Citrix SD-WAN

Intégration de Palo Alto Networks sur la plate-forme SD-WAN 1100

Avec la version 11.0.2, Citrix SD-WAN prend en charge Palo Alto Networks Next-Generation Firewall Virtual Machine (VM) -Series (VM 50 et VM 100) hébergé sur la plate-forme SD-WAN 1100.

Le pare-feu de la série de machines virtuelles Palo Alto Network fonctionne comme une machine virtuelle de pare-feu hébergée sur la plate-forme SD-WAN 1100. La machine virtuelle pare-feu hébergée fonctionne en tant que fonction réseau virtuel (VNF) intégrée en mode réseau virtuel . En mode Virtual Wire, le pare-feu agit comme un pont connecté à deux ports et le trafic requis est chaîné via le pare-feu hébergé.

Avantages

Voici les principaux objectifs ou avantages de l’intégration de Palo Alto Networks sur la plateforme SD-WAN 1100 :

  • Consolidation des périphériques de succursale : une appliance unique qui effectue à la fois le SD-WAN et la sécurité avancée
  • Sécurité avancée pour protéger l’Internet local et le cloud breakout
  • Bloquer les mouvements latéraux des menaces (LAN vers LAN)

Intégrer la machine virtuelle Palo Alto Networks en tant que VNF de sécurité sur la plate-forme SD-WAN 1100

Sur la plate-forme SD-WAN, provisionnez et démarrez la machine virtuelle hébergée. Effectuez les étapes suivantes pour le Provisioning :

  1. Dans l’interface graphique Citrix SD-WAN, accédez à Configuration > Développez Paramètres de l’appliance > sélectionnez Pare-feu hébergé .

  2. Prérequis : Télécharger l’image du logiciel :
    • Sélectionnez l’onglet Images logicielles . Le nom du fournisseur est renseigné automatiquement et ce champ n’est pas modifiable.
    • Choisissez le fichier image du logiciel.
    • Cliquez sur Upload.

    Téléchargement d'images SW

    Remarque Plus d’une image logicielle peut être téléchargée, mais une seule peut être utilisée à tout moment pour provisionner la machine virtuelle.

    Vous pouvez voir une barre d’état pour suivre le processus de téléchargement. Le détail du fichier reflète, une fois l’image téléchargée avec succès. L’image utilisée pour le Provisioning ne peut pas être supprimée. N’effectuez aucune action ou retournez à une autre page jusqu’à ce que le fichier image affiche 100 % téléchargé.

  3. Pour le Provisioning, sélectionnez l’onglet Pare-feu hébergés et cliquez sur Provisionner . Pare-feu hébergé
  • Nom du fournisseur : Le nom du fournisseurest renseigné automatiquement et ce champ n’est pas modifiable.
  • Modèle de machine virtuelle : sélectionnez le numéro de modèle de machine virtuelle dans la liste.
  • Nom du fichier image : Sélectionnez le fichier image.
  • Adresse IP principale/Nom de domaine Panorama : Indiquez l’adresse IP principale Panorama ou le nom de domaine complet (Facultatif).
  • Adresse IP secondaire Panorama : Indiquez l’adresse IP secondaire Panorama ou le nom de domaine complet (facultatif).
  • Clé d’authentification de la machine virtuelle : fournissez la clé d’authentification de la machine virtuelle (facultatif).

    La clé d’authentification de machine virtuelle est nécessaire pour l’enregistrement automatique de la machine virtuelle Palo Alto Networks sur le Panorama.

  • Code d’authentification : Entrez le code d’authentification (code de licence de machine virtuelle) (facultatif).
  1. Cliquez sur Appliquer.

  2. Cliquez sur Actualiser pour obtenir le dernier état. Une fois la machine virtuelle Palo Alto Networks démarre complètement, elle réfléchira sur l’interface utilisateur SD-WAN avec le détail du journal des opérations.

    Détail du journal d'option

    • État d’administration : indique si la machine virtuelle est en service ou en panne.
    • État de traitement : étatde traitement du datapath de la machine virtuelle.
    • Paquet envoyé : Paquets envoyés depuis SD-WAN vers la machine virtuelle de sécurité.
    • Paquet reçu : Paquets reçus par SD-WAN de la machine virtuelle de sécurité.
    • Paquet abandonné : Paquets abandonnés par SD-WAN (par exemple, lorsque la machine virtuelle de sécurité est en panne).
    • Accès au périphérique : cliquez sur le lien pour obtenir l’accès GUI à la machine virtuelle de sécurité.

Vous pouvez démarrer, arrêter et désapprovisionner la machine virtuelle si nécessaire. Utilisez l’option Cliquez ici pour accéder à l’interface graphique de la machine virtuelle Palo Alto Networks ou utilisez votre adresse IP de gestion avec le port 4100 (adresse IP de gestion : 4100).

Remarque Utilisez toujours le mode navigation privée pour accéder à l’interface graphique de Palo Alto Networks. Le téléchargement de l’image de la machine virtuelle Palo Alto Networks peut prendre plus de temps en fonction de la disponibilité de la bande passante.

Provisioning de Palo Alto Networks via SD-WAN Center

Conditions préalables

  • Ajouter et configurer la banque de données. Pour plus d’informations, reportez-vous à la section Configuration requise et installation.
  • Configurez la limite de stockage. Pour configurer la limite de stockage, accédez à Administration > Maintenance du stockage.
    • Sélectionnez la quantité de stockage requise dans la liste.
    • Cliquez sur Appliquer.

    Stockage

Remarque Le stockage est réservé à partir de la partition secondaire qui est active si la condition est remplie.

Effectuez les étapes suivantes pour Provisioning la machine virtuelle hébergée sur la plate-forme SD-WAN Center :

  1. Dans l’interface graphique Citrix SD-WAN Center, accédez à Configuration > sélectionnez Pare-feu hébergé .

    Sites fw hébergés

    Vous pouvez sélectionner la région dans la liste pour afficher les détails du site provisionné pour cette région sélectionnée.

  2. Prérequis : Télécharger l’image du logiciel :

    REMARQUE Assurez-vous que vous disposez de suffisamment d’espace disque pour charger l’image logicielle.

    Accédez à l’onglet Images logicielles et cliquez ou déposez le fichier d’image logicielle dans la zone à télécharger. Le nom du fournisseur est renseigné automatiquement et ce champ n’est pas modifiable.

    Télécharger l'image sw

    Une barre d’état apparaît avec le processus de téléchargement en cours. Ne cliquez pas sur Actualiser ou n’effectuez aucune autre action jusqu’à ce que le fichier image affiche 100 % téléchargé.

    • Actualiser : cliquez sur l’option Actualiserpour obtenir les derniers détails du fichier image.
    • Supprimer : cliquez sur l’option Supprimerpour supprimer tout fichier image existant.
  3. Pour le Provisioning, revenez à l’onglet Pare-feu hébergés et cliquez sur Provisionner .

    Disposition de départ

    • Fournisseur : sélectionnez le nom du fournisseurdans la liste.
    • Modèle de machine virtuelle fournisseur : sélectionnez le numéro de modèle de machine virtuelle dans la liste.
    • Image logicielle : sélectionnez le fichier Image à provisionner.
    • Région : Sélectionnez la région dans la liste.
    • Sites pour l’hébergement de pare-feu : sélectionnez des sites pour la liste d’hébergement de pare-feu. Vous devez sélectionner les sites principaux et secondaires si les sites sont en mode haute disponibilité.

    • Adresse IP principale/Nom de domaine du serveur Management Server : entrez l’adresse IP principale de gestion ou le nom de domaine complet (facultatif).
    • Adresse IP secondaire du serveur de gestion : entrez l’adresse IP secondaire du serveur de gestion ou le nom de domaine complet (facultatif).

    • Clé d’authentification de machine virtuelle : entrez la clé d’authentification virtuelle à utiliser dans le serveur de gestion.

    • Code d’authentification : Entrez le code d’authentification virtuel à utiliser pour les licences.
  4. Cliquez sur Démarrer la mise en service.
  5. Cliquez sur Actualiser pour obtenir le dernier état. Une fois la machine virtuelle Palo Alto Networks démarre complètement, elle se penchera sur l’interface utilisateur SD-WAN Center.

Vous pouvez démarrer, arrêter et désapprovisionner la machine virtuelle si nécessaire.

Sélectionner le site à provisionner

  • Nom du site : affiche le nom du site.
  • IP de gestion : affiche l’adresse IP de gestion du site.
  • Nom de la région : affiche le nom de la région.
  • Vendeur : Affiche le nom du fournisseur (Palo Alto Networks).
  • Modèle : affiche le numéro de modèle (VM50/VM100).
  • État d’administration : état de la machine virtuelle du fournisseur (haut/bas).
  • Statut de l’opération : affiche le message d’état opérationnel.
  • Site hébergé : utilisez le lien Cliquez ici pour accéder à l’interface graphique de la machine virtuelle Palo Alto Networks.

Pour provisionner les sites de région autres que ceux par défaut, vous devez télécharger l’image logicielle sur le collecteur SD-WAN Center. Vous pouvez provisionner les réseaux Palo Alto à la fois depuis l’interface graphique de tête de ligne SD-WAN Center ou SD-WAN Center Collector.

Pour obtenir l’adresse IP du collecteur SD-WAN Center, accédez à Configuration > Découverte réseau > sélectionnez l’onglet Paramètres de découverte .

IP du collecteur

Pour provisionner les réseaux Palo Alto de SD-WAN Collector :

  1. Dans l’interface graphique SD-WAN Collector, accédez à Configuration > sélectionnez Pare-feu hébergé .

    Collector hébergé fw

  2. Accédez à l’onglet Images logicielles pour télécharger l’image logicielle.
  3. Cliquez sur Provisionner sous l’onglet Sites de pare-feu hébergés.
  4. Fournissez les détails suivants et cliquez sur Démarrer la mise en service.

    Provision pour les collecteurs

Redirection du trafic

Ouvrez l’interface utilisateur Citrix SD-WAN, accédez à Configuration >développez Virtual WAN >sélectionnez l’éditeur de configuration. Un nouveau modèle de configuration est ajouté en tant que modèle de pare-feu hébergé sous la section Global .

Modèle de pare-feu hébergé

Fournissez les informations requises disponibles dans la capture d’écran suivante pour ajouter le modèle de pare-feu hébergé, puis cliquez sur Ajouter .

Ajouter

Le modèle de pare-feu hébergé vous permet de configurer la redirection du trafic vers le pare-feu tiers hébergé sur l’appliance SD-WAN. La redirection du trafic vers un pare-feu hébergé peut être activée à l’aide des stratégies de pare-feu SD-WAN. Voici les entrées nécessaires à la configuration du modèle :

  • Nom : Nom du modèle de pare-feu hébergé.
  • Fournisseur : nom du fournisseur du pare-feu.
  • Modèle : Modèlede machine virtuelle du pare-feu hébergé.
  • IP/FQDN du serveurd’administration principal : IP/FQDN du serveur d’administration principal du pare-feu hébergé.
  • IP/FQDN du serveurd’administration secondaire : IP/FQDN du serveur d’administration secondaire du pare-feu hébergé.
  • Interfaces de redirection de service : Interfaceslogiques utilisées pour la redirection du trafic entre le SD-WAN et le pare-feu hébergé. Interface-1, Interface-2 fait référence aux deux premières interfaces du pare-feu hébergé. Si des VLAN sont utilisés pour la redirection du trafic, les mêmes VLAN doivent être configurés sur le pare-feu hébergé. Les VLAN configurés pour la redirection du trafic sont internes au SD-WAN et au pare-feu hébergé.

    Remarque L’interface d’entrée de redirection doit être sélectionnée à partir de la direction de l’initiateur de connexion, l’interface de redirection est automatiquement choisie pour le trafic de réponse. Par exemple, si le trafic Internet sortant est redirigé vers le pare-feu hébergé sur Interface-1, le trafic de réponse est automatiquement redirigé vers le pare-feu hébergé sur Interface-2.

Seules deux interfaces physiques sont assignées pour héberger le pare-feu Palo Alto Networks. Si le trafic provenant de plusieurs zones doit être redirigé vers le pare-feu hébergé, plusieurs sous-interfaces peuvent être créées à l’aide de VLAN internes et associées à différentes zones de pare-feu sur le pare-feu hébergé.

Grâce aux stratégies de pare-feu SD-WAN ou aux stratégies au niveau du site, vous pouvez rediriger tout le trafic vers la machine virtuelle Palo Alto Networks.

Remarque Les stratégies de pare-feu SD-WAN sont créées automatiquement pour autoriser le trafic vers/depuis les serveurs de gestion de pare-feu hébergés. Cela évite la redirection du trafic de gestion provenant de (ou) destiné au pare-feu hébergé.

Pour rediriger tout le trafic, sélectionnez l’onglet Connexion sous l’Éditeur de configuration > sélectionnez Stratégies dans la liste de sélection > cliquez sur + Ajouter .

Stratégie fw hébergée

Sélectionnez le type de stratégie (Pare-feu hébergé ou Pare-feu intégré) et remplissez tous les autres champs avec les détails nécessaires.

Actuellement, les stratégies de pare-feu SD-WAN sont spécifiques à la direction. Pour la redirection du pare-feu hébergé, une nouvelle option Type de correspondance de connexion est introduite dans la section Éditeur de configuration > Global.

  • Par défaut : Faire correspondre les connexions à l’aide des critères de correspondance spécifiés.
  • Symétrique : faire correspondre les connexions à l’aide des critères de correspondance spécifiés et appliquer des actions de stratégie aux deux directions.

Type de correspondance de connexion

Alors que toute la configuration réseau est en mode opérationnel, vous pouvez surveiller la connexion sous Surveillance > Pare-feu > dans la liste Statistiques, sélectionnez Stratégies de filtrage .

Stratégie de filtrage

Vous pouvez vérifier le mappage entre la configuration que vous avez effectuée sur le modèle de chaîne de service SD-WAN et la configuration du réseau Palo Alto à l’aide de l’interface utilisateur de Palo Alto Networks.

Palo alto nw

REMARQUE La machine virtuelle Palo Alto Networks ne peut pas être provisionnée si Cloud Direct ou SD-WAN WANOP (PE) est déjà provisionné sur l’appliance 1100.

Intégration de Palo Alto Networks sur la plate-forme SD-WAN 1100