Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
CLI-Konfiguration: das Einrichten eines VM-Series-Gateway auf e... - Knowledge Base - Palo Alto Networks

CLI-Konfiguration: das Einrichten eines VM-Series-Gateway auf einem CentOS 6. x Bare-Metal-Server mit KVM

35133
Created On 09/26/18 19:10 PM - Last Modified 06/07/23 02:42 AM


Resolution


 

Zusammenfassung:

Diese Lösung veranschaulicht die CLI-Schritte für die Einrichtung einer Instanz der VM-Alto-Netze-Serie auf einem nackten CentOS 6. x-Server mit KVM-Virtualisierung.

 

Topologie:

Bitte beachten Sie, dass öffentliche IP-Adressen durch RFC 1918-Adressen für die Internet-Facing-Schnittstellen in der Topologie unten ersetzt wurden.

 

Screenshot 2015-08-26 um 5.26.28 Uhr. png

 

Details:

  1. Beginnen Sie mit einem CentOS 6. x "Bare install"-Server, der mit zwei NICs ausgestattet ist. Ab Pan-OS 7.0.1 empfiehlt Palo Alto Networks CentOS 6,5 oder höher auf dem CentOS 6. x-Zug.
  2. Laden Sie das Pan-OS für die VM-Serie KVM-Basisbild von Support.paloaltonetworks.com herunter, z. PA-VM-KVM-7.0.1. qcow2

    Sie können wget entweder auf dem CentOS-Server verwenden oder das Bild über einen Desktop-Browser herunterladen und dann auf den Server in den/Opt-Ordner kopieren.

  3. Erstellen und installieren Sie KVM (Kernel-basierte virtuelle Maschine) auf dem Server.

     

    Überprüfen Sie, ob der Server aktuell ist und die Hardware-Virtualisierung unterstützt:

     

    Siehe CentOS-Version:

    $ Cat/etc/issue

    CentOS Release 6,7 (Finale)

    Kernel \r auf einem \m

     

    Den Server aktualisieren:

    $ yum-y Update

     

    Überprüfen Sie Hardware-Virtualisierungsunterstützung:

    $ grep-E ' SVM | VMX '/proc/cpuinfo

    Fahnen: fpu vme de pse tsc msr pae mce cx8 apic Sep MTRR PGE MCA cmov pat PSE36 clflush dts acpi mmx fxsr SSE SSE2 ss ht tm PBE syscall nx rdtscp lm constant_tsc arch_perfmon PEBs BTS rep_good xtopology nonstop_tsc aperfmperf PNI Pclmulqdq dtes64 Monitor ds_cpl vmx SMX est TM2 SSSE3 cx16 xtpr pdcm pcId sse4_1 sse4_2 x2APIC popcnt tsc_deadline_timer AES XSAVE AVX f16c rdrand lahf_lm ARAT EPB xsaveopt PLN PTS DTS tpr_shadow vnmi flexpriorität EPT vpid fsgsbase SMEP Erms

     

    Wenn die Ausgabe des obigen Befehls leer ist, ist es eine gute Idee, hier aufzuhören und einen Server mit Hardware-Virtualisierungsunterstützung zu beschaffen.

     

    KVM-Binärdateien und Bibliotheken installieren:

    $ yum installieren KVM python-virtinst libvirt libvirt-python virt-Manager virt-viewer libguestfs-Tool

    $ yum installieren policycoreutils-python bridge-utils

     

    Konfigurieren Sie libvirtd, um automatisch beim Booten zu starten:

    $ chkconfig libvirtd on

    $ Shutdown-r now

     

    Nach einem Neustart sollten Sie eine neue virbr0-Schnittstelle sehen, die von der libvirt-Installation installiert wird:

    $ ifconfig virbr0

  4. Erstellen Sie die beiden zusätzlichen Bridge-Schnittstellen mit Netzwerk-Init-Skripten:

     

    Netzwerk-Manager deaktivieren und auf Netzwerk-init-Skripte setzen:

    $ CD/etc/sysconfig/network-scripts/

    $ chkconfig NetworkManager Off

    Beachten Sie, dass, wenn networmanager nicht auf Ihrer CentOS-Instanz installiert ist, dieser Befehl einen Fehler erzeugt, der okay ist und Sie können vorwärts gehen.

    $ chkconfig Network on

     

    Erstellen Sie Backup-Dateien für mögliche Rollback:

    $ CP ifcfg-eth0 bak. ifcfg-eth0

    $ CP ifcfg-eth1 bak. ifcfg-eth1

     

    Auch wenn eth1 sekundäre Adressen hat, sollten diese wie folgt kopiert werden:

    $ CP ifcfg-eth1-range0 ifcfg-BR1-range0

    $ MV ifcfg-eth1-range0 bak. ifcfg-eth1-range0

     

    Ebenso sollte, wenn Sie eine Routen Datei für die private Schnittstelle haben, wie z.b. Route-eth0 als Beispiel für diese Topologie, wie folgt kopiert werden:

    $ CP Route-eth0 Route-br0

    $ MV Route-eth0 bak. Route-eth0

     

    Erstellen Sie eine Kopie des ifcfg-eth0-Skripts als ifcfg-br0 und bearbeiten Sie es, um ähnlich zu aussehen, wobei Sie feststellen, dass Type = Bridge eine fallsensible Anweisung ist:

    $ CP ifcfg-eth0 ifcfg-br0

    $ VI ifcfg-br0

    Device = br0

    BOOTPROTO = statisch

    Typ = Brücke

    Onboot = ja

    Delay = 0

    NM_CONTROLLED = Nein

    Ipaddr = 10.18.143.144

    Netmask = 255.255.255.192

     

    Ändern Sie das ursprüngliche ifcfg-eth0-Skript, um alle IP-Adressen zu entfernen und fügen Sie die Bridge = br0-Anweisung hinzu, so dass das Skript schließlich ähnlich aussieht:

    $ VI ifcfg-eth0

    Gerät = eth0

    BOOTPROTO = None

    Onboot = ja

    HWaddr = 00:25:90: XX: yy: zz (ersetzen Sie mit Ihrer Mac-Adresse)

    NM_CONTROLLED = Nein

    Bridge = br0

     

    Erstellen Sie eine Kopie des ifcfg-eth1-Skripts als ifcfg-BR1 und bearbeiten Sie es, um ähnlich zu aussehen, und stellen Sie fest, dass Type = Bridge eine fallsensible Anweisung ist:

    $ CP ifcfg-eth1 ifcfg-BR1

    $ VI ifcfg-BR1

    Device = BR1

    BOOTPROTO = statisch

    Typ = Brücke

    Onboot = ja

    Delay = 0

    NM_CONTROLLED = Nein

    Ipaddr = 192.168.234.238

    Netmask = 255.255.255.248

    Gateway = 192.168.234.233

     

    Ändern Sie das ursprüngliche ifcfg-eth1 Skript, um alle IP-Adressen zu entfernen und fügen Sie die Bridge = BR1-Anweisung hinzu, so dass das Skript schließlich ähnlich aussieht:

    $ VI ifcfg-eth1

    Device = eth1

    BOOTPROTO = None

    Onboot = ja

    HWaddr = 00:25:90: XX: yy: zz (ersetzen Sie mit Ihrer Mac-Adresse)

    NM_CONTROLLED = Nein

    Bridge = BR1

     

    Deaktivieren Sie Netfilter auf den Bridge-Schnittstellen, indem Sie/etc/sysctl.conf bearbeiten und die drei Zeilen unten hinzufügen:

    $ CP/etc/sysctl.conf/etc/sysctl.conf.bak

    $ VI/etc/sysctl.conf

    NET. Bridge. Bridge-NF-Call-ip6tables = 0

    NET. Bridge. Bridge-NF-Call-iptables = 0

    NET. Bridge. Bridge-NF-Call-arptables = 0

    $ sysctl-p/etc/sysctl.conf

     

    Während die beiden neuen br0 und BR1-Schnittstellen beim Neustart automatisch als zusätzliche Vorsichtsmaßnahme auftauchen sollten, fügen Sie/etc/rc.local folgende Aussagen hinzu:

    $ VI/etc/rc.local

    ifup br0

    ifup BR1

     

    Starten Sie die Vernetzung, damit die Änderungen wirksam werden, und starten Sie dann neu, um sicherzustellen, dass die neuen Schnittstellen nach dem bootup auftauchen. Manchmal ist ein Neustart erforderlich, damit sich die Adressen ändern.

    Warnung: vor dem Neustart überprüfen Sie die ifconfig-BR1-Datei, um sicherzustellen, dass alle Einstellungen korrekt aussehen und stellen Sie sicher, dass Sie außerhalb des Band Managements Zugriff auf diesen Server/die Konsole haben, falls die Internet-Facing-Schnittstelle nicht aufkommt.

    $ Service Network Neustart

    $ ifconfig

    $ Shutdown – r now

  5. Kopieren Sie das Bild auf/var/lib/libvirt/Images und installieren Sie die VM:

    $ cp/opt/PA-VM-KVM-7.0.1.qcow2/var/lib/libvirt/Images

    $ virt-install--connect qemu:///System--Name = PA-VM-Festplatten Pfad =/var/lib/libvirt/Images/PA-VM-KVM-7.0.1.qcow2, Format = qcow2, Bus = virtio, Cache = WriteThrough--vCPUs = 4--RAM = 4096--Network Bridge = virbr0--Netzwerk Bridge = br0--Network Bridge = BR1--OS-Type = Linux--OS-Variant = rhel6--Import

  6. Loggen Sie sich in die Konsole ein und stellen Sie die Managementschnittstelle ein:

    $ virsh Console PA-VM

    > konfigurieren

    # Set DeviceConfig System IP-Adresse 192.168.122.3 Netmaske 255.255.255.0 Default-Gateway 192.168.122.1 DNS-Einstellung Server Primary 8.8.8.8

    # commit

  7. Überprüfen Sie die Konnektivität vom CentOS-Server:

    $ SSH Admin @ 192.168.122.3

  8.  Nach dem Einloggen in die VM-Serie via SSH:

    > Debug Show VM-Serie Interfaces alle

    Phoenix_interface Basis-OS_port Base-OS_MAC PCI-ID-Treiber

    mgt eth0 52:54:00: yy: yy: 27 0000:00:03.0 virtio_net

    Ethernet1/1 eth1 52:54:00: yy: yy: A5 0000:00:04.0 virtio_net

    Ethernet1/2 ETH2 52:54:00: yy: yy: 6D 0000:00:05.0 virtio_net

    Admin@PA-VM >

  9.  Konfigurieren Sie die Firewall über CLI und übertragen Sie die Änderungen.

     

    Konfigurieren Sie die E1/1-Schnittstelle als Mitglied der Layer 3-Treuhand Zone. Bitte beachten Sie, dass dies von der typischen Palo Alto Networks Topologie von E1/1 in der Untrust Zone umgekehrt wird, um der nackten-metallischen Server Schnittstellen Nomenklatur zu entsprechen.

    # Set Netzwerkinterface Ethernet Ethernet1/1 Layer3 IP 10.18.143.145/26

    # Set Zone Trust Network Layer3 Ethernet1/1

    # Set Netzwerk Virtual-Router Default Interface Ethernet1/1

     

    Konfigurieren Sie das unvertrauen E1/2 Interface und Zone:

    # Set Netzwerkinterface Ethernet Ethernet1/2 Layer3 IP 172.16.77.170/30

    # Set Zone untreuhand Netzwerk Layer3 Ethernet1/2

    # Set-Netzwerk virtuell-Router-Standardschnittstelle Ethernet1/2

     

    Standardroute in der Standard-VR definieren:

    # Set Netzwerk virtuell-Router Default Routing-Tabelle IP statisch-Route default destination 0.0.0.0/0 nexthop IP-Adresse 172.16.77.169

     

    SSH und Ping auf der privaten Schnittstelle aktivieren:

    # Set Netzwerk Profile Interface-Management-Profile allow_ping_ssh Ping ja ssh ja

    # Set Netzwerkschnittstelle Ethernet Ethernet1/1 Layer3 Interface-Management-Profile allow_ping_ssh

     

    SSH und Ping auf der privaten Schnittstelle aktivieren:

    # Set Netzwerk Profile Interface-Management-Profile allow_ping Ping ja

    # Set Netzwerkschnittstelle Ethernet Ethernet1/2 Layer3 Interface-Management-Profile allow_ping

     

    Commit the config:

    # commit

     

     



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2lCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language