paloalto

1. 【paloalto】#1
アジェンダ
0900～0910 起動・物理結線
0910～0920 ホスト名設定
0920～0940 ゾーン設定、インターフェース設定
0950～1000 インターフェースプロファイル
1000～1010 コンフィグの差分
1010～1020 ping、スタティックルート
1020～1030 インターネット疎通、ログ確認
鈴木メモ
palo×3、PC×5、スイッチ×2
GUIとCUIでセッションを2つ使う
commitはCUIでしておき、次の設定をGUIで
今日、出来るようになる事
paloaltoの初期設定（GUI）（CUI）
鈴木備忘メモ
1
untrustのPCに以下を追加
route print
route add 192.168.10.0 mask 255.255.255.0 192.168.210.207
route add 192.168.20.0 mask 255.255.255.0 192.168.210.208
route add 192.168.30.0 mask 255.255.255.0 192.168.210.209
route print
R05ルーターに以下を追加
ip route 192.168.10.0 255.255.255.0 192.168.210.207
ip route 192.168.20.0 255.255.255.0 192.168.210.208
ip route 192.168.30.0 255.255.255.0 192.168.210.209

2. 【paloalto】#1 システム構成図
trust（192.168.10.0/24） trust（192.168.20.0/24） trust（192.168.30.0/24）
2
DMZ（192.168.214.0/24）
untrust（192.168.210.0/24）
1
1 1
2
2 2
3
3 3
1 2 3
1 2 3
9
8
R05ルータ
インターネット
8
192.168.210.207 192.168.210.208
192.168.210.209
192.168.214.1 192.168.214.2 192.168.214.3
192.168.214.10
255.255.255.0
192.168.214.1
192.168.214.2
192.168.214.3
192.168.10.1 192.168.20.1
192.168.30.1
192.168.1.2
192.168.20.10 192.168.30.10
route print
route add 192.168.10.0 mask 255.255.255.0 192.168.210.207
route add 192.168.20.0 mask 255.255.255.0 192.168.210.208
route add 192.168.30.0 mask 255.255.255.0 192.168.210.209
route print
192.168.210.210
255.255.255.0
192.168.210.254
DMZのPC
untrustのPC
社内のPC
社内のPC
社内のPC
MGT
192.168.1.1
192.168.10.10

3. 【paloalto】#1 IPアドレス表
参加者１ 参加者２ 参加者３
PCのIPアドレス 192.168.1.2
↓
192.168.10.10
192.168.1.2
↓
192.168.20.10
192.168.1.2
↓
192.168.30.10
paloalto
ethernet1/1
192.168.210.207 192.168.210.208 192.168.210.209
ethernet1/2 192.168.10.1 192.168.20.1 192.168.30.1
ethernet1/3 192.168.214.1 192.168.214.2 192.168.214.3
3

4. 【paloalto】#1 PCにIPアドレスを設定する
手順１ paloaltoに電源を入れます
本モデルのpaloaltoは起動に8分程度かかります。
利用する機器 PA-200 2018年10月に販売終了
2021年8月 1台12,500円～15,000円でヤフオクで落札可能
手順２ PCのIPアドレスを「192.168.1.2」に変更する。
理由:paloaltoの「MGT」ポートの初期IPアドレスが「192.168.1.1」の為。
「windows+r」→「ncpa.cpl」→「OK」
「イーサネット」or「ローカルエリア接続」
手順３
「インターネットプロトコルバージョン4」→「プロパティ」
→「次のIPアドレスを使う」
→IPアドレス「192.168.1.2」「255.255.255.0」
手順４
物理結線を実施する
PC ←→ PaloaltoのMGTポート
paloalto 1/1 ←→ untrustスイッチ
paloalto 1/2 ←→ DMZスイッチ
4
LEDランプが点灯
した事を確認する

5. 【paloalto】#1 paloaltoのホスト名を設定する（１）
STATUSのLED
が「緑」になるのを待つ
手順５ ブラウザから https://192.168.1.1 にアクセスし
admin / admin でログインする
「OK」をクリックする
手順６「Device」→「セットアップ」→「 （はぐるま）」
手順７ ホスト名を設定する
ホスト名
PA-01、PA-02、PA-03
タイムゾーン
Asia/Tokyo
表示言語
5

6. 【paloalto】#1 paloaltoのホスト名を設定する（２）
手順８ commit
GUIでの設定、CUIでの確認方法、コミットについて確認します
コミット
1分50秒くらい
手順９ CUIで確認する。teratermにて「192.168.1.1」
admin / admin
コマンドから確認
6
admin@PA-01> show system info | match hostname
hostname: PA-01
admin@PA-01>

7. 【paloalto】#1 バーチャルワイヤーを削除
手順１０ GUIでバーチャルワイヤーを削除します
「Network」→「バーチャルワイヤー」→「default-wire」にチェック→「ー削除」→コミット
7

8. 【paloalto】#1 ゾーンにインターフェースをアサイン
手順11 「trust」ゾーンにインターフェース「eternet1/2」を、「untrust」ゾーンに「ethernet1/1」を設定する
「ネットワーク」→「ゾーン」→「trust」 typeを「layer3」にinterfaceを「ethernet1/2」設定する
「ネットワーク」→「ゾーン」→「untrust」 typeを「layer3」にinterfaceを「ethernet1/1」設定する
8

9. 【paloalto】#1
paloaltoのインターフェースにIPアドレスを設定する（１）
手順１2 「ethernet1/1」にuntrust側のIPアドレス（192.168.210.207 ,
192.168.210.208 , 192.168.210.209）を設定する
「Network」→「インターフェース」→「ethernt1/1」
手順１3 インターフェース設定、新規ゾーンを作成する
インターフェースタイプ「レイヤー3」仮想ルータ「default」
セキュリティゾーン「untrust」
手順１４ IPv4に 「＋追加」「192.168.210.207/24」
「 192.168.210.208/24 」 「 192.168.210.209/24 」→OK
9

10. 【paloalto】#1
paloaltoのインターフェースにIPアドレスを設定する（２）
手順１5 「ethernet1/2」にtrust側のIPアドレス（192.168.10.1 ,
192.168.20.1 , 192.168.30.1）を設定する
「Network」→「インターフェース」→「ethernt1/2」
手順１６ インターフェース設定、新規ゾーンを作成する
インターフェースタイプ「レイヤー3」仮想ルータ「default」
セキュリティゾーン「trust」
手順１7 IPに 「192.168.10.1/24」
「 192.168.20.1/24 」 「 192.168.30.1/24 」→OK
10

11. 【paloalto】#1 paloaltoをping応答させる（１）
手順19 インターフェース管理プロファイルを作成する
「Network」→「ネットワークプロファイル」→「インターフェース管理」
→「＋追加」
手順２０ 名前:interface-profile、「ping」「SSH」「HTTPS」「SNMP」
「応答ページ」
「＋追加」→アクセス許可IPアドレス「192.168.10.0/24」
11

12. 【paloalto】#1 paloaltoをping応答させる（２）
手順21 作成した管理プロファイルをインターフェースethernet1/2に設定する。
「ネットワーク」→「インターフェース」→「ethernet1/2」→「詳細」→「その他の情報」→「管理プロファイル」→「interface-profile」を選択
12

13. 【paloalto】#1
GUI設定（差分のコンフィグ）を確認してコミットする
手順２１ CLIとwebで確認する
手順２２ コミットする。1分40秒程度待つ
Webから
「Device」→「設定監査」→「20」→「実行」
13
admin@PA-01> show config diff
interface {
ethernet {
ethernet1/1 {
- virtual-wire;
+ layer3 {
+ ipv6 {
+ neighbor-discovery {
+ router-advertisement {
+ enable no;
+ }
+ }
+ }
+ ndp-proxy {
+ enabled no;
+ }
+ ip {
+ 192.168.210.208/24;
+ }
+ lldp {
+ enable no;
+ }
+ }
admin@PA-02> configure
Entering configuration mode
[edit]
admin@PA-02# commit
Commit job 4 is in progress. Use Ctrl+C to return to command prompt
..........................55%...60%75%..98%.................100%
Configuration committed successfully
[edit]
admin@PA-02#
確認point
１．
下スクロール

14. 【paloalto】#1 paloaltoから疎通試験をする。
手順２３ PCのIPアドレスを変更する
（192.168.10.10 192.168.210.10 192.168.30.10）
手順２４ paloaltoの接続ポートを
「MGT」から「2」に変更する
teratermの接続先IPを「192.168.10.1」「192.168.20.1」
「192.168.30.1」に変更する
手順２５ paloaltoからPCに疎通確認を実施する
paloaltoから社内のPCへ
paloaltoからuntrustのPCへ
paloaltoのpingは
どのインターフェースから、どのホストへの形で記載します
14
admin@PA-01> ping source 192.168.10.1 host 192.168.10.10
PING 192.168.10.10 (192.168.10.10) from 192.168.10.1 : 56(84) bytes of data.
64 bytes from 192.168.10.10: icmp_seq=1 ttl=128 time=0.766 ms
64 bytes from 192.168.10.10: icmp_seq=2 ttl=128 time=0.607 ms
64 bytes from 192.168.10.10: icmp_seq=3 ttl=128 time=0.733 ms
^C
--- 192.168.10.10 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2006ms
rtt min/avg/max/mdev = 0.607/0.702/0.766/0.068 ms
admin@PA-01>
admin@PA-01> ping source 192.168.210.207 host 192.168.210.210
PING 192.168.210.210 (192.168.210.210) from 192.168.210.207 : 56(84) bytes of data.
64 bytes from 192.168.210.210: icmp_seq=2 ttl=128 time=0.836 ms
64 bytes from 192.168.210.210: icmp_seq=3 ttl=128 time=0.806 ms
64 bytes from 192.168.210.210: icmp_seq=4 ttl=128 time=0.768 ms
^C
--- 192.168.210.210 ping statistics ---
4 packets transmitted, 3 received, 25% packet loss, time 3023ms
rtt min/avg/max/mdev = 0.768/0.803/0.836/0.036 ms
admin@PA-01>

15. 【paloalto】#1 paloaltoからインターネットへ つなげる（１）
手順２６ ブラウザのIPアドレスを変更する
デフォルトルート、ネクストホップを設定する。
「Network」→「仮想ルータ―」→「default」
スタティックルート
「＋追加」
15
名前
→「Default-Route」
宛先
→「0.0.0.0/0」
インターフェース
→「ethernet1/1」
ネクストホップ
→「IPアドレス」
「192.168.210.254」

16. 【paloalto】#1 paloaltoからインターネットへ つなげる（２）
手順２７ コミット、
googleのDNSサーバへつながるかを確認する。
PAを超える（またぐ）通信を確認します
手順２８ 社内PCから、googleのDNSサーバにpingします。
ping 8.8.8.8
通信出来ます
16
admin@PA-02> configure
Entering configuration mode
[edit]
admin@PA-02# commit
Commit job 5 is in progress. Use Ctrl+C to return to command prompt
.....................55%.....75%....98%................100%
Configuration committed successfully
[edit]
admin@PA-02# exit
Exiting configuration mode
admin@PA-02> ping source 192.168.210.208 host 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.210.208 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=2 ttl=117 time=4.15 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=117 time=7.25 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=117 time=6.06 ms
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 3 received, 25% packet loss, time 3032ms
rtt min/avg/max/mdev = 4.152/5.826/7.257/1.279 ms
admin@PA-02>

17. 【paloalto】#1 PCからインターネット利用する
手順２９ paloaltoが許可している事を確認します
デフォルトでは、１行目のポリシーが、「trust」から「untrust」への通信を許可しています
「policies」→「セキュリティ」→「１」
手順３０ ログを確認します
17

18. 【paloalto】#1 コンフィグをバックアップします
手順31 「Device」→「setup」→「Operations」→「Export named configuration snapshot」
→「running-config.xml」
18

19. 【paloalto】#1 paloaltoを工場出荷に戻す
手順３２
おしまい
おつかれさまでした!
19
admin@PA-01> request system private-data-reset
Executing this command will remove all logs and configuration will revert back to factory defaults. The system will
restart and then reset the data. Are you sure you want to continue? (y/n) (y or n)