Aperçu
Ce document décrit comment activer le cryptage sur le trafic HA1 entre deux pare-feu de Palo Alto Networks.
Étapes
Chaque Réseau Palo Alto firewall a sa propre clé haute disponibilité qui peut être utilisée pour chiffrer le trafic HA1. Avant que le cryptage puisse être activé, la clé doit être exportée de PA1 et importée dans pA2. La clé pA2 doit également être exportée et importée dans PA1. Une fois les clés importées, l’étape finale consiste à faire firewall accepter explicitement la clé de son DSA pair. Cette opération ne peut se faire que via le CLI .
- Exporter la clé sur PA1.
De la CLI :
>'exportation scp haute disponibilité-clé HA- de clé-0009C100762 à user@server_ip:/annuaire
De la GUI :
- Clé d'Importation sur PA2.
De CLI :
>'importation scp haute disponibilité-clé de user@server_ip:/annuaire/ HA- clé-0009C100762
De GUI :
- Répétez les étapes 1 et 2 ci-dessus, mais exportez la clé de pA2 et importez-la dans PA1.
- Activez le cryptage et effectuez une validation sur les deux périphériques.
- Pour finaliser l’échange RSA de clés entre les HA nœuds, CLI accédez à partir de chaque SSH nœud et au pair. Lorsqu’il est invité à RSA installer le jeton, tapez oui.
Par exemple:
1.1.1.1 Adresse < HA peer MGT IP interface.
admin@ > PA-3050 hôte ssh 1.1.1.1
L'authenticité de L'hôte' 1.1.1.1 (1.1.1.1) 'ne peut pas être établie.
DSA l’empreinte digitale principale est e9:de:76:fb:db:95:98:7d:c8:45:c4:83:dc:35:f1:2b.
Êtes-vous sûr de vouloir continuer à vous connecter (oui/non)? Oui
Avertissement : Ajout permanent de '1.1.1.1' DSA () à la liste des hôtes connus.
mot de passe admin @ 1.1.1.1:
Informations supplementaires
- Si vous avez des problèmes avec la clé ou si vous souhaitez simplement les renouveler, utilisez la commande CLI suivante.
Note: Please be aware that this command will cause the firewall to reboot automatically.
> debug system ssh-key-reset high-availability
Executing this command will reset the high-availability SSH keys and reboot the system. Do you want to continue? (y or n)
Broadcast message from root (Fri Mar 29 10:10:28 2013):
The system is going down for reboot NOW!
- Après l’exécution de la commande, il sera nécessaire de resync les touches entre les deux appareils en utilisant SCP les commandes d’exportation / importation ou à travers le GUI comme expliqué précédemment une fois que l’appareil est redémarré
propriétaire: rvanderveken