 |
前回でMGTポートの設定まで完了したので、今回はMGTポート以外の設定に進みたいと思う。 具体的には下図の通り、赤線部分を接続し、PA220-1のE1/3とE1/4ポートにIPアドレスなどを設定し、検証PC1からインターネットなどにアクセスできるところまで実施したいと思う。  |
 |
なるほど。なんか一気にハードル上がった気がするなあ。 |
|
そうだね。頑張っていこう! まずはE1/3(ethernet1/3)にIPアドレス(192.168.11.231/24)などを設定してきます。今回はGUIでいきます。尚、既に結線は完了しています。 |
①
「NETWORK」→「Interfaces」→「ethernet1/3」と進みます。
尚、結線済のため1/3も1/4もLINK STATEは緑色になっています。
②
・interface Typeを「Tap」から「Layer3」に変更します。
・Virtual Routerを「none」から「default」に変更します。
・Security Zoneのプルダウンを押して、「New Zone」を押します。
③Nameに任意の名前をつけます。今回は「Untrust」にしました。右下のOKを押します。
④「IPv4」を押します。
⑤「Add」を押し、インターフェースに割り当てるIP(今回は192.168.11.231/24)を入力後、「Advanced」を押します。
⑥プルダウンを押し、「New Management Profile」を押します。
⑥このポート宛の管理通信(Ping、ssh、httpsなど)を受け入れるか拒否するかは、Management Profileで制御します。
E1/3はインターネット側のポートなので、Pingのみを許可するManagement Profileを作成し適用することにします。
Nameは任意ですが「PingOK」にし、Pingだけにチェックを入れOKを押します。
⑦下記画面に戻ったらOKを押します。
⑧画面右上の「Commit」を押し・・・
⑨更に「Commit」を押します。
⑩Commit完了
|
ふむふむ。IPアドレスだけじゃなく、ゾーンも設定してあげないといけないんだね。 |
|
そうだね。今後、検証PCからインターネットとかにアクセスできるようセキュリティポリシーを設定する際に、このゾーンが必要になるんだ。 |
|
なるほど。これでじゃあFAT-PCからE1/3(192.168.11.231)にPingが飛ぶようになったのかな? お、無事飛びました。  |
|
ありがとう。OKだね。E1/3への管理通信はPingしか許可していないから、SSHやHTTPSでのアクセスはできない。 |
|
ほんとだ、SSHで接続しようとしたら「ホストに接続できません」になりました。 |
|
ありがとう。では次のページではCLIでL3インターフェースを設定する方法を見ていきます。 |