Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

of

Paloalto#1 Slide 1 Paloalto#1 Slide 2 Paloalto#1 Slide 3 Paloalto#1 Slide 4 Paloalto#1 Slide 5 Paloalto#1 Slide 6 Paloalto#1 Slide 7 Paloalto#1 Slide 8 Paloalto#1 Slide 9 Paloalto#1 Slide 10 Paloalto#1 Slide 11 Paloalto#1 Slide 12 Paloalto#1 Slide 13 Paloalto#1 Slide 14 Paloalto#1 Slide 15 Paloalto#1 Slide 16 Paloalto#1 Slide 17 Paloalto#1 Slide 18 Paloalto#1 Slide 19
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

Download to read offline

Paloalto#1

Download to read offline

paloalto

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Paloalto#1

  1. 1. 【paloalto】#1 アジェンダ 0900~0910 起動・物理結線 0910~0920 ホスト名設定 0920~0940 ゾーン設定、インターフェース設定 0950~1000 インターフェースプロファイル 1000~1010 コンフィグの差分 1010~1020 ping、スタティックルート 1020~1030 インターネット疎通、ログ確認 鈴木メモ palo×3、PC×5、スイッチ×2 GUIとCUIでセッションを2つ使う commitはCUIでしておき、次の設定をGUIで 今日、出来るようになる事 paloaltoの初期設定(GUI)(CUI) 鈴木備忘メモ 1 untrustのPCに以下を追加 route print route add 192.168.10.0 mask 255.255.255.0 192.168.210.207 route add 192.168.20.0 mask 255.255.255.0 192.168.210.208 route add 192.168.30.0 mask 255.255.255.0 192.168.210.209 route print R05ルーターに以下を追加 ip route 192.168.10.0 255.255.255.0 192.168.210.207 ip route 192.168.20.0 255.255.255.0 192.168.210.208 ip route 192.168.30.0 255.255.255.0 192.168.210.209
  2. 2. 【paloalto】#1 システム構成図 trust(192.168.10.0/24) trust(192.168.20.0/24) trust(192.168.30.0/24) 2 DMZ(192.168.214.0/24) untrust(192.168.210.0/24) 1 1 1 2 2 2 3 3 3 1 2 3 1 2 3 9 8 R05ルータ インターネット 8 192.168.210.207 192.168.210.208 192.168.210.209 192.168.214.1 192.168.214.2 192.168.214.3 192.168.214.10 255.255.255.0 192.168.214.1 192.168.214.2 192.168.214.3 192.168.10.1 192.168.20.1 192.168.30.1 192.168.1.2 192.168.20.10 192.168.30.10 route print route add 192.168.10.0 mask 255.255.255.0 192.168.210.207 route add 192.168.20.0 mask 255.255.255.0 192.168.210.208 route add 192.168.30.0 mask 255.255.255.0 192.168.210.209 route print 192.168.210.210 255.255.255.0 192.168.210.254 DMZのPC untrustのPC 社内のPC 社内のPC 社内のPC MGT 192.168.1.1 192.168.10.10
  3. 3. 【paloalto】#1 IPアドレス表 参加者1 参加者2 参加者3 PCのIPアドレス 192.168.1.2 ↓ 192.168.10.10 192.168.1.2 ↓ 192.168.20.10 192.168.1.2 ↓ 192.168.30.10 paloalto ethernet1/1 192.168.210.207 192.168.210.208 192.168.210.209 ethernet1/2 192.168.10.1 192.168.20.1 192.168.30.1 ethernet1/3 192.168.214.1 192.168.214.2 192.168.214.3 3
  4. 4. 【paloalto】#1 PCにIPアドレスを設定する 手順1 paloaltoに電源を入れます 本モデルのpaloaltoは起動に8分程度かかります。 利用する機器 PA-200 2018年10月に販売終了 2021年8月 1台12,500円~15,000円でヤフオクで落札可能 手順2 PCのIPアドレスを「192.168.1.2」に変更する。 理由:paloaltoの「MGT」ポートの初期IPアドレスが「192.168.1.1」の為。 「windows+r」→「ncpa.cpl」→「OK」 「イーサネット」or「ローカルエリア接続」 手順3 「インターネットプロトコルバージョン4」→「プロパティ」 →「次のIPアドレスを使う」 →IPアドレス「192.168.1.2」「255.255.255.0」 手順4 物理結線を実施する PC ←→ PaloaltoのMGTポート paloalto 1/1 ←→ untrustスイッチ paloalto 1/2 ←→ DMZスイッチ 4 LEDランプが点灯 した事を確認する
  5. 5. 【paloalto】#1 paloaltoのホスト名を設定する(1) STATUSのLED が「緑」になるのを待つ 手順5 ブラウザから https://192.168.1.1 にアクセスし admin / admin でログインする 「OK」をクリックする 手順6「Device」→「セットアップ」→「 (はぐるま)」 手順7 ホスト名を設定する ホスト名 PA-01、PA-02、PA-03 タイムゾーン Asia/Tokyo 表示言語 5
  6. 6. 【paloalto】#1 paloaltoのホスト名を設定する(2) 手順8 commit GUIでの設定、CUIでの確認方法、コミットについて確認します コミット 1分50秒くらい 手順9 CUIで確認する。teratermにて「192.168.1.1」 admin / admin コマンドから確認 6 admin@PA-01> show system info | match hostname hostname: PA-01 admin@PA-01>
  7. 7. 【paloalto】#1 バーチャルワイヤーを削除 手順10 GUIでバーチャルワイヤーを削除します 「Network」→「バーチャルワイヤー」→「default-wire」にチェック→「ー削除」→コミット 7
  8. 8. 【paloalto】#1 ゾーンにインターフェースをアサイン 手順11 「trust」ゾーンにインターフェース「eternet1/2」を、「untrust」ゾーンに「ethernet1/1」を設定する 「ネットワーク」→「ゾーン」→「trust」 typeを「layer3」にinterfaceを「ethernet1/2」設定する 「ネットワーク」→「ゾーン」→「untrust」 typeを「layer3」にinterfaceを「ethernet1/1」設定する 8
  9. 9. 【paloalto】#1 paloaltoのインターフェースにIPアドレスを設定する(1) 手順12 「ethernet1/1」にuntrust側のIPアドレス(192.168.210.207 , 192.168.210.208 , 192.168.210.209)を設定する 「Network」→「インターフェース」→「ethernt1/1」 手順13 インターフェース設定、新規ゾーンを作成する インターフェースタイプ「レイヤー3」仮想ルータ「default」 セキュリティゾーン「untrust」 手順14 IPv4に 「+追加」「192.168.210.207/24」 「 192.168.210.208/24 」 「 192.168.210.209/24 」→OK 9
  10. 10. 【paloalto】#1 paloaltoのインターフェースにIPアドレスを設定する(2) 手順15 「ethernet1/2」にtrust側のIPアドレス(192.168.10.1 , 192.168.20.1 , 192.168.30.1)を設定する 「Network」→「インターフェース」→「ethernt1/2」 手順16 インターフェース設定、新規ゾーンを作成する インターフェースタイプ「レイヤー3」仮想ルータ「default」 セキュリティゾーン「trust」 手順17 IPに 「192.168.10.1/24」 「 192.168.20.1/24 」 「 192.168.30.1/24 」→OK 10
  11. 11. 【paloalto】#1 paloaltoをping応答させる(1) 手順19 インターフェース管理プロファイルを作成する 「Network」→「ネットワークプロファイル」→「インターフェース管理」 →「+追加」 手順20 名前:interface-profile、「ping」「SSH」「HTTPS」「SNMP」 「応答ページ」 「+追加」→アクセス許可IPアドレス「192.168.10.0/24」 11
  12. 12. 【paloalto】#1 paloaltoをping応答させる(2) 手順21 作成した管理プロファイルをインターフェースethernet1/2に設定する。 「ネットワーク」→「インターフェース」→「ethernet1/2」→「詳細」→「その他の情報」→「管理プロファイル」→「interface-profile」を選択 12
  13. 13. 【paloalto】#1 GUI設定(差分のコンフィグ)を確認してコミットする 手順21 CLIとwebで確認する 手順22 コミットする。1分40秒程度待つ Webから 「Device」→「設定監査」→「20」→「実行」 13 admin@PA-01> show config diff interface { ethernet { ethernet1/1 { - virtual-wire; + layer3 { + ipv6 { + neighbor-discovery { + router-advertisement { + enable no; + } + } + } + ndp-proxy { + enabled no; + } + ip { + 192.168.210.208/24; + } + lldp { + enable no; + } + } admin@PA-02> configure Entering configuration mode [edit] admin@PA-02# commit Commit job 4 is in progress. Use Ctrl+C to return to command prompt ..........................55%...60%75%..98%.................100% Configuration committed successfully [edit] admin@PA-02# 確認point 1. 下スクロール
  14. 14. 【paloalto】#1 paloaltoから疎通試験をする。 手順23 PCのIPアドレスを変更する (192.168.10.10 192.168.210.10 192.168.30.10) 手順24 paloaltoの接続ポートを 「MGT」から「2」に変更する teratermの接続先IPを「192.168.10.1」「192.168.20.1」 「192.168.30.1」に変更する 手順25 paloaltoからPCに疎通確認を実施する paloaltoから社内のPCへ paloaltoからuntrustのPCへ paloaltoのpingは どのインターフェースから、どのホストへの形で記載します 14 admin@PA-01> ping source 192.168.10.1 host 192.168.10.10 PING 192.168.10.10 (192.168.10.10) from 192.168.10.1 : 56(84) bytes of data. 64 bytes from 192.168.10.10: icmp_seq=1 ttl=128 time=0.766 ms 64 bytes from 192.168.10.10: icmp_seq=2 ttl=128 time=0.607 ms 64 bytes from 192.168.10.10: icmp_seq=3 ttl=128 time=0.733 ms ^C --- 192.168.10.10 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2006ms rtt min/avg/max/mdev = 0.607/0.702/0.766/0.068 ms admin@PA-01> admin@PA-01> ping source 192.168.210.207 host 192.168.210.210 PING 192.168.210.210 (192.168.210.210) from 192.168.210.207 : 56(84) bytes of data. 64 bytes from 192.168.210.210: icmp_seq=2 ttl=128 time=0.836 ms 64 bytes from 192.168.210.210: icmp_seq=3 ttl=128 time=0.806 ms 64 bytes from 192.168.210.210: icmp_seq=4 ttl=128 time=0.768 ms ^C --- 192.168.210.210 ping statistics --- 4 packets transmitted, 3 received, 25% packet loss, time 3023ms rtt min/avg/max/mdev = 0.768/0.803/0.836/0.036 ms admin@PA-01>
  15. 15. 【paloalto】#1 paloaltoからインターネットへ つなげる(1) 手順26 ブラウザのIPアドレスを変更する デフォルトルート、ネクストホップを設定する。 「Network」→「仮想ルータ―」→「default」 スタティックルート 「+追加」 15 名前 →「Default-Route」 宛先 →「0.0.0.0/0」 インターフェース →「ethernet1/1」 ネクストホップ →「IPアドレス」 「192.168.210.254」
  16. 16. 【paloalto】#1 paloaltoからインターネットへ つなげる(2) 手順27 コミット、 googleのDNSサーバへつながるかを確認する。 PAを超える(またぐ)通信を確認します 手順28 社内PCから、googleのDNSサーバにpingします。 ping 8.8.8.8 通信出来ます 16 admin@PA-02> configure Entering configuration mode [edit] admin@PA-02# commit Commit job 5 is in progress. Use Ctrl+C to return to command prompt .....................55%.....75%....98%................100% Configuration committed successfully [edit] admin@PA-02# exit Exiting configuration mode admin@PA-02> ping source 192.168.210.208 host 8.8.8.8 PING 8.8.8.8 (8.8.8.8) from 192.168.210.208 : 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=2 ttl=117 time=4.15 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=117 time=7.25 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=117 time=6.06 ms ^C --- 8.8.8.8 ping statistics --- 4 packets transmitted, 3 received, 25% packet loss, time 3032ms rtt min/avg/max/mdev = 4.152/5.826/7.257/1.279 ms admin@PA-02>
  17. 17. 【paloalto】#1 PCからインターネット利用する 手順29 paloaltoが許可している事を確認します デフォルトでは、1行目のポリシーが、「trust」から「untrust」への通信を許可しています 「policies」→「セキュリティ」→「1」 手順30 ログを確認します 17
  18. 18. 【paloalto】#1 コンフィグをバックアップします 手順31 「Device」→「setup」→「Operations」→「Export named configuration snapshot」 →「running-config.xml」 18
  19. 19. 【paloalto】#1 paloaltoを工場出荷に戻す 手順32 おしまい おつかれさまでした! 19 admin@PA-01> request system private-data-reset Executing this command will remove all logs and configuration will revert back to factory defaults. The system will restart and then reset the data. Are you sure you want to continue? (y/n) (y or n)

paloalto

Views

Total views

47

On Slideshare

0

From embeds

0

Number of embeds

0

Actions

Downloads

5

Shares

0

Comments

0

Likes

0

×