Tempo stimato per il completamento: 30-60 minuti
Proprietario del componente operativo: PNET
2.4.1. Configurazione dello switch
2.4.1.1. Applica le configurazioni dello switch
Connettiti a ogni switch con la console seriale utilizzando Minicom.
Per ulteriori informazioni, consulta Utilizzare Minicom per accedere alle console seriali.
Copia i contenuti del file di configurazione dai file base e acl e incollali
negli switch come segue:
| File di configurazione | Dispositivo | Funzione |
|---|---|---|
| occoresw101.base | occoresw101 | Configurazione di base completa |
| occoresw101.acl | occoresw101 | Creazione e applicazione di ACL del traffico |
| occoresw102.base | occoresw102 | Configurazione di base completa |
| occoresw102.acl | occoresw102 | Creazione e applicazione di ACL del traffico |
| ocsw101.base | ocsw101 | Configurazione di base completa |
| ocsw101.acl | ocsw101 | Creazione e applicazione di ACL del traffico |
| ocsw102.base | ocsw102 | Configurazione di base completa |
| ocsw102.acl | ocsw102 | Creazione e applicazione di ACL del traffico |
Dopo aver applicato le configurazioni, il file deve eseguire un copy
running-config startup-config. Assicurati che l'operazione vada a buon fine, altrimenti
lo switch perde la configurazione durante un riavvio.
Se il campo simplify-configs è abilitato utilizzando la CLI, le configurazioni acl e base vengono generate nello stesso file.
Per le implementazioni dell'infrastruttura Operations Suite (OI) multisito, ogni sito deve essere configurato nello stesso modo.
I file di configurazione generati per ogni sito possono essere identificati dal InstanceID assegnato ai segmenti di ciascun sito.
Tutti i file generati hanno un prefisso con il seguente formato:
<segment_type><device_type><InstanceID><device_id>.
Per un esempio di file di configurazione generati per un deployment OI multisito, vedi Appendice A.
2.4.2. Configurazione del firewall
I firewall sono stati configurati in precedenza per abilitare la modalità FIPS-CC. Prima di applicare le configurazioni, devi accedere alla GUI.
2.4.2.1. Logging nel firewall dopo l'attivazione di FIPS-CC
Il firewall viene fornito con un indirizzo IP 192.168.1.1/24 sull'interfaccia di gestione. Devi stabilire la connessione all'indirizzo IP di 192.168.1.1.
Per stabilire la connessione, configura un'interfaccia sul controller di sistema con un indirizzo IP 192.168.1.10/24 e collega un cavo Ethernet all'interfaccia di gestione.
Stabilisci una connessione SSH al firewall utilizzando le nuove credenziali
admin/paloalto o admin/admin per l'autenticazione:
ssh admin@192.168.1.1
2.4.2.2. Configurare l'accesso alla GUI
Dalla CLI di gestione di ciascun firewall, esegui i seguenti comandi:
Puoi recuperare le seguenti variabili dal file ocinfo.opscenter.local
prodotto da occonfigtool.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
Dopo il commit potrebbe essere visualizzato il seguente errore. In caso affermativo, attendi 2-5 minuti e riprova:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
A questo punto puoi accedere alla GUI del firewall.
2.4.2.3. Applica licenza
- Utilizzando la GUI, vai a Dispositivo > Licenze e seleziona Carica manualmente la chiave di licenza.
- Sfoglia per trovare il file della licenza. Assicurati che il file di licenza corrisponda al numero di serie del dispositivo.
- Una volta applicata la licenza, la pagina mostra la data di emissione, la data di scadenza e una descrizione della licenza:
Il file di licenza in genere segue questo formato: <serial-number>-support.key.
2.4.2.4. Importa il file di configurazione XML
I seguenti file XML devono essere applicati ai rispettivi dispositivi.
| File di configurazione | Dispositivo | Funzione |
|---|---|---|
| occorefw101.base | occorefw101 | Configurazione di base completa |
| occorefw102.base | occorefw102 | Configurazione di base completa |
Nella GUI del firewall:
- Vai a Dispositivo > Configurazione > Operazioni e seleziona Importa snapshot di configurazione denominata.
- Fai clic su Sfoglia.
- Seleziona il file di configurazione di destinazione, ad esempio
occorefw01.base.opscenter.local.xml, e fai clic su Ok. - Riceverai un avviso che ti informa che il file è stato salvato.
- Seleziona Carica snapshot di configurazione denominata.
- Nell'elenco Nome, seleziona il file appena importato e fai clic su Ok.
- Ricevi una notifica che ti informa che la configurazione è in fase di caricamento.
- Esegui un commit completo selezionando Commit e poi Commit: tutte le modifiche. Una barra di avanzamento mostra lo stato.
2.4.2.5. Abilita l'utente breakglass-admin
Per impostazione predefinita, quando viene impostato un nuovo firewall, l'hash della password generato per gli utenti non predefiniti (tutti
tranne admin) diventa non valido.Devi impostare manualmente la password per l'utente breakglass-admin dopo l'avvio del firewall. Segui i passaggi per entrambi i firewall oc-core.
Esegui i seguenti comandi dalla CLI:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitQuando ti viene chiesta la password di input, inserisci una password temporanea. Puoi modificare la password temporanea in un secondo momento.
Esci dalla CLI e ristabilisci una connessione SSH al firewall.
Quando richiesto, inserisci la password temporanea per la vecchia password e inserisci la password
breakglass-admindal file di informazioni OI come nuova password.I prompt sono simili ai seguenti:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. File di informazioni sull'OI
Viene creato un file denominato ocinfo.common.<domain-name>.txt insieme ad altri file di configurazione.
Questo file viene creato per ogni sito e contiene le seguenti informazioni:
- Dettagli sulla rete OC CORE
- Dettagli sulla rete OC
- Indirizzi IP di gestione per ogni nodo, generati di recente da
occonfigtool. - Nuove credenziali utente per ogni cambio
Utilizza le informazioni presenti in questo file per accedere e gestire tutti i dispositivi di rete OI una volta che sono stati sottoposti al provisioning e distribuiti.
File di esempio:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. File di topologia OI
Per aggiungere il file di topologia OI alla cella GDC, vedi Aggiungere il file di topologia OI. Durante il primo passaggio della creazione dell'ambiente, ocitconfigtool genera il file ocit-topology-exchange.yaml.
Il file ocit-topology-exchange.yaml trasmette informazioni sulla topologia dell'infrastruttura di Operations Suite (OI) al
riconciliatore di rete GDC. Il file specifica gli indirizzi CIDR (Classless Inter-Domain Routing) e host di servizio. Nello specifico,
il file crea la risorsa personalizzata OCITTopology con i CIDR per le
seguenti LAN virtuali:
serversocserversjumphostsiloworkstationssocworkstations
Questo file fornisce anche gli indirizzi dei servizi per i provider di identità (IdP), i servizi di security information and event management (SIEM) e di scansione delle vulnerabilità.
Di seguito è riportato un esempio di file ocit-topology-exchange.yaml:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []