今回は、Data Redistributionの確認をします。
Data Redistribution(データ再配信)機能は、PAシリーズやPanorama間でUser-IDやTag情報を共有する機能です。
この機能を利用することで、VPN接続やCaptive Portalで収集したUser-ID情報をPAシリーズ同士で共有することができます。
設定方法
今回は2台のFW間で、User-ID情報を共有してみます。
Client、Agent、Collector
設定を行う前にClient、Agent、Collectorの役割について記載しておきます。
- Client(クライアント)
- データを再配信される側(情報をもらう側)です。Clientは最初にAgentに対してコネクションを確立し、このコネクションを利用してAgentからデータを収集します。
- Agent(エージェント)
- データを再配信する側です。Agentは、Clientが作成したコネクション上でデータを転送します。情報にアップデートがあった場合にはこのコネクションを利用して即座にClientにデータの再配信を行います。
- Collector(コレクタ)
- User-ID、tag、HIPなどの情報を収集するのがコレクタです。Agentはこのコレクタが収集したデータをClientに再配信します。クライアントから見ると実質 Agent=Collector になります。
FW#1:Agent(Collector)側の設定
まず、Agent(Collector)側の設定を行います。
- User-IDの有効化
事前にUser-IDを利用したいゾーンでUser-IDを有効化してください
- MGMTインターフェイスの設定
まず、MGMTインターフェイス上でUser-IDを許可します。- 【DEVICEタブ】→【Setup(セットアップ)】→【Interfaces(インターフェイス)】で、Managementをクリックします。
- Network Services(ネットワークサービス)で、User-ID にチェックを入れます。
- コレクタの設定
コレクタを作成します。この設定を行うことでFW#1はAgentとして動作します。(少しわかりにくいですが、Agentに対する設定はありません。)- 【DEVICEタブ】→【Data Redisribution(データ再配信)】→【Collector Settings(コレクタ設定)】をクリックします。
- 【Data Redistribution Agent Setup(データ再配信エージェントのセットアップ)】の右側の歯車アイコンをクリックし、以下の設定を行います。
- CollectorName(コレクタ名):コレクタの名前(任意)
- Collector Pre-Shared Key(コレクタの事前共有鍵):Clientとの認証に使用するPSK(任意)
- Confirm Collector Pre-Shared Key(再入力 コレクタの事前共有鍵):PSKの再入力
- 設定をコミットします。
FW#2:Client側の設定
Client側の設定を行います。Client側ではAgentを指定します。
- FW#1と同様、「ゾーンでのUser-IDの有効化」、「MGMTインターフェイスでのUser-IDの有効化」を事前に実施してください。
- Agentの設定
Client(FW#2)が情報を取得するAgent(FW#1)を登録します。- 【DEVICEタブ】→【Data Redisribution(データ再配信)】→【Agents(エージェント)】をクリックします。
- 【Add(追加)】をクリックし、以下の設定を行います。
- Name(名前):登録するAgentの名前(任意)
- Enabled(有効):デフォルトでチェックされています。
- Add an Agent Using(次を使用してエージェントを追加):Host and Port(ホストおよびポート)を選択
- Port(ポート):5007
- Collector Name(コレクタ名):FW#1で設定したコレクタの名前
- Collector Pre-Shared Key(コレクタの事前共有鍵):FW#1で設定したPSK
- Confirm Collector Pre-Shared Key(再入力 コレクタの事前共有鍵):PSKの再入力
- Data TYpe(データタイプ):取得したい情報(今回はIP User Mappings(IPユーザーマッピング))
・PanoramaをAgentに指定する場合は、「Add an Agent Using」の設定で「Serial Number」を選択できます。
- 設定をコミットします。
状態の確認
- Client側(FW#2)の確認
【Agentタブ】でCONNECTED(接続済み)がyesになっています。
- Agent/Collector側(FW#1)の確認
【Clientタブ】に、クライアントが表示されます。
動作確認
実際にFW#1からFW#2にUser-ID(IP-User-Mapping Table)情報が再配信されるか実機で確認します。今回はRest APIを利用してFW#1にUser-ID情報を入力します。
- GUIにログインしている状態で、アドレスバーのHost情報(IPアドレス)の後ろのパス情報を全て消したあとに「/api」をつけてエンターを入力します。
(FW#1の場合、「 https://172.16.1.244/api 」と入力) - 以下の様なXML APIの設定画面に移動します。
- 今回は、User-ID情報を設定するので「ユーザーID」をクリックします。以下の様な画面が表示されるので、XML構文を貼り付けてサブミットします。
- サブミットする情報は以下のフォーマットで入力します。
こちらにその他の設定方法も記載されていますので参考にしてみてください。
<uid-message>
<type>update</type>
<payload>
<login>
<entry name="user-a" ip="10.0.0.1"/>
<entry name="user-b" ip="10.0.0.2" timeout="10"/>
</login>
</payload>
</uid-message>
- 実際にコマンドを入力して、サブミットをクリックします。
- 以下の様な結果が表示されます。Statusがsuccessになっていれば、正常にAPIが通っているはずです。
- FW#1にCLIでログインして結果を確認してみます。
正常に、user-a、user-b が登録されていることがわかります。
admin@PA-440> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
--------------------------------------------- ------------------- ------- -------------------------------- -------------- -------------
10.0.0.1 vsys1 XMLAPI user-a 2695 2695
10.0.0.2 vsys1 XMLAPI user-b 595 595
Total: 2 users
- 次に、FW#2にCLIでログインして結果を確認します。
するとFW#1(Agent)に設定したUser-ID情報がFW#2にも登録されています。Fromの項目を見るとREDIST(Redistribution)になっており、正常に再配信されていることがわかります。
admin@PA-VM> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
--------------------------------------------- ------------------- ------- -------------------------------- -------------- -------------
10.0.0.2 vsys1 REDIST user-b 343 343
10.0.0.1 vsys1 REDIST user-a 2443 2443
Total: 2 users
このようにData Redistributionを利用することで、個々のデバイスが学習した情報を簡単に共有することが可能です。
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!