Palo Alto Networks クラスタ化された VM シリーズファイアウォールの作成
デバイスの管理に Panorama アプリケーションを使用する場合、デバイスの作成時にPanorama IP アドレス と認証キー を入力する必要があります。Panorama サポートはバージョン 10.1.12 以降でのみ提供されます。
Palo Alto Networks VM-Series Firewall には、3 つの導入オプションがあります:シングル、冗長、クラスター。以下に説明する構成オプションは、クラスタ構成に適用されます。シングルおよび冗長構成オプションは、Creating a VM-Series Firewall に記載されています。
コネクティビティオプション
Network Edgeがクラスタデバイスを規定する方法は、接続オプションに基づいて異なります。このセクションをよく読んで、プライマリとセカンダリの両方のデバイスをクラスタノードとして構成するために必要な手順を理解してください。
接続オプション(エクイニクスパブリックIPアドレスあり/なし)には、最初のデバイスプロビジョニング後にプライマリノードとセカンダリノード間のリンクが付属しています。これらのリンクはハートビート通信に使用され、クラスタの展開に必要です。
接続タイプに応じた設定内容を以下の表にまとめています。
| Connectivity Type | With Equinix Public IP Address | Without Equinix Public IP Address |
|---|---|---|
| 利用事例|このオプションにはエクイニクスのパブリックIPアドレスが含まれており、仮想デバイスを管理するための追加の仮想接続は必要ありません。 | このオプションでは、エクイニクスが提供するパブリックIPアドレスの割り当てが削除され、デバイス作成後にVNFがインターネットから分離されます。デバイスをColoケージで実行するソフトウェアまたはプライベート仮想接続で管理する必要がある場合は、このオプションをお勧めします。 | インターネット接続|EquinixのパブリックIPアドレスは以下のインターフェースに割り当てられており、インターネットからアクセスできます:管理(MGMT)、イーサネット1/1(WAN)。 |
Equinix 公共 IP アドレスを使用せずにデバイスを設定する
エクイニクスのパブリックIPアドレスなし を選択した場合、VNFはWANまたは管理インターフェースにパブリックIPアドレスなしでプロビジョニングされます。ライセンス登録、オーバーレイネットワーク設定、クラスタリングはお客様の責任で行ってください。
マネジメントインターフェイスの構成
以下は、管理インターフェイスのセットアップのためのサンプル設定です。 コマンド
set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z
ライセンス登録
デバイスにライセンスを手動で追加します。Palo Alto Networks Customer Support Portal (ライセンス ポータル) にアクセスし、UUID および CPU-ID 情報を使用してデバイスを登録できます。ポータルからライセンス キーを使用して、デバイスにライセンスを追加します。ライセンス アクティベーションのドキュメントは、Palo Alto Networks documentationから入手できます。
展開シナリオ
シナリオ 1:コロケーションからファイアウォールを管理する(オフラインライセンス登録)管理インターフェイスは、コロケーションスペースに接続されたネットワークからのみアクセス可能ですオフライン ライセンス登録。
- ネットワークEdgeポータルでVM-SeriesファイアウォールVNFWithout Equinix Public IP Address を作成します。
- プライマリおよびセカンダリのVNFコンソールに、ユーザー名とパスワードでログインします。
- VNF からコロケーションへの仮想接続を最初のインターフェース(管理インターフェース)に作成します。
- 両方のVNFの管理インターフェイスにIPアドレスを割り当てる。
- コロケーションスペースにある機器からIP到達性を確認する。
- コロケーション空間内の機器からSSHでVNFにアクセスします。
- VNFのCPU IDとUUIDを特定する。
- パロアルトネットワークスのカスタマーサポートポータル(ライセンスポータル)にアクセスし、VNF用の同一のライセンスを2つ生成します。
- オフラインモードライセンス を両方の VNF に適用します。
- コロケーションスペースに設定された Panorama 管理ソフトウェアから VNF を管理できます。
- 残りのインターフェイスから、クラウドサービスプロバイダ(CSP)への仮想接続を作成します。
- ソフトウェアのアップデートには、引き続きオフラインのデバイス管理を使用します。
シナリオ2:NSPネットワークからのファイアウォール管理(オンライン・ライセンス登録)NSP仮想接続またはBYOC接続インターフェースからアクセス可能な管理インターフェース。オンライン ライセンス登録。
- ネットワークEdgeポータルでVM-SeriesファイアウォールVNFWithout Equinix Public IP Address を作成します。
- プライマリおよびセカンダリのVNFコンソールに、ユーザー名とパスワードでログインします。
- 最初のインタフェース(管理インタフェース)で、VNFからNSPへの仮想接続を作成する。
- 両方のVNFの管理インターフェイスにIPアドレスを割り当てる。
- NSPネットワーク内の機器からIP到達性を確認する。
- NSPネットワーク内の機器からSSHでVNFにアクセスします。
- パロアルトネットワークスのカスタマーサポートポータル(ライセンスポータル)にアクセスし、このVNFのライセンスと認証コードを生成します。
- 両方のVNFに同一のAuth Codeを適用します。
- NSP ネットワークに設定された Panorama 管理ソフトウェアから VNF を管理できます。
- 残りのインターフェイスからCSPへの仮想接続を作成します。
Equinix パブリック IP アドレスを使用しないクラスタ構成
接続オプションEquinixパブリックIPアドレスなし を選択した場合、プライマリノードとセカンダリノード間でクラスタを形成するために、各ノードに2つのインターフェースを設定する必要があります。以下は、コマンドラインインターフェース(CLI)を使用した設定例です。
プライマリノードのサンプル構成:
set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha1 ip-address <Primary_HA1_IP>
set deviceconfig high-availability interface ha1 netmask <NETMASK>
set deviceconfig high-availability interface ha1-backup
set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha2 ip-address <Primary_HA2_IP>
set deviceconfig high-availability interface ha2 netmask <NETMASK>
set deviceconfig high-availability group group-id <Group_ID>
set deviceconfig high-availability group peer-ip <Secondary_IP>
set deviceconfig high-availability group election-option device-priority <Priority>
set deviceconfig high-availability group election-option timers recommended
set deviceconfig high-availability enabled yes
set network interface ethernet ethernet1/<HA1_Interface> ha
set network interface ethernet ethernet1/<HA2_Interface> ha
セカンダリノードのサンプル構成:
set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha1 ip-address <Secondary_HA1_IP>
set deviceconfig high-availability interface ha1 netmask <NETMASK>
set deviceconfig high-availability interface ha1-backup
set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha2 ip-address <Secondary_HA2_IP>
set deviceconfig high-availability interface ha2 netmask <NETMASK>
set deviceconfig high-availability group group-id <Group_ID>
set deviceconfig high-availability group peer-ip <Primary_IP>
set deviceconfig high-availability group election-option device-priority <Priority>
set deviceconfig high-availability enabled yes
set network interface ethernet ethernet1/<HA1_Interface> ha
set network interface ethernet ethernet1/<HA2_Interface> ha
管理ソフトウェアからGUI(Graphical User Inter)を使用した設定サンプルについては、Palo AltoドキュメントのConfigure HA Clusterを参照してください。
FIPS モードを有効にする
デフォルトでは、FIPS モードは Palo Alto Networks の仮想ファイアウォール デバイスでは有効になっていないため、有効にする必要があります。
前提条件
- パブリック IP または Colo 経由でファイアウォールの管理インターフェースに GUI および SSH アクセス。
- 仮想デバイスへのコンソールアクセス。
- ライセンスのない Palo Alto VM。FIPS を有効にした後、ライセンスを手動でロードする必要があります。
- デバイスの設定のバックアップ。
- Palo Alto ファイアウォールの動作について深い理解があること。
- 管理者パスワードは SHA256 暗号化する必要があります。
- 管理インターフェースでデバイスに SSH を使用できる必要があります。
- FIPS モードでは OTP が必須となります。
-
VM1のHAコンフィグのバックアップをsshで取る。
> set cli config-output-format set> configureEntering configuration mode[edit]# show | match high-availability -
FIPSを有効にする前にVM1のHAを無効にし、設定をコミットする。
-
コンソールからデバイスにログインする。
-
Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.
-
MRTでSet FIPS--CC modeを選択します。値はデフォルトのままにしておき、[Enable FIPS-CC Mode`]を選択し、Enter を押します。スクラブは現在推奨されていません。
-
デバイスを再起動する。
-
デバイスにSSH接続して、以下のデフォルト・コンフィグレーションを削除する。
CLI では、ログインすると次のメッセージが表示されます。
**** fips-cc mode enabled****`.
delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbcdelete network ike crypto-profiles ike-crypto-profiles default encryptionset network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbcdelete network ike crypto-profiles ike-crypto-profiles default dh-groupset network ike crypto-profiles ike-crypto-profiles default dh-group group19delete network ike crypto-profiles ipsec-crypto-profiles default esp encryptionset network ike crypto-profiles ipsec-crypto-profiles default esp encryption aes-256-cbcdelete network ike crypto-profiles ipsec-crypto-profiles default dh-groupcommit force
VM2 について上記の手順を繰り返します。両方の VM の GUI にログインします。FIPS-CC モードが、最初のログインページおよび Web インターフェースの下部にあるステータスバーに常に表示されていることを確認します。
すべてのPalo Alto Networksファイアウォールは、HA1トラフィックを暗号化するために使用できる独自の高可用性キーを持っています。キーをVM1からエクスポートし、VM2にインポートする必要があります。VM2のキーもエクスポートしてVM1にインポートする必要があります。
-
VM2 の GUI にログインします。DEVICE > 証明書管理 > 証明書 > デバイス証明書 > HA キーのエクスポートに移動します。
メモキーファイル名に特殊文字が含まれていないことを確認してください。
-
VM1 の GUI にログインします。VM2 から VM1 に HA キーをアップロードします。[デバイス] > [証明書管理] > [証明書] > [デバイス証明書] > [HA キーのインポート] に移動します。
-
VM1 の GUI にログインします。VM1 から HA キーをダウンロードします。[デバイス] > [証明書管理] > [証明書] > [デバイス証明書] > [HA キーのエクスポート] に移動します。
-
VM2 の GUI にログインします。VM1 から VM2 に HA キーをアップロードします。[デバイス] > [証明書管理] > [証明書] > [デバイス証明書] > [HA キーのインポート] に移動します。
-
ステップ1で取得したVM1とVM2のバックアップHAコンフィグに、以下の行を追加する。
set deviceconfig setting auto-mac-detect yesset deviceconfig high-availability interface ha1 encryption enabled yes -
VM1 と VM2 のそれぞれのバックアップから設定を追加し、ssh 経由で設定をコミットします。
> configureEntering configuration mode[edit]# <Load config># commit -
両方のデバイスにライセンスをロードする。
request license fetch auth-code <auth-code>重要ライセンスが正常に適用されると、デバイスは自動的に再起動します。
-
必要に応じて、プライマリ・デバイスにログインし、両方のデバイス間で設定を同期します。
request high-availability sync-to-remote running-config