预计完成时间:30-60 分钟
可操作组件的所有者:PNET
2.4.1. 切换配置
2.4.1.1. 应用交换机配置
使用 Minicom 通过串行控制台连接到每个交换机。
如需了解详情,请参阅使用 Minicom 访问串行控制台。
从 base 和 acl 文件中复制配置文件内容,然后按如下方式将其粘贴到交换机中:
| 配置文件 | 设备 | 函数 |
|---|---|---|
| occoresw101.base | occoresw101 | 完整的基本配置 |
| occoresw101.acl | occoresw101 | 流量 ACL 创建和强制执行 |
| occoresw102.base | occoresw102 | 完整的基本配置 |
| occoresw102.acl | occoresw102 | 流量 ACL 创建和强制执行 |
| ocsw101.base | ocsw101 | 完整的基本配置 |
| ocsw101.acl | ocsw101 | 流量 ACL 创建和强制执行 |
| ocsw102.base | ocsw102 | 完整的基本配置 |
| ocsw102.acl | ocsw102 | 流量 ACL 创建和强制执行 |
应用配置后,文件必须执行 copy
running-config startup-config。确保此操作成功完成,否则交换机在重新启动期间会丢失其配置。
如果使用 CLI 启用了 simplify-configs 字段,则 acl 和 base 配置会生成在同一文件中。
对于多站点 Operations Suite 基础架构 (OI) 部署,每个站点都必须以相同的方式进行配置。为每个网站生成的配置文件可以通过分配给每个网站的各个细分的 InstanceID 来识别。
生成的所有文件都带有以下格式的前缀:<segment_type><device_type><InstanceID><device_id>。如需查看为多站点 OI 部署生成的配置文件示例,请参阅附录 A。
2.4.2. 防火墙配置
防火墙之前已配置为启用 FIP-CC 模式。在应用配置之前,您需要访问 GUI。
2.4.2.1. 启用 FIPS-CC 后,防火墙的日志记录
防火墙在管理接口上启动,IP 地址为 192.168.1.1/24。您必须与 192.168.1.1 的 IP 地址建立连接。
如需建立连接,请在系统控制器上配置一个 IP 地址为 192.168.1.10/24 的接口,并将以太网电缆连接到管理接口。
使用新凭据 admin/paloalto 或 admin/admin 进行身份验证,以建立与防火墙的 SSH 连接:
ssh admin@192.168.1.1
2.4.2.2. 配置 GUI 访问权限
在每个防火墙的管理 CLI 中,运行以下命令:
您可以从 occonfigtool 输出的 ocinfo.opscenter.local 文件中检索以下变量。
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
提交后可能会出现以下错误。如果是,请等待 2 到 5 分钟,然后重试:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
此时,您可以访问防火墙 GUI。
2.4.2.3. 应用许可
- 使用 GUI,依次前往设备 > 许可,然后选择手动上传许可密钥。
- 浏览并找到许可文件。确保许可文件与设备的序列号一致。
- 应用许可后,页面会显示许可签发日期、到期日期和许可说明:
许可文件通常采用以下格式:<serial-number>-support.key。
2.4.2.4. 导入 XML 配置文件
以下 XML 文件应应用于相应设备。
| 配置文件 | 设备 | 函数 |
|---|---|---|
| occorefw101.base | occorefw101 | 完整的基本配置 |
| occorefw102.base | occorefw102 | 完整的基本配置 |
在防火墙 GUI 中:
- 依次前往设备 > 设置 > 操作,然后选择导入命名配置快照。
- 点击浏览。
- 选择目标配置文件(例如
occorefw01.base.opscenter.local.xml),然后点击确定。 - 系统会提醒您文件已保存。
- 选择 Load Named Configuration snapshot。
- 在名称列表中,选择您刚刚导入的文件,然后点击确定。
- 系统会通知您配置正在加载。
- 选择 Commit(提交),然后选择 Commit: All Changes(提交:所有更改),以运行完整提交。进度条会显示状态。
2.4.2.5. 启用 breakglass-admin 用户
默认情况下,设置新防火墙后,为非默认用户(admin 以外的所有用户)生成的密码哈希会失效。防火墙运行后,您必须手动为 breakglass-admin 用户设置密码。请按照相应步骤操作两个 oc-core 防火墙。
从 CLI 运行以下命令:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commit当系统要求输入密码时,请输入任意临时密码。您稍后可以更改临时密码。
退出 CLI 并重新建立与防火墙的 SSH 连接。
当系统提示时,输入旧密码的临时密码,然后输入 OI 信息文件中的
breakglass-admin密码作为新密码。提示类似于以下内容:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. OI 信息文件
系统会创建一个名为 ocinfo.common.<domain-name>.txt 的文件以及其他配置文件。系统会为每个网站创建此文件,其中包含以下信息:
- 有关 OC 核心网络的详细信息
- 有关 OC 网络的详细信息
- 每个节点的管理 IP 地址,由
occonfigtool新生成。 - 每次切换的新用户凭据
使用此文件中的信息登录并管理所有 OI 网络设备(在完成配置和部署后)。
示例文件:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. OI 拓扑文件
如需向 GDC 单元添加 OI 拓扑文件,请参阅添加 OI 拓扑文件。在环境创建的第一步中,ocitconfigtool 会生成 ocit-topology-exchange.yaml 文件。
ocit-topology-exchange.yaml 文件将有关 Operations Suite 基础架构 (OI) 拓扑的信息传递给 GDC 网络协调器。该文件指定了无类别域间路由 (CIDR) 和服务主机地址。具体而言,该文件会创建 OCITTopology 自定义资源,其中包含以下虚拟 LAN 的 CIDR:
serversocserversjumphostsiloworkstationssocworkstations
此文件还提供身份提供方 (IdP)、安全信息和事件管理 (SIEM) 以及漏洞扫描器服务的服务地址。
下面是一个 ocit-topology-exchange.yaml 文件示例:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []