Puede implementar y reenviar el tráfico a través de VNF en SD-WAN Edge mediante firewalls de terceros.
Solo un operador puede habilitar la configuración de VNF de seguridad (Security VNF). Si la opción VNF de seguridad (Security VNF) no está disponible, póngase en contacto con el operador.
Requisitos previos
Asegúrese de tener lo siguiente:
- SD-WAN Orchestrator y SD-WAN Edge activado que ejecuta versiones de software que admiten la implementación de una instancia de VNF de seguridad específica. Para obtener más información sobre las versiones de software y las plataformas de Edge compatibles, consulte la matriz de soporte en Instancias de VNF de seguridad.
- El servicio de administración de VNF configurado. Para obtener más información, consulte Configurar el servicio de administración de VNF.
Procedimiento
- En el portal de empresas, haga clic en .
- En la página Instancias de Edge (Edges), haga clic en el icono de Dispositivo (Device) junto a una instancia de Edge, o haga clic en el vínculo a la instancia de Edge y seleccione la pestaña Dispositivo (Device).
- En la pestaña Dispositivo (Device), desplácese hasta la sección VNF de seguridad (Security VNF) y haga clic en Editar (Edit).
- En la ventana Configuración de VNF de Edge (Edge VNF Configuration), seleccione la casilla de verificación Implementar (Deploy).
- Configure las siguientes opciones en Configuración de máquina virtual (VM Configuration):
- VLAN: elija una VLAN que se utilizará para la administración de VNF en la lista desplegable.
- IP de máquina virtual-1 (VM-1 IP): introduzca la dirección IP de la máquina virtual y asegúrese de que la dirección IP esté en el rango de subredes de la VLAN elegida.
- Nombre de host de VM-1 (VM-1 Hostname): introduzca el nombre de host de la máquina virtual.
- Estado de implementación (Deployment State): elija una de las siguientes opciones:
- Imagen descargada y encendida (Image Downloaded and Powered On): esta opción enciende la máquina virtual después de crear la instancia de VNF de firewall en la instancia de Edge. El tráfico solo transita por VNF cuando se selecciona esta opción, lo que requiere que se configure al menos una VLAN o interfaz enrutada para la inserción de VNF.
- Imagen descargada y apagada (Image Downloaded and Powered Off): esta opción mantiene la máquina virtual apagada tras la creación de la instancia de VNF de firewall en la instancia de Edge. No seleccione esta opción si desea enviar tráfico a través de VNF.
- VNF de seguridad (Security VNF): elija un servicio de administración de VNF predefinido en la lista desplegable. También puede hacer clic en Nuevo servicio VNF (New VNF Service) para crear un nuevo servicio de administración de VNF. Para obtener más información, consulte Configurar el servicio de administración de VNF.
En la siguiente imagen, se muestra un ejemplo de
Firewall de Check Point (Check Point Firewall) como tipo de VNF de seguridad.
Si elige
Firewall de Palo Alto Networks (Palo Alto Networks Firewall) como VNF de seguridad, configure los siguientes ajustes adicionales:
- Licencia (License): seleccione la licencia de VNF en la lista desplegable.
- Nombre de grupo de dispositivos (Device Group Name): introduzca el nombre del grupo de dispositivos preconfigurado en el servidor Panorama.
- Nombre de plantilla de configuración (Config Template Name): introduzca el nombre de la plantilla de configuración preconfigurado en el servidor Panorama.
Nota: Si desea eliminar la implementación de la configuración del
Firewall de Palo Alto Networks (Palo Alto Networks Firewall) desde un tipo de VNF, asegúrese de haber desactivado la
Licencia de VNF (VNF License) de Palo Alto Networks antes de eliminar la configuración.
Si elige
Firewall de Fortinet (Fortinet Firewall), configure los siguientes ajustes adicionales:
- Núcleos de máquinas virtuales (VM Cores): seleccione el número de núcleos en la lista desplegable. La licencia de la máquina virtual se basa en los núcleos de la máquina virtual. Asegúrese de que la licencia de la máquina virtual sea compatible con el número de núcleos seleccionados.
- Modo de Inspección (Inspection Mode): elija uno de los siguientes modos:
- Proxy: esta opción está seleccionada de forma predeterminada. La inspección basada en proxy implica el almacenamiento en búfer de tráfico y el examen de los datos en su totalidad para el análisis.
- Flujo (Flow): la inspección basada en flujos examina los datos de tráfico a medida que pasan a través de la unidad de FortiGate sin almacenar en búfer.
- Licencia (License): permite arrastrar y soltar la licencia de la máquina virtual.
- Haga clic en Actualizar (Update).
Resultados
Los detalles de configuración se muestran en la sección VNF de seguridad (Security VNF).
Qué hacer a continuación
Si desea redireccionar varios segmentos de tráfico a la instancia de VNF, defina la asignación entre segmentos y las redes VLAN de servicio. Consulte Definir segmentos de asignación con redes VLAN de servicio.
Puede insertar la instancia de VNF de seguridad tanto en la VLAN como en la interfaz enrutada para redireccionar el tráfico de la VLAN o de la interfaz enrutada a la VNF. Consulte Configurar VLAN con inserción de VNF.