Tiempo estimado para completar la actividad: de 30 a 60 minutos
Propietario del componente operable: PNET
2.4.1. Cambiar la configuración
2.4.1.1. Cómo aplicar configuraciones de interruptores
Conéctate a cada conmutador con la consola en serie a través de Minicom.
Para obtener más información, consulta Usa Minicom para acceder a consolas en serie.
Copia el contenido del archivo de configuración de los archivos base y acl, y pégalo en los conmutadores de la siguiente manera:
| Archivos de configuración | Dispositivo | Función |
|---|---|---|
| occoresw101.base | occoresw101 | Configuración básica completa |
| occoresw101.acl | occoresw101 | Creación y aplicación de LCA de tráfico |
| occoresw102.base | occoresw102 | Configuración básica completa |
| occoresw102.acl | occoresw102 | Creación y aplicación de LCA de tráfico |
| ocsw101.base | ocsw101 | Configuración básica completa |
| ocsw101.acl | ocsw101 | Creación y aplicación de LCA de tráfico |
| ocsw102.base | ocsw102 | Configuración básica completa |
| ocsw102.acl | ocsw102 | Creación y aplicación de LCA de tráfico |
Después de aplicar los parámetros de configuración, el archivo debe ejecutar un copy
running-config startup-config. Asegúrate de que esto se realice correctamente, o el conmutador perderá su configuración durante un reinicio.
Si el campo simplify-configs está habilitado con la CLI, las configuraciones acl y base se generan en el mismo archivo.
En el caso de las implementaciones de la infraestructura de Operations Suite (OI) en varios sitios, cada sitio debe configurarse de la misma manera.
Los archivos de configuración generados para cada sitio se pueden identificar por el InstanceID asignado a los segmentos de cada sitio.
Todos los archivos que se generan tienen un prefijo con el siguiente formato:<segment_type><device_type><InstanceID><device_id>.
Para ver un ejemplo de los archivos de configuración generados para una implementación de OI en varios sitios, consulta el Apéndice A.
2.4.2. Configuración de firewall
Anteriormente, los firewalls se configuraron para habilitar el modo FIP-CC. Antes de aplicar la configuración, debes acceder a la GUI.
2.4.2.1. Registro en el firewall después de habilitar FIPS-CC
El firewall se inicia con una dirección IP de 192.168.1.1/24 en la interfaz de administración. Debes establecer conexión con la dirección IP de 192.168.1.1.
Para establecer la conexión, configura una interfaz en el controlador del sistema con una dirección IP de 192.168.1.10/24 y conecta un cable Ethernet a la interfaz de administración.
Establece una conexión SSH al firewall con las nuevas credenciales admin/paloalto o admin/admin para autenticarte:
ssh admin@192.168.1.1
2.4.2.2. Configura el acceso a la GUI
Desde cada una de las CLI de administración del firewall, ejecuta los siguientes comandos:
Puedes recuperar las siguientes variables del archivo ocinfo.opscenter.local que genera occonfigtool.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
Es posible que aparezca el siguiente error después de la confirmación. Si es así, espera de dos a cinco minutos y vuelve a intentarlo:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
En este punto, puedes acceder a la GUI del firewall.
2.4.2.3. Aplicar licencia
- En la GUI, navega a Device > Licenses y selecciona Manually upload license key.
- Busca el archivo de licencia. Asegúrate de que el archivo de licencia coincida con el número de serie del dispositivo.
- Después de aplicar la licencia, en la página se muestran la fecha de emisión, la fecha de vencimiento y una descripción de la licencia:
Por lo general, el archivo de licencia sigue este formato: <serial-number>-support.key.
2.4.2.4. Importa el archivo de configuración XML
Los siguientes archivos XML se deben aplicar a los dispositivos correspondientes.
| Archivos de configuración | Dispositivo | Función |
|---|---|---|
| occorefw101.base | occorefw101 | Configuración básica completa |
| occorefw102.base | occorefw102 | Configuración básica completa |
En la GUI del firewall, haz lo siguiente:
- Navega a Device > Setup > Operations y selecciona Import Named Configuration snapshot.
- Haz clic en Explorar.
- Selecciona el archivo de configuración de destino, como
occorefw01.base.opscenter.local.xml, y haz clic en OK. - Recibirás una alerta que indica que se guardó el archivo.
- Selecciona Load Named Configuration snapshot.
- En la lista Nombre, selecciona el archivo que acabas de importar y haz clic en Aceptar.
- Recibirás una notificación de que se está cargando la configuración.
- Para ejecutar una confirmación completa, selecciona Confirmar y, luego, Confirmar: Todos los cambios. Una barra de progreso muestra el estado.
2.4.2.5. Habilita el usuario administrador de anulación de emergencia
De forma predeterminada, cuando se configura un firewall nuevo, el hash de contraseña generado para los usuarios no predeterminados (todos, excepto admin) deja de ser válido.Debes configurar manualmente la contraseña para el usuario breakglass-admin después de que se ejecute el firewall. Sigue los pasos para ambos firewalls de oc-core.
Ejecuta los siguientes comandos desde la CLI:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitCuando se te solicite la contraseña de entrada, ingresa cualquier contraseña temporal. Puedes cambiar la contraseña temporal más adelante.
Sal de la CLI y restablece una conexión SSH al firewall.
Cuando se te solicite, ingresa la contraseña temporal para la contraseña anterior y, luego, ingresa la contraseña de
breakglass-admindel archivo de información de OI como la nueva contraseña.Las instrucciones son similares a las siguientes:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. Archivo de información del OI
Se creará un archivo llamado ocinfo.common.<domain-name>.txt junto con otros archivos de configuración.
Este archivo se crea para cada sitio y contiene la siguiente información:
- Detalles sobre la red principal de OC
- Detalles sobre la red de OC
- Direcciones IP de administración para cada nodo, que
occonfigtoolgenera recientemente. - Credenciales de usuario nuevas para cada cambio
Usa la información presente en este archivo para acceder y administrar todos los dispositivos de red de OI una vez que se aprovisionen y se implementen.
Archivo de ejemplo:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. Archivo de topología de OI
Para agregar el archivo de topología de OI a la celda de GDC, consulta Cómo agregar el archivo de topología de OI. Durante el primer paso de la creación del entorno, ocitconfigtool genera el archivo ocit-topology-exchange.yaml.
El archivo ocit-topology-exchange.yaml pasa información sobre la topología de la infraestructura de Operations Suite (OI) al reconciliador de red de GDC. El archivo especifica las direcciones de enrutamiento entre dominios sin clases (CIDR) y del host de servicio. Específicamente, el archivo crea el recurso personalizado OCITTopology con los CIDR de las siguientes LAN virtuales:
serversocserversjumphostsiloworkstationssocworkstations
Este archivo también proporciona direcciones de servicio para proveedores de identidad (IdP), administración de información y eventos de seguridad (SIEM) y servicios de análisis de vulnerabilidades.
El siguiente es un archivo ocit-topology-exchange.yaml de ejemplo:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []