預計完成時間:30 到 60 分鐘
可操作元件擁有者:PNET
2.4.1. 切換設定
2.4.1.1. 套用交換器設定
使用 Minicom 透過序列控制台連線至各個交換器。
詳情請參閱「使用 Minicom 存取序列主控台」。
從 base 和 acl 檔案複製設定檔內容,然後按照下列方式貼到交換器:
| 設定檔 | 裝置 | 函式 |
|---|---|---|
| occoresw101.base | occoresw101 | 完整基礎設定 |
| occoresw101.acl | occoresw101 | 建立及強制執行流量 ACL |
| occoresw102.base | occoresw102 | 完整基礎設定 |
| occoresw102.acl | occoresw102 | 建立及強制執行流量 ACL |
| ocsw101.base | ocsw101 | 完整基礎設定 |
| ocsw101.acl | ocsw101 | 建立及強制執行流量 ACL |
| ocsw102.base | ocsw102 | 完整基礎設定 |
| ocsw102.acl | ocsw102 | 建立及強制執行流量 ACL |
套用設定後,檔案必須執行 copy
running-config startup-config。請確保成功執行這項操作,否則交換器會在重新啟動時遺失設定。
如果使用 CLI 啟用 simplify-configs 欄位,系統會在同一個檔案中產生 acl 和 base 設定。
如果是多個網站的 Operations Suite 基礎架構 (OI) 部署作業,每個網站都必須以相同方式設定。
為每個網站產生的設定檔,可透過指派給各網站區隔的 InstanceID 識別。所有產生的檔案都會有前置字串,格式如下:
<segment_type><device_type><InstanceID><device_id>。
如需為多個網站的 OI 部署作業產生的設定檔範例,請參閱附錄 A。
2.4.2. 防火牆設定
防火牆先前已設定為啟用 FIP-CC 模式。套用設定前,請先存取 GUI。
2.4.2.1. 啟用 FIPS-CC 後記錄到防火牆
防火牆會在管理介面上顯示 192.168.1.1/24 的 IP 位址。您必須連線至 192.168.1.1 的 IP 位址。
如要建立連線,請在系統控制器上設定介面,並使用 192.168.1.10/24 的 IP 位址,然後將乙太網路線連接至管理介面。
使用新憑證建立防火牆的 SSH 連線,並透過 admin/paloalto 或 admin/admin 進行驗證:
ssh admin@192.168.1.1
2.4.2.2. 設定 GUI 存取權
在每個防火牆的管理 CLI 中,執行下列指令:
您可以從 occonfigtool 輸出的 ocinfo.opscenter.local 檔案中擷取下列變數。
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
提交後可能會出現下列錯誤。如果是,請等待 2 到 5 分鐘後再試一次:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
此時,您就可以存取防火牆 GUI。
2.4.2.3. 套用授權
- 使用 GUI 依序前往「Device」 >「Licenses」,然後選取「Manually upload license key」。
- 瀏覽授權檔案。確認授權檔案與裝置序號相符。
- 套用執照後,頁面會顯示執照核發日期、有效期限和執照說明:
授權檔案通常採用 <serial-number>-support.key 格式。
2.4.2.4. 匯入 XML 設定檔
下列 XML 檔案應套用至對應的裝置。
| 設定檔 | 裝置 | 函式 |
|---|---|---|
| occorefw101.base | occorefw101 | 完整基礎設定 |
| occorefw102.base | occorefw102 | 完整基礎設定 |
在防火牆 GUI 中:
- 依序前往「Device」 >「Setup」 >「Operations」,然後選取「Import Named Configuration snapshot」。
- 按一下「瀏覽」。
- 選取目標設定檔,例如
occorefw01.base.opscenter.local.xml,然後按一下「OK」。 - 系統會發出檔案已儲存的警示。
- 選取「載入具名設定快照」。
- 在「名稱」清單中,選取您剛匯入的檔案,然後按一下「確定」。
- 系統會通知你正在載入設定。
- 選取「Commit」,然後選取「Commit: All Changes」,即可執行完整提交。進度列會顯示狀態。
2.4.2.5. 啟用急用權限管理員使用者
根據預設,設定新防火牆時,系統會使非預設使用者 (admin 以外的所有使用者) 的密碼雜湊失效。防火牆執行後,您必須手動設定 breakglass-admin 使用者的密碼。請按照步驟操作,為 oc-core 防火牆設定規則。
從 CLI 執行下列指令:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commit系統要求輸入密碼時,請輸入任何臨時密碼。您之後可以變更臨時密碼。
結束 CLI,然後重新建立與防火牆的 SSH 連線。
在系統提示時,輸入舊密碼的臨時密碼,然後輸入OI 資訊檔案中的
breakglass-admin密碼做為新密碼。提示類似於下列內容:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. OI 資訊檔案
系統會建立名為 ocinfo.common.<domain-name>.txt 的檔案,以及其他設定檔。系統會為每個網站建立這個檔案,並包含下列資訊:
- OC CORE 網路詳細資料
- OC 網路詳細資料
occonfigtool新產生的每個節點管理 IP 位址。- 每個交換器的新使用者憑證
使用這個檔案中的資訊登入及管理所有 OI 網路裝置,前提是這些裝置已完成佈建及部署。
範例檔案:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. OI 拓撲檔案
如要將 OI 拓撲檔案新增至 GDC 儲存格,請參閱「新增 OI 拓撲檔案」。在建立環境的第一步中,ocitconfigtool 會產生 ocit-topology-exchange.yaml 檔案。
ocit-topology-exchange.yaml 檔案會將 Operations Suite 基礎架構 (OI) 拓撲的資訊傳遞至 GDC 網路協調器。這個檔案會指定無類別跨網域路由 (CIDR) 和服務主機位址。具體來說,這個檔案會建立 OCITTopology 自訂資源,並包含下列虛擬 LAN 的 CIDR:
serversocserversjumphostsiloworkstationssocworkstations
這個檔案也會提供身分識別提供者 (IdP)、安全資訊與事件管理 (SIEM) 和安全漏洞掃描器服務的服務位址。
以下是 ocit-topology-exchange.yaml 檔案範例:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []