Tiempo estimado para completarlo: de 30 a 60 minutos
Propietario del componente operativo: PNET
2.4.1. Configuración del interruptor
.2.4.1.1. Aplicar configuraciones de interruptores
Conéctate a cada interruptor con la consola de serie mediante Minicom.
Para obtener más información, consulta Usar Minicom para acceder a consolas serie.
Copia el contenido del archivo de configuración de los archivos base y acl y pégalo en los interruptores de la siguiente manera:
| Archivo(s) de configuración | Dispositivo | Función |
|---|---|---|
| occoresw101.base | occoresw101 | Configuración base completa |
| occoresw101.acl | occoresw101 | Creación y aplicación de ACLs de tráfico |
| occoresw102.base | occoresw102 | Configuración base completa |
| occoresw102.acl | occoresw102 | Creación y aplicación de ACLs de tráfico |
| ocsw101.base | ocsw101 | Configuración base completa |
| ocsw101.acl | ocsw101 | Creación y aplicación de ACLs de tráfico |
| ocsw102.base | ocsw102 | Configuración base completa |
| ocsw102.acl | ocsw102 | Creación y aplicación de ACLs de tráfico |
Después de aplicar las configuraciones, el archivo debe ejecutar un copy
running-config startup-config. Asegúrate de que se realice correctamente, ya que, de lo contrario, el interruptor perderá su configuración durante el reinicio.
Si el campo simplify-configs se habilita mediante la CLI, las configuraciones acl y base se generan en el mismo archivo.
En las implementaciones de la infraestructura de Operations Suite (OI) con varios sitios, cada sitio debe configurarse de la misma forma.
Los archivos de configuración generados para cada sitio se pueden identificar por el InstanceID asignado a los segmentos de cada sitio.
Todos los archivos que se generan tienen un prefijo con el siguiente formato:
<segment_type><device_type><InstanceID><device_id>.
Para ver un ejemplo de archivos de configuración generados para una implementación de OI multisitio, consulta el apéndice A.
2.4.2. Configuración del cortafuegos
Los cortafuegos se configuraron anteriormente para habilitar el modo FIP-CC. Antes de aplicar las configuraciones, debes acceder a la interfaz gráfica de usuario.
2.4.2.1. Registro en el cortafuegos después de habilitar FIPS-CC
El cortafuegos tiene una dirección IP 192.168.1.1/24 en la interfaz de gestión. Debes establecer una conexión con la dirección IP 192.168.1.1.
Para establecer la conexión, configura una interfaz en el controlador del sistema con una dirección IP de 192.168.1.10/24 y conecta un cable Ethernet a la interfaz de gestión.
Establece una conexión SSH con el cortafuegos mediante las nuevas credenciales
admin/paloalto o admin/admin para autenticarte:
ssh admin@192.168.1.1
2.4.2.2. Configurar el acceso a la interfaz gráfica de usuario
En la CLI de gestión de cada firewall, ejecuta los siguientes comandos:
Puedes recuperar las siguientes variables del archivo ocinfo.opscenter.local
que genera occonfigtool.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
Es posible que aparezca el siguiente error después de confirmar. Si es así, espera entre dos y cinco minutos y vuelve a intentarlo:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
En este punto, puedes acceder a la interfaz gráfica de usuario del cortafuegos.
2.4.2.3. Aplicar licencia
- En la interfaz gráfica de usuario, ve a Device > Licenses (Dispositivo > Licencias) y selecciona Manually upload license key (Subir manualmente la clave de licencia).
- Busca el archivo de licencia. Asegúrate de que el archivo de licencia coincida con el número de serie del dispositivo.
- Una vez que se haya aplicado la licencia, en la página se mostrarán la fecha de emisión, la fecha de vencimiento y una descripción de la licencia:
El archivo de licencia suele tener este formato: <serial-number>-support.key.
2.4.2.4. Importar archivo de configuración XML
Los siguientes archivos XML deben aplicarse a los dispositivos correspondientes.
| Archivo(s) de configuración | Dispositivo | Función |
|---|---|---|
| occorefw101.base | occorefw101 | Configuración base completa |
| occorefw102.base | occorefw102 | Configuración base completa |
En la interfaz gráfica de usuario del cortafuegos:
- Ve a Dispositivo > Configuración > Operaciones y selecciona Importar instantánea de configuración con nombre.
- Haz clic en Explorar.
- Selecciona el archivo de configuración de destino, como
occorefw01.base.opscenter.local.xml, y haz clic en Aceptar. - Se te avisará de que el archivo se ha guardado.
- Selecciona Cargar una instantánea de configuración con nombre.
- En la lista Nombre, selecciona el archivo que acabas de importar y haz clic en Aceptar.
- Se te notificará que la configuración se está cargando.
- Para hacer una confirmación completa, selecciona Confirmar y, a continuación, Confirmar: todos los cambios. Una barra de progreso muestra el estado.
2.4.2.5. Habilitar el usuario administrador de acceso de emergencia
De forma predeterminada, cuando se configura un nuevo cortafuegos, el hash de la contraseña generado para los usuarios no predeterminados (todos excepto admin) deja de ser válido.Debes definir manualmente la contraseña del usuario breakglass-admin después de que el cortafuegos esté en funcionamiento. Sigue los pasos para ambos firewalls oc-core.
Ejecuta los siguientes comandos desde la CLI:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitCuando se te pida la contraseña, introduce cualquier contraseña temporal. Puedes cambiar la contraseña temporal más adelante.
Sal de la CLI y vuelve a establecer una conexión SSH con el cortafuegos.
Cuando se te solicite, introduce la contraseña temporal de la antigua contraseña y la
breakglass-admincontraseña del archivo de información de OI como nueva contraseña.Las peticiones son similares a las siguientes:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. Archivo de información de OI
Se crea un archivo llamado ocinfo.common.<domain-name>.txt junto con otros archivos de configuración.
Este archivo se crea para cada sitio y contiene la siguiente información:
- Detalles sobre la red OC CORE
- Detalles sobre la red de OC
- Direcciones IP de gestión de cada nodo, que
occonfigtoolgenera de nuevo. - Credenciales de usuario nuevas para cada cambio
Usa la información de este archivo para iniciar sesión y gestionar todos los dispositivos de la red de OI una vez que se hayan aprovisionado e implementado.
Archivo de ejemplo:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. Archivo de topología de OI
Para añadir un archivo de topología de OI a una celda de GDC, consulta Añadir un archivo de topología de OI. Durante el primer paso de la creación del entorno, ocitconfigtool genera el archivo ocit-topology-exchange.yaml.
El archivo ocit-topology-exchange.yaml transfiere información sobre la topología de la infraestructura de Operations Suite (OI) al reconciliador de la red de GDC. El archivo especifica las direcciones de enrutamiento entre dominios sin clases (CIDR) y de host de servicio. En concreto, el archivo crea el recurso personalizado OCITTopology con los CIDRs de las siguientes LANs virtuales:
serversocserversjumphostsiloworkstationssocworkstations
Este archivo también proporciona direcciones de servicio para proveedores de identidades (IdPs), gestión de información y eventos de seguridad (SIEM) y servicios de análisis de vulnerabilidades.
A continuación, se muestra un ejemplo de archivo ocit-topology-exchange.yaml:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []