface VLAN nhằm mục địch mở rộng khả năng kết nối của thiết bị mà vẫn đảm bảo các thiết bị đó vẫn nằm trong cùng một DHCP.

Ví dụ bạn đang có một thiết bị tường lửa Palo Alto với port 1 đã được cấu hình dãy cấp phát DHCP là 192.168.1.2-100/24. Như vậy khi các thiết bị cắm vào cổng này nó sẽ nhận được IP từ dãy DHCP cấp phát đó.

Nhưng bỗng một ngày bạn muốn gắn thêm một thiết bị vào port 2 và vẫn muốn thiết bị đó nhận được IP tương tự như port 1 thì Interface VLAN sẽ giúp bạn làm điều đó.

Thegioifirewall đã chuẩn bị sẵn sơ đồ, tính huống, các bước cần làm và cách cấu hình chúng ta sẽ qua phần tiếp theo nhé.

3. Sơ đồ mạng

Giải thích sơ đồ mạng:

Đầu tiên chúng ta sẽ có một đường truyền internet được kết nối thông qua modem của nhà mạng đã được cấu hình mode bridge và được cấu hình PPPoE trên port MGMT của thiết bị tường lửa Palo Alto với IP 113.161.x.x.
Tiếp theo ở phía trong vùng lan một Interface VLAN đã thêm 2 port là port 1 và port 2 được tạo với IP 10.0.0.1/24.
Một DHCP Server đã được tạo trên Interface VLAN này với dãy IP cấp phát từ 10.0.0.2/24 đến 10.0.0.100/24.
Cuối cùng là 2 máy tính PC 1 được kết nối đến port 1 của thiết bị Palo Alto và máy PC 2 được kết nối đến port 2 của thiết bị Palo Alto.

4.Tình huống cấu hình

Như các bạn đã thấy trên sơ đồ chúng ta sẽ thực hiện cấu hình Interface VLAN để 2 máy tính PC 1 và PC 2 mặc dù nối vào 2 port khác nhau vẫn nhận được IP giống nhau thuộc lớp 10.0.0.0/24.

5.Các bước thực hiện

Tạo Zone
Cấu hình interface ethernet1/1 và Ethernet1/2
Tạo VLAN Interface
Thêm ethernet1/1 và ethernet1/2 vào VLAN Interface
Tạo Virtual Router
Tạo DHCP Server cho VLAN Interface
Kiểm tra kết quả

6.Hướng dẫn cấu hình

6.1. Tạo Zone

Bước đầu tiên chúng ta cần tạo zone cho các interface, ở đây chúng ta sẽ tạo 2 zone là Trust-Player2 và Trust-Player3.

Để tạo zone vào Network > Zones > nhấn Add.

Tạo zone Trust-Player2 với các thông tin như sau:

Name: Trust-Player2
Type: Layer2
Nhấn OK để lưu.

Tạo zone Trust-Player3 với các thông số sau:

Name: Trust-Player3
Type: Layer3
Nhấn OK để lưu

Nhấn Commit và nhấn OK đê lưu lại các cấu hình vừa thay đổi.

6.2. Cấu hình interface ethernet1/1 và ethernet1/2

Để cấu hình interface vào Networks > Interfaces > Ethernet.

Nhấn vào tên của interface ethernet1/1 và cấu hình với các thông số sau:

Interface Type: Layer2
Nhấn OK để lưu

Tương tự nhấn vào tên interface ethernet1/2 và cấu hình theo các thông số sau:

Interface Type: Layer2
Nhấn OK để lưu

Nhấn Commit và nhấn OK để lưu lại các thay đổi cấu hình.

6.3. Tạo VLAN Interfaces

Để tạo VLAN Interface vào Network > Interfaces > VLAN.

Nhấn vào tên interface vlan đang có sẵn và cấu hình theo các thông số sau:

Tab Config:

Security Zone: Trust-Player3

Tab IPv4:

Type: chọn Static
Nhấn Add và điền địa chỉ IP cho cổng là 10.0.0.1/24.

Nhấn OK để lưu.

Nhấn Commit và nhấn OK để lưu các thay đổi cấu hình.

6.4. Thêm ethernet1/1 và ethernet1/2 vào VLAN Interface

Để thêm chúng ta vào Network > VLANs.

Nhấn Add và cấu hình theo các thông số sau:

Name: VLAN_Interface
VLAN Interface: chọn cổng vlan vừa cấu hình ở bước 6.3.
Trong bảng Interfaces: nhấn Add và chọn 2 cổng ethernet1/1 và ethernet1/2
Nhấn OK để lưu.

Nhấn Commit và nhấn OK để lưu.

6.5. Tạo Virtual Router

Chúng ta cần tạo Virtual Router và thêm vlan interface vào thì chúng ta mới tạo DHCP Server cho VLAN interface được.

Để tạo Virual Router chúng ta vào Network > Virtual Routers.

Nhấn Add và tạo theo các thông tin như sau.

Tab Router Settings:

Name: VR1
Bảng Interface: nhấn Add và chọn vlan interface.
Nhấn OK để lưu.

Nhấn Commit và nhấn OK để lưu các thay đổi cấu hình.

6.6. Tạo DHCP Server cho VLAN Interface

Bước cuối cùng là tạo DHCP Server cho VLAN Interface để khi thiết bị cắm vào cổng này sẽ nhận được IP cấp phát.

Để tạo vào Network > DHCP.

Nhấn Add và cấu hình theo các thông số sau.

Tab Lease:

Interface: chọn vlan
Bảng IP Pools: nhấn Add và nhập vào range IP cần cấp phát.

Tab Options:

Gateway: nhập vào IP của interface vlan là 10.0.0.1.
Subnet mask: 255.255.255.0
Primary DNS: các bạn có thể nhập DNS nội bộ nếu có, ở đây mình nhập DNS Google.
Secondary DNS: tương tự Primary DNS.

6.6. Kiểm tra kết quả

Chúng ta sẽ kết nối thiết bị PC1 vào cổng ethernet1/1 va2 thiết bị PC2 vào cổng ethernet1/2.

Kết quả là cả 2 thiết bị PC1 và PC2 đều nhận được IP cấp phát từ DHCP Server đã tạo cho VLAN Interface với IP lần lượt là 10.0.0.2 và 10.0.0.3 đúng với tình huống mà chúng ta đã nêu ra là PC1 và PC2 đều nhận được IP thuộc cùng một lớp mạng.

Hướng dẫn cấu hình VLAN Interface trên thiết bị tường lửa Palo Alto

TrungNghia — Mon, 22 Mar 2021 07:37:00 +0000

1. Mục đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cấu hình VLAN Interface trên thiết bị tường lửa Palo Alto.

Để hiểu rõ hơn interface vlan là gì và công dụng của nó như thế nào chúng ta sẽ qua mục 2.

2. Interface vlan là gì và công dụng của nó ?

Nó sẽ khác với khái niệm Port-Channel hoặc Link Aggregation, đối với các port này nó sẽ gộp nhiều port lại với nhau và cung cấp 1 kết nối duy nhất.

Chúng ta thường dùng Interface VLAN nhằm mục địch mở rộng khả năng kết nối của thiết bị mà vẫn đảm bảo các thiết bị đó vẫn nằm trong cùng một DHCP.

Thegioifirewall đã chuẩn bị sẵn sơ đồ, tính huống, các bước cần làm và cách cấu hình chúng ta sẽ qua phần tiếp theo nhé.

3. Sơ đồ mạng

Giải thích sơ đồ mạng:

Đầu tiên chúng ta sẽ có một đường truyền internet được kết nối thông qua modem của nhà mạng đã được cấu hình mode bridge và được cấu hình PPPoE trên port MGMT của thiết bị tường lửa Palo Alto với IP 113.161.x.x.
Tiếp theo ở phía trong vùng lan một Interface VLAN đã thêm 2 port là port 1 và port 2 được tạo với IP 10.0.0.1/24.
Một DHCP Server đã được tạo trên Interface VLAN này với dãy IP cấp phát từ 10.0.0.2/24 đến 10.0.0.100/24.
Cuối cùng là 2 máy tính PC 1 được kết nối đến port 1 của thiết bị Palo Alto và máy PC 2 được kết nối đến port 2 của thiết bị Palo Alto.

4.Tình huống cấu hình

5.Các bước thực hiện

Tạo Zone
Cấu hình interface ethernet1/1 và Ethernet1/2
Tạo VLAN Interface
Thêm ethernet1/1 và ethernet1/2 vào VLAN Interface
Tạo Virtual Router
Tạo DHCP Server cho VLAN Interface
Kiểm tra kết quả

6.Hướng dẫn cấu hình

6.1. Tạo Zone

Bước đầu tiên chúng ta cần tạo zone cho các interface, ở đây chúng ta sẽ tạo 2 zone là Trust-Player2 và Trust-Player3.

Để tạo zone vào Network > Zones > nhấn Add.

Tạo zone Trust-Player2 với các thông tin như sau:

Name: Trust-Player2
Type: Layer2
Nhấn OK để lưu.

Tạo zone Trust-Player3 với các thông số sau:

Name: Trust-Player3
Type: Layer3
Nhấn OK để lưu

Nhấn Commit và nhấn OK đê lưu lại các cấu hình vừa thay đổi.

6.2. Cấu hình interface ethernet1/1 và ethernet1/2

Để cấu hình interface vào Networks > Interfaces > Ethernet.

Nhấn vào tên của interface ethernet1/1 và cấu hình với các thông số sau:

Interface Type: Layer2
Nhấn OK để lưu

Tương tự nhấn vào tên interface ethernet1/2 và cấu hình theo các thông số sau:

Interface Type: Layer2
Nhấn OK để lưu

Nhấn Commit và nhấn OK để lưu lại các thay đổi cấu hình.

6.3. Tạo VLAN Interfaces

Để tạo VLAN Interface vào Network > Interfaces > VLAN.

Nhấn vào tên interface vlan đang có sẵn và cấu hình theo các thông số sau:

Tab Config:

Security Zone: Trust-Player3

Tab IPv4:

Type: chọn Static
Nhấn Add và điền địa chỉ IP cho cổng là 10.0.0.1/24.

Nhấn OK để lưu.

Nhấn Commit và nhấn OK để lưu các thay đổi cấu hình.

6.4. Thêm ethernet1/1 và ethernet1/2 vào VLAN Interface

Để thêm chúng ta vào Network > VLANs.

Nhấn Add và cấu hình theo các thông số sau:

Name: VLAN_Interface
VLAN Interface: chọn cổng vlan vừa cấu hình ở bước 6.3.
Trong bảng Interfaces: nhấn Add và chọn 2 cổng ethernet1/1 và ethernet1/2
Nhấn OK để lưu.

Nhấn Commit và nhấn OK để lưu.

6.5. Tạo Virtual Router

Chúng ta cần tạo Virtual Router và thêm vlan interface vào thì chúng ta mới tạo DHCP Server cho VLAN interface được.

Để tạo Virual Router chúng ta vào Network > Virtual Routers.

Nhấn Add và tạo theo các thông tin như sau.

Tab Router Settings:

Name: VR1
Bảng Interface: nhấn Add và chọn vlan interface.
Nhấn OK để lưu.

Nhấn Commit và nhấn OK để lưu các thay đổi cấu hình.

6.6. Tạo DHCP Server cho VLAN Interface

Bước cuối cùng là tạo DHCP Server cho VLAN Interface để khi thiết bị cắm vào cổng này sẽ nhận được IP cấp phát.

Để tạo vào Network > DHCP.

Nhấn Add và cấu hình theo các thông số sau.

Tab Lease:

Interface: chọn vlan
Bảng IP Pools: nhấn Add và nhập vào range IP cần cấp phát.

Tab Options:

Gateway: nhập vào IP của interface vlan là 10.0.0.1.
Subnet mask: 255.255.255.0
Primary DNS: các bạn có thể nhập DNS nội bộ nếu có, ở đây mình nhập DNS Google.
Secondary DNS: tương tự Primary DNS.

6.6. Kiểm tra kết quả

Chúng ta sẽ kết nối thiết bị PC1 vào cổng ethernet1/1 va2 thiết bị PC2 vào cổng ethernet1/2.