Temps estimé pour suivre la totalité du cours : 30 à 60 minutes
Propriétaire du composant exploitable : PNET
2.4.1. Changer de configuration
2.4.1.1. Appliquer les configurations de commutateur
Connectez-vous à chaque commutateur avec la console série à l'aide de Minicom.
Pour en savoir plus, consultez Utiliser Minicom pour accéder aux consoles série.
Copiez le contenu du fichier de configuration à partir des fichiers base et acl, puis collez-le dans les commutateurs comme suit :
| Fichier(s) de configuration | Appareil | Fonction |
|---|---|---|
| occoresw101.base | occoresw101 | Configuration de base complète |
| occoresw101.acl | occoresw101 | Création et application de LCA pour le trafic |
| occoresw102.base | occoresw102 | Configuration de base complète |
| occoresw102.acl | occoresw102 | Création et application de LCA pour le trafic |
| ocsw101.base | ocsw101 | Configuration de base complète |
| ocsw101.acl | ocsw101 | Création et application de LCA pour le trafic |
| ocsw102.base | ocsw102 | Configuration de base complète |
| ocsw102.acl | ocsw102 | Création et application de LCA pour le trafic |
Après avoir appliqué les configurations, le fichier doit exécuter un copy
running-config startup-config. Assurez-vous que cela se produit correctement, sinon le commutateur perd sa configuration lors d'un redémarrage.
Si le champ simplify-configs est activé à l'aide de la CLI, les configurations acl et base sont générées dans le même fichier.
Pour les déploiements Operations Suite Infrastructure (OI) multisites, chaque site doit être configuré de la même manière.
Les fichiers de configuration générés pour chaque site peuvent être identifiés par le InstanceID attribué aux segments de chaque site.
Tous les fichiers générés ont un préfixe au format suivant : <segment_type><device_type><InstanceID><device_id>.
Pour obtenir un exemple de fichiers de configuration générés pour un déploiement OI multisite, consultez l'annexe A.
2.4.2. Configuration du pare-feu
Les pare-feu ont été configurés précédemment pour activer le mode FIP-CC. Avant d'appliquer les configurations, vous devez accéder à l'interface utilisateur graphique.
2.4.2.1. Journalisation dans le pare-feu après l'activation de FIPS-CC
Le pare-feu est associé à l'adresse IP 192.168.1.1/24 sur l'interface de gestion. Vous devez établir une connexion à l'adresse IP de 192.168.1.1.
Pour établir la connexion, configurez une interface sur le contrôleur système avec une adresse IP 192.168.1.10/24 et connectez un câble Ethernet à l'interface de gestion.
Établissez une connexion SSH au pare-feu à l'aide des nouvelles identifiants admin/paloalto ou admin/admin pour vous authentifier :
ssh admin@192.168.1.1
2.4.2.2. Configurer l'accès à l'interface utilisateur graphique
À partir de l'CLI de gestion de chaque pare-feu, exécutez les commandes suivantes :
Vous pouvez récupérer les variables suivantes à partir du fichier ocinfo.opscenter.local généré par occonfigtool.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
L'erreur suivante peut s'afficher après le commit. Si c'est le cas, patientez deux à cinq minutes, puis réessayez :
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
Vous pouvez désormais accéder à l'interface utilisateur graphique du pare-feu.
2.4.2.3. Appliquer une licence
- Dans l'interface utilisateur graphique, accédez à Device > Licenses (Appareil > Licences), puis sélectionnez Manually upload license key (Importer manuellement la clé de licence).
- Recherchez le fichier de licence. Assurez-vous que le fichier de licence correspond au numéro de série de l'appareil.
- Une fois la licence appliquée, la page affiche la date d'émission et d'expiration de la licence, ainsi qu'une description de celle-ci :
Le fichier de licence suit généralement le format suivant : <serial-number>-support.key.
2.4.2.4. Importer un fichier de configuration XML
Les fichiers XML suivants doivent être appliqués aux appareils respectifs.
| Fichier(s) de configuration | Appareil | Fonction |
|---|---|---|
| occorefw101.base | occorefw101 | Configuration de base complète |
| occorefw102.base | occorefw102 | Configuration de base complète |
Dans l'interface utilisateur graphique du pare-feu :
- Accédez à Device (Appareil) > Setup (Configuration) > Operations (Opérations), puis sélectionnez Import Named Configuration snapshot (Importer un instantané de configuration nommée).
- Cliquez sur Parcourir.
- Sélectionnez le fichier de configuration cible, tel que
occorefw01.base.opscenter.local.xml, puis cliquez sur OK. - Vous recevez une notification indiquant que le fichier est enregistré.
- Sélectionnez Charger un instantané de configuration nommé.
- Dans la liste Nom, sélectionnez le fichier que vous venez d'importer, puis cliquez sur OK.
- Vous recevez une notification indiquant que la configuration est en cours de chargement.
- Exécutez un commit complet en sélectionnant Commit, puis Commit: All Changes (Commit : toutes les modifications). Une barre de progression indique l'état.
2.4.2.5. Activer le compte utilisateur administrateur "bris de glace"
Par défaut, lorsqu'un nouveau pare-feu est défini, le hachage de mot de passe généré pour les utilisateurs non par défaut (tous sauf admin) devient invalide.Vous devez définir manuellement le mot de passe de l'utilisateur breakglass-admin une fois le pare-feu en cours d'exécution. Suivez les étapes pour les deux pare-feu oc-core.
Exécutez les commandes suivantes depuis la CLI :
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitLorsque vous êtes invité à saisir le mot de passe, saisissez un mot de passe temporaire. Vous pourrez modifier le mot de passe temporaire ultérieurement.
Quittez lCLI et rétablissez une connexion SSH au pare-feu.
Lorsque vous y êtes invité, saisissez le mot de passe temporaire pour l'ancien mot de passe, puis saisissez le mot de passe
breakglass-admindu fichier d'informations OI comme nouveau mot de passe.Les requêtes sont semblables aux suivantes :
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. Fichier d'informations sur l'OI
Un fichier nommé ocinfo.common.<domain-name>.txt est créé avec d'autres fichiers de configuration.
Ce fichier est créé pour chaque site et contient les informations suivantes :
- Informations sur le réseau OC CORE
- Informations sur OC Network
- Adresses IP de gestion pour chaque nœud, nouvellement générées par
occonfigtool. - Nouveaux identifiants pour chaque commutateur
Utilisez les informations présentes dans ce fichier pour vous connecter et gérer tous les appareils réseau OI une fois qu'ils ont été provisionnés et déployés.
Exemple de fichier :
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. Fichier de topologie OI
Pour ajouter un fichier de topologie OI à une cellule GDC, consultez Ajouter un fichier de topologie OI. Lors de la première étape de la création de l'environnement, ocitconfigtool génère le fichier ocit-topology-exchange.yaml.
Le fichier ocit-topology-exchange.yaml transmet des informations sur la topologie de l'infrastructure Operations Suite (OI) au réconciliateur de réseau GDC. Le fichier spécifie les adresses CIDR (classless inter-domain routing) et d'hôte de service. Plus précisément, le fichier crée la ressource personnalisée OCITTopology avec les CIDR pour les réseaux locaux virtuels suivants :
serversocserversjumphostsiloworkstationssocworkstations
Ce fichier fournit également les adresses de service pour les fournisseurs d'identité (IdP), les services de gestion des informations et des événements de sécurité (SIEM) et les services d'analyse des failles.
Voici un exemple de fichier ocit-topology-exchange.yaml :
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []