CLI-Konfiguration: das Einrichten eines VM-Series-Gateway auf einem CentOS 6. x Bare-Metal-Server mit KVM
Resolution
Zusammenfassung:
Diese Lösung veranschaulicht die CLI-Schritte für die Einrichtung einer Instanz der VM-Alto-Netze-Serie auf einem nackten CentOS 6. x-Server mit KVM-Virtualisierung.
Topologie:
Bitte beachten Sie, dass öffentliche IP-Adressen durch RFC 1918-Adressen für die Internet-Facing-Schnittstellen in der Topologie unten ersetzt wurden.
Details:
- Beginnen Sie mit einem CentOS 6. x "Bare install"-Server, der mit zwei NICs ausgestattet ist. Ab Pan-OS 7.0.1 empfiehlt Palo Alto Networks CentOS 6,5 oder höher auf dem CentOS 6. x-Zug.
Laden Sie das Pan-OS für die VM-Serie KVM-Basisbild von Support.paloaltonetworks.com herunter, z. PA-VM-KVM-7.0.1. qcow2
Sie können wget entweder auf dem CentOS-Server verwenden oder das Bild über einen Desktop-Browser herunterladen und dann auf den Server in den/Opt-Ordner kopieren.
Erstellen und installieren Sie KVM (Kernel-basierte virtuelle Maschine) auf dem Server.
Überprüfen Sie, ob der Server aktuell ist und die Hardware-Virtualisierung unterstützt:
Siehe CentOS-Version:
$ Cat/etc/issue
CentOS Release 6,7 (Finale)
Kernel \r auf einem \m
Den Server aktualisieren:
$ yum-y Update
Überprüfen Sie Hardware-Virtualisierungsunterstützung:
$ grep-E ' SVM | VMX '/proc/cpuinfo
Fahnen: fpu vme de pse tsc msr pae mce cx8 apic Sep MTRR PGE MCA cmov pat PSE36 clflush dts acpi mmx fxsr SSE SSE2 ss ht tm PBE syscall nx rdtscp lm constant_tsc arch_perfmon PEBs BTS rep_good xtopology nonstop_tsc aperfmperf PNI Pclmulqdq dtes64 Monitor ds_cpl vmx SMX est TM2 SSSE3 cx16 xtpr pdcm pcId sse4_1 sse4_2 x2APIC popcnt tsc_deadline_timer AES XSAVE AVX f16c rdrand lahf_lm ARAT EPB xsaveopt PLN PTS DTS tpr_shadow vnmi flexpriorität EPT vpid fsgsbase SMEP Erms
Wenn die Ausgabe des obigen Befehls leer ist, ist es eine gute Idee, hier aufzuhören und einen Server mit Hardware-Virtualisierungsunterstützung zu beschaffen.
KVM-Binärdateien und Bibliotheken installieren:
$ yum installieren KVM python-virtinst libvirt libvirt-python virt-Manager virt-viewer libguestfs-Tool
$ yum installieren policycoreutils-python bridge-utils
Konfigurieren Sie libvirtd, um automatisch beim Booten zu starten:
$ chkconfig libvirtd on
$ Shutdown-r now
Nach einem Neustart sollten Sie eine neue virbr0-Schnittstelle sehen, die von der libvirt-Installation installiert wird:
$ ifconfig virbr0
Erstellen Sie die beiden zusätzlichen Bridge-Schnittstellen mit Netzwerk-Init-Skripten:
Netzwerk-Manager deaktivieren und auf Netzwerk-init-Skripte setzen:
$ CD/etc/sysconfig/network-scripts/
$ chkconfig NetworkManager Off
Beachten Sie, dass, wenn networmanager nicht auf Ihrer CentOS-Instanz installiert ist, dieser Befehl einen Fehler erzeugt, der okay ist und Sie können vorwärts gehen.
$ chkconfig Network on
Erstellen Sie Backup-Dateien für mögliche Rollback:
$ CP ifcfg-eth0 bak. ifcfg-eth0
$ CP ifcfg-eth1 bak. ifcfg-eth1
Auch wenn eth1 sekundäre Adressen hat, sollten diese wie folgt kopiert werden:
$ CP ifcfg-eth1-range0 ifcfg-BR1-range0
$ MV ifcfg-eth1-range0 bak. ifcfg-eth1-range0
Ebenso sollte, wenn Sie eine Routen Datei für die private Schnittstelle haben, wie z.b. Route-eth0 als Beispiel für diese Topologie, wie folgt kopiert werden:
$ CP Route-eth0 Route-br0
$ MV Route-eth0 bak. Route-eth0
Erstellen Sie eine Kopie des ifcfg-eth0-Skripts als ifcfg-br0 und bearbeiten Sie es, um ähnlich zu aussehen, wobei Sie feststellen, dass Type = Bridge eine fallsensible Anweisung ist:
$ CP ifcfg-eth0 ifcfg-br0
$ VI ifcfg-br0
Device = br0
BOOTPROTO = statisch
Typ = Brücke
Onboot = ja
Delay = 0
NM_CONTROLLED = Nein
Ipaddr = 10.18.143.144
Netmask = 255.255.255.192
Ändern Sie das ursprüngliche ifcfg-eth0-Skript, um alle IP-Adressen zu entfernen und fügen Sie die Bridge = br0-Anweisung hinzu, so dass das Skript schließlich ähnlich aussieht:
$ VI ifcfg-eth0
Gerät = eth0
BOOTPROTO = None
Onboot = ja
HWaddr = 00:25:90: XX: yy: zz (ersetzen Sie mit Ihrer Mac-Adresse)
NM_CONTROLLED = Nein
Bridge = br0
Erstellen Sie eine Kopie des ifcfg-eth1-Skripts als ifcfg-BR1 und bearbeiten Sie es, um ähnlich zu aussehen, und stellen Sie fest, dass Type = Bridge eine fallsensible Anweisung ist:
$ CP ifcfg-eth1 ifcfg-BR1
$ VI ifcfg-BR1
Device = BR1
BOOTPROTO = statisch
Typ = Brücke
Onboot = ja
Delay = 0
NM_CONTROLLED = Nein
Ipaddr = 192.168.234.238
Netmask = 255.255.255.248
Gateway = 192.168.234.233
Ändern Sie das ursprüngliche ifcfg-eth1 Skript, um alle IP-Adressen zu entfernen und fügen Sie die Bridge = BR1-Anweisung hinzu, so dass das Skript schließlich ähnlich aussieht:
$ VI ifcfg-eth1
Device = eth1
BOOTPROTO = None
Onboot = ja
HWaddr = 00:25:90: XX: yy: zz (ersetzen Sie mit Ihrer Mac-Adresse)
NM_CONTROLLED = Nein
Bridge = BR1
Deaktivieren Sie Netfilter auf den Bridge-Schnittstellen, indem Sie/etc/sysctl.conf bearbeiten und die drei Zeilen unten hinzufügen:
$ CP/etc/sysctl.conf/etc/sysctl.conf.bak
$ VI/etc/sysctl.conf
NET. Bridge. Bridge-NF-Call-ip6tables = 0
NET. Bridge. Bridge-NF-Call-iptables = 0
NET. Bridge. Bridge-NF-Call-arptables = 0
$ sysctl-p/etc/sysctl.conf
Während die beiden neuen br0 und BR1-Schnittstellen beim Neustart automatisch als zusätzliche Vorsichtsmaßnahme auftauchen sollten, fügen Sie/etc/rc.local folgende Aussagen hinzu:
$ VI/etc/rc.local
ifup br0
ifup BR1
Starten Sie die Vernetzung, damit die Änderungen wirksam werden, und starten Sie dann neu, um sicherzustellen, dass die neuen Schnittstellen nach dem bootup auftauchen. Manchmal ist ein Neustart erforderlich, damit sich die Adressen ändern.
Warnung: vor dem Neustart überprüfen Sie die ifconfig-BR1-Datei, um sicherzustellen, dass alle Einstellungen korrekt aussehen und stellen Sie sicher, dass Sie außerhalb des Band Managements Zugriff auf diesen Server/die Konsole haben, falls die Internet-Facing-Schnittstelle nicht aufkommt.
$ Service Network Neustart
$ ifconfig
$ Shutdown – r now
Kopieren Sie das Bild auf/var/lib/libvirt/Images und installieren Sie die VM:
$ cp/opt/PA-VM-KVM-7.0.1.qcow2/var/lib/libvirt/Images
$ virt-install--connect qemu:///System--Name = PA-VM-Festplatten Pfad =/var/lib/libvirt/Images/PA-VM-KVM-7.0.1.qcow2, Format = qcow2, Bus = virtio, Cache = WriteThrough--vCPUs = 4--RAM = 4096--Network Bridge = virbr0--Netzwerk Bridge = br0--Network Bridge = BR1--OS-Type = Linux--OS-Variant = rhel6--Import
Loggen Sie sich in die Konsole ein und stellen Sie die Managementschnittstelle ein:
$ virsh Console PA-VM
> konfigurieren
# Set DeviceConfig System IP-Adresse 192.168.122.3 Netmaske 255.255.255.0 Default-Gateway 192.168.122.1 DNS-Einstellung Server Primary 8.8.8.8
# commit
Überprüfen Sie die Konnektivität vom CentOS-Server:
$ SSH Admin @ 192.168.122.3
Nach dem Einloggen in die VM-Serie via SSH:
> Debug Show VM-Serie Interfaces alle
Phoenix_interface Basis-OS_port Base-OS_MAC PCI-ID-Treiber
mgt eth0 52:54:00: yy: yy: 27 0000:00:03.0 virtio_net
Ethernet1/1 eth1 52:54:00: yy: yy: A5 0000:00:04.0 virtio_net
Ethernet1/2 ETH2 52:54:00: yy: yy: 6D 0000:00:05.0 virtio_net
Admin@PA-VM >
Konfigurieren Sie die Firewall über CLI und übertragen Sie die Änderungen.
Konfigurieren Sie die E1/1-Schnittstelle als Mitglied der Layer 3-Treuhand Zone. Bitte beachten Sie, dass dies von der typischen Palo Alto Networks Topologie von E1/1 in der Untrust Zone umgekehrt wird, um der nackten-metallischen Server Schnittstellen Nomenklatur zu entsprechen.
# Set Netzwerkinterface Ethernet Ethernet1/1 Layer3 IP 10.18.143.145/26
# Set Zone Trust Network Layer3 Ethernet1/1
# Set Netzwerk Virtual-Router Default Interface Ethernet1/1
Konfigurieren Sie das unvertrauen E1/2 Interface und Zone:
# Set Netzwerkinterface Ethernet Ethernet1/2 Layer3 IP 172.16.77.170/30
# Set Zone untreuhand Netzwerk Layer3 Ethernet1/2
# Set-Netzwerk virtuell-Router-Standardschnittstelle Ethernet1/2
Standardroute in der Standard-VR definieren:
# Set Netzwerk virtuell-Router Default Routing-Tabelle IP statisch-Route default destination 0.0.0.0/0 nexthop IP-Adresse 172.16.77.169
SSH und Ping auf der privaten Schnittstelle aktivieren:
# Set Netzwerk Profile Interface-Management-Profile allow_ping_ssh Ping ja ssh ja
# Set Netzwerkschnittstelle Ethernet Ethernet1/1 Layer3 Interface-Management-Profile allow_ping_ssh
SSH und Ping auf der privaten Schnittstelle aktivieren:
# Set Netzwerk Profile Interface-Management-Profile allow_ping Ping ja
# Set Netzwerkschnittstelle Ethernet Ethernet1/2 Layer3 Interface-Management-Profile allow_ping
Commit the config:
# commit