Frage zur Interfacekonfiguration Subinterfaces und IP

[Chibi88]

Hallo,

ich bin die Tage fleißig am Topologien erstellen und am lernen um mich besser auf meine Abschlussprüfung vorzubereiten und mehr zu lernen / input zu bekommen

Ich habe mein kleines Freizeitprojekt angehangen.

Idee: ich möchte "halbwegs" realistisch ein Firmennetzwerk mit Firewall nachstellen. Ich habe mich für diese Topologie entschieden, weil Redundanz (erst einmal nur auf die Switche angewandt) wichtig ist und keine Firma mit nur einem Switch arbeitet. Soweit ist auch alles konfiguriert und die Gateways der Firewall lassen sich pingen.

Problem und Verständnis nicht ausreichend vorhanden:

Wir arbeiten mit VLANs um unser Netz zu segmentieren. Durch die redundanten Switche werden bei der FW zwei Interfaces belegt. Diese Interfaces müssen VLAN Tags annehmen, also müssen wir hier mit Subinterfaces der Firewall arbeiten, da die FW sonst nicht weiß, was sie mit den Frames machen soll.

eth 1/3 der Firewall ist mit den Subinterfaces konfiguriert und nimmt jeweils VLAN Tag 10 und 20 an. Ich verstehe jetzt nicht, wie ich eth 1/1 konfigurieren soll, denn: wir können dem Interface und dem Subinterface ja nicht die gleiche Gateway IP Adresse für die Clients geben, da auf der FW sonst doppelte IP Adressen vorhanden sind. Ich könnte hier zwar eine andere nehmen, würde aber nichts bringen, weil die Clients nur ein default Gateway zur selben Zeit nutzen können.

Wie wird hier sowas dann konfiguriert? Ist sowas in "echt" nicht auch so in dem Aufbau vorhanden?

 

[0x8100]

das stichwort ist multi-chassis lag (mlag, mc-lag). die firewall hat ein lag-interface (mit einer ip) bestehend z.b. aus zwei physischen interfaces. diese beiden interfaces gehen aber nicht auf einen switch sondern auf zwei verschiedene, die untereinander verbunden sind.

siehe z.b. https://en.wikipedia.org/wiki/Multi-chassis_link_aggregation_group

 

[Dragon0001]

Idee: ich möchte "halbwegs" realistisch ein Firmennetzwerk mit Firewall nachstellen. Ich habe mich für diese Topologie entschieden, weil Redundanz (erst einmal nur auf die Switche angewandt) wichtig ist und keine Firma mit nur einem Switch arbeitet.

In der Praxis ist die Redundanz bei der Firewall sogar wichtiger. Hier sind Störungen wahrscheinlicher und häufiger Updates nötig. Im einfachsten Fall ein Active-Passive-Setup.

Eine Alternative zu MLAG sind ein Switch-Stack.

 

[Chibi88]

Danke. Hat das jemand von euch bei einer PA uU. schon einmal umgesetzt und kann mir da kurz Input geben, wo ich die Funktion zum Beispiel finde?

 

[snaxilian]

@0x8100 und @Dragon0001 sind gedanklich zwei Schritte weiter und bieten dir die Lösung bei den Switchen an aber dir fehlt der Zwischenschritt.

Wenn du davon ausgehst, dass deine Distributionswitche (btw mit i und nicht mit e) MC-LAG, Switch Stacks oder $hier-beliebige-andere-Technologie-einfügen-die-zwei-oder-mehr-Switche-nach-außen-als-einen-erscheinen-lassen, dann konfigurierst du an der Palo bei eth1/1 und eth1/3 ein LACP, nennt sich glaube ich "Aggregate Interface Group" bei Palo. Ebenso konfigurierst du bei DistributionSwitch10 eth0/1 und DistributionSwitch10 eth0/1 ein LACP.
Das daraus auf der Palo neu entstandende LACP Interface konfigurierst du dann mit den Subinterfacen für VLAN 10 und 20.

Wenn deine beiden Distributionswitche kein MC-LAG, Stacks, o.ä. ähnliches unterstützen dann kannst du STP verwenden. Deine Distributionswitche sind dann aber nur noch rein active-passive HA da (je nach VLAN).
Eine alte aber beispielhafte Config, sogar mit ner Palo, findest du hier: https://weberblog.net/layer-2-redundancy-with-stp-palo-alto-firewall-cisco-switches/
Wenn du das Prinzip verstanden hast musst nur noch in der Doku/Handbuch nachgucken wo diese einzelnen Funktionen konfiguriert werden.

Generell wird dir der verlinkte Blog gefallen wenn Firewalls und Netzwerke denke ich (nein, ich habe damit nix am Hut, lese ihn nur selbst unregelmäßig).

 

[Chibi88]

Danke, schaue ich mir an.

Hat jemand von euch eine PA-VM als Eval oder im Homelab? Ich finde die Einstellung für LAG Interfaces bei der PA nicht.

 

[0x8100]

ich hab so ein teil nicht, aber google sagt bei "palo alto lacp" z.b. https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClG8CAK