[LAB] VPN SITE TO SITE PALO ALTO - Phần 1: Set up Lab

pluto

Internship/Fresher
Sep 8, 2020
51
11
8
[LAB] VPN SITE TO SITE PALO ALTO - Phần 1: Set up Lab

Mô hình LAB VPN Site to Site Palo Alto
1635126931823.png



Mô hình LAB VPN Site to Site Palo Alto được thực hiện trên PNETLAB , môi trường LAB gồm 2 thiết bị PAN_site1 và PAN_site2 được nối với nhau thông qua Internet, được mô phỏng bằng Router Internet. Chi tiết như sau:

PAN_site1 có:
  • Interface mgmt: có địa chỉ là 192.168.1.1, nối với eth1 của MGMT_web1(có IP là 192.168.1.11). MGMT_web1 được sử dụng để truy cập WEB UI của PAN_site1.
  • Interface e1/1 : có địa chỉ IP là 1.1.1.1/24 , nối với e0/0 của Router Internet (có IP là 1.1.1.2/24) .
  • Interface e1/2: được sử dụng làm Gateway(10.1.1.250/24) cho lớp mạng 10.1.1.0/24 , được kết nối với PC-site1 có địa chỉ IP 10.1.1.99/24.


PAN_site2 có:
  • Interface mgmt: có địa chỉ là 192.168.1.2, nối với eth1 của MGMT_web2(có IP là 192.168.1.12). MGMT_web1 được sử dụng để truy cập WEB UI của PAN_site2.
  • Interface e1/1 : có địa chỉ IP là 2.2.2.2/24 , nối với e0/1 của Router Internet (có IP là 2.2.2.1/24) .
  • Interface e1/2: được sử dụng làm Gateway(10.2.2.250/24) cho lớp mạng 10.2.2.0/24 , được kết nối với PC-site2 có địa chỉ IP 10.2.2.99/24.
Kịch bản mô hình LAB: Cấu hình VPN Site to Site giữa PAN_site1 và PAN_site2, kiểm tra bằng cách thực hiện ping từ PC_site1 và PC_site2.

1.SET UP LAB
Tiến hành Add các Node trên PNETLAB theo mô hình bài lab, tương ứng với các Image như hình sau:

Sử dụng cho MGMT_web1 và MGMT_web2:
1635127036567.png




Sử dụng cho PAN_site1 và PAN_site2:
1635127063651.png




Sử dụng cho Rourter Internet:
1635127075778.png




Sử dụng cho PC-site1 và PC-site2:
1635127086695.png




Cấu hình STARTUP CONFIG cho MGMT_web1 và MGMT_web2 để có thể truy cập được tới PAN_site1 và PAN_site2.

Cấu hình trên MGMT_web1 ( 192.168.1.11 là IP của MGMT_web1, 192.168.1.1 là IP Interface MGMT của PAN_site1):

ip addr add 192.168.1.11/24 dev eth1

ip route add default via 192.168.1.1
1635127127234.png





Cấu hình trên MGMT_web2( 192.168.1.12 là IP của MGMT_web1, 192.168.1.2 là IP Interface MGMT của PAN_site2):

ip addr add 192.168.1.12/24 dev eth1

ip route add default via 192.168.1.2

1635127138679.png


2. CẤU HÌNH MÔI TRƯỜNG CÁC NODE TRÊN PNETLAB
2.1 Cấu hình CLI trên Palo Alto
Đăng nhập vào CLI của Paloalto, thực hiện với cả 2 thiết bị PaloAlto trong bài lab
Username: admin
Password: admin
Sau khi đăng nhập thiết bị sẽ báo đổi mật khẩu ngay như hình bên dưới

1635127218064.png


Thực hiện cấu hình đặt IP quản trị thiết bị tường lửa PAN_site1:

Command Detail
admin@PA-VM>// User mode
admin@PA-VM> configure// moving to configuration mode
admin@PA-VM# set deviceconfig system type
static
// change mode from DHCP Client to Static
admin@PA-VM# set deviceconfig system ip-address 192.168.1.1 netmask 255.255.255.252// Set IP Address for Interface MGMT
admin@PA-VM# commit// apply configuration to running-config.xml


Thực hiện cấu hình đặt IP quản trị thiết bị tường lửa PAN_site2:

Command Detail
admin@PA-VM>// User mode
admin@PA-VM> configure// moving to configuration mode
admin@PA-VM# set deviceconfig system type
static
// change mode from DHCP Client to Static
admin@PA-VM# set deviceconfig system ip-address 192.168.1.2 netmask 255.255.255.252// Set IP Address for Interface MGMT
admin@PA-VM# commit// apply configuration to running-config.xml


1635127254532.png


2.2 Truy cập vào MGMT
Truy cập vào “MGMT_web1”
Login vào giao diện tường lửa thông qua Web browser với : https://192.168.1.1 Chú ý: Khi truy cập https vào thiết bị sẽ gặp thông báo như sau, chọn vào “Advanced” để tiếp tục:

1635127295224.png


1635127302118.png




Truy cập vào “MGMT_web2” Login vào giao diện tường lửa thông qua Web browser với : https://192.168.1.2 :
1635127338018.png



Sau khi đăng nhập, chọn “Do not show again” > nhấn “Close” để thấy được giao diện quản trị của hệ thống PaloAlto:
1635127378218.png

1635127381395.png


2.3 Cấu hình Router Internet
Sử dụng các lệnh sau để cấu hình Router Internet theo sơ đồ sau:
1635127579714.png




Router>enable
Router#conf t
Router(config)#hostname INTERNET
// đổi tên Rourter thành INTERNET
1635127593702.png




INTERNET(config)#int e 0/0 //Cấu hình interface ethernet 0/0
INTERNET(config-if)#ip address 1.1.1.2 255.255.255.0
INTERNET(config-if)#no sh
INTERNET(config-if)# exit
INTERNET(config)# line con 0
INTERNET(config)# logging synchronous

1635127660509.png




INTERNET(config)#int e0/1 // Cấu hình interface ethernet 0/1
INTERNET(config-if)#ip address 2.2.2.1 255.255.255.0
INTERNET(config-if)# no sh
INTERNET(config-if)# exit

1635127674965.png




Cấu hình ROUTE trên Router INTERNET
INTERNET(config)#ip route 1.1.1.0 255.255.255.0 1.1.1.1
INTERNET(config)#ip route 2.2.2.0 255.255.255.0 2.2.2.2
INTERNET(config)#exit
INTERNET#wr
//Lưu cấu hình trên Router INTERNET
1635127700127.png



2.4 Cấu hình PAN_site 1
2.4.1 Cấu hình Interfaces e1/1

Chọn Network > Interfaces > e1/1:
1635127720418.png



Security Zone > New Zone:
1635127733118.png



Tạo Zone Oute Side > OK:
1635127747141.png




Qua Tab IPv4 > Add :
1635127812964.png



Qua Tab Advanced> Management Profile:
1635127825280.png



ADD PING > OK:
1635127835454.png



2.4.2 Cấu hình Interfaces e1/2
Chọn Network > Interfaces > e1/2:
1635127870046.png



Security Zone > New Zone > Tạo Zone InSide > OK:
1635127888367.png



Qua Tab IPv4 > Add :
1635127903247.png



Qua Tab Advanced> Management Profile:
1635127913993.png



ADD PING > OK:
1635127922861.png



Link Sate > UP > OK:
1635127931815.png




2.4.3 Cấu hình Virtual Routers
Chọn Network > Virtual Routers > Default:
1635127941584.png



Static Routes > Add:
1635127955171.png



Cấu hình như sau > OK:
1635127967729.png



Chọn OK để hoàn thành:
1635127988270.png



Sau khi hoàn tất các bước cấu hình bên trên, chọn Commit để tiến hành lưu và chạy cấu hình mới:
1635128019527.png



2.5 Cấu hình PAN_site 2
2.5.1 Cấu hình Interfaces e1/1
Chọn Network > Interfaces > e1/1
1635128103156.png



Security Zone > New Zone:
1635128126490.png




Tạo Zone Oute Side > OK:
1635128137127.png



Qua Tab IPv4 > Add :
1635128145831.png



Qua Tab Advanced> Management Profile:
1635128159201.png



ADD PING > OK > OK:
1635128169172.png




2.5.2 Cấu hình Interfaces e1/2
Network > Interfaces > e1/2
1635128195563.png



Security Zone > New Zone:
1635128208238.png




Tạo Zone InSide > OK:
1635128217435.png



Qua Tab IPv4 > Add :
1635128226844.png



Qua Tab Advanced> Management Profile:
1635128235693.png



Link Sate > UP > OK:
1635128249314.png



2.5.3 Cấu hình Virtual Routers

Chọn Network > Virtual Routers > Default:
1635128262953.png



Static Routes > Add:
1635128271352.png




Cấu hình như sau > OK:
1635128282850.png




Chọn OK để hoàn thành:
1635128301076.png




Sau khi hoàn tất các bước cấu hình bên trên, chọn Commit để tiến hành lưu và chạy cấu hình mới:
1635128313156.png



2.6 Kiểm tra cấu hình
ROUTER INTERNET:
Từ ROUTER INTERNET, tiến hành ping đến IP của trên port e1/1 của PAN_site1 và PAN_site2:
1635128332220.png



PANsite1
Từ PAN_site1 tiến hành Ping tới e0/0 của ROUTER INTERNET và e1/1 của PAN_site2:
1635128348675.png



PANSite2
Từ PAN_site2 tiến hành Ping tới e0/1 của ROUTER INTERNET và e1/1 của PAN_site1:
1635128369681.png




2.6 Cấu hình PC-site 1, PC-site2
Sử dụng lệnh sau để cấu hình Network trên PC-site1:

sudo ifconfig eth1 10.1.1.99 netmask 255.255.255.0
sudo route add default gw 10.1.1.250 eth1


Kiểm tra bằng các ping tới Default Gateway:
1635128401158.png



Sử dụng lệnh sau để cấu hình Network trên PC-site2:

sudo ifconfig eth1 10.2.2.99 netmask 255.255.255.0
sudo route add default gw 10.2.2.250 eth1

1635128410608.png


Như vậy, đã hoàn thành xong quá trình setup môi trường bài Lab VPN site to site trên Palo Alto. Trong phần tiếp theo, bài viết sẽ trình bày các bước cấu hình VPN SITE TO SITE trên Palo Alto và tìm hiểu giao thức thiết lập VPN SITE TO SITE


Kiểm tra bằng các ping tới Default Gateway:
1635128420739.png
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu