[LAB] VPN SITE TO SITE PALO ALTO - Phần 1: Set up Lab

Mô hình LAB VPN Site to Site Palo Alto

Mô hình LAB VPN Site to Site Palo Alto được thực hiện trên PNETLAB , môi trường LAB gồm 2 thiết bị PAN_site1 và PAN_site2 được nối với nhau thông qua Internet, được mô phỏng bằng Router Internet. Chi tiết như sau:

PAN_site1 có:

• Interface mgmt: có địa chỉ là 192.168.1.1, nối với eth1 của MGMT_web1(có IP là 192.168.1.11). MGMT_web1 được sử dụng để truy cập WEB UI của PAN_site1.
• Interface e1/1 : có địa chỉ IP là 1.1.1.1/24 , nối với e0/0 của Router Internet (có IP là 1.1.1.2/24) .
• Interface e1/2: được sử dụng làm Gateway(10.1.1.250/24) cho lớp mạng 10.1.1.0/24 , được kết nối với PC-site1 có địa chỉ IP 10.1.1.99/24.

PAN_site2 có:

• Interface mgmt: có địa chỉ là 192.168.1.2, nối với eth1 của MGMT_web2(có IP là 192.168.1.12). MGMT_web1 được sử dụng để truy cập WEB UI của PAN_site2.
• Interface e1/1 : có địa chỉ IP là 2.2.2.2/24 , nối với e0/1 của Router Internet (có IP là 2.2.2.1/24) .
• Interface e1/2: được sử dụng làm Gateway(10.2.2.250/24) cho lớp mạng 10.2.2.0/24 , được kết nối với PC-site2 có địa chỉ IP 10.2.2.99/24.

Kịch bản mô hình LAB: Cấu hình VPN Site to Site giữa PAN_site1 và PAN_site2, kiểm tra bằng cách thực hiện ping từ PC_site1 và PC_site2.

1.SET UP LAB
Tiến hành Add các Node trên PNETLAB theo mô hình bài lab, tương ứng với các Image như hình sau:

Sử dụng cho MGMT_web1 và MGMT_web2:




Sử dụng cho PAN_site1 và PAN_site2:




Sử dụng cho Rourter Internet:




Sử dụng cho PC-site1 và PC-site2:




Cấu hình STARTUP CONFIG cho MGMT_web1 và MGMT_web2 để có thể truy cập được tới PAN_site1 và PAN_site2.

Cấu hình trên MGMT_web1 ( 192.168.1.11 là IP của MGMT_web1, 192.168.1.1 là IP Interface MGMT của PAN_site1):

ip addr add 192.168.1.11/24 dev eth1

ip route add default via 192.168.1.1





Cấu hình trên MGMT_web2( 192.168.1.12 là IP của MGMT_web1, 192.168.1.2 là IP Interface MGMT của PAN_site2):

ip addr add 192.168.1.12/24 dev eth1

ip route add default via 192.168.1.2



2. CẤU HÌNH MÔI TRƯỜNG CÁC NODE TRÊN PNETLAB
2.1 Cấu hình CLI trên Palo Alto
Đăng nhập vào CLI của Paloalto, thực hiện với cả 2 thiết bị PaloAlto trong bài lab
Username: admin
Password: admin
Sau khi đăng nhập thiết bị sẽ báo đổi mật khẩu ngay như hình bên dưới

Thực hiện cấu hình đặt IP quản trị thiết bị tường lửa PAN_site1:



Thực hiện cấu hình đặt IP quản trị thiết bị tường lửa PAN_site2:





2.2 Truy cập vào MGMT
Truy cập vào “MGMT_web1”
Login vào giao diện tường lửa thông qua Web browser với : https://192.168.1.1 Chú ý: Khi truy cập https vào thiết bị sẽ gặp thông báo như sau, chọn vào “Advanced” để tiếp tục:






Truy cập vào “MGMT_web2” Login vào giao diện tường lửa thông qua Web browser với : https://192.168.1.2 :



Sau khi đăng nhập, chọn “Do not show again” > nhấn “Close” để thấy được giao diện quản trị của hệ thống PaloAlto:



2.3 Cấu hình Router Internet
Sử dụng các lệnh sau để cấu hình Router Internet theo sơ đồ sau:




Router>enable
Router#conf t
Router(config)#hostname INTERNET // đổi tên Rourter thành INTERNET




INTERNET(config)#int e 0/0 //Cấu hình interface ethernet 0/0
INTERNET(config-if)#ip address 1.1.1.2 255.255.255.0
INTERNET(config-if)#no sh
INTERNET(config-if)# exit
INTERNET(config)# line con 0
INTERNET(config)# logging synchronous




INTERNET(config)#int e0/1 // Cấu hình interface ethernet 0/1
INTERNET(config-if)#ip address 2.2.2.1 255.255.255.0
INTERNET(config-if)# no sh
INTERNET(config-if)# exit




Cấu hình ROUTE trên Router INTERNET
INTERNET(config)#ip route 1.1.1.0 255.255.255.0 1.1.1.1
INTERNET(config)#ip route 2.2.2.0 255.255.255.0 2.2.2.2
INTERNET(config)#exit
INTERNET#wr //Lưu cấu hình trên Router INTERNET



2.4 Cấu hình PAN_site 1
2.4.1 Cấu hình Interfaces e1/1

Chọn Network > Interfaces > e1/1:



Security Zone > New Zone:



Tạo Zone Oute Side > OK:




Qua Tab IPv4 > Add :



Qua Tab Advanced> Management Profile:



ADD PING > OK:



2.4.2 Cấu hình Interfaces e1/2
Chọn Network > Interfaces > e1/2:



Security Zone > New Zone > Tạo Zone InSide > OK:



Qua Tab IPv4 > Add :



Qua Tab Advanced> Management Profile:



ADD PING > OK:



Link Sate > UP > OK:




2.4.3 Cấu hình Virtual Routers
Chọn Network > Virtual Routers > Default:


Static Routes > Add:



Cấu hình như sau > OK:



Chọn OK để hoàn thành:



Sau khi hoàn tất các bước cấu hình bên trên, chọn Commit để tiến hành lưu và chạy cấu hình mới:



2.5 Cấu hình PAN_site 2
2.5.1 Cấu hình Interfaces e1/1
Chọn Network > Interfaces > e1/1



Security Zone > New Zone:




Tạo Zone Oute Side > OK:



Qua Tab IPv4 > Add :



Qua Tab Advanced> Management Profile:



ADD PING > OK > OK:




2.5.2 Cấu hình Interfaces e1/2
Network > Interfaces > e1/2



Security Zone > New Zone:




Tạo Zone InSide > OK:



Qua Tab IPv4 > Add :



Qua Tab Advanced> Management Profile:



Link Sate > UP > OK:



2.5.3 Cấu hình Virtual Routers

Chọn Network > Virtual Routers > Default:



Static Routes > Add:




Cấu hình như sau > OK:




Chọn OK để hoàn thành:




Sau khi hoàn tất các bước cấu hình bên trên, chọn Commit để tiến hành lưu và chạy cấu hình mới:



2.6 Kiểm tra cấu hình
ROUTER INTERNET:
Từ ROUTER INTERNET, tiến hành ping đến IP của trên port e1/1 của PAN_site1 và PAN_site2:



PANsite1
Từ PAN_site1 tiến hành Ping tới e0/0 của ROUTER INTERNET và e1/1 của PAN_site2:



PANSite2
Từ PAN_site2 tiến hành Ping tới e0/1 của ROUTER INTERNET và e1/1 của PAN_site1:




2.6 Cấu hình PC-site 1, PC-site2
Sử dụng lệnh sau để cấu hình Network trên PC-site1:

sudo ifconfig eth1 10.1.1.99 netmask 255.255.255.0
sudo route add default gw 10.1.1.250 eth1

Kiểm tra bằng các ping tới Default Gateway:



Sử dụng lệnh sau để cấu hình Network trên PC-site2:

sudo ifconfig eth1 10.2.2.99 netmask 255.255.255.0
sudo route add default gw 10.2.2.250 eth1


Như vậy, đã hoàn thành xong quá trình setup môi trường bài Lab VPN site to site trên Palo Alto. Trong phần tiếp theo, bài viết sẽ trình bày các bước cấu hình VPN SITE TO SITE trên Palo Alto và tìm hiểu giao thức thiết lập VPN SITE TO SITE


Kiểm tra bằng các ping tới Default Gateway:

Ủng hộ bác, forums giờ ít bài viết quá