高可用性構成で HA1 の暗号化を有効にする方法

概要

このドキュメントでは、2つのパロアルトネットワークファイアウォール間の HA1 トラフィックで暗号化を有効にする方法について説明します。

手順

パロアルトネットワークはすべて firewall 、HA1トラフィックの暗号化に使用できる独自の高可用性キーを持っています。 暗号化を有効にする前に、キーを PA1 からエクスポートし、PA2 にインポートする必要があります。 PA2 キーは、エクスポートして PA1 にインポートする必要もあります。 キーがインポートされた後、最後の手順では、各キーが firewall 明示的にピアのキーを受け入れるように DSA します。 この操作は、 を使用して実行できます CLI 。

1. PA1 のキーをエクスポートします。

   から CLI :

   > scp エクスポート高可用性キーを HA- キー-0009C100762 から user@server_ip:/ディレクトリへ

    

   から GUI :

   

2. PA2 のインポートキー。

   から CLI :

   > scp インポート高可用性キーから user@server_ip:/ディレクトリ/ HA- キー-0009C100762

    

   から GUI :

    

3. 上記の手順1と2を繰り返しますが、PA2 からキーをエクスポートし、PA1 にインポートします。
4. 暗号化を有効にし、両方のデバイスでコミットを実行します。
   
5. RSAノード間のキー交換を完了するには HA 、 CLI 各ノードから、 SSH ピアにアクセスします。 トークンのインストールを求めるメッセージが表示されたら RSA 、「yes」と入力します。

たとえば、次のようになります。

1.1.1.1 < HA ピア MGT インターフェイス IP アドレス。

admin@ PA-3050 > ssh ホスト 1.1.1.1

ホスト ' 1.1.1.1 (1.1.1.1) ' の信憑性を確立することはできません。

DSA キーフィンガープリントは e9:de:76:fb:db:95:98:7d:c8:45:c4:83:dc:35:f1:2b です。

接続を継続してもよろしいですか (はい/いいえ)。うん

警告: 既知のホストのリストに「1.1.1.1」() DSA を恒久的に追加しました。

管理者 @ 1.1.1.1 のパスワード:

追加情報

• キーに問題がある場合、または単にキーを更新する場合は、次のコマンドを使用 CLI します。

Note: Please be aware that this command will cause the firewall to reboot automatically.



> debug system ssh-key-reset high-availability

Executing this command will reset the high-availability SSH keys and reboot the system. Do you want to continue? (y or n)

Broadcast message from root (Fri Mar 29 10:10:28 2013):

The system is going down for reboot NOW!

• コマンドの実行後、エクスポート/インポート コマンドを使用して 2 つのデバイス間のキーを再同期するか、デバイス SCP GUI が再起動された後に前述の手順でキーを再同期する必要があります。

オーナー: rvanderveken