1. Despliegue el firewall de Palo Alto en modo Activo/Activo con OCI Flexible Network Load Balancer
  2. Configuración de los valores de despliegue

Configuración de los valores de despliegue

En esta sección, revisaremos los pasos de configuración de la VCN, las tablas de rutas, los gateways, el firewall de Palo Alto y el equilibrador de carga de red flexible de OCI que se muestran en la arquitectura de referencia.

Configurar VCN

Configure la VCN, las subredes y las tablas de rutas como se describe en la siguiente sección.

  • La VCN del hub tendrá cuatro subredes dedicadas a Palo Alto, una subred denominada hub-tok-inbound-sn es pública.
  • La subred hub-tok-mgmt-sn es para las interfaces de gestión de Palo Alto y aquí es donde se implementan las interfaces principales de Palo Alto.
  • La subred hub-tok-trust-sn es para las interfaces de confianza de Palo Alto, donde se despliega el equilibrador de carga de red flexible de OCI interno.
  • La subred hub-tok-untrust-sn es una subred privada y se utilizará para proporcionar acceso a Internet saliente a las máquinas virtuales de OCI.
  • La subred hub-tok-publiclb-sn es la subred pública para exponer los servicios DMZ a Internet, donde se incluyen todas las IP públicas. El equilibrador de carga de red flexible de OCI estará en esta subred, mientras que las máquinas virtuales respaldadas estarán en la VCN radial de la aplicación o el entorno.
  • Gateway de Internet, gateway de servicio, gateway de NAT de la VCN de hub tendrá una tabla de enrutamiento asociada, lo que convierte a Palo Alto en un dispositivo de transferencia entre zonas.
  • No hay ninguna IP pública asociada a Palo Alto para exponer el servicio a Internet.
  • Los equilibradores de carga, las NLB y los servidores que necesitan exponer el servicio a Internet se desplegarán en la subred hub-tok-publiclb-sn con IP pública asociada.
  • La tabla de rutas IGW RT tendrá una ruta para la subred pública a 10.1.1.0/25 que apunta a la IP de NLB entrante 10.1.1.198.
  • La tabla de rutas NGW-RT y SGW-RT estarán vacías y no se necesitan rutas.
  • La tabla de rutas de asociación de VCN tendrá una ruta por defecto 0.0.0.0/0 y una ruta específica de hub-tok-shared-sn 10.1.1.128/27 que apunta a la IP de confianza de NLB 10.1.1.229.
  • La tabla de rutas de la subred hub-tok-publiclb-sn tendrá una ruta predeterminada que apunta a la IP de NLB entrante 10.1.1.198 y para los rangos de spoke para el DRG.
  • La tabla de rutas de la subred hub-tok-inbound-sn tendrá la ruta predeterminada al gateway de Internet.
  • La tabla de rutas de la subred hub-tok-untrust-sn tendrá la ruta predeterminada al gateway de NAT y toda la red de servicios de Oracle de esa región al gateway de servicio.
  • La tabla de rutas de la subred hub-tok-trust-sn tendrá las rutas para rangos de Spoke y rangos locales a DRG.
  • Todas las tablas de rutas de subredes Spoke tendrán la ruta por defecto estática al DRG.

Configuración de OCI Flexible Network Load Balancer

En esta sección, revisaremos la configuración de OCI Flexible Network Load Balancer para el despliegue activo/activo de Palo Alto.

  1. Cree un valor Inbound-nlb privado con conservación de cabecera y hash simétrico.
  2. Seleccione la subred de entrada, aunque sea una subred pública y cree un NLB privado.
  3. El listener debe ser de tipo UDP/TCP/ICMP y cualquier puerto.
  4. Agregue la IP de NIC entrantes de VM de Palo Alto como backends en cualquier puerto al juego de backends de NLB.
  5. Configure la comprobación del sistema en el puerto TCP 22. Los valores del temporizador se pueden cambiar según el requisito de la rapidez con la que se debe detectar el fallo. Hemos utilizado el valor por defecto) en este ejemplo.
  6. Siga los mismos pasos anteriores para configurar el NLB de confianza en la subred de confianza. Solo cambiar es elegir las IP de interfaz de confianza de Palo Alto como el conjunto de backends.

Configuración de Palo Alto Firewall

En esta sección, revisaremos los pasos de configuración del firewall de Palo Alto.

  1. Despliegue dos dispositivos Palo Alto independientes en OCI que hagan referencia al enlace compartido en la sección Antes de empezar. En este despliegue, cada dispositivo tendrá cuatro NIC: NIC de gestión, NIC de confianza, NIC de desconfianza y NIC de entrada.
  2. Asegúrese de que las NIC de la GUI de configuración de dispositivos de Palo Alto estén en el mismo orden que la consola.
  3. Cree un enrutador virtual adicional: inbound-rtr en Palo Alto y conecte la NIC entrante al nuevo enrutador virtual.
  4. Este enrutador virtual es necesario para asegurarse de que Palo Alto pueda tener dos rutas por defecto en su plano de datos, una para el acceso a Internet de salida a través del gateway de NAT de OCI y otra para la exposición a Internet de entrada a través del gateway de Internet.

Configurar gateway de enrutamiento dinámico

DRG actúa como enrutador en el plano de fechas de OCI entre el hub y las redes virtuales en la nube de Spoke. Modificaremos la tabla de rutas e importaremos la distribución de cada asociación para forzar todo el tráfico a través del firewall de Palo Alto en OCI.

  1. Cree una distribución de importación para la tabla de rutas de asociación de hub e importe todos los tipos de rutas a ella.
  2. Asocie la distribución de importación a la tabla de rutas asociadas de VCN de hub.
  3. En la tabla de rutas de la asociación de VPN IPSec y OCI FastConnect, agregue una ruta estática a los rangos de VCN de hub y VCN de Spoke que apuntan a la VCN de hub y elimine la distribución de importación.

Note:

Esta arquitectura puede ser referida y modificada para implementar cualquier otro firewall del mercado como Checkpoint, Firepower de Cisco y otros. La sección de configuración de Palo Alto deberá modificarse con la configuración equivalente de otros firewalls del mercado.