Vous pouvez déployer et transférer le trafic via VNF sur le dispositif SD-WAN Edge, à l'aide de pare-feu tiers.

Seul un opérateur peut activer la configuration de la VNF de sécurité. Si l'option VNF de sécurité (Security VNF) n'est pas disponible pour vous, contactez votre opérateur.

Conditions préalables

Assurez-vous que vous disposez des éléments suivants :

  • SASE Orchestrator et le dispositif SD-WAN Edge activé exécutant les versions logicielles qui prennent en charge le déploiement d'une VNF de sécurité spécifique. Pour plus d'informations sur les versions logicielles et les plates-formes de dispositifs Edge prises en charge, reportez-vous à la matrice de prise en charge dans Fonctions de réseau virtuel.
  • Service de gestion VNF configuré. Pour plus d'informations, reportez-vous à la section Configurer le service de gestion VNF.

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).
  2. Sur la page Dispositifs Edge (Edges), cliquez sur le lien d'accès à un dispositif Edge que vous souhaitez configurer ou cliquez sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge. Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
  3. Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section VNF de sécurité (Security VNF), puis cliquez sur + Configurer la VNF de sécurité (+ Configure Security VNF). La fenêtre + Configurer la VNF de sécurité (+ Configure Security VNF) s'ouvre.
  4. Dans la fenêtre + Configurer la VNF de sécurité (+ Configure Security VNF), cochez la case Déployer (Deploy).
  5. Sous Configuration de VM (VM Configuration), configurez les paramètres suivants :
    1. VLAN : choisissez un VLAN à utiliser pour la gestion VNF dans la liste déroulante.
    2. Adresse IP de VM-1 (VM-1 IP) : entrez l'adresse IP de la VM et assurez-vous que l'adresse IP se trouve dans la plage de sous-réseaux du VLAN choisi.
    3. Nom d'hôte de VM-1 (VM-1 Hostname) : entrez un nom pour l'hôte de la VM.
    4. État de déploiement (Deployment State) : choisissez l'une des options suivantes :
      • Image téléchargée et sous tension (Image Downloaded and Powered On) : cette option met sous tension la VM après avoir créé la VNF de pare-feu sur le dispositif Edge. Le trafic ne transite par la VNF que lorsque cette option est choisie, ce qui nécessite au moins un VLAN ou une interface routée configuré pour l'insertion de la VNF.
      • Image téléchargée et hors tension (Image Downloaded and Powered Off) : cette option maintient la VM hors tension après avoir créé la VNF de pare-feu sur le dispositif Edge. Ne sélectionnez pas cette option si vous prévoyez d'envoyer le trafic via la VNF.
  6. Sous VNF de sécurité (Security VNF), choisissez un service de gestion VNF prédéfini dans le menu déroulant. Vous pouvez également cliquer sur + Ajouter (+ Add) pour créer un service de gestion VNF. Pour plus d'informations, reportez-vous à la section Configurer le service de gestion VNF.
    1. L'image suivante montre un exemple de Pare-feu Fortinet (Fortinet Firewall) comme type de VNF de sécurité. Si vous choisissez Pare-feu Fortinet (Fortinet Firewall), configurez les paramètres supplémentaires suivants :
      • Cœurs de VM (VM Cores) : sélectionnez le nombre de cœurs dans la liste déroulante. La licence de la VM est basée sur les cœurs de celle-ci. Assurez-vous que la licence de VM est compatible avec le nombre de cœurs sélectionné.
      • Mode d'inspection (Inspection Mode) : choisissez l'un des modes suivants :
        • Proxy : cette option est sélectionnée par défaut. L'inspection basée sur un proxy implique le trafic de mise en mémoire tampon et l'examen complet des données pour l'analyse.
        • Flux (Flow) : l'inspection basée sur les flux examine les données de trafic à mesure qu'elles passent par l'unité FortiGate sans mise en mémoire tampon.
      • Licence (License) : glissez-déposez la licence de machine virtuelle ou collez le contenu de la licence dans la zone de texte.
    2. L'image suivante montre un exemple de Pare-feu Check Point (Check Point Firewall) comme type de VNF de sécurité.
    3. Si vous choisissez Pare-feu Palo Alto Networks (Palo Alto Networks Firewall) comme VNF de sécurité, configurez les paramètres supplémentaires suivants :
      • Licence (License) : sélectionnez la licence de VNF dans la liste déroulante.
      • Nom du groupe de périphériques (Device Group Name) : entrez le nom du groupe de périphériques préconfiguré sur le serveur Panorama.
      • Nom du modèle de configuration (Config Template Name) : entrez le nom du modèle de configuration préconfiguré sur le serveur Panorama.
      Note : Pour supprimer le déploiement de la configuration de Pare-feu Palo Alto Networks (Palo Alto Networks Firewall) d'un type de VNF, assurez-vous que vous avez désactivé la licence de VNF (VNF License) de Palo Alto Networks avant de supprimer la configuration.
  7. Cliquez sur Mettre à jour (Update).

Résultats

Les détails de la configuration s'affichent dans la section VNF de sécurité (Security VNF).

Que faire ensuite

Si vous souhaitez rediriger plusieurs segments de trafic vers la VNF, définissez le mappage entre les segments et les VLAN de service. Reportez-vous à la section Définir des segments de mappage avec des VLAN de service

Vous pouvez insérer la VNF de sécurité dans le VLAN et l'interface routée pour rediriger le trafic du VLAN ou de l'interface routée vers la VNF. Reportez-vous à la section Configurer le VLAN avec insertion de la VNF.