Palo Alto で L2 スイッチングと Vlan インターフェースによるルーティングをさせる設定方法

2025年3月16日

動作確認環境

PA-200
- Version 8.1.19

L2 スイッチングをさせる設定方法

以下図のように Palo Alto の異なるインターフェースを同一 Vlan の untag ポートのように使用して、インターフェース間で L2 スイッチングをさせることを考えます。

このためには以下の設定を行います。

Vlan を作成する
対象インターフェースをレイヤ 2 のインターフェースと設定し、さらに Vlan を対象インターフェースに設定する
対象インターフェース間で通信できるようセキュリティポリシーを設定する

Vlan を作成する

まず、Vlan を作成します。

GUI で設定する場合は、[Network → VLAN] 画面から Vlan を追加します。

以下の VLAN 設定画面が表示されるため、任意の名前を設定して OK をクリックします。

CLI で設定する場合は以下のようになります。

set network vlan <Vlan名>

設定例:

set network vlan Vlan100

インターフェースの設定

次にインターフェースを設定します。

以下画像のように、インターフェースタイプを「レイヤー 2」とし、インターフェースの割当先の VLAN として作成しておいた VLAN を指定します。

同じ Vlan に所属させたいインターフェースすべてについてこの設定を行います。

CLI でインターフェースの割当先 VLAN の設定を行う場合、以下のように設定します。

set network vlan <Vlan名> interface [ <IF名①> <IF名②> … ]

設定例:

set network vlan Vlan100 interface [ ethernet1/3 ethernet1/4 ]

セキュリティポリシーの設定

レイヤー2 インターフェース間で通信を行うためには、レイヤー3 インターフェース間で通信を行う時と同様にセキュリティポリシーの設定を行う必要があります。

対象のレイヤー2 インターフェースにレイヤー2 タイプのゾーンを設定する必要があるため、レイヤー2 タイプのゾーンの作成から行います。

以下のようにレイヤー2 タイプのゾーンを作成し、インターフェースに対象のレイヤー2 インターフェースを設定します。

ここでは、デフォルトのセキュリティポリシーである intrazone-default (同一ゾーン内での通信を許可するポリシー) を利用して通信することとして、2つのレイヤー2 インターフェースに同じゾーンを設定しています。

CLI で設定する場合、設定例としては以下のようになります。

set zone sampleL2Zone network layer2 [ ethernet1/3 ethernet1/4 ]

以上の設定で、レイヤー2 インターフェース間でスイッチングが可能になります。

Vlan インターフェースによるルーティングをさせる設定方法

次に、以下図のように Vlan インターフェースを介して外部ネットワークにルーティングをさせることを考えます。

このために必要な設定は以下です。

Vlan インターフェースを作成し、Vlan、仮想ルータ、ゾーン等を紐づける設定を行う
通信要件に合わせてセキュリティポリシーを設定する

Vlan インターフェースを作成する

Vlan インターフェースの作成は [Network → インターフェース → Vlan タブ] から行います。

画面左下の [追加] をクリックすると以下のような設定画面が表示されます。

まず画面右上で Vlan インターフェースの Vlan ID を入力します。さらにインターフェースの割当先の欄で以下を設定します。

VLAN: レイヤー2 インターフェースに割り当てた Vlan と同じ Vlan を指定
仮想ルーター: 仮想ルータを指定
セキュリティゾーン: レイヤー3 のゾーンを指定

次に IPv4 タブを開き、Vlan インターフェースに設定する IP アドレスを追加します。この IP は外部ネットワークへルーティングする際のゲートウェイアドレスになります。

Vlan インターフェースでも詳細タブでインターフェース管理プロファイルを設定することができます。

CLI でコンフィグを確認すると以下のようになっています。

set network interface vlan units vlan.100 ipv6 neighbor-discovery router-advertisement enable no
set network interface vlan units vlan.100 ndp-proxy enabled no
set network interface vlan units vlan.100 adjust-tcp-mss enable no
set network interface vlan units vlan.100 ip 10.1.100.1/24
set network interface vlan units vlan.100 interface-management-profile Ping_OK

set network vlan Vlan100 virtual-interface interface vlan.100
set zone Vlan100_Zone network layer3 vlan.100
set network virtual-router default interface [ ethernet1/1 ethernet1/2 vlan.100 ]

セキュリティポリシーの設定

例として Vlan インターフェースに紐づけた Vlan100_Zone ゾーンから Untrust ゾーンへの通信を許可するポリシーを設定します。

set rulebase security rules Vlan100_Zone_to_Untrust to Untrust
set rulebase security rules Vlan100_Zone_to_Untrust from Vlan100_Zone
set rulebase security rules Vlan100_Zone_to_Untrust source any
set rulebase security rules Vlan100_Zone_to_Untrust destination any
set rulebase security rules Vlan100_Zone_to_Untrust source-user any
set rulebase security rules Vlan100_Zone_to_Untrust category any
set rulebase security rules Vlan100_Zone_to_Untrust application any
set rulebase security rules Vlan100_Zone_to_Untrust service application-default
set rulebase security rules Vlan100_Zone_to_Untrust hip-profiles any
set rulebase security rules Vlan100_Zone_to_Untrust action allow

以上設定で Vlan インターフェースを介して外部ネットワークにルーティングをさせることができます。

router#ping vrf VRF1 8.8.8.8 source 10.1.100.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.1.100.10
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/36/100 ms

※PC-A<router>(IP:10.1.100.10) から 8.8.8.8 への通信テスト結果

【レイヤ2 インターフェース → Vlan インターフェース → 外部ネットワーク】の流れで通信する場合は Vlan インターフェースのゾーンが送信元のゾーンになります。レイヤ2 インターフェースのゾーンは無視される点に注意してください。

また通信のために必要なセキュリティポリシー設定については、Vlan インターフェースのゾーンを送信元ゾーンとし、外部ネットワークのゾーンを宛先ゾーンとするポリシーのみとなります。

Palo Alto 関連記事一覧