Firewall Palo Alto - Alta Disponibilidade de Link de Internet e VPN Site-to-Site (Dual ISP and VPN)

-
Neste artigo vou ensinar como configurar o Firewall Palo Alto para trabalhar com Alta Disponibilidade de Link de Internet (2 links de Internet) e VPN, vamos configurar 2 (dois) Palo Alto PA-5050 simulando a comunicação entre a Matriz e sua filial, ambos os sites com 2 Links de Internet (ISP1 - Link de Internet Principal e IPS2 - Link de Internet Backup)

Cenário deste artigo: 
 
Configuração de rede:
- Firewall Matriz (pafw1)
eth1/1 - 10.205.0.100 - Link Principal
eth1/2 - 192.168.0.100 - Link Backup
eth1/3 - 10.0.0.254 - Rede Interna (matriz)

- Firewall Filial (pafw2)
eth1/1 - 10.205.0.101 - Link Principal
eth1/2 - 192.168.0.101 - Link Backup
eth1/3 - 20.0.0.254 - Rede Interna (filial)

VPN site-to-site (matriz x filial)
Tunnel.1 - Rede 169.254.1.0/30 - VPN Principal
Tunnel.2 - Rede 169.254.2.0/30 - VPN Backup

Não vou abordar neste artigo a configuração básica do equipamento, por se tratar de uma configuração "Avançada", subentende-se que você tenha o mínimo de conhecimento em Palo Alto e já tenha feito a configuração inicial para acessar o painel de administração (manager) e seguir na configuração deste cenário.

Vamos começar configurando o firewall da Matriz, vamos chamar o firewall Matriz de pafw1 e o firewall da Filial de pafw2.

pafw1 - configuração de rede:

 

 - No Firewall Matriz (pafw1), vamos começar pelo Virtual Routes, vamos criar 2 (dois) Virtual Routes que serão utilizados na configuração de Failover, vamos criar os Virtual Routers VR1 e VR2 conforme a imagem abaixo:

Na imagem como pode reparar já estão configuradas as interfaces do Firewall em seus devidos Virtual Routers, a eth1/1 onde temos o Link Principal de Internet fica na VR1 e as demais interfaces e tuneis ficam no VR2, esse esquema é utilizado em conjunto com as PBF (Policy Based Forwarding). Segundo o fabricante as PBF tem prioridade sobre a tabela de roteamento, mas é preciso engana-las para tal finalidade hehe! Vamos ver como, na VR1 vamos configura as rotas estáticas (Static Routes) das redes envolvidas com o próximo salto para a VR2 (next-VR):

 Continua.......





Postagens mais visitadas deste blog

Firewall Palo Alto - Configuração inicial

-
Neste artigo descrevo como fazer a configuração inicial de uma caixa nova (Palo Alto) ou que foi zerada a configuração (factory reset). Vamos inicialmente trocar a senha da conta admin e definir um IP para a Interface Manager e assim poder acessar o painel de administração do firewall via HTTPS. Vamos começar conectando o cabo serial a porta Console do Firewall e acessar via putty ( acesso serial: 9600-8-N-1). No primeiro acesso a conta de administrador default "admin" vem com senha admin. Fazer login na caixa com os dados padrão, usuário admin e senha admin:  P A-5050 login: admin  Password: admin Por segurança já altere a senha padrão:  admin@PA-5050# set password  Enter old password: senha antiga (admin)  Enter new password: nova senha  Confirm password: repita nova senha   Agora vamos configurar os dados do IP e rede de gerencia da caixa:  admin@PA-5050#; configure  admin@PA-5050# set deviceconfig system ip-address 192.168.0....
Leia mais