推定所要時間: 30 ~ 60 分
操作可能なコンポーネントのオーナー: PNET
2.4.1. スイッチの構成
2.4.1.1. スイッチ構成を適用する
Minicom を使用してシリアル コンソールで各スイッチに接続します。
詳細については、Minicom を使用してシリアル コンソールにアクセスするをご覧ください。
base ファイルと acl ファイルから構成ファイルの内容をコピーし、次のようにスイッチに貼り付けます。
| 構成ファイル | デバイス | 関数 |
|---|---|---|
| occoresw101.base | occoresw101 | 完全な基本構成 |
| occoresw101.acl | occoresw101 | トラフィック ACL の作成と適用 |
| occoresw102.base | occoresw102 | 完全な基本構成 |
| occoresw102.acl | occoresw102 | トラフィック ACL の作成と適用 |
| ocsw101.base | ocsw101 | 完全な基本構成 |
| ocsw101.acl | ocsw101 | トラフィック ACL の作成と適用 |
| ocsw102.base | ocsw102 | 完全な基本構成 |
| ocsw102.acl | ocsw102 | トラフィック ACL の作成と適用 |
構成を適用した後、ファイルは copy
running-config startup-config を実行する必要があります。これが正常に実行されるようにしてください。実行されない場合、再起動時にスイッチの構成が失われます。
CLI を使用して simplify-configs フィールドが有効になっている場合、acl 構成と base 構成は同じファイルに生成されます。
マルチサイトの Operations Suite Infrastructure(OI)デプロイの場合、各サイトは同じ方法で構成する必要があります。各サイト用に生成された構成ファイルは、各サイトのセグメントに割り当てられた InstanceID で識別できます。生成されるすべてのファイルには、<segment_type><device_type><InstanceID><device_id> という形式の接頭辞が付きます。マルチサイト OI デプロイ用に生成された構成ファイルの例については、付録 A をご覧ください。
2.4.2. ファイアウォール構成
ファイアウォールは、以前に FIP-CC モードを有効にするように構成されています。構成を適用する前に、GUI にアクセスする必要があります。
2.4.2.1. FIPS-CC を有効にした後のファイアウォールへのロギング
ファイアウォールは、管理インターフェースで IP アドレス 192.168.1.1/24 を使用します。192.168.1.1 の IP アドレスへの接続を確立する必要があります。
接続を確立するには、システム コントローラのインターフェースを 192.168.1.10/24 の IP アドレスで構成し、イーサネット ケーブルを管理インターフェースに接続します。
新しい認証情報 admin/paloalto または admin/admin を使用して認証し、ファイアウォールへの SSH 接続を確立します。
ssh admin@192.168.1.1
2.4.2.2. GUI アクセスを構成する
ファイアウォールの管理 CLI から、次のコマンドを実行します。
occonfigtool によって出力された ocinfo.opscenter.local ファイルから、次の変数を取得できます。
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
コミット後に次のエラーが表示されることがあります。その場合は、2 ~ 5 分ほど待ってからもう一度お試しください。
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
この時点で、ファイアウォール GUI にアクセスできます。
2.4.2.3. ライセンスを適用する
- GUI を使用して、[Device] > [Licenses] に移動し、[Manually upload license key] を選択します。
- ライセンス ファイルを参照します。ライセンス ファイルがデバイスのシリアル番号と一致していることを確認します。
- ライセンスが適用されると、ページにライセンスの発行日、有効期限、ライセンスの説明が表示されます。
通常、ライセンス ファイルは <serial-number>-support.key という形式になります。
2.4.2.4. XML 構成ファイルをインポートする
次の XML ファイルは、それぞれのデバイスに適用する必要があります。
| 構成ファイル | デバイス | 関数 |
|---|---|---|
| occorefw101.base | occorefw101 | 完全な基本構成 |
| occorefw102.base | occorefw102 | 完全な基本構成 |
ファイアウォール GUI で:
- [Device] > [Setup] > [Operations] に移動し、[Import Named Configuration snapshot] を選択します。
- [参照] をクリックします。
- ターゲット構成ファイル(
occorefw01.base.opscenter.local.xmlなど)を選択して、[OK] をクリックします。 - ファイルが保存されたことを知らせるメッセージが表示されます。
- [Load Named Configuration snapshot] を選択します。
- [名前] リストで、インポートしたファイルを選択し、[OK] をクリックします。
- 構成が読み込まれていることを示す通知が表示されます。
- [Commit]、[Commit: All Changes] の順に選択して、完全な commit を実行します。進行状況バーにステータスが表示されます。
2.4.2.5. ブレークグラス管理ユーザーを有効にする
デフォルトでは、新しいファイアウォールが設定されると、デフォルト以外のユーザー(admin 以外のすべてのユーザー)用に生成されたパスワード ハッシュが無効になります。ファイアウォールが実行された後、breakglass-admin ユーザーのパスワードを手動で設定する必要があります。両方の oc-core ファイアウォールの手順に沿って操作します。
CLI から次のコマンドを実行します。
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitパスワードの入力を求められたら、任意の仮パスワードを入力します。仮パスワードは後で変更できます。
CLI を終了し、ファイアウォールへの SSH 接続を再確立します。
プロンプトが表示されたら、古いパスワードとして一時パスワードを入力し、新しいパスワードとして OI 情報ファイルの
breakglass-adminパスワードを入力します。プロンプトは次のようになります。
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. OI 情報ファイル
ocinfo.common.<domain-name>.txt という名前のファイルが他の構成ファイルとともに作成されます。このファイルはサイトごとに作成され、次の情報が含まれています。
- OC CORE ネットワークの詳細
- OC ネットワークの詳細
occonfigtoolによって新しく生成された各ノードの管理 IP アドレス。- スイッチごとの新しいユーザー認証情報
このファイルに記載されている情報を使用して、すべての OI ネットワーク デバイスをプロビジョニングしてデプロイした後、ログインして管理します。
サンプル ファイル:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. OI トポロジ ファイル
OI トポロジ ファイルを GDC セルに追加するには、OI トポロジ ファイルを追加するをご覧ください。環境作成の最初のステップで、ocitconfigtool は ocit-topology-exchange.yaml ファイルを生成します。
ocit-topology-exchange.yaml ファイルは、Operations Suite Infrastructure(OI)トポロジに関する情報を GDC ネットワーク Reconciler に渡します。このファイルには、クラスレス ドメイン間ルーティング(CIDR)とサービスホスト アドレスが指定されています。具体的には、このファイルは次の仮想 LAN の CIDR を使用して OCITTopology カスタム リソースを作成します。
serversocserversjumphostsiloworkstationssocworkstations
このファイルには、ID プロバイダ(IdP)、セキュリティ情報およびイベント管理(SIEM)、脆弱性スキャナ サービスのサービス アドレスも含まれています。
ocit-topology-exchange.yaml ファイルの例を次に示します。
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []