Pode implementar e encaminhar o tráfego através da VNF no SD-WAN Edge utilizando firewalls de terceiros.

Apenas um operador pode ativar a configuração de VNF de segurança. Se a opção VNF de segurança não estiver disponível para si, contacte o operador.

Pré-requisitos

Certifique-se de que tem o seguinte:

  • SASE Orchestrator e ativou as versões de software em execução do SD-WAN Edge que suportam a implementação de um VNF de segurança específico. Para obter mais informações sobre as plataformas Edge e as versões de software suportadas, consulte a matriz de suporte em Funções de rede virtual de segurança.
  • Serviço de gestão VNF configurado. Para obter mais informações, consulte Configurar o serviço de gestão VNF.

Procedimento

  1. No serviço SD-WAN do portal da empresa, clique em Configurar (Configure) > Edges.
  2. Na página Edges, clique na ligação para um Edge que deseja configurar ou clique na ligação Ver (View) na coluna Dispositivo (Device) do Edge. As opções de configuração do Edge selecionado são apresentadas no separador Dispositivo (Device).
  3. No separador Dispositivo (Device), navegue para a secção VNF de segurança (Security VNF) e clique em + Configurar VNF de segurança (+ Configure Security VNF). É apresentada a janela Configurar VNF de segurança (Configure Security VNF).
  4. Na janela Configurar VNF de segurança (Configure Security VNF), selecione a caixa de verificação Implementar (Deploy).
  5. Em Configuração da VM (VM Configuration), configure as seguintes definições:
    1. VLAN – Escolha uma VLAN, a ser utilizada para a gestão do VNF, na lista pendente.
    2. VM-1 IP – Introduza o endereço IP da VM e certifique-se de que o endereço IP está no intervalo de sub-redes da VLAN escolhida.
    3. VM-1 Nome de anfitrião (VM-1 Hostname) – Introduza um nome para o anfitrião da VM.
    4. Estado de implementação (Deployment State) – Escolha uma das seguintes opções:
      • Imagem transferida e ligada (Image Downloaded and Powered On) – Esta opção alimenta a VM depois de construir a firewall VNF no Edge. O tráfego apenas transita a VNF quando esta opção é escolhida, o que requer que, pelo menos, uma interface VLAN ou routed esteja configurada para a inserção VNF.
      • Imagem transferida e desligada (Image Downloaded and Powered Off) – Esta opção mantém a VM desligada depois de construir a firewall VNF no Edge. Não selecione esta opção se pretender enviar tráfego através da VNF.
  6. Em VNF de segurança (VNF Security), escolha um serviço de gestão VNF predefinido no menu pendente. Também pode clicar em + Adicionar (+ Add) para criar um novo serviço de gestão VNF. Para obter mais informações, consulte Configurar o serviço de gestão VNF.
    1. A imagem seguinte mostra um exemplo da Firewall Fortinet (Fortinet Firewall) como o tipo de VNF de segurança (Security VNF). Se escolher Firewall Fortinet (Fortinet Firewall), configure as seguintes definições adicionais:
      • Núcleos VM (VM Cores) – Selecione o número de núcleos na lista pendente. A licença VM baseia-se nos núcleos VM. Certifique-se de que a licença VM é compatível com o número de núcleos selecionados.
      • Modo de inspeção (Inspection Mode) – Escolha uma das seguintes opções:
        • Proxy – Esta opção está selecionada por predefinição. A inspeção baseada em proxy envolve a colocação do tráfego na memória intermédia e a avaliação dos dados como um todo para análise.
        • Fluxo (Flow) – A inspeção baseada em fluxo examina os dados de tráfego à medida que passam pela unidade FortiGate sem qualquer colocação em memória intermédia.
      • Licença (License) – Arraste e largue a Licença de VM ou cole o conteúdo da licença na caixa de texto.
    2. A imagem seguinte mostra um exemplo da Firewall do Check Point (Check Point Firewall) como o tipo de VNF de segurança (Security VNF).
    3. Se escolher Firewall da Palo Alto Networks (Palo Alto Networks Firewall) como VNF de segurança, configure as seguintes definições adicionais:
      • Licença (Licence) – Selecione o tipo de licença VNF na lista pendente.
      • Nome do grupo do dispositivo (Device Group Name) – Introduza o nome do grupo do dispositivo pré-configurado no servidor Panorama.
      • Config nome do modelo (Config Template Name) – Introduza o nome do modelo de configuração pré-configurado no servidor Panorama.
      Nota: Se pretender remover a implementação da configuração da Firewall das Redes Palo Alto (Palo Alto Networks Firewall) a partir de um tipo de VNF, certifique-se de que desativou a Licença VNF (VNF License) das Redes Palo Alto antes de remover a configuração.
  7. Clique em Atualizar (Update).

Resultados

Os detalhes da configuração são apresentados na secção VNF de segurança (Security VNF).

Como proceder a seguir

Se pretender redirecionar vários segmentos de tráfego para a VNF, defina o mapeamento entre segmentos e VLANs de serviço. Consulte Definir os segmentos de mapeamento com as VLANs de serviço

Pode inserir a VNF de segurança tanto na VLAN como na interface routed para redirecionar o tráfego da VLAN ou da interface routed para o VNF. Consulte Configurar a VLAN com a inserção VNF.