Panorama系列--(1)EVE-NG搭建Panorama测试环境

这篇文档介绍如何利用EVE-NG搭建Panorama测试环境。

一、注意事项

• EVE-NG的低版本不支持Panorama镜像，例如2.0.3-86版本就不支持。这里实验环境使用的是版本是5.0.1-13-Community，下载链接：https://www.eve-ng.net/index.php/download/#DL-COMM。
• Panorama与Paloalto防火墙版本需要保持一致，或者Panorama高于Paloalto防火墙的版本。这里实验环境Panorama与Paloalto都是用10.2.0版本。另外测试时发现Paloalto防火墙10.2.3版本在EVE-NG环境中需要编辑节点，在“QEMU custom options”中添加“-cpu host”参数才能启动。
• Paloalto防火墙在未激活的情况也可以测试大部分功能，但是Panorama不激活的情况下，无法管理Paloalto防火墙。

二、下载Panorama与Paloalto镜像

下载Panorama与Paloalto镜像文件，需要拥有Paloalto账号，登录https://support.paloaltonetworks.com/Updates 后下载对应的镜像文件。

下载Paloalto防火墙10.2.0版本的镜像文件。

下载Panorama10.2.0版本的镜像文件。

三、EVE-NG 导入Paloalto与Panorama镜像

通过WinSCP软件连接EVE-NG，将下载的镜像文件上传到EVE-NG中，这里先存放到临时目录/root/temp中。

EVE-NG添加Paloalto防火墙的步骤。

# 查看镜像文件
root@eve-ng:~/temp# ls
Panorama-KVM-10.2.0.qcow2  PA-VM-KVM-10.2.0.qcow2

# 创建文件夹
root@eve-ng:~/temp# mkdir /opt/unetlab/addons/qemu/paloalto-10.2.0/

# 进入文件夹
root@eve-ng:~/temp# cd /opt/unetlab/addons/qemu/paloalto-10.2.0/

# 移动镜像文件
root@eve-ng:/opt/unetlab/addons/qemu/paloalto-10.2.0# mv /root/temp/PA-VM-KVM-10.2.0.qcow2 virtioa.qcow2

# 查看镜像文件
root@eve-ng:/opt/unetlab/addons/qemu/paloalto-10.2.0# ls
virtioa.qcow2

# 修复权限
/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

EVE-NG添加Panorama的步骤。

# 为panorama镜像创建文件夹
root@eve-ng:~# mkdir /opt/unetlab/addons/qemu/panorama-10.2.0

# 进入文件夹
root@eve-ng:~# cd /opt/unetlab/addons/qemu/panorama-10.2.0/

# 移动镜像文件
mv /root/temp/Panorama-KVM-10.2.0.qcow2 virtioa.qcow2 

# 为panorama添加日志硬盘
root@eve-ng:/opt/unetlab/addons/qemu/panorama-10.2.0# /opt/qemu/bin/qemu-img create -f qcow2 virtiob.qcow2 100G
Formatting 'virtiob.qcow2', fmt=qcow2 size=107374182400 encryption=off cluster_size=65536 lazy_refcounts=off refcount_bits=16

# 修复权限
root@eve-ng:/opt/unetlab/addons/qemu/panorama-10.2.0# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

在EVE-NG中查看节点。

创建一个Panorama，CPU为16，RAM为32768（32GB），如果小于这个数值，启动后会有告警提示。

创建两个Paloalto防火墙，CPU为2，RAM为6144（6GB），如果内存小于5.5GB，将无法启动。

默认Panorama和防火墙的管理口会通过DHCP获取地址，如果想要手动配置静态IP地址，可以通过如下命令配置。

set deviceconfig system type static
set deviceconfig system ip-address 10.1.1.1 netmask 255.255.255.0 default-gateway 10.1.1.254 dns-setting servers primary 114.114.114.114

Panorama启动后初始化截图，默认的用户名和密码都是admin。

Paloalto2防火墙启动后初始化截图，默认的用户名和密码都是admin。

四、Panorama与Paloalto激活并添加管理

登录Paloalto网页：https://support.paloaltonetworks.com/SupportAccount/FirewallFlexDashboard，创建一个新的授权配置文件。

CN-Series是各类容器与容器管理平台中的容器版本防火墙。

Flexible vCPUs会根据系统分配的vCPU和内存，来决定防火墙的型号。

勾选For Management表示使用Panorama。

生成Panorama的序列号。

输入序列号，激活Panorama。激活会重启Panorama，需要等待较长时间，如果长时间没有启动成功，可以在EVE-NG中Stop虚拟机，然后重新Start。

在Paloalto1和Paloalto2防火墙上，输入激活码，激活防火墙。激活会重启Paloalto防火墙，需要等待较长时间，如果长时间没有启动成功，可以在EVE-NG中Stop虚拟机，然后重新Start。

Panorama激活成功。

Paloalto防火墙激活成功。

在Panorama上添加Paloalto防火墙，输入两台防火墙的序列号之后，拷贝认证密钥，最后提交配置到Panorama。

在Paloalto1防火墙上添加Panorama的IP地址，以及认证密钥信息，最后提交配置到Paloalto。

在Panorama上查看连接状态。

五、文档链接

• Panorama Administrator's Guide ：https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin
• EVE-NG 下载：https://www.eve-ng.net/index.php/download/#DL-COMM
• EVE-NG导入Paloalto：https://www.eve-ng.net/index.php/documentation/howtos/howto-add-palo-alto/
• EVE-NG导入Panorama：https://www.eve-ng.net/index.php/documentation/howtos/palo-panorama/
• EVE-NG镜像命名：https://www.eve-ng.net/index.php/documentation/qemu-image-namings/
• Paloalto下载镜像文件：https://support.paloaltonetworks.com/Updates