Puede implementar y reenviar el tráfico a través de VNF en SD-WAN Edge mediante firewalls de terceros.
Solo un operador puede activar la configuración de VNF de seguridad (Security VNF). Si la opción VNF de seguridad (Security VNF) no está disponible, póngase en contacto con el operador.
Requisitos previos
Asegúrese de tener lo siguiente:
SASE Orchestrator y SD-WAN Edge activado que ejecuta versiones de software que admiten la implementación de una instancia de VNF de seguridad específica. Para obtener más información sobre las versiones de software y las plataformas de Edge compatibles, consulte la matriz de soporte en Funciones de red virtual.
En el servicio SD-WAN del portal de empresas, haga clic en Configurar (Configure) > Instancias de Edge (Edges).
En la página Instancias de Edge (Edges), haga clic en el vínculo a la instancia de Edge que desea configurar o en el vínculo Vista (View) de la columna Dispositivo (Device) de la instancia de Edge. Las opciones de configuración de la instancia de Edge seleccionada se muestran en la pestaña Dispositivo (Device).
En la pestaña Dispositivo (Device), desplácese hasta la sección VNF de seguridad (Security VNF) y haga clic en + Configurar VNF de seguridad (+ Configure Security VNF). Se mostrará la ventana Configurar VNF de seguridad (Configure Security VNF).
En la ventana Configurar VNF de seguridad (Configure Security VNF), seleccione la casilla de verificación Implementar (Deploy).
En Configuración de máquina virtual (VM Configuration), defina los siguientes ajustes:
VLAN: elija una VLAN que se utilizará para la administración de VNF en la lista desplegable.
IP de máquina virtual-1 (VM-1 IP): introduzca la dirección IP de la máquina virtual y asegúrese de que la dirección IP esté en el rango de subredes de la VLAN elegida.
Nombre de host de VM-1 (VM-1 Hostname): introduzca el nombre de host de la máquina virtual.
Estado de implementación (Deployment State): elija una de las siguientes opciones:
Imagen descargada y encendida (Image Downloaded and Powered On): esta opción enciende la máquina virtual después de crear la instancia de VNF de firewall en la instancia de Edge. El tráfico solo transita por VNF cuando se selecciona esta opción, lo que requiere que se configure al menos una VLAN o interfaz enrutada para la inserción de VNF.
Imagen descargada y apagada (Image Downloaded and Powered Off): esta opción mantiene la máquina virtual apagada tras la creación de la instancia de VNF de firewall en la instancia de Edge. No seleccione esta opción si desea enviar tráfico a través de VNF.
En VNF de seguridad (Security VNF), elija un servicio de administración de VNF predefinido en el menú desplegable. También puede hacer clic en + Agregar (+ Add) para crear un nuevo servicio de administración de VNF. Para obtener más información, consulte Configurar el servicio de administración de VNF.
En la siguiente imagen, se muestra un ejemplo de Firewall de Fortinet (Fortinet Firewall) como tipo de VNF de seguridad. Si elige Firewall de Fortinet (Fortinet Firewall), configure los siguientes ajustes adicionales:
Núcleos de máquinas virtuales (VM Cores): seleccione el número de núcleos en la lista desplegable. La licencia de la máquina virtual se basa en los núcleos de la máquina virtual. Asegúrese de que la licencia de la máquina virtual sea compatible con el número de núcleos seleccionados.
Modo de Inspección (Inspection Mode): elija uno de los siguientes modos:
Proxy: esta opción está seleccionada de forma predeterminada. La inspección basada en proxy implica el almacenamiento en búfer de tráfico y el examen de los datos en su totalidad para el análisis.
Flujo (Flow): la inspección basada en flujos examina los datos de tráfico a medida que pasan a través de la unidad de FortiGate sin almacenar en búfer.
Licencia (License): arrastre y suelte la licencia de máquina virtual o pegue el contenido de la licencia en el cuadro de texto.
En la siguiente imagen, se muestra un ejemplo de Firewall de Check Point (Check Point Firewall) como tipo de VNF de seguridad.
Si elige Firewall de Palo Alto Networks (Palo Alto Networks Firewall) como VNF de seguridad, configure los siguientes ajustes adicionales:
Licencia (License): seleccione la licencia de VNF en la lista desplegable.
Nombre de grupo de dispositivos (Device Group Name): introduzca el nombre del grupo de dispositivos preconfigurado en el servidor Panorama.
Nombre de plantilla de configuración (Config Template Name): introduzca el nombre de la plantilla de configuración preconfigurado en el servidor Panorama.
Nota: Si desea eliminar la implementación de la configuración del
Firewall de Palo Alto Networks (Palo Alto Networks Firewall) desde un tipo de VNF, asegúrese de haber desactivado la
Licencia de VNF (VNF License) de Palo Alto Networks antes de eliminar la configuración.
Haga clic en Actualizar (Update).
Resultados
Los detalles de configuración se muestran en la sección
VNF de seguridad (Security VNF).
Puede insertar la instancia de VNF de seguridad tanto en la VLAN como en la interfaz enrutada para redireccionar el tráfico de la VLAN o de la interfaz enrutada a la VNF. Consulte Configurar VLAN con inserción de VNF.