1. Déployer le pare-feu Palo Alto en mode actif/actif avec l'équilibreur de charge de réseau flexible OCI
  2. Configurer les paramètres de déploiement

Configurer les paramètres de déploiement

Dans cette section, nous allons examiner les étapes de configuration du VCN, des tables de routage, des passerelles, du pare-feu Palo Alto et de l'équilibreur de charge de réseau flexible OCI affichés dans l'architecture de référence.

Configurer le VCN

Configurez le VCN, les sous-réseaux et les tables de routage comme décrit dans la section suivante.

  • Le VCN hub aura quatre sous-réseaux dédiés à Palo Alto, un sous-réseau nommé hub-tok-inbound-sn est public.
  • Le sous-réseau hub-tok-mgmt-sn est destiné aux interfaces de gestion Palo Alto et c'est là que les interfaces Palo Alto principales sont déployées.
  • Le sous-réseau hub-tok-trust-sn est destiné aux interfaces approuvées de Palo Alto, où l'équilibreur de charge de réseau flexible OCI interne est déployé.
  • Le sous-réseau hub-tok-untrust-sn est un sous-réseau privé qui sera utilisé pour fournir un accès Internet sortant aux machines virtuelles dans OCI.
  • Le sous-réseau hub-tok-publiclb-sn est le sous-réseau public permettant d'exposer les services DMZ sur Internet, où se trouvent toutes les adresses IP publiques. L'équilibreur de charge de réseau flexible OCI se trouve dans ce sous-réseau, tandis que les machines virtuelles sauvegardées se trouvent sur le VCN satellite de l'application ou de l'environnement.
  • La passerelle Internet, la passerelle de service et la passerelle NAT du VCN hub seront associées à une table de routage, ce qui fait de Palo Alto un périphérique de transfert entre les zones.
  • Aucune adresse IP publique n'est attachée à Palo Alto pour exposer le service sur Internet.
  • Les équilibreurs de charge, les équilibreurs de charge de réseau et les serveurs qui doivent exposer le service à Internet seront déployés dans le sous-réseau hub-tok-publiclb-sn auquel une adresse IP publique est attachée.
  • La table de routage IGW RT aura une route pour le sous-réseau public vers 10.1.1.0/25 pointant vers l'adresse IP 10.1.1.198 de l'équilibreur de charge de réseau entrant.
  • Les tables de routage NGW-RT et SGW-RT seront vides et aucune route n'est nécessaire.
  • La table de routage d'attachement de VCN aura une route par défaut 0.0.0.0/0 et une route spécifique de hub-tok-shared-sn 10.1.1.128/27 pointant vers l'adresse IP d'équilibreur de charge de réseau approuvée 10.1.1.229.
  • La table de routage du sous-réseau hub-tok-publiclb-sn aura une route par défaut pointant vers l'adresse IP de l'équilibreur de charge de réseau entrant 10.1.1.198 et, pour les intervalles satellite, vers la passerelle DRG.
  • La table de routage du sous-réseau hub-tok-inbound-sn aura la route par défaut vers la passerelle Internet.
  • La table de routage du sous-réseau hub-tok-untrust-sn aura la route par défaut vers la passerelle NAT et tous les services Oracle Network de cette région vers la passerelle de service.
  • La table de routage du sous-réseau hub-tok-trust-sn comportera les routes pour les intervalles satellite et les intervalles sur place vers la passerelle DRG.
  • Toutes les tables de routage des sous-réseaux satellites auront la route statique par défaut vers la passerelle DRG.

Configurer un équilibreur de charge de réseau flexible OCI

Dans cette section, nous allons vérifier la configuration de l'équilibreur de charge de réseau flexible OCI pour le déploiement de Palo Alto actif/actif.

  1. Créez un noeud Inbound-nlb privé avec conservation des en-têtes et hachage symétrique.
  2. Sélectionnez le sous-réseau entrant, bien qu'il s'agisse d'un sous-réseau public, et créez un équilibreur de charge de réseau privé.
  3. Le module d'écoute doit être de type UDP/TCP/ICMP et tout port.
  4. Ajoutez l'adresse IP des cartes d'interface réseau entrantes des machines virtuelles Palo Alto en tant que serveurs dorsaux sur n'importe quel port au jeu dorsal d'équilibreur de charge de réseau.
  5. Configurez la vérification de l'état sur le port TCP 22, les valeurs de minuterie peuvent être modifiées en fonction de la vitesse à laquelle la défaillance doit être détectée. Nous avons utilisé la valeur par défaut) dans cet exemple.
  6. Suivez les mêmes étapes ci-dessus pour configurer l'équilibreur de charge réseau de confiance sur le sous-réseau de confiance. Seule la modification consiste à choisir les adresses IP de l'interface de confiance de Palo Alto comme jeu dorsal.

Configurer les paramètres du pare-feu Palo Alto

Dans cette section, nous allons examiner les étapes de configuration du pare-feu Palo Alto.

  1. Déployez deux appareils Palo Alto autonomes dans OCI en référence au lien partagé dans la section Avant de commencer. Dans ce déploiement, chaque appareil aura quatre cartes d'interface réseau : carte d'interface réseau de gestion, carte d'interface réseau de confiance, carte d'interface réseau non sécurisée et carte d'interface réseau entrante.
  2. Assurez-vous que les cartes réseau de l'interface graphique de configuration du périphérique Palo Alto sont dans le même ordre que la console.
  3. Créez un routeur virtuel supplémentaire : inbound-rtr dans Palo Alto et attachez la carte d'interface réseau entrante au nouveau routeur virtuel.
  4. Ce routeur virtuel est nécessaire pour s'assurer que Palo Alto peut avoir deux routes par défaut sur son plan de données, l'une pour l'accès Internet sortant au moyen de la passerelle NAT OCI et l'autre pour l'exposition Internet entrant au moyen de la passerelle Internet.

Configurer la passerelle de routage dynamique

La passerelle DRG agit en tant que routeur dans le plan de dates d'OCI entre le concentrateur et les réseaux en nuage virtuels satellite. Nous allons modifier la table de routage et importer la répartition de chaque attachement pour forcer tout le trafic au moyen du pare-feu Palo Alto dans OCI.

  1. Créer une répartition d'importation pour la table de routage des attachements Hub et y importer tous les types de routes.
  2. Attachez la répartition d'importation à la table de routage attachée au VCN hub.
  3. Dans la table de routage de l'attachement RPV IPSec et OCI FastConnect, ajoutez une route statique aux intervalles VCN satellite et VCN hub pointant vers le VCN hub et supprimez la répartition d'importation.

Note :

Cette architecture peut être référencée et modifiée pour déployer d'autres pare-feu du marché tels que Checkpoint, la puissance de feu Cisco et d'autres. La section de configuration de Palo Alto devra être modifiée avec la configuration équivalente d'autres pare-feu du marché.