Panorama系列--(1)EVE-NG搭建Panorama测试环境

Panorama系列--(1)EVE-NG搭建Panorama测试环境

B站视频链接：​​https://www.bilibili.com/video/BV1r8411P7Dg​​

微信公众号：自刘地

这里介绍一下如何利用EVE-NG搭建Panorama测试环境。

[toc]

一、注意事项

• EVE-NG的低版本不支持Panorama镜像，例如​​2.0.3-86​​版本就不支持。这里实验环境使用的是版本是​​5.0.1-13-Community​​，下载链接：​​https://www.eve-ng.net/index.php/download/#DL-COMM。​​
• Panorama与Paloalto防火墙版本需要保持一致，或者Panorama高于Paloalto防火墙的版本。这里实验环境Panorama与Paloalto都是用​​10.2.0​​版本。另外测试时发现Paloalto防火墙​​10.2.3​​版本在EVE-NG环境中有Bug，无法正常启动。
• Paloalto防火墙在未激活的情况也可以测试大部分功能，但是Panorama不激活的情况下，无法管理Paloalto防火墙。

二、下载Panorama与Paloalto镜像

下载Panorama与Paloalto镜像文件，需要拥有Paloalto账号，登录​​https://support.paloaltonetworks.com/Updates后下载对应的镜像文件。​​

下载Paloalto防火墙​​10.2.0​​版本的镜像文件。

下载Panorama​​10.2.0​​版本的镜像文件。

三、EVE-NG 导入Paloalto与Panorama镜像

通过WinSCP软件连接EVE-NG，将下载的镜像文件上传到EVE-NG中，这里先存放到临时目录​​/root/temp​​中。

<img src="​​https://liuqianglong-blog.oss-cn-beijing.aliyuncs.com/img/image-20230110201656959.png​​" alt="" style="zoom:50%;" />

EVE-NG添加Paloalto防火墙的步骤。

# 查看镜像文件
root@eve-ng:~/temp# ls
Panorama-KVM-10.2.0.qcow2  PA-VM-KVM-10.2.0.qcow2

# 创建文件夹
root@eve-ng:~/temp# mkdir /opt/unetlab/addons/qemu/paloalto-10.2.0/

# 进入文件夹
root@eve-ng:~/temp# cd /opt/unetlab/addons/qemu/paloalto-10.2.0/

# 移动镜像文件
root@eve-ng:/opt/unetlab/addons/qemu/paloalto-10.2.0# mv /root/temp/PA-VM-KVM-10.2.0.qcow2 virtioa.qcow2

# 查看镜像文件
root@eve-ng:/opt/unetlab/addons/qemu/paloalto-10.2.0# ls
virtioa.qcow2

# 修复权限
/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

EVE-NG添加Panorama的步骤。

# 为panorama镜像创建文件夹
root@eve-ng:~# mkdir /opt/unetlab/addons/qemu/panorama-10.2.0

# 进入文件夹
root@eve-ng:~# cd /opt/unetlab/addons/qemu/panorama-10.2.0/

# 移动镜像文件
mv /root/temp/Panorama-KVM-10.2.0.qcow2 virtioa.qcow2 

# 为panorama添加日志硬盘
root@eve-ng:/opt/unetlab/addons/qemu/panorama-10.2.0# /opt/qemu/bin/qemu-img create -f qcow2 virtiob.qcow2 100G
Formatting 'virtiob.qcow2', fmt=qcow2 size=107374182400 encryption=off cluster_size=65536 lazy_refcounts=off refcount_bits=16

# 修复权限
root@eve-ng:/opt/unetlab/addons/qemu/panorama-10.2.0# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

在EVE-NG中查看节点。

创建一个Panorama，CPU为16，RAM为32768（32GB），如果小于这个数值，启动后会有告警提示。

创建两个Paloalto防火墙，CPU为2，RAM为6144（6GB），如果内存小于5.5GB，将无法启动。

默认Panorama和防火墙的管理口会通过DHCP获取地址，如果想要手动配置静态IP地址，可以通过如下命令配置。

set deviceconfig system type static
set deviceconfig system ip-address 10.1.1.1 netmask 255.255.255.0 default-gateway 10.1.1.254 dns-setting servers primary 114.114.114.114

Panorama启动后初始化截图。

<img src="​​https://liuqianglong-blog.oss-cn-beijing.aliyuncs.com/img/image-20230110210337292.png​​" alt="" style="zoom:50%;" />

Paloalto2防火墙启动后初始化截图。

<img src="​​https://liuqianglong-blog.oss-cn-beijing.aliyuncs.com/img/image-20230110211036736.png​​" alt="" style="zoom:50%;" />

四、Panorama与Paloalto激活并添加管理

登录Paloalto网页：​​https://support.paloaltonetworks.com/SupportAccount/FirewallFlexDashboard，创建一个新的授权配置文件。​​

CN-Series是各类容器与容器管理平台中的容器版本防火墙。

Flexible vCPUs会根据系统分配的vCPU和内存，来决定防火墙的型号。

勾选​​For Management​​表示使用Panorama。

生成Panorama的序列号。

输入序列号，激活Panorama。激活会重启Panorama，需要等待较长时间，如果长时间没有启动成功，可以在EVE-NG中Stop虚拟机，然后重新Start。

在Paloalto1和Paloalto2防火墙上，输入激活码，激活防火墙。激活会重启Paloalto防火墙，需要等待较长时间，如果长时间没有启动成功，可以在EVE-NG中Stop虚拟机，然后重新Start。

Panorama激活成功。

Paloalto防火墙激活成功。

在Panorama上添加Paloalto防火墙，输入两台防火墙的序列号之后，拷贝认证密钥，最后提交配置到Panorama。

在Paloalto1防火墙上添加Panorama的IP地址，以及认证密钥信息，最后提交配置到Paloalto。

在Panorama上查看连接状态。

五、文档链接

• Panorama Administrator's Guide ：​​https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin​​
• EVE-NG 下载：​​https://www.eve-ng.net/index.php/download/#DL-COMM​​
• EVE-NG导入Paloalto：​​https://www.eve-ng.net/index.php/documentation/howtos/howto-add-palo-alto/​​
• EVE-NG导入Panorama：​​https://www.eve-ng.net/index.php/documentation/howtos/palo-panorama/​​
• EVE-NG镜像命名：​​https://www.eve-ng.net/index.php/documentation/qemu-image-namings/​​
• Paloalto下载镜像文件：​​https://support.paloaltonetworks.com/Updates​​