솔루션 가이드 팔로알토 네트웍스와 아루바 네트웍스 ... - Aruba · 2018-02-13 · 아루바 컨트롤러는 PaN-os xml aPI를 사용하여 WLAN에 연 결하는

솔루션 가이드

팔로알토 네트웍스와 아루바 네트웍스 솔루션 통합

차례

3

3

4

7

9

16

22

개요

이러한 통합이 중요한 이유

아루바 컨트롤러와 팔로알토 차세대 방화벽의 통합

아루바 INSTANT와 팔로알토 네트웍스 방화벽 통합

부록 a – 샘플 구성

부록 B – VERIFICATION COMMANDS

아루바 네트웍스 소개

solution guide palo alto networks

3

개요

본 문서는 아루바 네트웍스의 Mobility Controller와 Instant

Wi-Fi 액세스 포인트를 팔로알토 네트웍스(Palo Alto

Networks)의 차세대 방화벽 및 Panorama 중앙관리시스템

과 통합하고자 하는 필드 엔지니어, 고객, 채널 파트너들을

위해 작성되었습니다.

독자가 아루바 플랫폼에 대한 실무 지식을 보유하고 있다는 가

정 하에, 아루바 컨트롤러와 Instant 액세스 포인트를 팔로알토

네트웍스 방화벽과 통합하는데 요구되는 구성에 대해 상세히

설명하도록 하겠습니다.

이러한 통합이 중요한 이유

팔로알토 네트웍스 차세대 방화벽은 모든 사용자를 위한 다양

한 컨텍스트 기반 보안을 제공함으로써 안전한 애플리케이션

사용을 지원합니다. 팔로알토 네트웍스는 단순한 IP 주소 또는

TCP 포트 기반 방화벽 규칙에서 벗어나 실제 애플리케이션 페

이로드를 파악하고, 애플리케이션 사용자가 누구인지 확인함

으로써 인텔리전트한 정책 중심 결정을 통해 오늘날의 새로운

네트워크 보안 요구에 대응합니다.

안전한 애플리케이션 사용 지원(Safe Application

Enablement)의 일례를 보자면, 이제 더 이상 Twitter나

Facebook 액세스를 일방적으로 차단하는 것은 있을 수 없습

니다. 많은 조직이 자사 제품, 솔루션, 활동을 광고하기 위해

소셜 네트워킹 웹 사이트를 사용하고 있습니다. 소셜 네트워킹

은 이제 하나의 마케팅 툴로 받아들여지고 있으며, 많은 기업

들이 이를 마케팅의 중요한 부분으로 활용하고자 합니다. 오늘

날 기업은 사용자 및 관련 권한을 기반으로 의사 결정을 실행

해야 합니다. 이를 위해서는 방화벽이 사용자와 사용자에게 할

당된 IP 주소를 연관시킬 필요가 있습니다. 따라서 알려진 사

용자, 게스트, 기타 외부 사용자들을 비롯하여 네트워크 활동

의 모든 측면을 커버하는 의미 있는 사용자 정보 소스를 확보

해야만 합니다.

BYOD(bring your own device), 게스트 네트워크 액세스,

공유 네트워크 리소스(Wi-Fi 인에이블드 프린터, 프로젝터,

Apple TV, 조명, 알람 등) 사용과 같은 엔터프라이즈 모빌리

티 트렌드를 고려할 경우, 이러한 유의미한 사용자 정보의 중

요성이 한층 가중됩니다. 하지만 대부분의 경우 이러한 외부

기기 및 공유 기기들에 대한 보안은 기업 소유 기기들에 대한

보안과 다른 방식으로 관리되고 있기 때문에, 의미 있는 데이

터를 확보하기가 매우 까다롭습니다.

아루바-팔로알토 네트웍스(Aruba Palo Alto Networks) 솔루

션 통합의 목적은 이러한 문제를 해결하는 것입니다. 아루바 컨

트롤러와 아루바 Instant Wi-Fi 액세스 포인트 통합을 통해 아

루바는 모바일 사용자 컨텍스트(유저네임, IP 주소, 기기 타입)

를 팔로알토 네트웍스 차세대 방화벽에 제공합니다. 따라서 모

든 승인된 사용자 및 게스트와 그들이 보유한 기기, 그리고 프

린터와 스캐너 같은 공유 리소스에 대해 수집된 정보를 전달합

니다.

팔로알토 네트웍스 User-Id 기능은 이러한 통합을 활용하여

아루바 WLAN 솔루션(컨트롤러 및 Instant 액세스 포인트)으

로부터 전달 받은 유저네임 및 IP 주소와 모든 무선 사용자를

매핑합니다. 결과적으로, 방화벽이 이와 동일한 수준의 정보

세트를 확보하기 위해 일반적으로 요구되는 통합 소스들의 수

를 줄임으로써 구축을 획기적으로 단순화할 수 있습니다.

또한 이러한 통합은 게스트 사용자는 물론 연결이 일시적이고

사용자 정보가 부족하여 파악하기 어려운 프린터, 프로젝터,

스캐너, BYOD 기기들의 식별 및 보안을 지원합니다. 이러한

정보를 팔로알토 네트웍스 방화벽에 제공함으로써 보안 관리

자가 모바일 엔터프라이즈 네트워크를 위한 보다 정교한 제어

를 적용할 수 있도록 해줍니다.


4

아루바 컨트롤러와 팔로알토 차세대 방화벽의 통합

네트워크 토폴로지 샘플

아루바 컨트롤러에서 방화벽으로 메시지 업데이트

아루바 컨트롤러는 PaN-os xml aPI를 사용하여 WLAN에 연

결하는 모든 클라이언트에 대해 팔로알토 네트웍스 차세대 방

화벽으로 다음과 같은 업데이트 메시지를 전송합니다.

• 로그온 이벤트: 무선 네트워크에 클라이언트 연결 시, 클

라이언트 유저네임 및 IP주소, 기기 타입

• 로그인 업데이트 이벤트: 클라이언트 유저네임 및 IP주

소, 기기 타입(컨트롤러가 기기 타입을 파악할 수 있는 경

우)

• “Keep Alive” 이벤트: 사용자가 컨트롤러 상에서 45분

이상 액티브 상태일 경우. 방화벽 상의 만료시간(age out

time)은 45분이며, 방화벽 상의 클라이언트 엔트리를 유지

하려면 “Keep Alive” 메시지가 요구됩니다.

• 로그아웃 이벤트: 클라이언트 네임 및 IP 주소, 클라이언

트가 무선 네트워크 연결 해지 시.

소프트웨어 및 하드웨어 요구사항

아루바 Mobility Controller 상에서 AOS v6.4 이상의 소프트

웨어가 요구됩니다. 팔로알토 네트웍스 차세대 방화벽 상의 소

프트웨어는 2012년 11월에 릴리즈된 PAN-OS 5.0.0 버전 이

상이 권장됩니다. 최신 수정사항 및 기능 업데이트를 원활하게

이용하기 위해 정기적으로 소프트웨어 업데이트를 확인할 것

을 권장합니다.

참고: 통합이 지원되지 않는 경우는 하기와 같습니다.

• 브리지드 포워딩(bridged forwarding) 모드로 구축된 AP

• 600 시리즈 컨트롤러 또는 모델 3200 컨트롤러

그림 1: 아루바 네트웍스 컨트롤러와 팔로알토 네트웍스 차세대

방화벽 통합


5

팔로알토 네트웍스 차세대 방화벽은 이 정보를 사용하여 특

정 유저 및 기기에 대한 방화벽 정책을 적용합니다. User-ID

는 특정 IP 주소와 사용자를 연계시키고, 사용자가 어떤 애플

리케이션에 액세스하는지 파악합니다. 기기 특징은 방화벽

정책 기준의 일부로 사용되는 HIP(Host Information

Profile)에 매핑합니다.

팔로알토 네트웍스 방화벽 사전 구성

컨트롤러 상에서 팔로알토 네트웍스 통합을 완료하기 전에,

먼저 다음과 같은 구성을 팔로알토 네트웍스 방화벽 상에서

완료해야 합니다.

• 관리자 계정(Admin Account)

팔로알토 네트웍스 방화벽 상에 컨트롤러로부터 데이터를

수신할 관리자 계정(Admin Account) 을 만들어야 합니

다. 이를 위해 빌트인된 Admin Account를 사용할 수도

있지만, 이는 권장하지 않습니다. 컨트롤러와 팔로알토 네

트웍스 방화벽 간의 통신 목적으로만 사용되는 새로운

Admin Account를 만드는 것이 좋습니다.

• User-ID 지원

통합을 100% 활용하기 위해서는 팔로알토 네트웍스

방화벽 상의 방화벽 정책들이 유저네임 및/또는 유

저그룹에 적용되도록 구성해야 합니다.

• 기기타입 기반 정책 지원

방화벽 상에서 기기 타입 기반 정책을 지원하려면 팔로알

토 네트웍스 방화벽 상의 팔로알토 네트웍스 HIP(Host

Information Profile) 오브젝트 및 HIP-프로필을 사전

구성해야 합니다.

컨트롤러는 일부 기기 타입만 인식할 수 있습니다. 식별된

기기 타입과 해당 IP 유저가 HIP 리포트의 호스트 정보 카

테고리와 함께 Client Version 필드에 있는 팔로알토 네트

웍스 방화벽으로 전송됩니다. 방화벽 상에서 기기 타입 정

보를 활용하기 위해서는 HIP 오브젝트를 생성해야 합니다.

HIP 오브젝트는 컨트롤러가 전송한 HIP 리포트를 필터링합

니다.

HiP objeCTs

Client Version is Value

android webos

apple tv Win 2000

BlackBerry win 7

Chrome os win 8

iPad win 95

iPhone win 98

iPod win Ce

kindle windows

linux windows mobile

Nintendo 3DS windows Phone 7

Nintendo wii win me

Nook win Nt

os x Win Server

PS3 win vista

PsP win xP

Ps vita apple

rIm tablet PlayStation

roku Nintendo

Symbian

아래 표는 기기 타입 기반 정책 실행을 위해 팔로알토

네트웍스 방화벽 상에서 반드시 사전구성되어야 하는

HIP 오브젝트 및 Client Version 필드 Is Value 목록입

니다.

알림: 방화벽 구성 방법에 대한 자세한 사항은 팔로알토

네트웍스 차세대 방화벽 구성 가이드를 참조 바랍니다.


6

AOS 6.4 상의 컨트롤러 구성

컨트롤러 상에 팔로알토 네트워크 서버 프로필 만들기

팔로알토 네트웍스 방화벽 통합 구성을 위한 첫단계는 컨트롤

러 상에 팔로알토 네트웍스 서버 프로필을 만드는 것입니다.

이 프로필은 컨트롤러가 지정된 팔로알토 네트웍스 방화벽과

연결하고 인터랙션하는데 필요한 정보를 제공합니다.

팔로알토 네트웍스 서버 프로필은 마스터 컨트롤러 상에 만

들어야 합니다. 마스터 컨트롤러 상에 동시에 다수의 프로필

들이 존재할 수 있으나, 특정 시간에 컨트롤러 당 오직 하나

의 프로필만 활성화될 수 있습니다. 프로필은 각 로컬 컨트

롤러 상에서 활성화됩니다.

WebUI 사용:

새로운 팔로알토 네트웍스 프로필을 구성하는 방법

1. Configuration > Advanced Services > All Profiles > Other Profiles > Palo Alto Networks Servers 로 이동

2.프로필 네임을 입력하고 Add를 클릭

3.만들어진 프로필 네임을 클릭하여 Profile Details 윈

도우 열기

4.팔로알토 네트웍스 방화벽 Host (IP 주소 또는 호스트네임) 입력

5. 팔로알토 네트웍스 방화벽 Port (1 – 65535) 입력.

참고: 디폴트로 사용되는 포트는 443

6.팔로알토 네트웍스 방화벽 Username 입력. 유저네임의 길

이는 1에서 255 바이트 사이여야 하며, 앞서 팔로알토 방

화벽 상에서 생성한 Admin Account와 반드시 동일해야

합니다.

참고: 섹션 3.3 참조

7. 팔로알토 네트웍스 방화벽 내 유저네임의 Password 입

력. 패스워드의 길이는 6에서 100 바이트 사이여야 하

며, 앞서 팔로알토 방화벽 상에서 생성한 Admin

Account의 패스워드와 반드시 동일해야 합니다.

8.전 단계에서 입력한 패스워드 재입력

9. Add 클릭

10. Apply 클릭

6.4에서, 각 팔로알토 네트워크 서버 프로필은 최대 20개의

팔로알토 방화벽 구성을 지원할 수 있습니다.

CLI 사용:

(host)(config) #pan profile <profile-name>

firewall host <host> port <port> username

<username> passwd <password>

팔로알토 네트웍스 프로필 활성화 방법

팔로알토 네트웍스 서버 프로필을 만든 다음에는, 이 프로필

을 활성화시켜야 합니다. 구성된 프로필 목록에서 활성화시

키고자 하는 프로필을 선택하십시오. 다수의 프로필을 만들

수 있으나, 한번에 하나의 프로필만 활성화할 수 있습니다.

참고: 이 구성은 각 로컬 컨트롤러 상에서 입력되어야 합니다.

Web UI 사용:

다음과 같은 과정을 통해 로컬 컨트롤러 상에서 팔로알

토 네트웍스 서버 프로필을 적용할 수 있습니다.

1. Configuration > Advanced Services > All Profiles > Other Profiles > Palo Alto Networks Active 이동.

2.Active Palo Alto Networks 선택. 링크 우측에 액티브

프로필 네임이 표시됨.

3. Active Palo Alto Networks Profile > 드롭다운 메뉴에서 구

성되어 있는 다른 프로필을 선택 가능. 새로운 프로필을 구

성하려면, 드롭다운 메뉴에서 NEW를 선택하고 구성 내역

을 입력.

4.드롭다운 메뉴에서 프로필을 선택하거나 신규 프로필을 만

든 다음에는 Apply를 클릭.

CLI 사용:

(host)(config) #pan active-profile profile

<profile- name>

패러미터 설명

Host (IP or hostname) 팔로알토 네트웍스 방화벽의 호스트네임 또는 IP 주소

Post (1-65535) 방화벽이 사용하는 포트 (디폴트 값은 443)

username 팔로알토 네트웍스 방화벽 상의 Admin Account에 해당하는 유저네임 (길이는 1-255 바이트)

Password 팔로알토 네트웍스 방화벽 상의 Admin Account에서 사용되는 패스워드


7

팔로알토 네트웍스 방화벽 통합 활성화

팔로알토 네트웍스 서버 프로필을 구성한 다음에는, 클라이

언트 인증을 위해 사용할 AAA 프로필 상에서 이를 인에이

블시켜야 합니다.

Web UI 사용:

AAA 프로필 내에서 팔로알토 네트웍스 방화벽 통합 활성

화 방법:

1. Configuration > Security > Authentication > AAA Profiles

페이지로 이동

2. AAA Profiles Summary에서 원하는 프로필 선택

3.PAN Firewalls Integration 체크박스에 체크

4. Apply 클릭

CLI 사용:

(host)(config) #aaa profile <aaa profile-name>

pan-integration

VIA 클라이언트를 위한 팔로알토 네트웍스 프로필 통합

활성화

VIA 클라이언트의 경우, 클라이언트에 해당하는 VIA 인증

프로필 상에서 팔로알토 네트웍스 방화벽 통합을 인에이블

시켜야 합니다.

WebUI 사용:

VIA 클라이언트를 위한 팔로알토 네트웍스 방화벽 통

합 활성화 방법:

1. Configuration > Security > Authentication > L3 Authentication로 이동

2.좌측의 프로필 목록에서 VIA Authentication을 클릭하

고 원하는 프로필을 선택.

3. PAN Firewalls Integration 체크박스에 체크

4. Apply를 클릭

CLI 사용:

(host)(config) #aaa authentication via

auth-profile <profile-name>

pan-integration

VPN 클라이언트를 위한 팔로알토 네트웍스 프로필 통합

활성화

VPN 클라이언트의 경우, 클라이언트에 해당하는 VPN 인증

프로필 상에서 팔로알토 네트웍스 방화벽 통합을 인에이블

시켜야 합니다.

WebUI 사용:

VPN 클라이언트를 위한 팔로알토 네트웍스 방화벽

통합 활성화 방법:

1. Configuration > Security > Authentication > L3 Authentication로 이동

2. 좌측의 프로필 목록에서 VPN Authentication을 클릭하

고 원하는 프로필을 선택.

3.PAN Firewalls Integration 체크박스에 체크

4. Apply를 클릭

CLI 사용:

(host)(config) #aaa authentication vpn default

pan-integration

아루바 INSTANT와 팔로알토 네트웍스 방화벽 통합

샘플 네트워크 토폴로지

그림 2: 아루바 네트웍스 Instant AP와 팔로알토 네트웍스 통합 개요


8

소프트웨어 및 하드웨어 요구사항

아루바 Instant AP 상에서 6.3.1.1-4.0 버전 이상의 소프트웨

어가 요구됩니다. 팔로알토 네트웍스 차세대 방화벽 상의 소프

트웨어는 2012년 11월에 릴리즈된 PAN-OS 5.0.0 버전 이상

이어야 합니다. 최신 수정사항 및 기능 업데이트를 원활하게

이용하기 위해 정기적으로 소프트웨어 업데이트를 확인할 것

을 권장합니다.

아루바 Instant에서 방화벽으로 메시지 업데이트

단일 AP 환경에서, 아루바 Instant 액세스 포인트는 PAN-OS

XML API를 사용하여 팔로알토 네트웍스 차세대 방화벽과 직접

통신합니다. 그러나 여러 대의 AP가 클러스터를 이루고 있는

환경에서는 버추얼 컨트롤러가 API를 사용하여 팔로알토 네트

웍스 방화벽과 통신합니다.

WLAN에 연결하는 모든 클라이언트에 대해 팔로알토 네트

웍스 차세대 방화벽으로 다음과 같은 업데이트 메시지를

전송합니다.

• 로그온 이벤트: 무선 네트워크에 클라이언트 연결

시, 클라이언트 유저네임 및 IP주소

• 로그인 업데이트 이벤트: 클라이언트 유저네임 및 IP주소

• “Keep Alive” 이벤트: 사용자가 컨트롤러 상에서 45분

이상 액티브 상태일 경우. 방화벽 상의 만료시간(age out

time)은 45분이며, 방화벽 상의 클라이언트 엔트리를 유지

하려면 “Keep Alive” 메시지가 요구됩니다.

• 로그아웃 이벤트: 클라이언트 네임 및 IP 주소, 클라이언

트가 무선 네트워크 연결 해지 시

팔로알토 네트웍스 차세대 방화벽 상의 사전구성

팔로알토 네트웍스 방화벽 상에서 요구되는 사전구성에 대해서

는 섹션3.4를 참조하십시오.

6.3.1.1-4.0 상에서의 Instant AP 구성

아루바 Instant AP와 팔로알토 네트웍스 차세대 방화벽 간의

API 커뮤니케이션을 사용하려면, 아루바 Instant AP 상에서

다음과 같은 구성이 필요합니다.

Web UI 사용:

1. More > Services로 이동. Services 윈도우가 나타남

2.Network Integration 탭을 클릭. 팔로알토 방화벽 구

성 옵션이 표시됨.

3.Enable 체크박스를 선택하여 팔로알토 네트웍스 방화벽

활성화

a. 팔로알토 네트웍스 방화벽 Host (IP 주소 또는 호스트

네임) 입력

b. 팔로알토 네트웍스 방화벽 Port (1 – 65535) 입력

참고: 디폴트로 사용되는 포트는 443

C. 팔로알토 네트웍스 방화벽 Username 입력

유저네임의 길이는 1에서 255 바이트 사이여야 하며, 앞

서 팔로알토 방화벽 상에서 생성한 Admin Account와

반드시 동일해야 합니다.

참고: 섹션 3.3 참조

d. 팔로알토 네트웍스 방화벽 내 유저네임의 Password 입력. 패스워드의 길이는 6에서 100 바이트 사이여야 하며,

앞서 팔로알토 방화벽 상에서 생성한 Admin Account

의 패스워드와 반드시 동일해야 합니다.

4. OK 클릭.

CLI 사용:

(Instant Access Point)(config)# firewall-

external-enforcement pan

(Instant Access Point)(firewall-external-

enforcement pan)# enable


enforcement pan)# ip <ip-address>


enforcement pan)# port <port>


enforcement pan)# user <name> <password>


enforcement pan)# end

(Instant Access Point)# commit apply

패러미터 설명

Host (IP or hostname) 팔로알토 네트웍스 방화벽의 호스트네임 또는 IP 주소

Post (1-65535) 방화벽이 사용하는 포트 (디폴트 값은 443)

username 팔로알토 네트웍스 방화벽 상의 Admin Account에 해당하는 유저네임 (길이는 1-255 바이트)

Password 팔로알토 네트웍스 방화벽 상의 Admin Account에서 사용되는 패스워드


9

부록 A – 샘플 구성

네트워크 토폴로지

아루바 컨트롤러와 팔로알토 네트웍스 방화벽 통합 유효성 체크에 사용되는 테스트 토폴로지

그림 3: 컨트롤러 셋업

셋업 테스트에 사용되는 클라이언트 및 기기

유저 네임 IP 주소 기기 타입 인증 방식

iphone-user 10.68.105.24 iPhone 802.1x-EAP-PEAP

ipad-user 10.68.105.26 iPad 802.1x-EAP-PEAP


10

아루바 Instant와 팔로알토 네트웍스 방화벽 통합 유효성 체크에 사용되는 토폴로지

그림 4

아루바 Instant 셋업

유저 네임 IP 주소 기기 타입 인증 방식

iphone-user 172.31.99.107 iPhone 802.1x-EAP-PEAP

ipad-user 172.31.98.58 iPad 802.1x-EAP-PEAP


11

그림 5: 팔로알토 차세대 방화벽에 Admin Account 추가하기

통합 지원을 위한 팔로알토 네트웍스 방화벽 구성 –

샘플 셋업

1단계. 팔로알토 네트웍스 방화벽(PAN-500,

10.2.100.10) 상에서 Admin Account 구성

a. Root Admin Account를 사용하여 팔로알토 네트웍스 방화벽 WebUI에 로그온

b. Devices 탭으로 이동

C. 좌측 메뉴에서 Administrators 선택

d. Add 를 클릭하고, Account 정보(이름, 암호, 역할) 입력. 본 샘플에서 사용한 유저네임은 pan-test-user 이며, 역할은 Device administrator 선택.

e.변경 승인 후, 로그아웃

2단계. 팔로알토 네트웍스 차세대 방화벽 상에 HIP

Object Entry 생성.

표 1, 섹션 3.3에 나와있는 목록의 모든 Client Version에

대해 각각 수작업으로 HIP Object Entry 생성


12

HIP Object는 팔로알토 네트웍스 방화벽 상의 CLI를 사용해

서도 만들 수 있습니다.

pan-test-user@PA-500> configure terminal

Entering configuration mode

[edit]

pan-test-user@PA-500# set profiles hip-objects

iPhone host-info criteria client-version is

iPhone

pan-test-user@PA-500# set profiles hip-objects

iPad host-info criteria client-version is iPad

…

그림 6: 팔로알토 네트웍스 차세대 방화벽에 HIP Objects 추가하기

3단계. 팔로알토 네트웍스 방화벽 상에서 User-ID Support

활성화.

팔로알토 네트웍스 지원 사이트 또는 User-ID

Support 구성 가이드 참조 요망.

알림: 이상의 3단계는 팔로알토 네트웍스 구성 샘플임.

방화벽 구성에 대한 보다 자세한 정보는 팔로알토 네트웍

스 지원 사이트 또는 팔로알토 네트웍스 방화벽 구성 가

이드 참조 요망.


13

그림 7

그림 8

아루바 Mobility Controller 구성 – 샘플 셋업

섹션 5.1.1의 네트워크 토폴로지 다이어그램 참조 요망.

본 샘플 구성에서는 한 대의 컨트롤러만이 사용되었으며,

이 컨트롤러가 마스터 및 로컬 컨트롤러 역할을 수행.

1단계. 컨트롤러 상에 팔로알토 네트웍스 방화벽

PAN-500을 위한 팔로알토 네트웍스 서버 프로필 생성

a. Configuration > Advanced Services > All Profiles >

Other Profiles > Palo Alto Networks Servers로 이동

b. 프로필 네임(PAN-500)을 타이핑하고, Add를 클릭

C. PAN-500을 클릭하여 Profile Details 윈도우 열기

d. 섹션 4.2의 1단계에서 만든 Admin Account 정보 입력

Host: 10.2.100.10

Port: 443 (default)

User Name: pan-test-user

Password: **********

Retype Password: **********

2단계. 컨트롤러 상의 팔로알토 네트웍스 서버 프로필 활

성화.

본 샘플에서는 마스터 컨트롤러와 로컬 컨트롤러가 동일하

므로, Controller-PAN-Test Controller 상에서

PAN-500 프로필을 사용

a. Configuration > Advanced Services > All Profiles >

Other Profiles > Palo Alto Networks Active 이동

b. Active Palo Alto Networks 선택

C. 드롭다운 메뉴에서 Active Palo Alto Networks Profile 클릭

d. 섹션 4.3의 1단계에서 만든 PAN-500 프로필 선택


14

3단계. 액티브 AAA 프로필에서 Palo Alto Networks

Firewall Integration 선택.

클라이언트 정보(유저네임, IP 주소, 기기 타입)가 컨트롤러

에서 방화벽으로 전달되도록 하기 위해서는 컨트롤러 상에서

사용되는 모든 액티브 AAA 프로필에서 PAN Firewall Integration 체크박스에 체크하여 클라이언트 인증이 가능하

도록 해야 합니다.

본 샘픔에서는 PAN-Test-Employee-aaa_prof이

Controller- PAN-Test 컨트롤러 상에서 사용자 인증을 위해

사용되는 사전구성된 AAA 프로필입니다.

a. Configuration > Security > Authentication > AAA Profiles 페이지 이동.

b. AAA Profiles Summary에서 PAN-Test-Employee-aaa_prof 프로필 선택.

C. PAN Firewalls Integration 체크박스에 체크.

본 샘플에서는 컨트롤러 상에서 VIA 클라이언트 및 VPN 클

라이언트 지원이 구성되지 않음.

그림 8


15

그림 9: Instant WebUI

그림10: 서비스 윈도우 “Network Integration” 탭

아루바 Instant AP 구성 – 샘플 셋업

섹션 5.1.2의 네트워크 토폴로지 다이어그램 참조.

본 샘플에서는 Instant AP가 한 대만 사용되었습니다.

1단계. Instant AP Virtual Controller (PAN-Test-

Controller) 상에 팔로알토 네트웍스 방화벽을 위한 팔로알토

네트웍스 글로벌 프로필 생성

a. More > Services 이동

b. Services 윈도우가 나타나면 Network Integration 탭에서

Palo Alto Networks Integration을 인에이블시키고

(Enable 체크박스에 체크), 아래의 그림 9 및 그림 10에

나온 것과 같이 팔로알토 네트웍스 프로필 정보를 입력

C. 섹션 2.2의 1단계에서 생성한 Admin Account 정보 입력

Host: 10.2.100.10

Port: 443 (default)

User Name: pan-test-user

Password: **********

Retype Password: **********


16

부록 b – VerifiCaTion Commands

Controller Verification Commands

show pan profile

show pan profile CLI 커맨드는 Palo Alto Networks Server Profiles 전체 목록을 프로필 레퍼런스 내역과 함께 보여줍니다.

(Controller-PAN-Test) #show pan profile

Palo Alto Networks Servers Profile List

---------------------------------------

Name References Profile Status

--------- ---------- --------------

default 0

PAN-500 1

.0PAN-VM 0

Total: 3

위의 아웃풋은 3개의 Palo Alto Networks Server Profile이 만들어져 있으며(default, PAN-500, PAN-VM), PAN-500이 한

번 다른 프로필에 레퍼런스로 사용되었음을 보여줍니다.

show pan profile command는 또한 Palo Alto Networks 프로필 네임을 인풋으로 사용하여 프로필에 대한 추가 정보를 제공

합니다.

ex:

(Controller-PAN-Test) #show pan profile PAN-500

Palo Alto Networks Servers Profile “PAN-500”

--------------------------------------------

Parameter Value

--------- -----

Palo Alto Networks Firewall 10.2.100.10:443 pan-test-user/********

show pan active-profile

show pan active-profile CLI 커맨드는 컨트롤러 성에서 활성화되어 있는 Palo Alto Networks Active Profiles 목록을 보

여줍니다. 6.4에서 컨트롤러 당 오직 하나의 Active Profile이 존재할 수 있습니다.

(Controller-PAN-Test) #show pan active-profile

Palo Alto Networks Active Profile

---------------------------------

Parameter Value

---------------- --------

Active Palo Alto Networks profile PAN-500

아웃풋은 PAN-500이 컨트롤러 상에서 활성화되어 있음을 보여줍니다.


17

show pan state

show pan state 커맨드는 팔로알토 네트웍스 방화벽과의 연결 확인에 사용됩니다. 방화벽과 컨트롤러 사이의 연결이 제대로 작동

하려면 아웃풋에 나와있는 연결 상태(Connection State)가 UP 및 Established로 설정되어 있어야 합니다.

(Controller-PAN-Test) #show pan state

Palo Alto Networks Servers Connection State[PAN-500]

----------------------------------------------------

Firewall State

-------- -----

10.2.100.10:443 UP[01/23/14 09:56:01] Established

show pan statistics

show pan statistics 커맨드는 서버 커뮤니케이션 통계 요약 목록을 보여줍니다. 커맨드 아웃풋에는 로그인, 로그아웃, 연결 새로

고침 등 컨트롤러가 전송한 사용자 메시지 횟수가 표시됩니다. 각 PAN-OS 서버 통계도 표시됩니다.

(Controller-PAN-Test) #show pan statistics

Palo Alto Networks Interface Statistics Summary

-----------------------------------------------

Login Reqts Logout Reqts Refresh Reqts

----------- ------------ -------------

5 2 4

Per-PAN server Statistics Summary

---------------------------------

PAN Server User-ID Reqts Sent Skipped Success Failure Last Error

---------- ------------- ---- ------- ------- ------- ----------

10.2.100.10:443 3 3 0 3 0

show pan debug

(Controller-PAN-Test) #show pan debug

Palo Alto Networks Interface Debug Information

----------------------------------------------

User Changed User Deleted Refresh Login Reqts Logout Reqts Refresh Reqts No UserName No Change No Deletion

------------ ------------ ------- ----------- ------------ ------------- ----------- --------- -----------

9 2 594 5 2 4 0 4 0

Per-PAN server Debug Information

--------------------------------

PAN Server State User-ID Reqts Sent Skipped Success Failure Last Error

---------- ----- ------------- ---- ------- ------- ------- ----------

10.2.100.10:443 UP[01/23/14 09:56:01]Established 3 3 0 3 0

Work Factory Debug Information

------------------------------

Mgmt Queue Reqt Queue

---------- ----------

0 0(8192)

PAN Local UID-Table - total:2(2) cur:2 ref:3

================================================================

2 0 0 0 0 0 0 0


18

아루바 Instant Verification Commands

show summary

show summary 커맨드는 팔로알토 네트웍스 설정을 비롯해 Instant 상의 모든 설정을 요약하여 보여줍니다.

PAN-Test-AP# show summary

--- omitted ----

PAN Firewall IP Address :10.2.100.10

PAN Firewall Port :443

PAN Firewall User :pan-test-user

PAN Firewall Password :9b5545de650165121bea755e9fcfa73a

PAN Firewall Status :Enabled

show ap debug pan-key

이 커맨드는 팔로알토 네트웍스 방화벽과의 커뮤니케이션을 위해 Instant 상에 구성된 팔로알토 방화벽 키(key)

목록을 표시합니다.

PAN-Test-AP# show ap debug pan-key

pan _ firewall _ key :

LUFRPT0vN1lxelhBdFVWc09jVTk2emRDcG9CS29GQjA9aEoyQjZPVGpWQ2RtbGRPMU9t

UHVHN3ZsdHJEbWdURzFYSnFzQ0xzOX1wST0

show log ap-debug

“show log ap-debug” CLI 커맨드는 IAP와 팔로알토 네트웍스 방화벽 사이의 팔로알토 네트웍스 글로벌 프로필 트래픽 교환

통계를 확인하는 데 사용될 수 있습니다.

PAN-Test-AP# show log ap-debug

Apr 8 10:39:18 awc[1546]: Message over SSL from 10.2.100.10, SSL _ read() returned 534, Message

is “HTTP/1.0 200 OK^M Date: Tue, 08 Apr 2014 18:36:51 GMT^M Server: PanWeb Server/ - ^M ETag:

“c7bf-110-52aa2378”^M Connection: close^M Pragma: no-cache^M Cache-Control: no-store, no-

cache, must-revalidate, post-check=0, pre-check=0^M Content-Type: application/xml;

charset=UTF-8^M Expires: Thu, 19 Nov 1981 08:52:00 GMT^M Set-Cookie:

PHPSESSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M Set-Cookie: PHPSE

SSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M Set-Cookie:

PHPSESSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M ^M “, AWC response: (null)


is “<response status=”success”><result>< ]]></result></response>”, AWC response: HTTP/1.0 200

OK^M Date: Tue, 08 Apr 2014 18:36:51 GMT^M Server: PanWeb Server/ - ^M ETag: “c7bf-110-

52aa2378”^M Connection: close^M Pragma: no-cache^M Cache-Control: no-store, no-cache, must-

revalidate, post-check=0, pre-check=0^M Content-Type: application/xml; charset=UTF-8^M

Expires: Thu, 19 Nov 1981 08:52:00 GMT^M Set-Coo

kie: PHPSESSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M Set-Cookie:

PHPSESSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M Set-Cookie:

PHPSESSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M ^M


19


is “”, AWC response: HTTP/1.0 200 OK^M Date: Tue, 08 Apr 2014 18:36:51 GMT^M Server: PanWeb

Server/ - ^M ETag: “c7bf-110-52aa2378”^M Connection: close^M Pragma: no-cache^M Cache-Control:

no-store, no-cache, must-revalidate, post-check=0, pre-check=0^M Content-Type: application/

xml; charset=UTF-8^M Expires: Thu, 19 Nov 1981 08:52:00 GMT^M Set-Cookie:

PHPSESSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M Se

t-Cookie: PHPSESSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M Set-Cookie:

PHPSESSID=3ff675616b2abe7d58280041fda1c4ab; path=/; HttpOnly^M ^M <response

status=”success”><result>< ]]></result></response>

Apr 8 10:39:18 awc[1546]: parse _ awc _ header: 613: ssl _ read from 10.2.100.10 failure 0

error _ count 1

...

팔로알토 네트웍스 방화벽 Verification Commands

show user ip-user-mapping ip <ip address>

이 커맨드는 팔로알토 네트웍스 방화벽 상의 클라이언트에 대한 유저네임과 IP 주소 매핑을 보여줍니다. 이 정보는 컨트롤러가

유저네임, IP 주소 정보를 방화벽에 업데이트한 뒤에 표시됩니다.

pan-test-user@PA-500> show user ip-user-mapping ip 10.68.105.24

IP address: 10.68.105.24 (vsys1)

User: iphone-user

From: XMLAPI

Idle Timeout: 1559s

Max. TTL: 1559s

Groups that the user belongs to (used in policy)

pan-test-user@PA-500> show user ip-user-mapping ip 10.68.105.26

IP address: 10.68.105.26 (vsys1)

User: ipad-user

From: XMLAPI

Idle Timeout: 1554s

Max. TTL: 1554s

Groups that the user belongs to (used in policy)


20

팔로알토 네트웍스 방화벽의 WebUI 지원

팔로알토 네트웍스 방화벽 WebUI 상에서 IP 주소와 User ID에 대한 기기 타입 매핑 확인 가능.

• ACC(Application Command Center) 탭 상의 기기 목록

IP 주소 매핑에 대한 기기 타입 목록은 ACC 탭 하단 HIP Matches 에서 확인 가능.

• 위 페이지에 나와있는 각 HIP 오브젝트의 목록에서 오브젝트 타입을 클릭하면 자세한 HIP 오브젝트 및 HIP 리포트를 볼 수

있습니다. 이 경우에는 iPhone 또는 iPad를 클릭하면 됩니다.


21

• 기기 타입, 유저네임 매핑, IP 주소, 정보 수신 시간은 Monitor 탭 하단의 HIP Match 섹션에서 확인 가능.


2222

www.arubanetworks.com ©2014 Aruba Networks, Inc. Aruba Networks®, Aruba The Mobile Edge Company® (stylized), Aruba Mobilty Management System®, People Move. Networks Must Follow.®, Mobile Edge Architecture®, RFProtect®, Green Island®, ETIPS®, ClientMatch®, Bluescanner™ and The All Wireless Workspace Is Open For Business™ are all Marks of Aruba Networks, Inc. in the United States and certain other countries. The preceding list may not necessarily be complete and the absence of any mark from this list does not mean that it is not an Aruba Networks, Inc. mark. All rights reserved. Aruba Networks, Inc. reserves the right to change, modify, transfer, or otherwise revise this publication and the product specifications without notice. While Aruba Networks, Inc. uses commercially reasonable efforts to ensure the accuracy of the specifications contained in this document, Aruba Networks, Inc. will assume no responsibility for any errors or omissions. SG_PaloAltoNetworks_052714

아루바 네트웍스 코리아 www.arubanetworks.co.kr

서울시 강남구 삼성동 트레이드타워 14층 우)135-729

Tel. 02-6000-8690 | Fax. 02-6000-8698 | [email protected]

아루바 네트웍스 소개

아루바 네트웍스는 모바일 엔터프라이즈를 위한 차세대 네트워크 엑세스 솔루션을 공급하는 선도 기업입니다. 아루바는 모바

일 기기로 각종 업무와 일상 커뮤니케이션을 수행하는데 익숙한 새로운 세대인 #GenMobile과 IT부서를 위해 Mobility-

Defined Networks™를 제공합니다. 아루바 MDN은 인프라 전반의 성능 최적화 및 보안 실행을 자동화함으로써

#GenMobile 세대와 IT 부서를 위한 안정적이고 신뢰할 수 있는 모빌리티 환경을 구현합니다. 이를 통해 생산성을 향상시키

는 동시에 운영비용을 획기적으로 낮출 수 있습니다.

NASDAQ 상장 기업이자 Russell 2000® Index 등록 기업인 아루바 네트웍스는 미국 캘리포니아 서니베일에 본사를 두고 있으며

미주, 유럽, 중동, 아프리카, 아태지역에서 활발한 영업 활동을 펼치고 있습니다. 보다 자세한 사항은

www.arubanetworks.com을 방문하거나 Twitter 또는 Facebook에서 확인할 수 있습니다.또한 모빌리티 및 아루바 제품 관련 기

술 논의는 http://community.arubanetworks.com에서 확인할 수 있습니다.

http://www.arubanetworks.com

http://www.twitter.com/ArubaNetworks

http://www.facebook.com/ArubaNetworks

http://community.arubanetworks.com

Documents

솔루션 가이드 팔로알토 네트웍스와 아루바 네트웍스 ... - Aruba · 2018-02-13 · 아루바 컨트롤러는 PaN-os xml aPI를 사용하여 WLAN에 연 결하는