È possibile distribuire e inoltrare il traffico tramite VNF in SD-WAN Edge utilizzando firewall di terze parti.

Solo un operatore può abilitare la configurazione di VNF di sicurezza. Se l'opzione VNF di sicurezza (Security VNF) non è disponibile, contattare l'operatore.

Prerequisiti

Assicurarsi di disporre di quanto segue:

  • SD-WAN Orchestrator e SD-WAN Edge attivato che esegua la versione del software che supporta la distribuzione di una VNF di sicurezza specifica. Per ulteriori informazioni sulle versioni del software supportate e sulle piattaforme Edge, fare riferimento alla matrice di supporto in VNF di sicurezza.
  • Servizio di gestione VNF configurato. Per ulteriori informazioni, vedere Configurazione del servizio di gestione VNF.

Procedura

  1. Nel portale dell'azienda, fare clic su Configura (Configure) > Edge (Edges).
  2. Nella pagina Edge (Edges), fare clic sull'icona Dispositivo (Device) accanto a un Edge oppure sul link dell'Edge e quindi fare clic sulla scheda Dispositivo (Device).
  3. Nella scheda Dispositivo (Device), scorrere verso il basso fino alla sezione VNF di sicurezza (Security VNF) e fare clic su Modifica (Edit).
  4. Nella finestra Configurazione VNF Edge (Edge VNF Configuration), selezionare la casella di controllo Distribuisci (Deploy).
  5. Configurare quanto segue in Configurazione macchina virtuale (VM Configuration):
    1. VLAN: nell'elenco a discesa scegliere una VLAN da utilizzare per la gestione di VNF.
    2. IP VM-1 (VM-1 IP): immettere l'indirizzo IP della macchina virtuale e verificare che l'indirizzo IP si trovi nell'intervallo di subnet della VLAN scelta.
    3. Nome host VM-1 (VM-1 Hostname): immettere un nome per l'host della macchina virtuale.
    4. Stato distribuzione (Deployment State): scegliere una delle seguenti opzioni:
      • Immagine scaricata e accesa (Image Downloaded and Powered On): questa opzione attiva la macchina virtuale dopo aver creato la VNF del firewall nell'Edge. Il traffico transita attraverso VNF solo quando viene scelta questa opzione, che richiede la configurazione di almeno una VLAN o un'interfaccia instradata per l'inserimento di VNF.
      • Immagine scaricata e spenta (Image Downloaded and Powered Off): questa opzione consente di mantenere la macchina virtuale spenta dopo aver creato il firewall VNF nell'Edge. Non selezionare questa opzione se si intende inviare il traffico tramite VNF.
    5. VNF di sicurezza (Security VNF): nell'elenco a discesa scegliere un servizio di gestione VNF predefinito. È inoltre possibile fare clic su Nuovo servizio VNF (New VNF Service) per creare un nuovo servizio di gestione VNF. Per ulteriori informazioni, vedere Configurazione del servizio di gestione VNF.
      L'immagine seguente illustra un esempio di Firewall Check Point (Check Point Firewall) come tipo di VNF di sicurezza.
      Se si sceglie Firewall Palo Alto Networks (Palo Alto Networks Firewall) come VNF di sicurezza, configurare le seguenti impostazioni aggiuntive:
      • Licenza (License): selezionare la licenza VNF nell'elenco a discesa.
      • Nome gruppo di dispositivi (Device Group Name): immettere il nome del gruppo di dispositivi preconfigurato nel server Panorama.
      • Nome modello di configurazione (Config Template Name): immettere il nome del modello di configurazione preconfigurato nel server Panorama.
      Nota: Se si desidera rimuovere la distribuzione della configurazione del Firewall Palo Alto Networks da un tipo di VNF, assicurarsi di aver disattivato la Licenza VNF (VNF License) di Palo Alto Networks prima di rimuovere la configurazione.
      Se si sceglie Firewall Fortinet (Fortinet Firewall), configurare le seguenti impostazioni aggiuntive:
      • Core macchina virtuale (VM Cores): selezionare il numero di core nell'elenco a discesa. La licenza della macchina virtuale è basata sui core della macchina virtuale. Assicurarsi che la licenza della macchina virtuale sia compatibile con il numero di core selezionati.
      • Modalità di ispezione (Inspection Mode): scegliere una delle seguenti modalità:
        • Proxy: questa opzione è selezionata per impostazione predefinita. L'ispezione basata su proxy implica il buffering del traffico e l'esame dei dati nel loro insieme per l'analisi.
        • Flusso (Flow): l'ispezione basata sul flusso esamina i dati del traffico che passano attraverso l'unità FortiGate senza alcun buffering.
      • Licenza (License): trascinare la licenza della macchina virtuale.
    6. Fare clic su Aggiorna (Update).

risultati

I dettagli della configurazione vengono visualizzati nella sezione VNF di sicurezza (Security VNF).

Operazioni successive

Se si desidera reindirizzare più segmenti di traffico alla VNF, definire la mappatura tra i segmenti e le VLAN del servizio. Vedere Definizione dei segmenti di mappatura con la VLAN del servizio.

È possibile inserire la VNF di sicurezza sia nella VLAN sia nell'interfaccia instradata per reindirizzare il traffico dalla VLAN o dall'interfaccia instradata alla VNF. Vedere Configurazione della VLAN con inserimento di VNF.