예상 소요 시간: 30~60분
작동 가능한 구성요소 소유자: PNET
2.4.1. 구성 전환
2.4.1.1. 스위치 구성 적용
Minicom을 사용하여 직렬 콘솔로 각 스위치에 연결합니다.
자세한 내용은 Minicom을 사용하여 직렬 콘솔에 액세스를 참고하세요.
base 및 acl 파일에서 구성 파일 콘텐츠를 복사하여 다음과 같이 스위치에 붙여넣습니다.
| 구성 파일 | 기기 | 함수 |
|---|---|---|
| occoresw101.base | occoresw101 | 전체 기본 구성 |
| occoresw101.acl | occoresw101 | 트래픽 ACL 생성 및 시행 |
| occoresw102.base | occoresw102 | 전체 기본 구성 |
| occoresw102.acl | occoresw102 | 트래픽 ACL 생성 및 시행 |
| ocsw101.base | ocsw101 | 전체 기본 구성 |
| ocsw101.acl | ocsw101 | 트래픽 ACL 생성 및 시행 |
| ocsw102.base | ocsw102 | 전체 기본 구성 |
| ocsw102.acl | ocsw102 | 트래픽 ACL 생성 및 시행 |
구성을 적용한 후 파일은 copy
running-config startup-config를 실행해야 합니다. 이 작업이 성공적으로 실행되어야 합니다. 그렇지 않으면 재부팅 중에 스위치의 구성이 손실됩니다.
CLI를 사용하여 simplify-configs 필드를 사용 설정하면 acl 및 base 구성이 동일한 파일에 생성됩니다.
다중 사이트 Operations Suite Infrastructure (OI) 배포의 경우 각 사이트가 동일한 방식으로 구성되어야 합니다.
각 사이트에 대해 생성된 구성 파일은 각 사이트의 세그먼트에 할당된 InstanceID로 식별할 수 있습니다.
생성된 모든 파일에는 <segment_type><device_type><InstanceID><device_id> 형식의 접두사가 있습니다.
다중 사이트 OI 배포를 위해 생성된 구성 파일의 예시는 부록 A를 참고하세요.
2.4.2. 방화벽 구성
방화벽이 이전에 FIP-CC 모드를 사용 설정하도록 구성되었습니다. 구성을 적용하기 전에 GUI에 액세스해야 합니다.
2.4.2.1. FIPS-CC 사용 설정 후 방화벽에 로깅
방화벽은 관리 인터페이스에서 IP 주소 192.168.1.1/24로 표시됩니다. 192.168.1.1의 IP 주소에 연결해야 합니다.
연결을 설정하려면 IP 주소가 192.168.1.10/24인 인터페이스를 시스템 컨트롤러에 구성하고 이더넷 케이블을 관리 인터페이스에 연결합니다.
새 사용자 인증 정보 admin/paloalto 또는 admin/admin를 사용하여 인증하여 방화벽에 대한 SSH 연결을 설정합니다.
ssh admin@192.168.1.1
2.4.2.2. GUI 액세스 구성
각 방화벽의 관리 CLI에서 다음 명령어를 실행합니다.
occonfigtool에서 출력한 ocinfo.opscenter.local 파일에서 다음 변수를 가져올 수 있습니다.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
커밋 후 다음 오류가 표시될 수 있습니다. 이 경우 2~5분 정도 기다린 후 다시 시도하세요.
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
이 시점에서 방화벽 GUI에 액세스할 수 있습니다.
2.4.2.3. 라이선스 적용
- GUI를 사용하여 기기 > 라이선스로 이동하고 라이선스 키 수동 업로드를 선택합니다.
- 라이선스 파일을 찾습니다. 라이선스 파일이 기기의 일련번호와 일치하는지 확인합니다.
- 라이선스가 적용되면 페이지에 라이선스 발급일, 만료일, 라이선스 설명이 표시됩니다.
라이선스 파일은 일반적으로 <serial-number>-support.key 형식을 따릅니다.
2.4.2.4. XML 구성 파일 가져오기
다음 XML 파일은 각 기기에 적용해야 합니다.
| 구성 파일 | 기기 | 함수 |
|---|---|---|
| occorefw101.base | occorefw101 | 전체 기본 구성 |
| occorefw102.base | occorefw102 | 전체 기본 구성 |
방화벽 GUI에서 다음 단계를 따르세요.
- 기기 > 설정 > 작업으로 이동하여 이름이 지정된 구성 스냅샷 가져오기를 선택합니다.
- 찾아보기를 클릭합니다.
occorefw01.base.opscenter.local.xml와 같은 타겟 구성 파일을 선택하고 확인을 클릭합니다.- 파일이 저장되었다는 알림이 표시됩니다.
- Load Named Configuration snapshot(이름이 지정된 구성 스냅샷 로드)을 선택합니다.
- 이름 목록에서 방금 가져온 파일을 선택하고 확인을 클릭합니다.
- 구성이 로드되고 있다는 알림이 표시됩니다.
- 커밋을 선택한 다음 커밋: 모든 변경사항을 선택하여 전체 커밋을 실행합니다. 진행률 표시줄에 상태가 표시됩니다.
2.4.2.5. 비상 관리자 사용자 사용 설정
기본적으로 새 방화벽이 설정되면 기본이 아닌 사용자 (admin 제외)에 대해 생성된 비밀번호 해시가 무효화됩니다.방화벽이 실행된 후 breakglass-admin 사용자의 비밀번호를 수동으로 설정해야 합니다. oc-core 방화벽 모두에 대해 단계를 따릅니다.
CLI에서 다음 명령어를 실행합니다.
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commit비밀번호를 입력하라는 메시지가 표시되면 임시 비밀번호를 입력합니다. 나중에 임시 비밀번호를 변경할 수 있습니다.
CLI를 종료하고 방화벽에 대한 SSH 연결을 다시 설정합니다.
메시지가 표시되면 이전 비밀번호의 임시 비밀번호를 입력하고 OI 정보 파일의
breakglass-admin비밀번호를 새 비밀번호로 입력합니다.프롬프트는 다음과 비슷합니다.
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. OI 정보 파일
ocinfo.common.<domain-name>.txt이라는 파일이 다른 구성 파일과 함께 생성됩니다.
이 파일은 각 사이트에 대해 생성되며 다음 정보를 포함합니다.
- OC CORE Network에 대한 세부정보
- OC 네트워크에 대한 세부정보
- 각 노드의 관리 IP 주소로,
occonfigtool에 의해 새로 생성됩니다. - 전환마다 새 사용자 인증 정보
이 파일에 있는 정보를 사용하여 모든 OI 네트워크 기기가 프로비저닝되고 배포된 후 로그인하고 관리합니다.
예시 파일:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. OI 토폴로지 파일
GDC 셀에 OI 토폴로지 파일을 추가하려면 OI 토폴로지 파일 추가를 참고하세요. 환경 생성의 첫 번째 단계에서 ocitconfigtool은 ocit-topology-exchange.yaml 파일을 생성합니다.
ocit-topology-exchange.yaml 파일은 Operations Suite Infrastructure (OI) 토폴로지에 관한 정보를 GDC 네트워크 조정기에 전달합니다. 이 파일은 클래스 없는 도메인 간 라우팅 (CIDR) 및 서비스 호스트 주소를 지정합니다. 특히 이 파일은 다음 가상 LAN의 CIDR을 사용하여 OCITTopology 커스텀 리소스를 만듭니다.
serversocserversjumphostsiloworkstationssocworkstations
이 파일은 ID 공급자 (IdP), 보안 정보 및 이벤트 관리 (SIEM), 취약점 스캐너 서비스의 서비스 주소도 제공합니다.
다음은 ocit-topology-exchange.yaml 파일의 예시입니다.
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []