Skip to main content

Création d'un pare-feu VM-Series en cluster Palo Alto Networks

Si vous utilisez l'application Panorama pour gérer vos appareils, vous devrez saisir l'adresse IP Panorama et la clé d'authentification **** lors de la création de l'appareil. La prise en charge de Panorama n'est offerte que pour les versions 10.1.12 et supérieures.

Le pare-feu VM-Series de Palo Alto Networks offre trois options de déploiement : Simple, Redondant et Cluster. Les options de configuration décrites ci-dessous s'appliquent aux configurations en grappe. Les options de configuration simple et redondante se trouvent sur Creating a VM-Series Firewall

Options de connectivité

La manière dont Network Edge provisionne les périphériques de Cluster est différente en fonction des options de connectivité. Lisez attentivement cette section pour comprendre les étapes nécessaires à la configuration des appareils primaires et secondaires en tant que nœuds de cluster.

Les deux options de connectivité (avec ou sans adresse IP publique Equinix) sont fournies avec des liens entre le nœud principal et le nœud secondaire après le provisionnement initial du dispositif. Ces liens sont utilisés pour la communication Heartbeat et sont nécessaires pour le déploiement d'un cluster.

Le tableau suivant résume les détails de la configuration en fonction du type de connectivité.

Connectivity TypeWith Equinix Public IP AddressWithout Equinix Public IP Address
Cas d'utilisationCette option est fournie avec les adresses IP publiques d'Equinix et ne nécessite pas de connexion virtuelle supplémentaire pour gérer le dispositif virtuel.Cette option supprime l'attribution d'adresses IP publiques provenant d'Equinix et sépare la VNF de l'Internet après la création du dispositif. Si le dispositif doit être géré par un logiciel fonctionnant dans la cage du Colo ou via une connexion virtuelle privée, cette option est recommandée.

Configuration de votre appareil sans adresse IP publique Equinix

Si vous choisissez de créer votre dispositif Sans adresse IP publique Equinix, la VNF est provisionnée sans adresse IP publique sur le WAN ou l'interface de gestion. Vous êtes responsable de la configuration de l'enregistrement de la licence, de la configuration du réseau superposé et de la mise en cluster.

Configuration de l'interface de gestion

Vous trouverez ci-dessous un exemple de configuration de l'interface de gestion, à titre de référence uniquement. Commandes

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

Enregistrement de la licence

Vous êtes responsable de l'ajout manuel de la licence à l'appareil. Vous devez déjà avoir accès au portail de support client de Palo Alto Networks (portail de licence), où vous pouvez enregistrer votre appareil à l'aide des informations UUID et CPU-ID. Utilisez la clé de licence du portail pour ajouter la licence à l'appareil. La documentation relative à l'activation de la licence est disponible sur le site [Palo Alto Networks documentation] (https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/license-the-vm-series-firewall/vm-series-models/activate-the-license/activate-the-license-for-the-vm-series-firewall-standalone-version).

Scénarios de déploiement

Scénario 1 : Gestion du pare-feu depuis la colocation (enregistrement de licence hors ligne) où l'interface de gestion n'est accessible que depuis le réseau connecté à l'espace de colocation Enregistrement de licence hors ligne.

  1. Créez un VNF de pare-feu VM-Series Sans adresse IP publique Equinix dans le portail Network Edge.
  2. Connectez-vous aux consoles VNF primaire et secondaire avec votre nom d'utilisateur et votre mot de passe.
  3. Créez une connexion virtuelle entre le VNF et la colocation sur la première interface (interface de gestion).
  4. Attribuez une adresse IP à l'interface de gestion sur les deux VNF.
  5. Confirmer la possibilité d'accéder à l'IP à partir des dispositifs situés dans l'espace de colocation.
  6. Accédez à la VNF à l'aide de SSH à partir d'un appareil situé dans l'espace de colocation.
  7. Identifier l'ID CPU et l'UUID pour le VNF.
  8. Accédez au portail d'assistance à la clientèle de Palo Alto Networks (portail de licences) et générez deux licences identiques pour les VNF.
  9. Appliquez la licence de mode hors ligne **** aux deux VNF.
  10. Vous pouvez gérer la VNF à partir du logiciel de gestion Panorama configuré dans l'espace de colocation.
  11. Créez les connexions virtuelles vers les fournisseurs de services en nuage (CSP) à partir des interfaces restantes.
  12. Continuer à utiliser la gestion des appareils hors ligne pour les mises à jour logicielles.

Scénario 2 : Gestion du pare-feu à partir d'un réseau NSP (enregistrement de licence en ligne) où l'interface de gestion est accessible à partir de la connexion virtuelle NSP ou de l'interface connectée BYOC. Enregistrement de la licence en ligne sur.

  1. Créez un VNF de pare-feu VM-Series Sans adresse IP publique Equinix dans le portail Network Edge.
  2. Connectez-vous aux consoles VNF primaire et secondaire avec votre nom d'utilisateur et votre mot de passe.
  3. Créer une connexion virtuelle entre le VNF et le NSP sur la première interface (interface de gestion).
  4. Attribuez une adresse IP à l'interface de gestion sur les deux VNF.
  5. Confirmer la joignabilité IP des appareils du réseau du PSN.
  6. Accéder à la VNF en utilisant SSH à partir d'un appareil dans le réseau NSP.
  7. Accédez au portail de support client de Palo Alto Networks (portail de licence) et générez une licence et un code d'authentification pour ce VNF.
  8. Appliquez le même code d'authentification aux deux VNF.
  9. Vous pouvez gérer la VNF à partir du logiciel de gestion Panorama configuré dans le réseau NSP.
  10. Créer des connexions virtuelles vers les CSP à partir des interfaces restantes.

Configuration de cluster sans adresse IP publique Equinix

Si vous sélectionnez l'option de connectivité Sans adresse IP publique Equinix, vous êtes chargé de configurer deux interfaces sur chaque nœud pour former un cluster entre les nœuds primaire et secondaire. Vous trouverez ci-dessous un exemple de configuration à l'aide de l'interface de ligne de commande (CLI).

Exemple de configuration pour le nœud principal :

set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha1 ip-address <Primary_HA1_IP> 
set deviceconfig high-availability interface ha1 netmask <NETMASK> 
set deviceconfig high-availability interface ha1-backup 

set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha2 ip-address <Primary_HA2_IP> 
set deviceconfig high-availability interface ha2 netmask <NETMASK> 
set deviceconfig high-availability group group-id <Group_ID> 
set deviceconfig high-availability group peer-ip <Secondary_IP> 
set deviceconfig high-availability group election-option device-priority <Priority> 
set deviceconfig high-availability group election-option timers recommended

set deviceconfig high-availability enabled yes 
set network interface ethernet ethernet1/<HA1_Interface> ha 
set network interface ethernet ethernet1/<HA2_Interface> ha

Exemple de configuration pour le nœud secondaire :

set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha1 ip-address <Secondary_HA1_IP> 
set deviceconfig high-availability interface ha1 netmask <NETMASK> 
set deviceconfig high-availability interface ha1-backup 

set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha2 ip-address <Secondary_HA2_IP> 
set deviceconfig high-availability interface ha2 netmask <NETMASK> 
set deviceconfig high-availability group group-id <Group_ID> 
set deviceconfig high-availability group peer-ip <Primary_IP> 
set deviceconfig high-availability group election-option device-priority <Priority> 

set deviceconfig high-availability enabled yes 
set network interface ethernet ethernet1/<HA1_Interface> ha 
set network interface ethernet ethernet1/<HA2_Interface> ha

Pour un exemple de configuration à l'aide d'une interface utilisateur graphique (GUI) à partir du logiciel de gestion, voir Configure HA Cluster dans la documentation Palo Alto.

Activation du mode FIPS

Par défaut, le mode FIPS n'est pas activé sur les dispositifs de pare-feu virtuels Palo Alto Networks.

Prérequis :

  • Accès GUI et SSH à l'interface de gestion du pare-feu via une adresse IP publique ou Colo.
  • Accès à la console du périphérique virtuel.
  • VM Palo Alto sans licence ; une fois FIPS activé, vous devez charger la licence manuellement.
  • Sauvegarde de la configuration de l'appareil.
  • Une solide compréhension du fonctionnement du pare-feu Palo Alto.
  • Le mot de passe administrateur doit être crypté en SHA256.
  • SSH doit être accessible à l'appareil sur l'interface de gestion.
  • L'OTP sera obligatoire pour le mode FIPS.

  1. Prenez une sauvegarde de la configuration HA de VM1 en utilisant ssh.

    > set cli config-output-format set
    > configure
    Entering configuration mode
    [edit]

    # show | match high-availability

  2. Désactiver HA sur VM1 avant d'activer FIPS et valider la configuration.

  3. Connectez-vous à l'appareil via la console.

  4. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

  5. Dans le MRT, sélectionnez [Set FIPS--CC mode] (https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/certifications/enable-fips-and-common-criteria-support/change-the-operational-mode-to-fips-cc-mode). Laissez les valeurs par défaut et sélectionnez "Activer le mode FIPS-CC" et appuyez sur Enter. L'épuration n'est pas recommandée pour le moment.

  6. Redémarrer l'appareil.

  7. Connectez-vous en SSH à l'appareil et supprimez la configuration par défaut suivante.

    Pour CLI, le message suivant s'affichera lors de la connexion.

    **** FIPS-CC MODE ENABLED ****

    delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
    delete network ike crypto-profiles ike-crypto-profiles default encryption
    set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
    delete network ike crypto-profiles ike-crypto-profiles default dh-group
    set network ike crypto-profiles ike-crypto-profiles default dh-group group19

    delete network ike crypto-profiles ipsec-crypto-profiles default esp encryption set network ike crypto-profiles ipsec-crypto-profiles default esp encryption aes-256-cbc delete network ike crypto-profiles ipsec-crypto-profiles default dh-group

    force d'engagement ````

Répétez les étapes ci-dessus pour VM2. Connectez-vous à l'interface graphique des deux machines virtuelles. Le mode FIPS-CC doit s'afficher sur la page de connexion initiale et à tout moment dans la barre d'état en bas de l'interface Web.

Chaque pare-feu Palo Alto Networks [possède sa propre clé de haute disponibilité qui peut être utilisée pour crypter le trafic HA1] (https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/high-availability/refresh-ha1-ssh-keys-and-configure-key-options#idf58348b2-b027-4864-8173-6a3ce3a98f8d). La clé doit être exportée de VM1 et importée dans VM2. La clé de VM2 doit également être exportée et importée dans VM1.

  1. Veuillez vous connecter à l'interface graphique de VM2. Accédez à DEVICE > Gestion des certificats > Certificats > Certificats de périphérique > Exporter la clé HA.

    note

    Veuillez vous assurer que le nom du fichier clé ne contient aucun caractère spécial.

  2. Veuillez vous connecter à l'interface graphique de VM1 : Téléchargez la clé HA de VM2 vers VM1. Accédez à DEVICE > Gestion des certificats > Certificats > Certificats de périphérique > Importer la clé HA.

  3. Veuillez vous connecter à l'interface graphique de VM1 : Téléchargez la clé HA depuis VM1. Accédez à DEVICE > Gestion des certificats > Certificats > Certificats de périphérique > Exporter la clé HA.

  4. Veuillez vous connecter à l'interface graphique de VM2 : Téléchargez la clé HA de VM1 vers VM2. Accédez à DEVICE > Gestion des certificats > Certificats > Certificats de périphérique > Importer la clé HA.

  5. Ajoutez les lignes suivantes à la configuration HA de sauvegarde prise à l'étape 1 sur VM1 et VM2.

    set deviceconfig setting auto-mac-detect yes
    set deviceconfig high-availability interface ha1 encryption enabled yes

  6. Veuillez ajouter la configuration aux machines virtuelles VM1 et VM2 à partir de leurs sauvegardes respectives, puis validez la configuration via SSH.

    > configure
    Entering configuration mode
    [edit]

    # <Load config>

    # commit

  7. Chargez la licence sur les deux appareils.

    request license fetch auth-code <auth-code>
    Important

    L'appareil redémarrera automatiquement une fois la licence appliquée avec succès.

  8. Si nécessaire, connectez-vous à l'appareil principal et synchronisez la configuration entre les deux appareils.

    request high-availability sync-to-remote running-config
Cette page vous a-t-elle été utile ?