Configuración de CLI: configuración de una pasarela de la serie VM en un servidor de CentOS-metal 6. x con KVM
Resolution
Resumen:
Esta solución ilustra los pasos de CLI para configurar una instancia de la serie VM de Palo Alto Networks en un servidor de CentOS 6. x desnudo que utiliza la virtualización KVM.
Topología:
Tenga en cuenta que las direcciones IP públicas han sido sustituidas por las direcciones RFC 1918 para las interfaces que enfrentan Internet en la topología de abajo.
Detalles:
- Comience con un servidor de CentOS 6. x "instalación desnuda" equipado con dos NICs. A partir de pan-os 7.0.1, Palo Alto Networks recomienda CentOS 6,5 o superior en el tren de CentOS 6. x.
Descargue el pan-os para la imagen base KVM de la serie VM de support.paloaltonetworks.com, p.ej. PA-VM-KVM-7.0.1. qcow2
Puedes usar wget en el servidor CentOS o descargar la imagen usando un navegador de escritorio y luego copiarla al servidor en la carpeta/opt.
Prepare e instale KVM (máquina virtual basada en kernel) en el servidor.
Compruebe que el servidor esté actualizado y admita la virtualización de hardware:
Ver versión CentOS:
$ cat/etc/issue
CentOS Release 6,7 (final)
Kernel \r en un \m
Actualice el servidor:
$ Yum-y Update
Comprobar la compatibilidad con la virtualización de hardware:
$ grep-E ' SVM | VMX '/proc/cpuinfo
Banderas: FPU VME de PSE TSC MSR PAE MCE CX8 ápice Sep MTRR PGE MCA CMOV Pat pse36 clflush DTS ACPI MMX fxsr sse sse2 SS HT TM PBE syscall NX rdtscp LM constant_tsc arch_perfmon PEBS BTS rep_good xtopology nonstop_tsc aperfmperf PNI pclmulqdq dtes64 monitor ds_cpl VMX SMX est TM2 SSSE3 cx16 xtpr pdcm PCID sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer AES xsave AVX F16C rdrand lahf_lm Arat EPB xsaveopt PLN PTS DTS tpr_shadow vnmi flexpriority EPT VPID fsgsbase smep Erms
Si la salida del comando anterior está en blanco, es una buena idea detenerse aquí y adquirir un servidor con soporte de virtualización de hardware.
Instalar binarios y bibliotecas KVM:
$ yum install KVM Python-virtinst libvirt libvirt-Python virt-manager virt-Viewer libguestfs-herramienta
$ yum install policycoreutils-Python Bridge-utils
Configure libvirtd para iniciar automáticamente en el arranque:
$ chkconfig libvirtd on
$ shutdown-r ahora
Después del reinicio, debe ver una nueva interfaz virbr0 que se instala mediante la instalación de libvirt:
$ ifconfig virbr0
Cree las dos interfaces de puente adicionales usando secuencias de comandos de inicio de red:
Deshabilite Network Manager y confíe en los scripts de inicio de red:
$ CD/etc/sysconfig/network-scripts/
$ chkconfig NetworkManager OFF
Tenga en cuenta que si NetworManager no está instalado en su instancia de CentOS, este comando generará un error, que está bien y puede seguir adelante.
$ chkconfig red en
Crear archivos de copia de seguridad para rollback potencial:
$ CP ifcfg-eth0 bak. ifcfg-eth0
$ CP ifcfg-eth1 bak. ifcfg-eth1
Además, si eth1 tiene direcciones secundarias, éstas deben copiarse de la siguiente manera:
$ CP ifcfg-eth1-range0 ifcfg-BR1-range0
$ MV ifcfg-eth1-range0 bak. ifcfg-eth1-range0
Asimismo, si tiene un archivo de ruta para la interfaz privada, como por ejemplo Route-eth0 para esta topología, debe copiarse de la siguiente manera:
$ CP ruta-eth0 Route-br0
$ MV ruta-eth0 bak. Route-eth0
Cree una copia del script ifcfg-eth0 como ifcfg-br0 y edite para que parezca similar a esto, observando que Type = Bridge es una sentencia sensible a mayúsculas y minúsculas:
$ CP ifcfg-eth0 ifcfg-br0
$ VI ifcfg-br0
Device = br0
BOOTPROTO = estático
Type = Bridge
On boot = Yes
Delay = 0
NM_CONTROLLED = no
IPADDR = 10.18.143.144
Máscara de máscaras = 255.255.255.192
Modifique el script original ifcfg-eth0 para eliminar cualquier dirección IP y agregue la instrucción Bridge = br0 para que el script finalmente parezca similar a este:
$ VI ifcfg-eth0
Device = eth0
BOOTPROTO = None
On boot = Yes
HWaddr = 00:25:90: XX: YY: ZZ (reemplazar con su dirección Mac)
NM_CONTROLLED = no
Bridge = br0
Cree una copia del script ifcfg-eth1 como ifcfg-BR1 y edite para que parezca similar a esto, observando que Type = Bridge es una sentencia sensible a mayúsculas y minúsculas:
$ CP ifcfg-eth1 ifcfg-BR1
$ VI ifcfg-BR1
Device = BR1
BOOTPROTO = estático
Type = Bridge
On boot = Yes
Delay = 0
NM_CONTROLLED = no
IPADDR = 192.168.234.238
Máscara de máscaras = 255.255.255.248
Gateway = 192.168.234.233
Modifique la secuencia de comandos original ifcfg-eth1 para eliminar todas las direcciones IP y agregue la instrucción Bridge = BR1 para que el script finalmente parezca similar a este:
$ VI ifcfg-eth1
Device = eth1
BOOTPROTO = None
On boot = Yes
HWaddr = 00:25:90: XX: YY: ZZ (reemplazar con su dirección Mac)
NM_CONTROLLED = no
Bridge = BR1
Deshabilite Netfilter en las interfaces de puente editando/etc/sysctl.conf y añadiendo las 3 líneas siguientes:
$ CP/etc/sysctl.conf/etc/sysctl.conf.bak
$ VI/etc/sysctl.conf
net. Bridge. Bridge-NF-Call-IP6TABLES = 0
net. Bridge. Bridge-NF-Call-iptables = 0
net. Bridge. Bridge-NF-Call-arptables = 0
$ sysctl-p/etc/sysctl.conf
Mientras que las dos nuevas interfaces br0 y BR1 deben subir al reiniciar automáticamente, como medida preventiva adicional, añada las siguientes instrucciones a/etc/rc.local:
$ VI/etc/rc.local
ifup br0
ifup BR1
Reinicie la creación de redes para que los cambios tengan efecto y, a continuación, reinicie para asegurarse de que las nuevas interfaces salen después de arranque. A veces es necesario reiniciar las direcciones para que cambien.
ADVERTENCIA: antes de reiniciar, revise el archivo ifconfig-BR1 para asegurarse de que todos los ajustes se ven correctos y asegúrese de que tiene acceso fuera de banda a este servidor/consola en caso de que la interfaz de Internet no se presente.
$ servicio reinicio de red
$ ifconfig
$ shutdown-r Now
Copie la imagen en/var/lib/libvirt/Images e instale la VM:
$ CP/opt/PA-VM-KVM-7.0.1.qcow2/var/lib/libvirt/images
$ virt-install--Conecte QEMU:///System--Name = PA-VM--path de disco =/var/lib/libvirt/images/PA-VM-KVM-7.0.1.qcow2, Format = qcow2, bus = VirtIO, cache = writethrough--vCPUs = 4--RAM = 4096--Bridge de red = virbr0--red Bridge = br0--Network Bridge = BR1--os-Type = Linux--so-Variant = rhel6--Import
Inicie sesión en la consola y configure la interfaz de administración:
$ virsh Console PA-VM
> configurar
# Set deviceconfig sistema IP-dirección 192.168.122.3 máscara de red 255.255.255.0 default-gateway 192.168.122.1 DNS-Setting Servers 8.8.8.8 primario
commit de #
Verifique la conectividad desde el servidor CentOS:
$ SSH admin @ 192.168.122.3
Después de iniciar sesión en la serie VM a través de SSH:
> debug show VM-series interfaces todos
Phoenix_interface base-OS_port base-OS_MAC PCI-ID driver
Administración eth0 52:54:00: YY: YY: 27 0000:00:03.0 virtio_net
Ethernet1/1 eth1 52:54:00: YY: YY: A5 0000:00:04.0 virtio_net
Ethernet1/2 eth2 52:54:00: YY: YY: 6D 0000:00:05.0 virtio_net
admin@PA-VM >
Configure el cortafuegos a través de CLI y cometa los cambios.
Configure la interfaz E1/1 como miembro de la zona de confianza de Layer 3. Tenga en cuenta que esto se revierte de la topología típica de las redes de palo alto de E1/1 en la zona Untrust para que coincida con la nomenclatura de la interfaz de servidor de metal desnudo.
# establecer interfaz de red Ethernet ethernet1/1 layer3 IP 10.18.143.145/26
# establecer la red de confianza de la zona layer3 ethernet1/1
# establecer la interfaz de red virtual-router default ethernet1/1
Configure la interfaz y la zona Untrust E1/2:
# establecer interfaz de red Ethernet ethernet1/2 layer3 IP 172.16.77.170/30
# establecer zona Untrust red layer3 ethernet1/2
# establecer la interfaz de red virtual-router default ethernet1/2
Defina la ruta predeterminada en el VR predeterminado:
# establecer enrutador virtual de red-enrutamiento predeterminado de tabla IP estática-ruta predeterminada destino 0.0.0.0/0 NextHop IP-dirección 172.16.77.169
Habilite SSH y ping en la interfaz privada:
# establecer interfaz de perfiles de red-gestión-perfil allow_ping_ssh ping sí ssh sí
# establecer interfaz de red Ethernet ethernet1/1 interfaz layer3-gestión-perfil allow_ping_ssh
Habilite SSH y ping en la interfaz privada:
# establecer interfaz de perfiles de red-gestión-perfil allow_ping ping sí
# establecer interfaz de red Ethernet ethernet1/2 interfaz layer3-gestión-perfil allow_ping
Confirmar la configuración:
commit de #