Palo Alto [Lab - 4] Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic

N

Nam Việt

Intern

Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic

Cấu hình VLAN tagging trên các giao diện Virtual Wire Subinterfaces của tường lửa là một kỹ thuật quan trọng nhằm phân chia mạng thành các vùng logic khác nhau, đảm bảo quản lý, kiểm soát truy cập, và bảo mật hiệu quả hơn. Trong bài lab này ta sẽ đi đến tìm hiểu cách thức cấu hình VLAN tagging trên firewall Palo Alto.

1. Mô hình


1744969914746.png

Trong mô hình này ta sử dụng hai VPC cấu hình ở hai VLAN khác nhau (VLAN10 và VLAN20) để thực hiện VLAN tagging trên Firewall Palo Alto.
Trên thiết bị Palo Alto, khi cấu hình một Virtual Wire (VWire) – nghĩa là ta thực hiện kết nối firewall theo kiểu inline (trực tiếp) giữa hai thiết bị mạng mà không cần IP hoặc định tuyến – có thể dùng sub-interfaces để hỗ trợ VLAN tagging (802.1Q tagging).
  • Subinterface là một giao diện con (logical interface) được tạo từ một interface vật lý.
  • Mỗi subinterface có thể gắn với một VLAN ID nhất định (tức là một “tag”), cho phép firewall phân biệt lưu lượng theo từng VLAN.
Mỗi VLAN là một mạng riêng biệt. Khi lưu lượng đi qua firewall, cần gắn tag VLAN vào để firewall hiểu gói tin đó thuộc mạng nào sé giúp thiết lập chính sách an ninh phù hợp (Security Policy, NAT, QoS, Threat Prevention...). Đồng thời vì mỗi subinterface VLAN có thể gán vào Zone khác nhau trên firewall mà zones là phần cốt lõi để firewall xác định chính sách nên dựa vào việc cấu hình VLAN tagging sẽ giúp tăng mức độ kiểm soát truy cập chi tiết và giảm thiểu rủi ro an ninh mạng. Ngoài ra đây cũng là cách biến Firewall thành trung tâm kiểm soát VLAN traffic, giúp ta dễ dàng quản lý các VLAN hơn.

2. Thực hành cấu hình


- Đầu tiên ta cần tạo hai zone là "admin" và "user" tương ứng với hai VLAN như hình dưới đây.
1744970875683.png

Tiếp theo ta thực hiện tạo hai sub-interfaces trên Interface eth1/1 để quản lý VLAN, gán tag vlan cho từng sub-interface.
1744970957104.png

1744970980712.png

Sau khi tạo sub-interface xong kết quả hiển thị như hình sau.
1744971001676.png

- Tiếp đến ta cần thực hiện tạo Policy để quản lý VLAN tagging, bởi có hai zone nên cần chọn "Interzone" trong phần "Rule Type".
1744971090497.png

1744971108508.png

1744971112177.png

Policy này đơn giản là cho phép việc giao tiếp giữa cả hai zone Admin và User nên cả phần Source lẫn Destination đều lựa chọn cả hai. Ngoài ra ta cũng có thể tạo các rule cho phép chỉ một zone được gửi các gói tin cho zone còn lại hoặc chặn giao tiếp từ một zone đến zone còn lại tùy theo nhu cầu.
1744971226899.png

Cho phép việc giao tiếp giữa hai zone.
- Trên Switch ta sẽ thực hiện cấu hình các đường Access và Trunking cho việc kết nối các VLAN như mã dưới đây.
Mã: 
switch(config)#vlan 10
switch(config-vlan)#exit
switch(config)#vlan 20
switch(config-vlan)#exit
switch(config)#int Gi0/1
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 20
switch(config-if)#exit
switch(config)#int Gi0/0
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 10
switch(config-if)#exit
switch(config)#int Gi0/2
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk
switch(config-if)#switchport trunk allowed vlan 10,20
Thực hiện kiểm tra lại trên Switch như sau:
1744971508537.png

- Cuối cùng là ta thử cho các VPC ping đến nhau để kiểm tra giao tiếp giữa các VLAN.
1744971543718.png

1744971549481.png

Kết luận


Việc cấu hình VLAN Tagging trên các subinterface của Virtual Wire trong firewall Palo Alto là một bước quan trọng giúp phân chia mạng logic một cách hiệu quả, đồng thời nâng cao khả năng kiểm soát truy cập và bảo mật nội bộ. Thay vì để lưu lượng giữa các VLAN đi trực tiếp qua switch hoặc router mà không có lớp bảo vệ, tường lửa được chèn vào như một "người gác cổng thông minh", kiểm tra, lọc và ghi nhận mọi hoạt động giữa các phân vùng mạng. Tóm lại, VLAN Tagging kết hợp với Virtual Wire Subinterfaces là một giải pháp tối ưu để kết nối an toàn, giám sát toàn diện, mà vẫn đảm bảo tính đơn giản trong triển khai và tính hiệu quả trong vận hành hệ thống mạng doanh nghiệp hiện đại.
 

Đính kèm

  • 1744970962977.png
    1744970962977.png
    81.6 KB · Lượt xem: 0
Bài viết liên quan
[Lab - 3] Triển khai firewall ở chế độ bridge mà không thay đổi cấu trúc mạng bởi Nam Việt,
[Lab II - 06 - Lab 4]: VPN Site-to-Site: Cấu hình VPN IPsec giữa hai văn phòng. bởi HuyTra,
[Lab - 2] Cấu hình Policy cơ bản trên Firewall bởi Nam Việt,
[FW II-06] VPN Site-to-Site: Cấu hình VPN IPsec giữa hai văn phòng. bởi thanhan1310,
[FW II-04] Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic. bởi thanhan1310,
[Lab II - 04 - Lab 3]: VLAN Tagging: Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic. bởi HuyTra,
Bài viết mới
[Lab - 3] Triển khai firewall ở chế độ bridge mà không thay đổi cấu trúc mạng bởi Nam Việt,
[Lab II - 06 - Lab 4]: VPN Site-to-Site: Cấu hình VPN IPsec giữa hai văn phòng. bởi HuyTra,
[Lab - 2] Cấu hình Policy cơ bản trên Firewall bởi Nam Việt,
[FW II-06] VPN Site-to-Site: Cấu hình VPN IPsec giữa hai văn phòng. bởi thanhan1310,
[FW II-04] Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic. bởi thanhan1310,
[Lab II - 04 - Lab 3]: VLAN Tagging: Cấu hình VLAN tagging trên các giao diện để phân chia mạng logic. bởi HuyTra,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top