Tempo estimado para a conclusão: 30 a 60 minutos
Proprietário do componente operacional: PNET
2.4.1. Trocar configuração
2.4.1.1. Aplicar configurações de switch
Conecte-se a cada switch com o console serial usando o Minicom.
Para mais informações, consulte Usar o Minicom para acessar consoles seriais.
Copie o conteúdo do arquivo de configuração dos arquivos base e acl e cole
nas opções da seguinte maneira:
| Arquivos de configuração | Dispositivo | Função |
|---|---|---|
| occoresw101.base | occoresw101 | Configuração básica completa |
| occoresw101.acl | occoresw101 | Criação e aplicação de ACLs de tráfego |
| occoresw102.base | occoresw102 | Configuração básica completa |
| occoresw102.acl | occoresw102 | Criação e aplicação de ACLs de tráfego |
| ocsw101.base | ocsw101 | Configuração básica completa |
| ocsw101.acl | ocsw101 | Criação e aplicação de ACLs de tráfego |
| ocsw102.base | ocsw102 | Configuração básica completa |
| ocsw102.acl | ocsw102 | Criação e aplicação de ACLs de tráfego |
Depois de aplicar as configurações, o arquivo precisa executar um copy
running-config startup-config. Verifique se isso acontece corretamente, ou a
chave perde a configuração durante uma reinicialização.
Se o campo simplify-configs estiver ativado usando a CLI, as configurações acl e base serão geradas no mesmo arquivo.
Para implantações de infraestrutura (OI) da Operations Suite em vários sites, cada site precisa ser configurado da mesma forma.
Os arquivos de configuração gerados para cada site podem ser identificados pelo InstanceID atribuído aos segmentos de cada site.
Todos os arquivos gerados têm um prefixo com o seguinte formato:
<segment_type><device_type><InstanceID><device_id>.
Para um exemplo de arquivos de configuração gerados para uma implantação de OI em vários sites, consulte o Apêndice A.
2.4.2. Configuração do firewall
Os firewalls foram configurados anteriormente para ativar o modo FIP-CC. Antes de aplicar as configurações, acesse a GUI.
2.4.2.1. Registro no firewall após ativar o FIPS-CC
O firewall aparece com um endereço IP de 192.168.1.1/24 na interface de gerenciamento. É preciso estabelecer uma conexão com o endereço IP de 192.168.1.1.
Para estabelecer a conexão, configure uma interface no controlador
do sistema com um endereço IP de 192.168.1.10/24 e conecte um cabo
Ethernet à interface de gerenciamento.
Estabeleça uma conexão SSH com o firewall usando as novas credenciais
admin/paloalto ou admin/admin para autenticar:
ssh admin@192.168.1.1
2.4.2.2. Configurar o acesso à GUI
Em cada uma das CLI de gerenciamento do firewall, execute os seguintes comandos:
É possível recuperar as seguintes variáveis da saída do arquivo ocinfo.opscenter.local gerada pelo occonfigtool.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
O seguinte erro pode aparecer após o commit. Se for o caso, aguarde de dois a cinco minutos e tente de novo:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
Nesse ponto, você pode acessar a GUI do firewall.
2.4.2.3. Aplicar licença
- Na GUI, navegue até Dispositivo > Licenças e selecione Fazer upload manual da chave de licença.
- Procure o arquivo de licença. Verifique se o arquivo de licença corresponde ao número de série do dispositivo.
- Depois que a licença é aplicada, a página mostra a data de emissão, a data de validade e uma descrição da licença:
O arquivo de licença geralmente segue este formato: <serial-number>-support.key.
2.4.2.4. Importar arquivo de configuração XML
Os XML files a seguir precisam ser aplicados aos respectivos dispositivos.
| Arquivos de configuração | Dispositivo | Função |
|---|---|---|
| occorefw101.base | occorefw101 | Configuração básica completa |
| occorefw102.base | occorefw102 | Configuração básica completa |
Na GUI do firewall:
- Acesse Dispositivo > Configuração > Operações e selecione Importar snapshot de configuração nomeada.
- Clique em Procurar.
- Selecione o arquivo de configuração de destino, como
occorefw01.base.opscenter.local.xml, e clique em OK. - Você vai receber um alerta informando que o arquivo foi salvo.
- Selecione Carregar snapshot de configuração nomeada.
- Na lista Nome, selecione o arquivo que você acabou de importar e clique em OK.
- Você vai receber uma notificação informando que a configuração está sendo carregada.
- Para fazer um commit completo, selecione Commit e depois Commit: All Changes. Uma barra de progresso mostra o status.
2.4.2.5. Ativar o usuário breakglass-admin
Por padrão, quando um novo firewall é definido, o hash de senha gerado para usuários não padrão (todos
exceto admin) se torna inválido.É necessário definir manualmente a senha do usuário breakglass-admin depois que o firewall estiver em execução. Siga as etapas para os dois firewalls oc-core.
Execute os seguintes comandos na CLI:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitQuando for solicitada a senha de entrada, insira qualquer senha temporária. É possível mudar a senha temporária depois.
Saia da CLI e restabeleça uma conexão SSH com o firewall.
Quando solicitado, digite a senha temporária da senha antiga e a senha
breakglass-admindo arquivo de informações do OI como a nova senha.Os comandos são semelhantes aos seguintes:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. Arquivo de informações de OI
Um arquivo chamado ocinfo.common.<domain-name>.txt é criado junto com outros arquivos de configuração.
Esse arquivo é criado para cada site e contém as seguintes informações:
- Detalhes sobre a rede OC CORE
- Detalhes sobre a rede OC
- Endereços IP de gerenciamento para cada nó, que são gerados recentemente pelo
occonfigtool. - Novas credenciais de usuário para cada troca
Use as informações presentes nesse arquivo para fazer login e gerenciar todos os dispositivos de rede da OI depois que eles forem provisionados e implantados.
Exemplo de arquivo:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. Arquivo de topologia da OI
Para adicionar o arquivo de topologia de OI à célula do GDC, consulte Adicionar arquivo de topologia de OI. Durante a primeira etapa da criação do ambiente, o ocitconfigtool gera o arquivo ocit-topology-exchange.yaml.
O arquivo ocit-topology-exchange.yaml transmite informações sobre a topologia da infraestrutura do pacote de operações (OI) para
o reconciliador de rede do GDC. O arquivo especifica o roteamento entre domínios sem classe (CIDR) e os endereços de host do serviço. Especificamente, o arquivo cria o recurso personalizado OCITTopology com os CIDRs das seguintes LANs virtuais:
serversocserversjumphostsiloworkstationssocworkstations
Ele também fornece endereços de serviço para provedores de identidade (IdP), gerenciamento de eventos e informações de segurança (SIEM) e serviços de verificação de vulnerabilidades.
A seguir, um exemplo de arquivo ocit-topology-exchange.yaml:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []