IT BLOG(KR)

안녕하세요.

오늘은 PaloAlto Service Route에 대해서 알아보겠습니다.

PaloAlto는 Service관련 Traffic에 대해서는 어떤 인테페이스를 Source로 해서 통신 할 것인지 정의 할수 있습니다.

Default로는 MGMT를 사용 합니다. 일반 Data InterFace를 사용 하기 위해서는 수정이 필요 합니다. 

1. Device -> Setup -> Services -> Servoces Features에서 Service Route Configuration를 클릭 합니다. 

2. 아래처럼 디폴트값은 MGMT 입니다. 

실제 장비 사진을 보시면 위에 MGMT - OUT OF BAND를 통해서 Service 과련 Traffic를 Source IP로 선택해서 통신 합니다.

Customeize를 선택하면 팔로알토에서 제공하는 Pre-defined 된 Service들에 해서 Source Interface와 IP를 선택 가능 합니다. 

제약 사항.

** Backup Interface를 선택 할수 없습니다. **

만약에 Pre-Defined에 없는 Service들은  Destination를 통해서 설정 가능 합니다. 

아래처럼 설정하면 Pre-Defined에 없는 Service Traffic은 Destination에 Match되면 이 소스로 IP로 해서 통신 합니다. 

** 중요 **

이 Destination은 특정 IP에 대해서는 이 Source Interface랑 IP를 사용해라가 아닙니다.

예를 들어

Active Directory 01 IP 1.1.1.1

Active Directory 02 IP 2.2.2.2

에서 PaloAlto에서 1.1.1.1 Source IP를 192.168.10.1

2.2.2.2에 대해서는 Source IP를 192.168.20.1 선택 하고 싶습니다. 그래서 Destination에 위와 같이 설정해도 원했던것처럼 동작하지 않습니다.

Destination 1.1.1.1 source interface e1/1 ip 192.168.10.1

Destination 2.2.2.2 source interface e1/2 ip 192.168.20.1

Priority 

1. Pre-Defined이 첫번째로 적용 됩니다.

2. Destination은 Pre-Defined에 없는 Service들을 적용 할때 사용 됩니다.  용도가 다릅니다.

공식 팔로알토 문서

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/device/device-setup-services/destination-service-route

You can use a destination service route to add a customized redirection of a service that is not supported on the Customize list of services.  A destination service route is a way to set up routing to override the forwarding information base (FIB) route table. Any settings in the Destination service routes override the route table entries. They could be related or unrelated to any service.

지금까지 [PaloAlto FW-#18] - Service Route 글을 읽어주셔서 감사합니다.