首先,写本文的目的想利用简单的LAB拓扑环境,使大家对Paloalto能够有一个简单的印象和记忆,知道它是如何进行策略部署,算是一个扫盲普及吧。当然下文还是需要有点防火墙的基础知识才能理解的。至于更详细和深入的理论,希望感兴趣的小伙伴多多查阅下面的官网。
https://www.paloaltonetworks.com/
如果想自己动手探索的小伙伴,需要自己安装PA的VM环境,具体过程请参考以前的写的文章:Paloalto 系统初始化和管理实验演示拓扑图
实验演示拓扑图
PA VM实验版本
Policy rule 的类型:
Policy rule 的匹配规则:
NAT处理过程:
实验拓扑PA配置
设置接口地址,划分zone,添加ping的profile,否则你直连无法ping通
演示其中一个VR配置(每一个三层接口只能属于一个VR,每个VR都是相互独立的,VR间可以路由,但下一跳必须是VR中的地址)
额外演示一下VR中OSPF以及重分布如何配置(与本实验路由无关):
此时Inside区域内的主机就可以ping通Internet了。
做NAT的配置演示
添加object中的address,并分类打上颜色tag:
做静态地址转换:
上面图示中Bi-directional代表双向转换,勾选上
做策略进行流量放行(强调一下,是基于转换前地址和目标zone):
结果成功验证:在PA底层使用show session all 查看
动态地址转换演示
做策略进行流量放行(强调一下,是基于转换前地址和目标zone):
结果成功验证:在PA底层使用show session all 查看