Tempo estimado até à conclusão: 30 a 60 minutos
Proprietário do componente operacional: PNET
2.4.1. Configuração do comutador
.2.4.1.1. Aplique configurações de interruptores
Estabeleça ligação a cada comutador com a consola de série através do Minicom.
Para mais informações, consulte o artigo Use o Minicom para aceder a consolas de série.
Copie o conteúdo do ficheiro de configuração do ficheiro base e acl e cole-o nos comutadores da seguinte forma:
| Ficheiros de configuração | Dispositivo | Função |
|---|---|---|
| occoresw101.base | occoresw101 | Configuração base completa |
| occoresw101.acl | occoresw101 | Criação e aplicação de ACLs de tráfego |
| occoresw102.base | occoresw102 | Configuração base completa |
| occoresw102.acl | occoresw102 | Criação e aplicação de ACLs de tráfego |
| ocsw101.base | ocsw101 | Configuração base completa |
| ocsw101.acl | ocsw101 | Criação e aplicação de ACLs de tráfego |
| ocsw102.base | ocsw102 | Configuração base completa |
| ocsw102.acl | ocsw102 | Criação e aplicação de ACLs de tráfego |
Após aplicar as configurações, o ficheiro tem de executar um copy
running-config startup-config. Certifique-se de que isto ocorre com êxito ou o comutador perde a respetiva configuração durante um reinício.
Se o campo simplify-configs estiver ativado através da CLI, as configurações acl e base são geradas no mesmo ficheiro.
Para implementações de infraestrutura do Operations Suite (OI) com vários sites, cada site tem de ser configurado da mesma forma.
Os ficheiros de configuração gerados para cada site podem ser identificados pelo InstanceID atribuído aos segmentos de cada site.
Todos os ficheiros gerados têm um prefixo com o seguinte formato:
<segment_type><device_type><InstanceID><device_id>.
Para ver um exemplo de ficheiros de configuração gerados para uma implementação de OI com vários sites, consulte o Anexo A.
2.4.2. Configuração da firewall
As firewalls foram configuradas anteriormente para ativar o modo FIP-CC. Antes de aplicar as configurações, tem de aceder à GUI.
2.4.2.1. Registo no firewall após a ativação do FIPS-CC
A firewall é apresentada com um endereço IP de 192.168.1.1/24 na interface de gestão. Tem de estabelecer ligação ao endereço IP 192.168.1.1.
Para estabelecer a ligação, configure uma interface no controlador do sistema com um endereço IP de 192.168.1.10/24 e ligue um cabo Ethernet à interface de gestão.
Estabeleça uma ligação SSH à firewall através das novas credenciais
admin/paloalto ou admin/admin para autenticar:
ssh admin@192.168.1.1
2.4.2.2. Configure o acesso à GUI
A partir da CLI de gestão de cada firewall, execute os seguintes comandos:
Pode obter as seguintes variáveis do ficheiro ocinfo.opscenter.local gerado pelo occonfigtool.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
O seguinte erro pode ser apresentado após a confirmação. Se for o caso, aguarde entre dois e cinco minutos e tente novamente:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
Neste momento, pode aceder à GUI da firewall.
2.4.2.3. Aplique a licença
- Usando a GUI, navegue para Dispositivo > Licenças e selecione Carregar manualmente a chave de licença.
- Procure o ficheiro de licença. Certifique-se de que o ficheiro de licença corresponde ao número de série do dispositivo.
- Depois de a licença ser aplicada, a página mostra a data de emissão da licença, a data de validade e uma descrição da licença:
Normalmente, o ficheiro de licença segue este formato: <serial-number>-support.key.
2.4.2.4. Importe o ficheiro de configuração XML
Os seguintes ficheiros XML devem ser aplicados aos respetivos dispositivos.
| Ficheiros de configuração | Dispositivo | Função |
|---|---|---|
| occorefw101.base | occorefw101 | Configuração base completa |
| occorefw102.base | occorefw102 | Configuração base completa |
Na GUI do firewall:
- Navegue para Dispositivo > Configuração > Operações e selecione Importar instantâneo de configuração com nome.
- Clique em Procurar.
- Selecione o ficheiro de configuração de destino, como
occorefw01.base.opscenter.local.xml, e clique em OK. - Recebe um alerta a indicar que o ficheiro foi guardado.
- Selecione Carregar instantâneo de configuração com nome.
- Na lista Nome, selecione o ficheiro que acabou de importar e clique em OK.
- Recebe uma notificação a indicar que a configuração está a ser carregada.
- Execute uma confirmação completa selecionando Confirmar e, de seguida, Confirmar: todas as alterações. Uma barra de progresso mostra o estado.
2.4.2.5. Ative o utilizador administrador de emergência
Por predefinição, quando é definido um novo firewall, o hash da palavra-passe gerado para utilizadores não predefinidos (todos, exceto admin) torna-se inválido.Tem de definir manualmente a palavra-passe para o utilizador breakglass-admin depois de o firewall estar em execução. Siga os passos para ambas as firewalls oc-core.
Execute os seguintes comandos a partir da CLI:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitQuando lhe for pedida a palavra-passe de entrada, introduza qualquer palavra-passe temporária. Pode alterar a palavra-passe temporária mais tarde.
Saia da CLI e restabeleça uma ligação SSH à firewall.
Quando lhe for pedido, introduza a palavra-passe temporária da palavra-passe antiga e introduza a palavra-passe
breakglass-admindo ficheiro de informações de OI como a nova palavra-passe.As instruções são semelhantes às seguintes:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. Ficheiro de informações OI
É criado um ficheiro com o nome ocinfo.common.<domain-name>.txt juntamente com outros ficheiros de configuração.
Este ficheiro é criado para cada site e contém as seguintes informações:
- Detalhes sobre a rede OC CORE
- Detalhes sobre a OC Network
- Endereços IP de gestão para cada nó, que são gerados recentemente por
occonfigtool. - Novas credenciais de utilizador para cada mudança
Use as informações presentes neste ficheiro para iniciar sessão e gerir todos os dispositivos de rede OI assim que forem aprovisionados e implementados.
Ficheiro de exemplo:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. Ficheiro de topologia OI
Para adicionar o ficheiro de topologia de OI à célula do GDC, consulte o artigo Adicione o ficheiro de topologia de OI. Durante o primeiro passo da criação do ambiente, o ocitconfigtool gera o ficheiro ocit-topology-exchange.yaml.
O ficheiro ocit-topology-exchange.yaml transmite informações sobre a topologia da infraestrutura do Operations Suite (OI) ao reconciliador de rede do GDC. O ficheiro especifica o
Classless Inter-Domain Routing (CIDR) e os endereços do anfitrião de serviço. Especificamente, o ficheiro cria o recurso personalizado OCITTopology com os CIDRs para as seguintes LANs virtuais:
serversocserversjumphostsiloworkstationssocworkstations
Este ficheiro também fornece endereços de serviços para fornecedores de identidade (IdP), informações de segurança e gestão de eventos (SIEM) e serviços de análise de vulnerabilidades.
Segue-se um exemplo de um ficheiro ocit-topology-exchange.yaml:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []