Cấu hình VLAN Interface cho Firewall Palo Alto

Interface vlan trên Firewall Palo Alto là một cổng ảo nhằm nhóm từ 2 hoặc nhiều interface vào thành một cổng duy nhất với số kết nối tương đương số port được thêm, nhằm mở rộng khả năng kết nối của thiết bị mà vẫn đảm bảo các thiết bị đó vẫn nằm trong cùng một DHCP.

Ví dụ bạn đang có một thiết bị Firewall Palo Alto với port 1 đã được cấu hình dãy cấp phát DHCP là 192.168.1.2-100/24, khi các thiết bị cắm vào cổng này nó sẽ nhận được IP từ dãy DHCP cấp phát đó. Sau đó bạn muốn gắn thêm một thiết bị vào port 2 mà vẫn nhận được IP tương tự như port 1 thì Interface VLAN sẽ giúp bạn làm điều đó.


Giải thích một chút về sơ đồ trên:

• Đầu tiên chúng ta sẽ có một đường truyền Internet được kết nối thông qua modem của nhà mạng đã được cấu hình Mode Bridge và được cấu hình PPPoE trên port MGMT của thiết bị tường lửa Palo Alto với IP 113.161.x.x.
• Tiếp theo ở phía trong vùng Lan một Interface VLAN đã thêm 2 port là port 1 và port 2 được tạo với IP 10.0.0.1/24.
• Một DHCP Server đã được tạo trên Interface VLAN này với dãy IP cấp phát từ 10.0.0.2/24 đến 10.0.0.100/24.
• Cuối cùng là 2 máy tính PC1 được kết nối đến port 1 của thiết bị Palo Alto và máy PC2 được kết nối đến port 2 của thiết bị Palo Alto.

Theo sơ đồ, chúng ta sẽ thực hiện cấu hình Interface VLAN theo các bước sau để 2 máy tính PC1 và PC2 mặc dù nối vào 2 port khác nhau vẫn nhận được IP giống nhau thuộc lớp 10.0.0.0/24.

1. Tạo Zone
Để tạo zone vào Networks > Zones > nhấn Add.
Tạo zone Trust-Player2 với các thông tin như sau:

- Name: Trust-Player2
- Type: Layer2
- Nhấn OK để lưu.

Tạo tương tự cho Trust-Player3
Nhấn Commit và nhấn OK đê lưu lại các cấu hình vừa thay đổi.


2. Cấu hình Interface ethernet1/1 và ethernet1/2
Để cấu hình interface vào Networks > Interfaces > Ethernet.
Nhấn vào tên của Interface ethernet1/1 và cấu hình với các thông số sau:

- Interface Type: Layer2
- Nhấn OK để lưu

Tương tự cho Interface ethernet1/2
Nhấn Commit và nhấn OK để lưu lại các thay đổi cấu hình

3. Tạo VLAN Interfaces
Để tạo VLAN Interface vào Networks > Interfaces > VLAN.
Nhấn vào tên interface VLAN đang có sẵn và cấu hình theo các thông số sau:

Tab Config:

- Security Zone: Trust-Player3

Tab IPv4:

- Type: chọn Static
- Nhấn Add và điền địa chỉ IP cho cổng là 10.0.0.1/24.

Nhấn OK để lưu.
Nhấn Commit và nhấn OK để lưu các thay đổi cấu hình.


4. Thêm ethernet1/1 và ethernet1/2 vào VLAN Interface
Để thêm chúng ta vào Networks > VLAN.
Nhấn Add và cấu hình theo các thông số sau:

- Name: VLAN_Interface
- VLAN Interface: chọn cổng vlan vừa cấu hình ở bước 3
- Trong bảng Interfaces: nhấn Add và chọn 2 cổng ethernet1/1 và ethernet1/2
- Nhấn OK để lưu.

Nhấn Commit và nhấn OK để lưu.

5. Tạo Virtual Router
Ta cần tạo Virtual Router và thêm VLAN Interface vào thì mới tạo DHCP Server cho VLAN interface được.
Để tạo Virual Router chúng ta vào Networks > Virtual Routers.
Nhấn Add và tạo theo các thông tin như sau:

Tab Router Settings:

- Name: VR1
- Bảng Interface: nhấn Add và chọn vlan interface.
- Nhấn OK để lưu.

Nhấn Commit và nhấn OK để lưu các thay đổi cấu hình.

6. Tạo DHCP Server cho VLAN Interface
Bước cuối cùng là tạo DHCP Server cho VLAN Interface để khi thiết bị cắm vào cổng này sẽ nhận được IP cấp phát.
Để tạo vào Networks > DHCP.
Nhấn Add và cấu hình theo các thông số sau.

Tab Lease:

- Interface: chọn vlan
- Bảng IP Pools: nhấn Add và nhập vào range IP cần cấp phát.

Tab Options:

- Gateway: nhập vào IP của interface vlan là 10.0.0.1.
- Subnet mask: 255.255.255.0
- Primary DNS: có thể nhập DNS nội bộ nếu có, ví dụ nhập DNS Google.
- Secondary DNS: tương tự Primary DNS.

Sau khi đã cấu hình xong, ta kết nối thiết bị PC1 vào cổng ethernet1/1 và thiết bị PC2 vào cổng ethernet1/2.

Kết quả là cả 2 thiết bị PC1 và PC2 đều nhận được IP cấp phát từ DHCP Server đã tạo cho VLAN Interface với IP lần lượt là 10.0.0.2 và 10.0.0.3 đúng với tình huống mà chúng ta đã nêu ra là PC1 và PC2 đều nhận được IP thuộc cùng một lớp mạng.