Vous pouvez déployer et transférer le trafic via VNF sur le dispositif SD-WAN Edge, à l'aide de pare-feu tiers.

Seul un opérateur peut activer la configuration de la VNF de sécurité. Si l'option VNF de sécurité (Security VNF) n'est pas disponible pour vous, contactez votre opérateur.

Conditions préalables

Assurez-vous que vous disposez des éléments suivants :

  • SD-WAN Orchestrator et le dispositif SD-WAN Edge activé exécutant les versions logicielles qui prennent en charge le déploiement d'une VNF de sécurité spécifique. Pour plus d'informations sur les versions logicielles et les plates-formes de dispositifs Edge prises en charge, reportez-vous à la matrice de prise en charge dans VNF de sécurité.
  • Licence du module complémentaire VNF Manager.
  • Service de gestion VNF configuré. Pour plus d'informations, reportez-vous à la section Configurer le service de gestion VNF.

Procédure

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sur la page Dispositifs Edge (Edges), cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou sur le lien d'accès au dispositif Edge et cliquez sur l'onglet Périphérique (Device).
  3. Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section VNF de sécurité (Security VNF) et cliquez sur Modifier (Edit).
  4. Dans la fenêtre Configuration VNF du dispositif Edge (Edge VNF Configuration), cochez la case Déployer (Deploy).
  5. Configurez les éléments suivants dans Configuration de la machine virtuelle (VM Configuration) :
    1. VLAN : choisissez un VLAN à utiliser pour la gestion VNF dans la liste déroulante.
    2. Adresse IP de VM-1 (VM-1 IP) : entrez l'adresse IP de la VM et assurez-vous que l'adresse IP se trouve dans la plage de sous-réseaux du VLAN choisi.
    3. Nom d'hôte de VM-1 (VM-1 Hostname) : entrez un nom pour l'hôte de la VM.
    4. État de déploiement (Deployment State) : choisissez l'une des options suivantes :
      • Image téléchargée et sous tension (Image Downloaded and Powered On) : cette option met sous tension la VM après avoir créé la VNF de pare-feu sur le dispositif Edge. Le trafic ne transite par la VNF que lorsque cette option est choisie, ce qui nécessite au moins un VLAN ou une interface acheminée configuré pour l'insertion de la VNF.
      • Image téléchargée et hors tension (Image Downloaded and Powered Off) : cette option maintient la VM hors tension après avoir créé la VNF de pare-feu sur le dispositif Edge. Ne sélectionnez pas cette option si vous prévoyez d'envoyer le trafic via la VNF.
    5. VNF de sécurité (Security VNF) : choisissez un service de gestion VNF prédéfini dans la liste déroulante. Vous pouvez également cliquer sur Nouveau service VNF (New VNF Service) pour créer un service de gestion VNF. Pour plus d'informations, reportez-vous à la section Configurer le service de gestion VNF.
      L'image suivante montre un exemple de Pare-feu Check Point (Check Point Firewall) comme type de VNF de sécurité.
      Si vous choisissez Pare-feu Palo Alto Networks (Palo Alto Networks Firewall) comme VNF de sécurité, configurez les paramètres supplémentaires suivants :
      • Licence (License) : sélectionnez la licence de VNF dans la liste déroulante.
      • Nom du groupe de périphériques (Device Group Name) : entrez le nom du groupe de périphériques préconfiguré sur le serveur Panorama.
      • Nom du modèle de configuration (Config Template Name) : entrez le nom du modèle de configuration préconfiguré sur le serveur Panorama.
      Si vous choisissez Pare-feu Fortinet (Fortinet Firewall), configurez les paramètres supplémentaires suivants :
      • Cœurs de VM (VM Cores) : sélectionnez le nombre de cœurs dans la liste déroulante. La licence de la VM est basée sur les cœurs de celle-ci. Assurez-vous que la licence de VM est compatible avec le nombre de cœurs sélectionné.
      • Modèle d'inspection (Inspection Mode) : choisissez l'un des modes suivants :
        • Proxy : cette option est sélectionnée par défaut. L'inspection basée sur un proxy implique le trafic de mise en mémoire tampon et l'examen complet des données pour l'analyse.
        • Flux (Flow) : l'inspection basée sur les flux examine les données de trafic à mesure qu'elles passent par l'unité FortiGate sans mise en mémoire tampon.
      • Licence (License) : glissez et déposez la licence de VM.
    6. Cliquez sur Mettre à jour (Update).

Résultats

Les détails de la configuration s'affichent dans la section VNF de sécurité (Security VNF).

Que faire ensuite

Si vous souhaitez rediriger plusieurs segments de trafic vers la VNF, définissez le mappage entre les segments et les VLAN de service. Reportez-vous à la section Définir des segments de mappage avec des VLAN de service

Vous pouvez insérer la VNF de sécurité dans le VLAN et l'interface acheminée pour rediriger le trafic du VLAN ou de l'interface acheminée vers la VNF. Reportez-vous à la section Configurer le VLAN avec insertion de la VNF.