Cấu hình cơ bản mạng văn phòng nhỏ dùng Palo Alto

Cấu hình cơ bản mạng văn phòng có Palo Alto

Mô hình:

Mục đích: Cấu hình cho PC vlan 100 và 200 ra được internet.

Phần switch:

- Đoạn switch ACC- PC: cho vào mode access vlan theo yêu cầu

- Đoạn switch ACC- sw Core: mode trunk, allow vlan 100 và 200

- Trên sw Core: cấu hình interface vlan 100 và 200, sau đó cấu hình VRRP

- Coresw1 làm master cho vlan 100

- Coresw2 làm master cho vlan 200

- Đặt IP cho int vlan hướng lên fw

Phần firewall Palo Alto:

- Tải image 10.1.0 tại đây, giải nén ra và import vào EVE-NG

https://drive.google.com/file/d/1gIArvB4GV8QG3nrmyDKamnA1k2VyFaiR/view?usp=sharing

- Tiếp theo Đặt IP quản lí cho fw theo lệnh:

- Từ PC đặt IP cùng dải và truy cập vào webgui của fw:

\

Nhập admin, pass mà bạn đã đặt ở trước đó:

- Đặt IP cho các cổng firewall

Vào tab Network > Interface rồi đặt IP theo quy hoạch

Để allow-ping vào các cổng fw như trên thì vào Network > interface mgmt > Add rồi tích các giao thức cần allow, ví dụ ping, https…

Sau đó vào từng interface và select profile allow-ping

Tạo Zone và gán các port vào ZONE: 

Network > Zone > Add

TRUST: cổng LAN

UNTRUST: cổng WAN

- Tạo virtual router (enable chức năng định tuyến của fw)

Vào Nework > Virtual Router > Add , rồi thêm các cổng của fw vào

Vào mục Static route và tạo route ra internet:

Ở đây e1/2 là cổng wan và 192.168.200.50 là gateway, nếu dùng vmnet8 thì gateway = ip của vmnet8 cộng 1.

- Tiếp theo, cấu hình static route trỏ về dải LAN

Vào Network > virtual router > Static route > Add

- Tiếp theo, cấu hình security policy để cho ra internet

Vào tab Policy > Security > Add

- Tiếp theo, cấu hình NAT overload

Vào Policices > NAT > Add

COMMIT

Từ PC ta thử truy cập internet và check log ở Monitor > Log

Log