Pode implementar e encaminhar o tráfego através da VNF no SD-WAN Edge utilizando firewalls de terceiros.
Apenas um operador pode ativar a configuração VNF de segurança. Se a opção VNF de segurança não estiver disponível para si, contacte o operador.
Pré-requisitos
Certifique-se de que tem o seguinte:
- SD-WAN Orchestrator e ativou as versões de software em execução do SD-WAN Edge que suportam a implementação de um VNF de segurança específico. Para obter mais informações sobre as plataformas Edge e as versões de software suportadas, consulte a matriz de suporte em VNFs de segurança.
- Serviço de gestão VNF configurado. Para obter mais informações, consulte Configurar o serviço de gestão VNF.
Procedimento
- No portal da empresa, clique em .
- Na página Edges, clique no ícone Dispositivo (Device) ao lado de um Edge ou clique na ligação para o Edge e clique no separador Dispositivo (Device).
- No separador Dispositivo (Device), navegue até à secção VNF de segurança (Security VNF) e clique em Editar (Edit).
- Na janela Configuração de VNF Edge (Edge VNF Configuration), verifique a caixa de verificação Implementar (Deploy).
- Configure o seguinte em Configuração VM (VM Configuration):
- VLAN – Escolha uma VLAN, a ser utilizada para a gestão do VNF, na lista pendente.
- VM-1 IP – Introduza o endereço IP da VM e certifique-se de que o endereço IP está no intervalo de sub-redes da VLAN escolhida.
- VM-1 Nome de anfitrião (VM-1 Hostname) – Introduza um nome para o anfitrião da VM.
- Estado de implementação (Deployment State) – Escolha uma das seguintes opções:
- Imagem transferida e ligada (Image Downloaded and Powered On) – Esta opção alimenta a VM depois de construir a firewall VNF no Edge. O tráfego apenas transita a VNF quando esta opção é escolhida, o que requer que, pelo menos, uma interface VLAN ou encaminhada esteja configurada para a inserção VNF.
- Imagem transferida e desligada (Image Downloaded and Powered Off) – Esta opção mantém a VM desligada depois de construir a firewall VNF no Edge. Não selecione esta opção se pretender enviar tráfego através da VNF.
- VNF de segurança (VNF Security) – Escolha um serviço de gestão VNF predefinido na lista pendente. Também pode clicar em Novo serviço VNF (New VNF Service) para criar um novo serviço de gestão VNF. Para obter mais informações, consulte Configurar o serviço de gestão VNF.
A imagem a seguir mostra um exemplo da
Firewall de ponto de verificação (Check Point Firewall) como o tipo de VNF de segurança.
Se escolher
Firewall das redes Palo Alto (Palo Alto Networks Firewall) como VNF de segurança, configure as seguintes definições adicionais:
- Licença (Licence) – Selecione o tipo de licença VNF na lista pendente.
- Nome do grupo do dispositivo (Device Group Name) – Introduza o nome do grupo do dispositivo pré-configurado no servidor Panorama.
- Config nome do modelo (Config Template Name) – Introduza o nome do modelo de configuração pré-configurado no servidor Panorama.
Nota: Se pretender remover a implementação da configuração da
Firewall das Redes Palo Alto (Palo Alto Networks Firewall) a partir de um tipo de VNF, certifique-se de que desativou a
Licença VNF (VNF License) das Redes Palo Alto antes de remover a configuração.
Se escolher
Firewall Fortinet (Fortinet Firewall), configure as seguintes definições adicionais:
- Núcleos VM (VM Cores) – Selecione o número de núcleos na lista pendente. A licença VM baseia-se nos núcleos VM. Certifique-se de que a licença VM é compatível com o número de núcleos selecionados.
- Modo de inspeção (Inspection Mode) – Escolha uma das seguintes opções:
- Proxy – Esta opção está selecionada por predefinição. A inspeção baseada em proxy envolve a colocação do tráfego na memória intermédia e a avaliação dos dados como um todo para análise.
- Fluxo (Flow) – A inspeção baseada em fluxo examina os dados de tráfego à medida que passam pela unidade FortiGate sem qualquer colocação em memória intermédia.
- Licença (License) – Arraste e solte a licença VM.
- Clique em Atualizar (Update).
Resultados
Os detalhes da configuração são apresentados na secção VNF de segurança (Security VNF).
Como proceder a seguir
Se pretender redirecionar vários segmentos de tráfego para a VNF, defina o mapeamento entre segmentos e VLANs de serviço. Consulte Definir os segmentos de mapeamento com as VLANs de serviço
Pode inserir a VNF de segurança tanto na VLAN como na interface encaminhada para redirecionar o tráfego da VLAN ou da interface encaminhada para o VNF. Consulte Configurar a VLAN com a inserção VNF.