Création d'un pare-feu de série VM en cluster Palo Alto Networks

Si vous utilisez l'application Panorama pour gérer vos appareils, vous devrez saisir l'adresse IP Panorama et la clé d'authentification lors de la création de l'appareil. La prise en charge de Panorama est uniquement disponible pour les versions 10.1.12 et supérieures.

Le pare-feu VM-Series de Palo Alto Networks offre trois options de déploiement: simple, redondant et en cluster. Les options de configuration décrites ci-dessous concernent les configurations en cluster. Les options de configuration simple et redondantes sont détaillées dans le document Création d'un pare-feu VM-Series.

Options de connectivité

La manière dont Network Edge provisionne les périphériques du cluster varie selon les options de connectivité. Lisez attentivement cette section pour comprendre les étapes nécessaires à la configuration des périphériques principaux et secondaires en tant que nœuds de cluster.

Les deux options de connectivité (avec ou sans adresse IP publique Equinix) sont fournies avec des liens entre le nœud principal et le nœud secondaire après le provisionnement initial du dispositif. Ces liens sont utilisés pour la communication Heartbeat et sont nécessaires pour le déploiement d'un cluster.

Le tableau suivant résume les détails de la configuration en fonction du type de connectivité.

Connectivity Type	With Equinix Public IP Address	Without Equinix Public IP Address
Cas d'utilisation	Cette option inclut des adresses IP publiques fournies par Equinix et ne nécessite pas de connexion virtuelle supplémentaire pour gérer le périphérique virtuel.	Cette option supprime l'attribution d'adresse IP publique fournie par Equinix et isole la VNF d'Internet après la création du périphérique. Si l'appareil doit être géré par un logiciel exécuté dans la baie de colocation ou via une connexion virtuelle privée, cette option est recommandée.
Connectivité Internet	Les adresses IP publiques d'Equinix sont attribuées aux interfaces suivantes et accessibles depuis Internet: Gestion (MGMT), Ethernet 1/1 (WAN).	Aucune adresse IP publique d'Equinix n'est incluse. Cette option nécessite une connexion virtuelle distincte de votre fournisseur de services réseau (NSP) ou de votre fournisseur d'accès Internet (FSI). Consultez la documentation Apportez votre propre connexion - Port de fabric distant pour plus d'informations.
Liste de contrôle d'accès	Créez une liste de contrôle d'accès (ACL) pour limiter le trafic vers l'interface de gestion VNF (MGMT) ou WAN.	L'option ACL n'est pas disponible. Des contrôles compensatoires supplémentaires peuvent être mis en œuvre pour le trafic provenant de toute connexion virtuelle privée.
Accès SSH	Utilisez l'interface Ethernet 1/1 (WAN) pour l'accès SSH. Vous devez générer une clé publique RSA pour l'accès SSH et la configurer lors de la création de l'appareil (obligatoire).	Aucun accès SSH n'est disponible par défaut. Vous devez créer un nom d'utilisateur pour accéder à l'appareil. Une option est de générer une clé publique RSA pour l'accès SSH et de la configurer. Établissez la connectivité Internet par l'entremise de votre fournisseur de réseau ou de votre fournisseur d'accès Internet.
Gestion des périphériques	Pour les périphériques en grappe, l'accès à Panorama ne peut être mappé que sur l'interface de gestion (MGMT).	Une connexion virtuelle (via l'option BYOC) doit d'abord être attribuée à l'interface de gestion (MGMT) pour permettre l'accès à Panorama dans un déploiement en cluster.
Enregistrement de la licence	Fournissez le code d'autorisation lors de la création de l'appareil. Le code d'autorisation sera enregistré automatiquement lorsque l'appareil virtuel se connectera au serveur d'enregistrement des licences Palo Alto Networks.	Aucun code d'autorisation n'est requis lors de la création de l'appareil. L'utilisateur est responsable de l'enregistrement de la licence via une connexion virtuelle privée (enregistrement de licence en ligne) ou en mode hors ligne.
Configuration de la grappe	La configuration de la grappe est automatisée durant le processus de création des périphériques.	Les utilisateurs doivent configurer manuellement les périphériques du cluster.
Connexion HA interne	Par défaut, les interfaces GigabitEthernet 8 et 9 sont configurées automatiquement pour la connexion HA. Cette configuration ne peut pas être modifiée. Il n'est pas nécessaire de connecter les périphériques principal et secondaire par une liaison de périphérique.	Sélectionnez deux interfaces pour la communication de pulsation. Les numéros d'interface doivent correspondre entre les périphériques principal et secondaire. Par exemple, si l'interface GigabitEthernet 5 est configurée sur le nœud principal, elle doit également être configurée sur le nœud secondaire pour la première connexion HA. Vous devez allouer deux interfaces par nœud pour la connexion HA.
Configuration interne HA	Par défaut, toutes les configurations requises pour former une grappe entre deux périphériques sont mises en place lors de la phase d'approvisionnement des périphériques. Aucune configuration supplémentaire n'est nécessaire pour le clustering.	Vous devez configurer les paramètres de la grappe sur les deux interfaces (liens) décrites ci-dessus. Des exemples de configuration sont disponibles dans Configuration du cluster sans adresse IP publique Equinix.
Code d'autorisation	Les codes d'autorisation des nœuds principal et secondaire doivent être générés avant la création du cluster. Ces codes sont utilisés automatiquement lors de l'approvisionnement du groupe ; vous n'avez donc pas besoin d'appliquer manuellement les licences. Un code d'autorisation manquant ou invalide entraînera un échec de provisionnement.	Un code d'autorisation identique pour les nœuds principal et secondaire est généré après la création du cluster. Vous devrez identifier l'ID du processeur et l'UUID de chaque VNF pour générer le code d'autorisation. Vous devrez appliquer manuellement la licence une fois les grappes provisionnés.

Configuration de votre appareil sans adresse IP publique Equinix

Si vous choisissez de créer votre appareil sans adresse IP publique Equinix, la VNF sera provisionnée sans adresse IP publique sur l'interface WAN ni sur l'interface de gestion. Il vous incombe de configurer l'enregistrement de la licence, la configuration du réseau superposé et le clustering.

Configuration de l'interface de gestion

Voici un exemple de configuration, donné à titre indicatif seulement, pour la configuration de l'interface de gestion. Commandes

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

Enregistrement de la licence

Il vous incombe d'ajouter manuellement la licence à l'appareil. Vous devriez déjà avoir accès au portail de soutien à la clientèle Palo Alto Networks (portail des licences), où vous pouvez enregistrer votre appareil à l'aide des informations UUID et CPU-ID. Utilisez la clé de licence fournie par le portail pour ajouter la licence à l'appareil. La documentation relative à l'activation de la licence est disponible dans la documentation Palo Alto Réseaux.

Scénarios de déploiement

Scénario 1: Gestion du pare-feu depuis la colocation (enregistrement de licence hors ligne) où l'interface de gestion est accessible uniquement depuis le réseau connecté à l'espace de colocation enregistrement de licence hors ligne.

1. Créez un pare-feu VNF VM-Series sans adresse IP publique Equinix dans le portail Network Edge.
2. Connectez-vous aux consoles VNF primaire et secondaire avec votre nom d'utilisateur et votre mot de passe.
3. Créez une connexion virtuelle du VNF vers la colocation sur la première interface (interface de gestion).
4. Attribuez une adresse IP à l'interface de gestion sur les deux VNF.
5. Confirmer la possibilité d'accéder à l'IP à partir des dispositifs situés dans l'espace de colocation.
6. Accédez à la VNF à l'aide de SSH à partir d'un appareil situé dans l'espace de colocation.
7. Identifier l'ID CPU et l'UUID pour le VNF.
8. Accédez au portail d'assistance à la clientèle de Palo Alto Networks (portail de licences) et générez deux licences identiques pour les VNF.
9. Appliquez la licence hors ligne aux deux VNF.
10. (Optionnel) Vous pouvez gérer le VNF à partir du logiciel de gestion Panorama configuré dans l'espace de colocation.
11. Créez les connexions virtuelles vers les fournisseurs de services en nuage (CSP) à partir des interfaces restantes.
12. Continuer à utiliser la gestion des appareils hors ligne pour les mises à jour logicielles.

Scénario 2: Gestion du pare-feu depuis un réseau NSP (enregistrement de licence en ligne) où l’interface de gestion est accessible depuis la connexion virtuelle NSP ou l’interface BYOC. Enregistrement de licence en ligne.

1. Créez un pare-feu VNF VM-Series sans adresse IP publique Equinix dans le portail Network Edge.
2. Connectez-vous aux consoles VNF primaire et secondaire avec votre nom d'utilisateur et votre mot de passe.
3. Créer une connexion virtuelle entre le VNF et le NSP sur la première interface (interface de gestion).
4. Attribuez une adresse IP à l'interface de gestion sur les deux VNF.
5. Confirmer la joignabilité IP des appareils du réseau du PSN.
6. Accéder à la VNF en utilisant SSH à partir d'un appareil dans le réseau NSP.
7. Accédez au portail de support client de Palo Alto Networks (portail de licence) et générez une licence et un code d'authentification pour cette VNF.
8. Appliquez le même code d'authentification aux deux VNF.
9. (Optionnel) Vous pouvez gérer le VNF à partir du logiciel de gestion Panorama configuré dans le réseau NSP.
10. Créer des connexions virtuelles vers les CSP à partir des interfaces restantes.

Configuration du cluster sans adresse IP publique Equinix

Si vous sélectionnez l'option de connectivité Sans adresse IP publique Equinix, vous devrez configurer deux interfaces sur chaque nœud pour former une grappe entre les nœuds principal et secondaire. Voici un exemple de configuration par l'interface de ligne de commande (CLI).

Exemple de configuration pour le nœud principal:

set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha1 ip-address <Primary_HA1_IP> 
set deviceconfig high-availability interface ha1 netmask <NETMASK> 
set deviceconfig high-availability interface ha1-backup 

set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha2 ip-address <Primary_HA2_IP> 
set deviceconfig high-availability interface ha2 netmask <NETMASK> 
set deviceconfig high-availability group group-id <Group_ID> 
set deviceconfig high-availability group peer-ip <Secondary_IP> 
set deviceconfig high-availability group election-option device-priority <Priority> 
set deviceconfig high-availability group election-option timers recommended

set deviceconfig high-availability enabled yes 
set network interface ethernet ethernet1/<HA1_Interface> ha 
set network interface ethernet ethernet1/<HA2_Interface> ha

Exemple de configuration pour le nœud secondaire:

set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha1 ip-address <Secondary_HA1_IP> 
set deviceconfig high-availability interface ha1 netmask <NETMASK> 
set deviceconfig high-availability interface ha1-backup 

set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha2 ip-address <Secondary_HA2_IP> 
set deviceconfig high-availability interface ha2 netmask <NETMASK> 
set deviceconfig high-availability group group-id <Group_ID> 
set deviceconfig high-availability group peer-ip <Primary_IP> 
set deviceconfig high-availability group election-option device-priority <Priority> 

set deviceconfig high-availability enabled yes 
set network interface ethernet ethernet1/<HA1_Interface> ha 
set network interface ethernet ethernet1/<HA2_Interface> ha

Pour un exemple de configuration utilisant une interface utilisateur graphique (GUI) du logiciel de gestion, consultez Configurer un cluster HA dans la documentation Palo Alto.

Activation du mode FIPS

Par défaut, le mode FIPS n'est pas activé sur les périphériques de pare-feu virtuel Palo Alto Networks, vous devrez donc l'activer.

Prérequis:

• Accès GUI et SSH à l'interface de gestion du pare-feu via IP publique ou Colo.
• Accès console au périphérique virtuel.
• Machine virtuelle Palo Alto sans licence ; une fois FIPS activé, vous devez charger la licence manuellement.
• Sauvegarde de la configuration de l'appareil.
• Une solide compréhension des opérations du pare-feu Palo Alto .
• Le mot de passe administrateur doit être crypté SHA256.
• SSH doit être disponible pour l'appareil sur l'interface de gestion.
• L'OTP sera obligatoire pour le mode FIPS.

1. Effectuez une sauvegarde de la configuration HA de VM1 à l'aide de ssh.

   > set cli config-output-format set
   > configure
   Entering configuration mode
   [edit]
   
   # show | match high-availability

2. Désactivez HA sur VM1 avant d'activer FIPS et de valider la configuration.

3. Connectez-vous à l'appareil via la console.

4. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

5. Dans l'interface MRT, sélectionnez Définir le mode FIPS-CC. Laissez les valeurs par défaut, sélectionnez « Activer le mode FIPS-CC » et appuyez sur Entrée. Le nettoyage des données n'est pas recommandé pour le moment.

6. Redémarrez l'appareil.

7. Connectez-vous en SSH à l'appareil et supprimez la configuration par défaut suivante.

   Pour la CLI, le message suivant s'affichera lors de la connexion.

   **** MODE FIPS-CC ACTIVÉ ****

   delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
   delete network ike crypto-profiles ike-crypto-profiles default encryption
   set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
   delete network ike crypto-profiles ike-crypto-profiles default dh-group
   set network ike crypto-profiles ike-crypto-profiles default dh-group group19
   
   supprimer les profils de chiffrement IKE réseau et les profils de chiffrement IPsec par défaut ESP

Configurer le réseau IKE avec les profils de chiffrement IPsec par défaut et le chiffrement ESP AES-256-CBC supprimer les profils de chiffrement IKE réseau, les profils de chiffrement IPsec et le groupe DH par défaut

force engagée

Répétez les étapes ci-dessus pour la VM2. Connectez-vous à l'interface graphique des deux VM. Le mode FIPS-CC doit être affiché sur la page de connexion initiale et en permanence dans la barre d'état en bas de l'interface Web.

Chaque pare-feu Palo Alto Networks possède sa propre clé de haute disponibilité (HA1) permettant de chiffrer le trafic HA1. Cette clé doit être exportée de la VM1 et importée dans la VM2. La clé de la VM2 doit aussi être exportée et importée dans la VM1.

1. Connectez-vous à l'interface graphique de VM2. Accédez à « PÉRIPHÉRIQUE » > Gestion des certificats > Certificats > Certificats d'appareil > Exporter la clé HA

    :::note
    Assurez-vous que le nom du fichier clé ne contient aucun caractère spécial.
    :::

1. Connectez-vous à l'interface graphique de la VM1: téléchargez la clé HA de la VM2 vers la VM1. Accédez à « PÉRIPHÉRIQUE ». > Gestion des certificats > Certificats > Certificats d'appareil > Importer la clé HA

1. Connectez-vous à l'interface graphique de la VM1: téléchargez la clé HA depuis la VM1. Accédez à l'interface utilisateur. > Gestion des certificats > Certificats > Certificats d'appareil > Exporter la clé HA

1. Connectez-vous à l'interface graphique de la VM2: téléchargez la clé HA de la VM1 vers la VM2. Accédez à « PÉRIPHÉRIQUE ». > Gestion des certificats > Certificats > Certificats d'appareil > Importer la clé HA

1. Ajoutez les lignes suivantes à la configuration HA de sauvegarde prise à l’étape 1 à partir de VM1 et VM2.

    ```sh
    set deviceconfig setting auto-mac-detect yes
    set deviceconfig high-availability interface ha1 encryption enabled yes
    ```

1. Ajoutez la configuration à VM1 et VM2 à partir de leurs sauvegardes respectives et validez la configuration via ssh.

    ```
    > configure
    Entering configuration mode
    [edit]

    # <Load config>

    # commit
    ```

1. Chargez la licence sur les deux appareils.

    ```sh
    request license fetch auth-code <auth-code>
    ```

    :::info[Important]
    L'appareil redémarrera automatiquement une fois la licence appliquée avec succès.
    :::

1. Si nécessaire, connectez-vous à l'appareil principal et synchronisez la configuration entre les deux appareils.

    ```sh
    request high-availability sync-to-remote running-config
    ```