Estimasi waktu penyelesaian: 30 - 60 menit
Pemilik komponen yang dapat dioperasikan: PNET
2.4.1. Konfigurasi tombol
2.4.1.1. Menerapkan konfigurasi switch
Hubungkan ke setiap switch dengan konsol serial menggunakan Minicom.
Untuk mengetahui informasi selengkapnya, lihat Menggunakan Minicom untuk mengakses konsol serial.
Salin konten file konfigurasi dari file base dan acl, lalu tempelkan
ke dalam switch sebagai berikut:
| File Konfigurasi | Perangkat | Fungsi |
|---|---|---|
| occoresw101.base | occoresw101 | Konfigurasi dasar lengkap |
| occoresw101.acl | occoresw101 | Pembuatan dan penegakan ACL traffic |
| occoresw102.base | occoresw102 | Konfigurasi dasar lengkap |
| occoresw102.acl | occoresw102 | Pembuatan dan penegakan ACL traffic |
| ocsw101.base | ocsw101 | Konfigurasi dasar lengkap |
| ocsw101.acl | ocsw101 | Pembuatan dan penegakan ACL traffic |
| ocsw102.base | ocsw102 | Konfigurasi dasar lengkap |
| ocsw102.acl | ocsw102 | Pembuatan dan penegakan ACL traffic |
Setelah menerapkan konfigurasi, file harus menjalankan copy
running-config startup-config. Pastikan hal ini berhasil terjadi, atau
switch akan kehilangan konfigurasinya saat dimulai ulang.
Jika kolom simplify-configs diaktifkan menggunakan CLI, konfigurasi acl dan
base akan dibuat dalam file yang sama.
Untuk deployment Infrastruktur Operations Suite (OI) multi-situs, setiap situs harus dikonfigurasi dengan cara yang sama.
File konfigurasi yang dibuat untuk setiap situs dapat diidentifikasi berdasarkan InstanceID yang ditetapkan ke segmen setiap situs.
Semua file yang dibuat memiliki awalan dengan format berikut:
<segment_type><device_type><InstanceID><device_id>.
Untuk contoh file konfigurasi yang dibuat untuk deployment OI multi-situs, lihat Lampiran A.
2.4.2. Konfigurasi firewall
Firewall sebelumnya dikonfigurasi untuk mengaktifkan mode FIP-CC. Sebelum menerapkan konfigurasi, Anda harus mengakses GUI.
2.4.2.1. Logging ke firewall setelah mengaktifkan FIPS-CC
Firewall muncul dengan alamat IP 192.168.1.1/24 di antarmuka pengelolaan. Anda harus membuat koneksi ke alamat IP 192.168.1.1.
Untuk membuat koneksi, konfigurasikan antarmuka pada pengontrol sistem dengan alamat IP 192.168.1.10/24 dan hubungkan kabel ethernet ke antarmuka pengelolaan.
Buat koneksi SSH ke firewall menggunakan kredensial baru
admin/paloalto atau admin/admin untuk mengautentikasi:
ssh admin@192.168.1.1
2.4.2.2. Mengonfigurasi akses GUI
Dari setiap CLI pengelolaan firewall, jalankan perintah berikut:
Anda dapat mengambil variabel berikut dari file ocinfo.opscenter.local yang dihasilkan oleh occonfigtool.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
Error berikut mungkin muncul setelah commit. Jika demikian, tunggu selama dua hingga lima menit dan coba lagi:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
Pada tahap ini, Anda dapat mengakses GUI firewall.
2.4.2.3. Terapkan lisensi
- Dengan menggunakan GUI, buka Perangkat > Lisensi, lalu pilih Upload kunci lisensi secara manual.
- Cari file lisensi. Pastikan file lisensi cocok dengan nomor seri perangkat.
- Setelah lisensi diterapkan, halaman akan menampilkan tanggal penerbitan lisensi, tanggal habis masa berlaku, dan deskripsi lisensi:
File lisensi biasanya mengikuti format ini: <serial-number>-support.key.
2.4.2.4. Mengimpor file konfigurasi XML
File XML berikut harus diterapkan ke perangkat masing-masing.
| File Konfigurasi | Perangkat | Fungsi |
|---|---|---|
| occorefw101.base | occorefw101 | Konfigurasi dasar lengkap |
| occorefw102.base | occorefw102 | Konfigurasi dasar lengkap |
Di GUI firewall:
- Buka Perangkat > Penyiapan > Operasi, lalu pilih Impor snapshot Konfigurasi Bernama.
- Klik Jelajahi.
- Pilih file konfigurasi target, seperti
occorefw01.base.opscenter.local.xml, lalu klik OK. - Anda akan diberi tahu bahwa file telah disimpan.
- Pilih Load Named Configuration snapshot.
- Dalam daftar Name, pilih file yang baru saja Anda impor, lalu klik OK.
- Anda akan diberi tahu bahwa konfigurasi sedang dimuat.
- Jalankan penerapan penuh dengan memilih Terapkan, lalu pilih
Terapkan: Semua Perubahan. Status progres akan menampilkan status.
2.4.2.5. Mengaktifkan pengguna breakglass-admin
Secara default, saat firewall baru disetel, hash sandi yang dibuat untuk pengguna non-default (semua
kecuali admin) menjadi tidak valid.Anda harus menyetel sandi untuk pengguna breakglass-admin secara manual setelah firewall berjalan. Ikuti langkah-langkah untuk kedua firewall oc-core.
Jalankan perintah berikut dari CLI:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitSaat diminta memasukkan sandi input, masukkan sandi sementara apa pun. Anda dapat mengubah sandi sementara nanti.
Keluar dari CLI dan buat ulang koneksi SSH ke firewall.
Jika diminta, masukkan sandi sementara untuk sandi lama, dan masukkan sandi
breakglass-admindari file informasi OI sebagai sandi baru.Perintahnya mirip dengan berikut ini:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. File informasi OI
File bernama ocinfo.common.<domain-name>.txt dibuat bersama dengan file konfigurasi lainnya.
File ini dibuat untuk setiap situs dan berisi informasi berikut:
- Detail tentang Jaringan OC CORE
- Detail tentang Jaringan OC
- Alamat IP pengelolaan untuk setiap node, yang baru dibuat oleh
occonfigtool. - Kredensial pengguna baru untuk setiap peralihan
Gunakan informasi yang ada dalam file ini untuk login dan mengelola semua perangkat jaringan OI setelah disediakan dan di-deploy.
Contoh file:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. File topologi OI
Untuk menambahkan file topologi OI ke sel GDC, lihat Menambahkan file topologi OI. Selama langkah pertama pembuatan lingkungan, ocitconfigtool menghasilkan file ocit-topology-exchange.yaml.
File ocit-topology-exchange.yaml meneruskan informasi tentang topologi Infrastruktur Operations Suite (OI) ke
penyelesaian jaringan GDC. File ini menentukan
classless inter-domain routing (CIDR) dan alamat host layanan. Secara khusus,
file ini membuat resource kustom OCITTopology dengan CIDR untuk
LAN virtual berikut:
serversocserversjumphostsiloworkstationssocworkstations
File ini juga menyediakan alamat layanan untuk penyedia identitas (IdP), layanan informasi keamanan dan manajemen peristiwa (SIEM), serta layanan pemindai kerentanan.
Berikut adalah contoh file ocit-topology-exchange.yaml:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []