Provoz můžete zavést a předávat prostřednictvím VNF na firewallech nástroje Zařízení SD-WAN Edge s využitím firewallů třetích stran.

Konfiguraci VNF zabezpečení může povolit pouze operátor. Pokud pro vás funkce VNF zabezpečení (Security VNF) není dostupná, kontaktujte svého operátora.

Požadavky

Ujistěte se, že máte následující:

  • SD-WAN Orchestrator a aktivovaný nástroj Zařízení SD-WAN Edge se spuštěnou verzí softwaru, která podporuje konkrétní VNF zabezpečení. Další informace o podporovaných verzích softwaru a platformách Edge najdete v matici podpory v tématu VNF zabezpečení.
  • Nakonfigurovaná služba správy VNF. Další informace naleznete v tématu Konfigurace služby správy VNF.

Procedura

  1. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Zařízení Edge (Edges).
  2. Na stránce Edges klikněte na ikonu Zařízení (Device) vedle Edge nebo na odkaz na Edge a na kartu Zařízení (Device).
  3. Na kartě Zařízení (Device) přejděte dolů na VNF zabezpečení (Security VNF) a klikněte na možnost Upravit (Edit).
  4. V okně Konfigurace Edge VNF (Edge VNF Configuration) označte pole Nasadit (Deploy).
  5. V nabídce Konfigurace VM (VM Configuration) nakonfigurujte následující:
    1. VLAN – Z rozevíracího seznamu vyberte VLAN, která se má použít pro správu VNF.
    2. VM-1 IP – Zadejte IP adresu VM a ujistěte se, že IP adresa je v rozsahu podsítě vybrané VLAN.
    3. Název hostitele VM-1 (VM-1 Hostname) – Zadejte název hostitele VM.
    4. Stav zavádění (Deployment State) – Vyberte jednu z následujících možností:
      • Bitová kopie stažena a zařízení zapnuto (Image Downloaded and Powered On) – Tato možnost zapne VM po vytvoření VNF brány firewall na Edge. Provoz přenáší VNF pouze v případě, že je vybrána tato možnost, což vyžaduje, aby pro vložení VNF byla nakonfigurována alespoň jedna VLAN nebo směrované rozhraní.
      • Bitová kopie stažena a zařízení vypnuto (Image Downloaded and Powered Off) – Tato možnost ponechá VM po vytvoření VNF brány firewall na Edge vypnutý. Pokud máte v úmyslu odesílat data přes VNF, tuto možnost nevybírejte.
    5. VNF zabezpečení (Security VNF) – Z rozevíracího seznamu vyberte předdefinovanou službu správy VNF. Můžete také kliknout na možnost Nová služba VNF (New VNF Service) a vytvořit novou službu správy VNF. Další informace naleznete v tématu Konfigurace služby správy VNF.
      Následující obrázek ukazuje příklad Brány firewall kontrolního bodu (Check Point Firewall) typu VNF zabezpečení (Security VNF).
      Pokud jako VNF zabezpečení zvolíte Brána firewall Palo Alto Networks (Palo Alto Networks Firewall), nakonfigurujte následující další nastavení:
      • Licence (License) – Z rozevíracího seznamu vyberte licenci VNF.
      • Název skupiny zařízení (Device Group Name) – Zadejte název skupiny zařízení přednastavený na serveru Panorama.
      • Název šablony konfigurace (Config Template Name) – Zadejte název šablony konfigurace přednastavený na serveru Panorama.
      Poznámka: Pokud chcete odstranit nasazení konfigurace brány firewall Palo Alto Networks (Palo Alto Networks Firewall) z typu VNF, před odebráním konfigurace se ujistěte, že jste deaktivovali Licence VNF (VNF License) Palo Alto Networks.
      Pokud zvolíte možnost Brána firewall Fortinet (Fortinet Firewall), nakonfigurujte následující další nastavení:
      • Jádra VM (VM Cores) – Vyberte počet jader z rozevíracího seznamu. Licence VM je založena na jádrech VM. Ujistěte se, že je vaše licence VM kompatibilní se zvoleným počtem jader.
      • Režim kontroly (Inspection Mode) – Vyberte jeden z následujících režimů:
        • Proxy – Tato možnost je zvolena ve výchozím nastavení. Kontrola na základě proxy zahrnuje buffering provozu a zkoumání dat za účelem analýzy jako celku.
        • Tok (Flow) – Kontrola založená na toku zkoumá data provozu, když procházejí jednotkou FortiGate bez ukládání do vyrovnávací paměti.
      • Licence (License) – Přetáhněte licenci VM.
    6. Klikněte na tlačítko Aktualizovat (Update).

Výsledek

Podrobnosti o konfiguraci se zobrazují v části VNF zabezpečení (Security VNF).

Jak pokračovat dále

Pokud chcete přesměrovat více provozních segmentů na VNF, definujte mapování mezi segmenty a službami VLAN. Viz téma Definování segmentů mapování pomocí služeb VLAN

VNF zabezpečení můžete vložit do VLAN i do směrovaného rozhraní, abyste přesměrovali provoz z VLAN nebo směrovaného rozhraní do VNF. Viz téma Konfigurace sítě VLAN s vložením VNF.