[Palo Alto] Hướng dẫn cấu hình định tuyến ứng dụng đi theo đường WAN chỉ định

Thảo luận trong 'Firewall Khác' bắt đầu bởi hvminh, 11/1/22.

Tags:
  1. hvminh

    hvminh Member

    - Bài viết hướng dẫn cách cấu hình routing lưu lượng mạng cho ứng dụng đi theo một đường internet được chỉ định.
    [​IMG]
    Sơ đồ mạng triển khai

    Chi tiết sơ đồ mạng:
    • Có 2 đường WAN đang kết nối vào tường lửa Palo Alto và chạy Load Balacing, trong đó internet WAN 1 kết nối vào port ethernet1/1 của Palo Alto Firewall với IP 14.169.x.x.
    • Đường truyền WAN đang kết nối vào tường lửa Palo Alto tại port ethernet1/2 với IP 192.168.15.2.
    • Port ethernet1/4 sẽ thuộc vùng mạng LAN của Firewall Palo Alto có IP 172.16.31.1/24 và đã được cấu hình DHCP để cấp phát IP cho client.
    • Cuối cùng là 2 laptop trong mạng LAN.
      • Laptop 1 có IP 172.16.31.100/24.
      • Laptop 2 có IP 172.16.31.101/24.

    Tình huống cấu hình:
    - Chúng ta sẽ thực hiện cấu hình routing ứng dụng để khi người dùng trên laptop 1 sử dụng ứng dụng Skype thì traffic của ứng dụng này sẽ đi bằng đường WAN 1.
    - Tương tự chúng ta sẽ cấu hình routing ứng dụng để khi người dùng trên laptop 2 sử dụng ứng dụng Telegram thì traffic của ứng dụng này sẽ đi bằng đường WAN.

    Các bước thực hiện:
    - Tạo Address Objects cho cả 2 Laptop.
    - Tạo Security Policy cho Laptop 1.
    - Tạo Security Policy cho Laptop 2.
    - Kiểm tra kết quả.

    Hướng dẫn cấu hình:
    1. Tạo Address Objects cho Laptop 1 và Laptop 2:
    - Để tạo vào Objects > Addresses > click Add và tạo với các thông số sau:
    • Name: Laptop 1.
    • Type: IP Netmask – 172.16.31.100.
    • Click OK.
    [​IMG]

    - Tương tự nhấn Add 1 lần nữa để tạo Address Objects cho Laptop 2 với thông số sau:
    • Name: Laptop 2.
    • Type: IP Netmask – 172.16.31.101.
    • Click OK.
    [​IMG]

    - Nhấn CommitOK để lưu các thay đổi cấu hình.

    2.Tạo Security Policy cho Laptop 1:
    - Để tạo vào Policies > Security > click Add.
    - Tạo với các thông số sau:
    • General tab:
      • Name: Routing_Laptop1_For_Skype
    [​IMG]
    • Source tab:
      • Source Zone: click Add và chọn LAN zone.
      • Source Address: click Add và chọn Address Objects Laptop 1
    [​IMG]
    • Destination tab:
      • Destination Zone: chọn WAN1.
    [​IMG]
    • Application tab:
      • Click Add và chọn Skype.
    [​IMG]
    • Action tab:
      • Action: chọn Allow.
      • Log Setting: chọn Log at Session End.
      • Click OK.
    [​IMG]

    - Click CommitOK để lưu các thay đổi cấu hình.

    3.Tạo Security Policy cho Laptop 2:
    - Để tạo vào Policies > Security > click Add.
    - Tạo với các thông số sau:
    • General tab
      • Name: Routing_Laptop1_For_Telegram
    [​IMG]
    • Source tab:
      • Source Zone: click Add và chọn LAN zone.
      • Source Address: nhấn Add và chọn Address Objects Laptop 2.
    [​IMG]
    • ·Destination tab:
      • Destination Zone: chọn WAN.
    [​IMG]
    • Application tab:
      • Click Add và chọn Telegram.
    [​IMG]
    • Action tab:
      • Action: chọn Allow.
      • Log Setting: chọn Log at Session End.
      • Click OK.
    [​IMG]

    - Click CommitOK để lưu các thay đổi cấu hình.

    4. Kiểm tra kết quả:
    - Chúng ta sẽ thực hiện sử dụng 2 ứng dụng Skype và Telegram để kiểm tra kết quả.
    - Trên Laptop1 sử dụng ứng dụng Skype để gọi điện thoại.
    [​IMG]

    - Sau đó vào Monitor > Logs > Traffic trên Firewall Palo Alto để kiểm tra.
    - Kết quả chúng ta có thể thấy được là traffic của ứng dụng Skype mà Laptop1 sử dụng đã đi qua đường WAN1 với policy Routing_Laptop1_For_Skype.
    [​IMG]

    - Tương tự laptop 2 chúng ta cũng sử dụng ứng dụng Telegram gọi điện thoại.
    [​IMG]

    - Sau đó vào Monitor > Logs > Traffic để kiểm tra.
    - Kết quả chúng ta có thể thấy được là traffic của ứng dụng Skype mà Laptop2 sử dụng đã đi qua đường WAN với policy Routing_Laptop1_For_Telegram.
    [​IMG]

    ---o0o---
     
    hvminh, 11/1/22
    #1

trang này