Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Configuration CLI: installation d'une passerelle de la séri... - Knowledge Base - Palo Alto Networks

Configuration CLI: installation d'une passerelle de la série VM sur un serveur Bare-Metal CentOS 6. x utilisant KVM

35131
Created On 09/26/18 19:10 PM - Last Modified 06/07/23 02:42 AM


Resolution


 

Résumé :

Cette solution illustre les étapes de la CLI pour la configuration d'une instance de la série VM de Palo Alto Networks sur un serveur 6. x Bare CentOS à l'aide de la virtualisation KVM.

 

Topologie:

Veuillez noter que les adresses IP publiques ont été remplacées par des adresses RFC 1918 pour les interfaces Internet dans la topologie ci-dessous.

 

Screen Shot 2015-08-26 à 5.26.28 PM. png

 

Détails :

  1. Commencer avec un CentOS 6. x "Bare installation" serveur équipé de deux cartes réseau. En tant que de Pan-OS 7.0.1, Palo Alto Networks recommande CentOS 6,5 ou plus sur le CentOS 6. x train.
  2. Téléchargez l'image de base KVM de la série Pan-OS pour VM de support.paloaltonetworks.com, par ex. PA-VM-KVM-7.0.1. qcow2

    Vous pouvez soit utiliser wget sur le serveur CentOS ou télécharger l'image à l'aide d'un navigateur de bureau, puis le copier sur le serveur dans le dossier opt.

  3. Préparez et installez le KVM (machine virtuelle basée sur le noyau) sur le serveur.

     

    Vérifiez que le serveur est à jour et prend en charge la virtualisation matérielle:

     

    Vérifier la version CentOS:

    $ cat/etc/issue

    CentOS Release 6,7 (final)

    Kernel sur un \m

     

    Mettre à jour le serveur:

    $ yum-y mise à jour

     

    Vérifier la prise en charge de la virtualisation matérielle:

    $ grep-E'SVM | VMX'/proc/cpuinfo

    drapeaux: processeur VME de PSE TSC MSR PAE MCE CX8 APIC Sep MTRR PGE MCA CMOV Pat pse36 clflush DTS ACPI MMX fxsr SSE SSE2 SS HT TM PBE syscall NX rdtscp LM constant_tsc arch_perfmon PEBS BTS rep_good xtopology nonstop_tsc aperfmperf PNI pclmulqdq dtes64 Monitor suivre VMX SMX est TM2 SSSE3 cx16 xtpr PDCM CCDI sse4_1 de sse4_2 x2apic POPCNT tsc_deadline_timer AES xsave AVX F16C rdrand lahf_lm ARAT EPB xsaveopt PLN pts DTS tpr_shadow vnmi FlexPriority EPT VPID fsgsbase RID SAE

     

    Si la sortie de la commande ci-dessus est vide, c'est une bonne idée de s'arrêter ici et de se procurer un serveur avec le support de virtualisation matérielle.

     

    Installer les binaires et les bibliothèques KVM:

    $ yum installer KVM python-virtinst libvirt libvirt-python Virt-Manager Virt-Viewer libguestfs-outil

    $ yum install policycoreutils-python bridge-utils

     

    Configurer libvirtd pour démarrer automatiquement sur Boot:

    $ chkconfig libvirtd sur

    $ Shutdown-r maintenant

     

    Après le redémarrage, vous devriez voir une nouvelle interface virbr0 qui est installée par l'installation de libvirt:

    $ ifconfig virbr0

  4. Créez les deux interfaces de pont supplémentaires à l'aide des scripts d'initialisation réseau:

     

    Désactivez Network Manager et fiez-vous aux scripts d'initialisation du réseau:

    $ CD/etc/sysconfig/network-scripts/

    $ chkconfig NetworkManager OFF

    Notez que si NetworManager n'est pas installé sur votre instance CentOS, cette commande va générer une erreur, ce qui est correct et vous pouvez procéder à l'avance.

    $ chkconfig Network on

     

    Créer des fichiers de sauvegarde pour une restauration potentielle:

    $ CP ifcfg-eth0 bak. ifcfg-eth0

    $ CP ifcfg-eth1 bak. ifcfg-eth1

     

    En outre, si eth1 a des adresses secondaires, celles-ci doivent être copiées comme suit:

    $ CP ifcfg-eth1-range0 ifcfg-BR1-range0

    $ MV ifcfg-eth1-range0 bak. ifcfg-eth1-range0

     

    De même, si vous avez un fichier d'itinéraire pour l'interface privée, tel que route-eth0 comme exemple pour cette topologie, il doit être copié comme suit:

    $ CP route-eth0 route-br0

    $ MV route-eth0 bak. route-eth0

     

    Créez une copie du script ifcfg-eth0 en tant que ifcfg-br0 et modifiez-la pour ressembler à ceci, notant que type = Bridge est une instruction sensible à la casse:

    $ CP ifcfg-eth0 ifcfg-br0

    $ VI ifcfg-br0

    Device = br0

    BOOTPROTO = static

    Type = pont

    ONBOOT = Oui

    Delay = 0

    NM_CONTROLLED = non

    IPADDR = 10.18.143.144

    Masque de réseau = 255.255.255.192

     

    Modifiez le script ifcfg-eth0 d'origine pour supprimer toutes les adresses IP et ajouter l'instruction Bridge = br0 afin que le script ressemble enfin à ceci:

    $ VI ifcfg-eth0

    Device = eth0

    BOOTPROTO = None

    ONBOOT = Oui

    HWaddr = 00:25:90: XX: YY: ZZ (remplacer par votre adresse Mac)

    NM_CONTROLLED = non

    Bridge = br0

     

    Créez une copie du script ifcfg-eth1 en tant que ifcfg-BR1 et modifiez-la pour ressembler à ceci, notant que type = Bridge est une instruction sensible à la casse:

    $ CP ifcfg-eth1 ifcfg-BR1

    $ VI ifcfg-BR1

    Device = BR1

    BOOTPROTO = static

    Type = pont

    ONBOOT = Oui

    Delay = 0

    NM_CONTROLLED = non

    IPADDR = 192.168.234.238

    Masque de réseau = 255.255.255.248

    Gateway = 192.168.234.233

     

    Modifiez le script ifcfg-eth1 d'origine pour supprimer toutes les adresses IP et ajouter l'instruction Bridge = BR1 afin que le script ressemble enfin à ceci:

    $ VI ifcfg-eth1

    Device = eth1

    BOOTPROTO = None

    ONBOOT = Oui

    HWaddr = 00:25:90: XX: YY: ZZ (remplacer par votre adresse Mac)

    NM_CONTROLLED = non

    Bridge = BR1

     

    Désactivez Netfilter sur les interfaces Bridge en éditant/etc/sysctl.conf et en ajoutant les 3 lignes ci-dessous:

    $ CP/etc/sysctl.conf/etc/sysctl.conf.bak

    $ VI/etc/sysctl.conf

    NET. Bridge. Bridge-NF-Call-ip6tables = 0

    NET. Bridge. Bridge-NF-Call-iptables = 0

    NET. Bridge. Bridge-NF-Call-arptables = 0

    $ sysctl-p/etc/sysctl.conf

     

    Alors que les deux nouvelles interfaces br0 et BR1 doivent être redémarrées automatiquement, comme mesure de précaution supplémentaire, ajoutez les instructions suivantes à/etc/rc.local:

    $ VI/etc/rc.local

    ifup br0

    ifup BR1

     

    Redémarrez la mise en réseau pour que les modifications prennent effet, puis redémarrez pour vous assurer que les nouvelles interfaces viennent après démarrage. Parfois, un redémarrage est nécessaire pour les adresses à changer.

    AVERTISSEMENT: avant de redémarrer, examinez le fichier ifconfig-BR1 pour vous assurer que tous les paramètres sont corrects et vérifiez que vous disposez d'un accès de gestion hors bande à ce serveur/Console au cas où l'interface Internet ne viendrait pas.

    $ service redémarrage du réseau

    $ ifconfig

    $ Shutdown – r maintenant

  5. Copiez l'image dans/var/lib/libvirt/images et installez la VM:

    $ CP/opt/PA-VM-KVM-7.0.1.qcow2/var/lib/libvirt/images

    $ virt-install--connect qemu:///System--Name = PA-VM--disque Path =/var/lib/libvirt/images/PA-VM-KVM-7.0.1.qcow2, format = qcow2, bus = virtio, cache = WriteThrough--vCPUs = 4--RAM = 4096--pont réseau = virbr0--pont réseau = br0--pont réseau = BR1--OS-type = Linux--OS-variant = rhel6--Import

  6. Connectez-vous à la console et paramétrez l'interface de gestion:

    $ virsh console PA-VM

    > configurer

    # Set deviceconfig système IP-adresse 192.168.122.3 netmask 255.255.255.0 par défaut-Gateway 192.168.122.1 DNS-Setting serveurs primaires 8.8.8.8

    commit #

  7. Vérifiez la connectivité à partir du serveur CentOS:

    admin $ SSH @ 192.168.122.3

  8.  Après vous être connecté à la VM-Series via ssh:

    > Debug afficher VM-Series toutes les interfaces

    Phoenix_interface base-OS_port base-OS_MAC PCI-ID Driver

    Management eth0 52:54:00: YY: YY: 27 0000:00:03.0 virtio_net

    Ethernet1/1 eth1 52:54:00: AA: YY: a5 0000:00:04.0 virtio_net

    Ethernet1/2 eth2 52:54:00: AA: YY: 6D 0000:00:05.0 virtio_net

    admin@PA-VM >

  9.  Configurez le pare-feu via CLI et validez les modifications.

     

    Configurez l'interface E1/1 en tant que membre de la zone de confiance Layer 3. S'il vous plaît noter que cela est inversé de la topologie typique de Palo Alto réseaux de E1/1 dans la zone de non-Trust pour correspondre à la nomenclature de l'interface serveur Bare-Metal.

    # Set Network Interface Ethernet ethernet1/1 Layer3 IP 10.18.143.145/26

    # Set zone Trust réseau Layer3 ethernet1/1

    # Set réseau Virtual-Router interface par défaut ethernet1/1

     

    Configurez l'interface et la zone Untrust E1/2:

    # Set Network Interface Ethernet ethernet1/2 Layer3 IP 172.16.77.170/30

    # Set zone Untrust réseau Layer3 ethernet1/2

    # Set réseau Virtual-Router interface par défaut ethernet1/2

     

    Définissez l'itinéraire par défaut dans la VR par défaut:

    # Set réseau Virtual-Router par défaut de routage-table IP static-route par défaut de destination 0.0.0.0/0 nexthop IP-address 172.16.77.169

     

    Activer SSH et ping sur l'interface privée:

    # Set Network Profiles interface-Management-Profile allow_ping_ssh ping Oui SSH Oui

    # Set Network Interface Ethernet ethernet1/1 interface Layer3-gestion-profil allow_ping_ssh

     

    Activer SSH et ping sur l'interface privée:

    # Set Network Profiles interface-gestion-profil allow_ping ping Oui

    # Set Network Interface Ethernet ethernet1/2 interface Layer3-gestion-profil allow_ping

     

    Valider la config:

    commit #

     

     



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2lCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language