PAN 200: Añádele un poco de locura a tu prudencia

Como ya sabéis hace unas semanas que estoy poniendo a prueba un PAN 200. Yo lo rebautizaría como "Pan en Esencia"  ya que comparte el ADN pero con un tamaño reducido y (casi) todas las funcionalidades que hace grande a estos Next Generation Firewalls. 
Por nombrar alguna diferencia importante,  A nivel de arquitectura, los grupos de procesadores encargados del procesado de datos y de gobierno del kernet están comunicados a diferencia de sus hermanos mayores. 


No obstante, con la limitación software de rendimiento, evitan caer en la trampa de sobresuscripción de los procesadores. Esto se traduce en una experiencia plácida de configuración y gestión sin penalizar el tráfico.

Flujo de tratamiento del tráfico en PaloAlto Networks

Por otra parte las funcionalidades no incluídas con este hardware son comunes a otros equipos destinados a pequeñas oficinas remotas o soho.  Se trata de la alta disponibilidad con redundancia de sesión y la virtualiazación de subsistemas. 


No obstante, partiendo de la base que es el mejor Next Generation Firewall del mercado(según Gartner), en su edición de Branch office incluiría:
Conexión WIFI y puertos WAN como puede ser ADSL 2+. Aunque estos últimos también suelen ser un poco inútiles por obsolescencia tecnológica.

En sentido contrario, y muy de agradecer es la ausencia de ruido en funcionamiento. Característica básica de un dispositivo orientado a las pequeñas oficinas, que muchas veces no tienen ni rack cerrado.
Por otra parte, el hecho de no contar con partes móviles lo hace perfecto para entornos industriales.


En resumen, disponer de un Next Generation Firewall que nos aporte visibilidad y control REAL(Sin falsos positivos) sobre aplicaciones y usuarios, en un tamaño reducido y adaptado a pymes, permite realizar despliegues masivos basados en consola central Panorama y extender la protección a nuestra red. Evidentemente mi conclusión es que este equipo era necesario para cubrir esta franja de usuarios y el resultado es mejor de lo esperado. RECOMENDADO.

No me funciona la alta disponibilidad con Paloalto. ¿Guardo el segundo en la caja?

Lo gracioso del título es que, os juro que esto lo he oído y además lo hice hace cinco años con un appliance antispam porque en modo transparente no soportaba HA. 
Pero con los PAN no desesperes. Simplemente el concepto es diferente(Como los Cisco PIX), la documentación de configuración de HA no es clara y el artículo con la resolución, está en el centro de soporte y un poco escondido.

http://www.centrodedatos.com/mision-critica/

Claves:
No está basado en redundancia IP tipo VRRP o HSRP. Estos disponen de una dirección virtual compartida (VIP) entre los dos nodos, y una ip asociada a cada nodo, haciendo un total de tres ips por zona o red.
Con Paloalto networks, se configura el primer nodo y el segundo nodo es una copia exacta de toda la configuración, excepto que tiene de diferente es la dirección de HA y la dirección de la interfaz de Gestión(Se pueden gestionar por todas).
Dicho en otras palabras, el segundo nodo tiene las misma ips que el nodo principal, de forma que sino te aseguras que uno está en standby, los dos anuncian las mismas ips y tiras la red.


Bien, pues existe un problema con la HA que hace que no se vean los nodos siguiendo el manual de PAN 3.0 o 4.0. 


Solución: El enlace de heartbeat, keepalive o de comprobación de estado, lo configuras y lo conectas. PERO el segundo enlace de HA no tiene que tener IP!!! y te recomiendo que no actives la sincronización de la configuración hasta que se vean(y este segundo enlace).


SÍ, ya se que en el manual parece que no pase nada y que el transporte supuestamente funciona sobre IP o udp. (Es nuevo en la versión 4)


HTH
RobClav


Por cierto, de la definición  de Wikipedia sobre Ha como "Grado Absoluto de Continuidad Operacional" me recuerda a otra definición de ping como "test de conectividad IP".