マネジメントポートの機能をイーサネットポートに完全に委任する

基本

2021.05.162022.07.20

最初に

マネジメントポートの仕事を、イーサネットポートでもできるようにする方法について、この記事で書いた。

上記の方法は、マネジメントポートの機能はそのままで、更にイーサネットポートにマネジメントのお仕事をできるようにするものである。

この記事で紹介する方法は、マネジメントポートの仕事を完全にイーサネットポートに委任する方法だ。

つまり、マネジメントポートを一切使わないようにすることもできるわけだ。

従来のSSGなどのファイアウォールはマネジメントポートが存在せず、イーサネットポート＝マネジメントポートでもあったが、この記事の方法はまさにそういう状態にすることが可能だ。

ネットワークの構成によっては、Syslogだけはイーサネットから出力させたいといったニーズがあるはずだ。

そういった時にマネジメントポートをわざわざスイッチに接続する必要性がなくなる。

またデフォルトだと、イーサネットポートとマネジメントポートの２本をスイッチに接続するのがマストになるが、マネジメントポートの仕事をイーサネットポートに委任するすれば、接続するのは一本だけでよいということになる。

ネットワークの要件に合わせて柔軟にカスタマイズできるのがPAシリーズの魅力の一つだ。

方法は簡単である。

[ネットワーク]　→　[インターフェース管理]を表示し「追加」をクリック

設定方法は見たシンプルで簡単だ。

①「Device」→「Setup」→「Services」の「Service Route Configuration」を開き、「Customize」をチェックする

②委任させたい機能を選択し、任意のイーサネットポートを割り当てる

③（オプション）宛先によって送信元IP・IFを変えることも可能

自宅で学習している場合は、ヤフオク！などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。

何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。

しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。

自宅環境に１台テスト用があればそれらの問題を解決できるだろう。

予算に余裕がある場合はPA220を持っておくことをおススメする。

PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。

PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。

しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。

PA-200は2018年10月31日に販売終了（EOL)になったため正規では購入できない。

しかし中古市場には安価に存在しており、入手可能だ。

ヤフオク！などで、PA-200を検索