Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Configuración de CLI: configuración de una pasarela de la serie... - Knowledge Base - Palo Alto Networks

Configuración de CLI: configuración de una pasarela de la serie VM en un servidor de CentOS-metal 6. x con KVM

35133
Created On 09/26/18 19:10 PM - Last Modified 06/07/23 02:42 AM


Resolution


 

Resumen:

Esta solución ilustra los pasos de CLI para configurar una instancia de la serie VM de Palo Alto Networks en un servidor de CentOS 6. x desnudo que utiliza la virtualización KVM.

 

Topología:

Tenga en cuenta que las direcciones IP públicas han sido sustituidas por las direcciones RFC 1918 para las interfaces que enfrentan Internet en la topología de abajo.

 

Screen Shot 2015-08-26 en 5.26.28 PM. png

 

Detalles:

  1. Comience con un servidor de CentOS 6. x "instalación desnuda" equipado con dos NICs. A partir de pan-os 7.0.1, Palo Alto Networks recomienda CentOS 6,5 o superior en el tren de CentOS 6. x.
  2. Descargue el pan-os para la imagen base KVM de la serie VM de support.paloaltonetworks.com, p.ej. PA-VM-KVM-7.0.1. qcow2

    Puedes usar wget en el servidor CentOS o descargar la imagen usando un navegador de escritorio y luego copiarla al servidor en la carpeta/opt.

  3. Prepare e instale KVM (máquina virtual basada en kernel) en el servidor.

     

    Compruebe que el servidor esté actualizado y admita la virtualización de hardware:

     

    Ver versión CentOS:

    $ cat/etc/issue

    CentOS Release 6,7 (final)

    Kernel \r en un \m

     

    Actualice el servidor:

    $ Yum-y Update

     

    Comprobar la compatibilidad con la virtualización de hardware:

    $ grep-E ' SVM | VMX '/proc/cpuinfo

    Banderas: FPU VME de PSE TSC MSR PAE MCE CX8 ápice Sep MTRR PGE MCA CMOV Pat pse36 clflush DTS ACPI MMX fxsr sse sse2 SS HT TM PBE syscall NX rdtscp LM constant_tsc arch_perfmon PEBS BTS rep_good xtopology nonstop_tsc aperfmperf PNI pclmulqdq dtes64 monitor ds_cpl VMX SMX est TM2 SSSE3 cx16 xtpr pdcm PCID sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer AES xsave AVX F16C rdrand lahf_lm Arat EPB xsaveopt PLN PTS DTS tpr_shadow vnmi flexpriority EPT VPID fsgsbase smep Erms

     

    Si la salida del comando anterior está en blanco, es una buena idea detenerse aquí y adquirir un servidor con soporte de virtualización de hardware.

     

    Instalar binarios y bibliotecas KVM:

    $ yum install KVM Python-virtinst libvirt libvirt-Python virt-manager virt-Viewer libguestfs-herramienta

    $ yum install policycoreutils-Python Bridge-utils

     

    Configure libvirtd para iniciar automáticamente en el arranque:

    $ chkconfig libvirtd on

    $ shutdown-r ahora

     

    Después del reinicio, debe ver una nueva interfaz virbr0 que se instala mediante la instalación de libvirt:

    $ ifconfig virbr0

  4. Cree las dos interfaces de puente adicionales usando secuencias de comandos de inicio de red:

     

    Deshabilite Network Manager y confíe en los scripts de inicio de red:

    $ CD/etc/sysconfig/network-scripts/

    $ chkconfig NetworkManager OFF

    Tenga en cuenta que si NetworManager no está instalado en su instancia de CentOS, este comando generará un error, que está bien y puede seguir adelante.

    $ chkconfig red en

     

    Crear archivos de copia de seguridad para rollback potencial:

    $ CP ifcfg-eth0 bak. ifcfg-eth0

    $ CP ifcfg-eth1 bak. ifcfg-eth1

     

    Además, si eth1 tiene direcciones secundarias, éstas deben copiarse de la siguiente manera:

    $ CP ifcfg-eth1-range0 ifcfg-BR1-range0

    $ MV ifcfg-eth1-range0 bak. ifcfg-eth1-range0

     

    Asimismo, si tiene un archivo de ruta para la interfaz privada, como por ejemplo Route-eth0 para esta topología, debe copiarse de la siguiente manera:

    $ CP ruta-eth0 Route-br0

    $ MV ruta-eth0 bak. Route-eth0

     

    Cree una copia del script ifcfg-eth0 como ifcfg-br0 y edite para que parezca similar a esto, observando que Type = Bridge es una sentencia sensible a mayúsculas y minúsculas:

    $ CP ifcfg-eth0 ifcfg-br0

    $ VI ifcfg-br0

    Device = br0

    BOOTPROTO = estático

    Type = Bridge

    On boot = Yes

    Delay = 0

    NM_CONTROLLED = no

    IPADDR = 10.18.143.144

    Máscara de máscaras = 255.255.255.192

     

    Modifique el script original ifcfg-eth0 para eliminar cualquier dirección IP y agregue la instrucción Bridge = br0 para que el script finalmente parezca similar a este:

    $ VI ifcfg-eth0

    Device = eth0

    BOOTPROTO = None

    On boot = Yes

    HWaddr = 00:25:90: XX: YY: ZZ (reemplazar con su dirección Mac)

    NM_CONTROLLED = no

    Bridge = br0

     

    Cree una copia del script ifcfg-eth1 como ifcfg-BR1 y edite para que parezca similar a esto, observando que Type = Bridge es una sentencia sensible a mayúsculas y minúsculas:

    $ CP ifcfg-eth1 ifcfg-BR1

    $ VI ifcfg-BR1

    Device = BR1

    BOOTPROTO = estático

    Type = Bridge

    On boot = Yes

    Delay = 0

    NM_CONTROLLED = no

    IPADDR = 192.168.234.238

    Máscara de máscaras = 255.255.255.248

    Gateway = 192.168.234.233

     

    Modifique la secuencia de comandos original ifcfg-eth1 para eliminar todas las direcciones IP y agregue la instrucción Bridge = BR1 para que el script finalmente parezca similar a este:

    $ VI ifcfg-eth1

    Device = eth1

    BOOTPROTO = None

    On boot = Yes

    HWaddr = 00:25:90: XX: YY: ZZ (reemplazar con su dirección Mac)

    NM_CONTROLLED = no

    Bridge = BR1

     

    Deshabilite Netfilter en las interfaces de puente editando/etc/sysctl.conf y añadiendo las 3 líneas siguientes:

    $ CP/etc/sysctl.conf/etc/sysctl.conf.bak

    $ VI/etc/sysctl.conf

    net. Bridge. Bridge-NF-Call-IP6TABLES = 0

    net. Bridge. Bridge-NF-Call-iptables = 0

    net. Bridge. Bridge-NF-Call-arptables = 0

    $ sysctl-p/etc/sysctl.conf

     

    Mientras que las dos nuevas interfaces br0 y BR1 deben subir al reiniciar automáticamente, como medida preventiva adicional, añada las siguientes instrucciones a/etc/rc.local:

    $ VI/etc/rc.local

    ifup br0

    ifup BR1

     

    Reinicie la creación de redes para que los cambios tengan efecto y, a continuación, reinicie para asegurarse de que las nuevas interfaces salen después de arranque. A veces es necesario reiniciar las direcciones para que cambien.

    ADVERTENCIA: antes de reiniciar, revise el archivo ifconfig-BR1 para asegurarse de que todos los ajustes se ven correctos y asegúrese de que tiene acceso fuera de banda a este servidor/consola en caso de que la interfaz de Internet no se presente.

    $ servicio reinicio de red

    $ ifconfig

    $ shutdown-r Now

  5. Copie la imagen en/var/lib/libvirt/Images e instale la VM:

    $ CP/opt/PA-VM-KVM-7.0.1.qcow2/var/lib/libvirt/images

    $ virt-install--Conecte QEMU:///System--Name = PA-VM--path de disco =/var/lib/libvirt/images/PA-VM-KVM-7.0.1.qcow2, Format = qcow2, bus = VirtIO, cache = writethrough--vCPUs = 4--RAM = 4096--Bridge de red = virbr0--red Bridge = br0--Network Bridge = BR1--os-Type = Linux--so-Variant = rhel6--Import

  6. Inicie sesión en la consola y configure la interfaz de administración:

    $ virsh Console PA-VM

    > configurar

    # Set deviceconfig sistema IP-dirección 192.168.122.3 máscara de red 255.255.255.0 default-gateway 192.168.122.1 DNS-Setting Servers 8.8.8.8 primario

    commit de #

  7. Verifique la conectividad desde el servidor CentOS:

    $ SSH admin @ 192.168.122.3

  8.  Después de iniciar sesión en la serie VM a través de SSH:

    > debug show VM-series interfaces todos

    Phoenix_interface base-OS_port base-OS_MAC PCI-ID driver

    Administración eth0 52:54:00: YY: YY: 27 0000:00:03.0 virtio_net

    Ethernet1/1 eth1 52:54:00: YY: YY: A5 0000:00:04.0 virtio_net

    Ethernet1/2 eth2 52:54:00: YY: YY: 6D 0000:00:05.0 virtio_net

    admin@PA-VM >

  9.  Configure el cortafuegos a través de CLI y cometa los cambios.

     

    Configure la interfaz E1/1 como miembro de la zona de confianza de Layer 3. Tenga en cuenta que esto se revierte de la topología típica de las redes de palo alto de E1/1 en la zona Untrust para que coincida con la nomenclatura de la interfaz de servidor de metal desnudo.

    # establecer interfaz de red Ethernet ethernet1/1 layer3 IP 10.18.143.145/26

    # establecer la red de confianza de la zona layer3 ethernet1/1

    # establecer la interfaz de red virtual-router default ethernet1/1

     

    Configure la interfaz y la zona Untrust E1/2:

    # establecer interfaz de red Ethernet ethernet1/2 layer3 IP 172.16.77.170/30

    # establecer zona Untrust red layer3 ethernet1/2

    # establecer la interfaz de red virtual-router default ethernet1/2

     

    Defina la ruta predeterminada en el VR predeterminado:

    # establecer enrutador virtual de red-enrutamiento predeterminado de tabla IP estática-ruta predeterminada destino 0.0.0.0/0 NextHop IP-dirección 172.16.77.169

     

    Habilite SSH y ping en la interfaz privada:

    # establecer interfaz de perfiles de red-gestión-perfil allow_ping_ssh ping sí ssh sí

    # establecer interfaz de red Ethernet ethernet1/1 interfaz layer3-gestión-perfil allow_ping_ssh

     

    Habilite SSH y ping en la interfaz privada:

    # establecer interfaz de perfiles de red-gestión-perfil allow_ping ping sí

    # establecer interfaz de red Ethernet ethernet1/2 interfaz layer3-gestión-perfil allow_ping

     

    Confirmar la configuración:

    commit de #

     

     



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2lCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language