Panorama系列--(1)EVE-NG搭建Panorama测试环境
B站视频链接:https://www.bilibili.com/video/BV1r8411P7Dg
微信公众号:自刘地
这里介绍一下如何利用EVE-NG搭建Panorama测试环境。
[toc]
一、注意事项
- EVE-NG的低版本不支持Panorama镜像,例如
2.0.3-86版本就不支持。这里实验环境使用的是版本是5.0.1-13-Community,下载链接:https://www.eve-ng.net/index.php/download/#DL-COMM。 - Panorama与Paloalto防火墙版本需要保持一致,或者Panorama高于Paloalto防火墙的版本。这里实验环境Panorama与Paloalto都是用
10.2.0版本。另外测试时发现Paloalto防火墙10.2.3版本在EVE-NG环境中有Bug,无法正常启动。 - Paloalto防火墙在未激活的情况也可以测试大部分功能,但是Panorama不激活的情况下,无法管理Paloalto防火墙。
二、下载Panorama与Paloalto镜像
下载Panorama与Paloalto镜像文件,需要拥有Paloalto账号,登录https://support.paloaltonetworks.com/Updates后下载对应的镜像文件。
下载Paloalto防火墙10.2.0版本的镜像文件。
下载Panorama10.2.0版本的镜像文件。
三、EVE-NG 导入Paloalto与Panorama镜像
通过WinSCP软件连接EVE-NG,将下载的镜像文件上传到EVE-NG中,这里先存放到临时目录/root/temp中。
<img src="https://liuqianglong-blog.oss-cn-beijing.aliyuncs.com/img/image-20230110201656959.png" alt="" style="zoom:50%;" />
EVE-NG添加Paloalto防火墙的步骤。
# 查看镜像文件
root@eve-ng:~/temp# ls
Panorama-KVM-10.2.0.qcow2 PA-VM-KVM-10.2.0.qcow2
# 创建文件夹
root@eve-ng:~/temp# mkdir /opt/unetlab/addons/qemu/paloalto-10.2.0/
# 进入文件夹
root@eve-ng:~/temp# cd /opt/unetlab/addons/qemu/paloalto-10.2.0/
# 移动镜像文件
root@eve-ng:/opt/unetlab/addons/qemu/paloalto-10.2.0# mv /root/temp/PA-VM-KVM-10.2.0.qcow2 virtioa.qcow2
# 查看镜像文件
root@eve-ng:/opt/unetlab/addons/qemu/paloalto-10.2.0# ls
virtioa.qcow2
# 修复权限
/opt/unetlab/wrappers/unl_wrapper -a fixpermissions
EVE-NG添加Panorama的步骤。
# 为panorama镜像创建文件夹
root@eve-ng:~# mkdir /opt/unetlab/addons/qemu/panorama-10.2.0
# 进入文件夹
root@eve-ng:~# cd /opt/unetlab/addons/qemu/panorama-10.2.0/
# 移动镜像文件
mv /root/temp/Panorama-KVM-10.2.0.qcow2 virtioa.qcow2
# 为panorama添加日志硬盘
root@eve-ng:/opt/unetlab/addons/qemu/panorama-10.2.0# /opt/qemu/bin/qemu-img create -f qcow2 virtiob.qcow2 100G
Formatting 'virtiob.qcow2', fmt=qcow2 size=107374182400 encryption=off cluster_size=65536 lazy_refcounts=off refcount_bits=16
# 修复权限
root@eve-ng:/opt/unetlab/addons/qemu/panorama-10.2.0# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions
在EVE-NG中查看节点。
创建一个Panorama,CPU为16,RAM为32768(32GB),如果小于这个数值,启动后会有告警提示。
创建两个Paloalto防火墙,CPU为2,RAM为6144(6GB),如果内存小于5.5GB,将无法启动。
默认Panorama和防火墙的管理口会通过DHCP获取地址,如果想要手动配置静态IP地址,可以通过如下命令配置。
set deviceconfig system type static
set deviceconfig system ip-address 10.1.1.1 netmask 255.255.255.0 default-gateway 10.1.1.254 dns-setting servers primary 114.114.114.114
Panorama启动后初始化截图。
<img src="https://liuqianglong-blog.oss-cn-beijing.aliyuncs.com/img/image-20230110210337292.png" alt="" style="zoom:50%;" />
Paloalto2防火墙启动后初始化截图。
<img src="https://liuqianglong-blog.oss-cn-beijing.aliyuncs.com/img/image-20230110211036736.png" alt="" style="zoom:50%;" />
四、Panorama与Paloalto激活并添加管理
登录Paloalto网页:https://support.paloaltonetworks.com/SupportAccount/FirewallFlexDashboard,创建一个新的授权配置文件。
CN-Series是各类容器与容器管理平台中的容器版本防火墙。
Flexible vCPUs会根据系统分配的vCPU和内存,来决定防火墙的型号。
勾选For Management表示使用Panorama。
生成Panorama的序列号。
输入序列号,激活Panorama。激活会重启Panorama,需要等待较长时间,如果长时间没有启动成功,可以在EVE-NG中Stop虚拟机,然后重新Start。
在Paloalto1和Paloalto2防火墙上,输入激活码,激活防火墙。激活会重启Paloalto防火墙,需要等待较长时间,如果长时间没有启动成功,可以在EVE-NG中Stop虚拟机,然后重新Start。
Panorama激活成功。
Paloalto防火墙激活成功。
在Panorama上添加Paloalto防火墙,输入两台防火墙的序列号之后,拷贝认证密钥,最后提交配置到Panorama。
在Paloalto1防火墙上添加Panorama的IP地址,以及认证密钥信息,最后提交配置到Paloalto。
在Panorama上查看连接状态。
五、文档链接
- Panorama Administrator's Guide :https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin
- EVE-NG 下载:https://www.eve-ng.net/index.php/download/#DL-COMM
- EVE-NG导入Paloalto:https://www.eve-ng.net/index.php/documentation/howtos/howto-add-palo-alto/
- EVE-NG导入Panorama:https://www.eve-ng.net/index.php/documentation/howtos/palo-panorama/
- EVE-NG镜像命名:https://www.eve-ng.net/index.php/documentation/qemu-image-namings/
- Paloalto下载镜像文件:https://support.paloaltonetworks.com/Updates