Especificaciones de VNF de Palo Alto Networks
Licencia
Los productos Bring Your Own License (BYOL) requieren una licencia válida. Usted es responsable de adquirir y gestionar sus propias licencias de Palo Alto Networks. Para adquirir una licencia de software, póngase en contacto con su representante de ventas de Palo Alto Networks o con sus socios.
Soporte
El soporte de Palo Alto Networks está disponible para las licencias BYOL. Póngase en contacto con su representante de ventas o socio de Palo Alto Networks para adquirir un contrato de licencia y asistencia.
Palo Alto Networks – Firewall serie VM
- Para una visión general técnica, consulte la Hoja de especificaciones de la serie VM.
- Para obtener documentación, consulte Documentación de la serie VM.
- PAN-OS 10.1 Notas de la versión.
| 2 Cores | 4 Cores | 8 Cores | 16 Cores | |
|---|---|---|---|---|
| Memory | 8 GB | 16 GB | 48 GB | 56 GB |
| Software Package | VM-100 | VM-100 VM-300 | VM-100 VM-300VM-500 | VM-100 VM-300 VM-500 VM-700 |
| Virtual Data Interfaces Supported (Default/Max) | 10 / 10 | 10 / 19 | ||
| System Reserved Interfaces | Management | |||
| Available License Type | BYOL | |||
| Access Methods | SSH Web Console | |||
| Image Version | See Available Image Versions | |||
| Restricted CLI Commands | None | |||
| Deployment Options | Single Redundant Cluster |
Tipos de implantación
Hay tres tipos de despliegue disponibles para VM-Series Firewall.
| Deployment Type | Description |
|---|---|
| Single | Provision a single device that operates as a standalone device. Another single device can be paired with the existing single device (requires same resource configuration) to form a local redundancy (redundancy in single metro) or geo-redundancy (each device operates in different metro). For more information see Creating a VM-Series Firewall |
| Redundant | Provision two firewall devices. Each device operates individually, and you are responsible for configuring those in an Active-Active fashion. You have the option of deploying both devices in two different metros (recommended) to achieve distributed architecture or keep both devices in the same metro. |
| Cluster | Provision two firewall devices with Active-Standby redundancy in a single metro. (No geo-redundancy option available.) For more information, see Creating a Clustered VM-Series Firewall |
Soporte de licencias VCPU Flex para cortafuegos serie VM
Network Edge admite modelos de licencia de vCPU fijos y flexibles. Una licencia de vCPU flexible requiere una versión específica de PAN-OS. Necesitará un código de autenticación (código alfanumérico de 8 o 9 dígitos) al crear un VNF de firewall VM-Series.
Al aprovisionar un NGFW de la serie VM con la opción BYOL, se requiere que el usuario proporcione un token de licencia durante el flujo de trabajo de creación del dispositivo en el portal de Equinix Fabric. El token de licencia también se denomina Auth Code (código alfanumérico de 8 o 9 dígitos). Para obtener más información sobre los tipos de licencia de la serie VM, consulte la documentación de Palo Alto Networks.
Generación de un Auth Code
Genere el Auth Code creando el perfil de despliegue en el portal de asistencia al cliente de Palo Alto Networks. El perfil de despliegue define el número de NGFW y conjuntos de funciones que se pueden asignar y activar en función del crédito que proporcione. Este documento asume que ya tiene acceso al Portal de asistencia al cliente de Palo Alto Networks y que ha activado su crédito. Para obtener más información sobre la creación de perfiles de despliegue, consulte la documentación de Palo Alto Networks.
Para aprovisionar Network Edge Palo Alto Network VM-Series VNF, solo necesita el CÓDIGO DE AUTENTICACIÓN. NO ES NECESARIO registrar el firewall con la información UUID, CPUID, número de vCPU y memoria.
Uso del código de autenticación
Cuando esté creando su dispositivo, introduzca el Auth Code en el campo License File (BYOL). Cuando cree tipos de despliegue redundantes o en clúster, utilice el Auth Code asociado a su perfil de despliegue. Por ejemplo, si asigna suficientes cortafuegos y núcleos VCPU en el mismo perfil de despliegue, utilice el mismo Auth Code para el dispositivo redundante o en clúster. Si su perfil de despliegue no tiene asignados suficientes cortafuegos o núcleos VCPU, entonces puede utilizar diferentes Auth Code generados con perfiles de despliegue separados.
En la sección Recursos del dispositivo, seleccione el tipo de recurso que se ajuste a la asignación de CPU de su perfil de despliegue. Por ejemplo, si su perfil de despliegue asigna sólo 8 núcleos vCPU e intenta seleccionar una asignación de 16 núcleos/56 GB de memoria, el registro del Auth Code fallará. En este caso sus opciones de recursos disponibles serán 2 núcleos, 4 núcleos u 8 núcleos.
En la sección Versión de software, seleccione 10.1.3 o superior. La licencia Flexible vCPU sólo es compatible con PAN-OS 10.0.4 y superior. Si selecciona PAN-OS 9.x.x, el registro de su Auth Code fallará y su número de serie será desconocido. Además, cuando solicite manualmente una licencia mediante CLI, verá un mensaje de error Server Error : Fallo al instalar la licencia. Se necesita memoria o vcpu para aplicar el perfil de despliegue FLEX en el dispositivo.
Asegúrese de que la versión de PAN-OS de su dispositivo de aprovisionamiento es 10.0.4 o superior cuando utilice la licencia Flexible vCPU.
Una vez completada la creación del dispositivo, se instanciará su VNF Network Edge con el CÓDIGO AUTH adecuado. Se genera un número de serie y se registra automáticamente en el portal de asistencia al cliente de Palo Alto Networks. Puede validar el registro comparando la salida CLI «Mostrar información del sistema» y el número de serie que se muestra en Dispositivos NGFW de software en el portal de asistencia al cliente de Palo Alto. Tenga en cuenta que el UUID utilizado en la página Detalles del dispositivo del portal Equinix Fabric y el UUID mantenido en PAN-OS son diferentes.
Solución de problemas relacionados con el código de autenticación
Incluso si se introduce un código de autenticación no válido durante el flujo de trabajo de creación de VNF, el portal continúa con este código y completa el proceso de aprovisionamiento del dispositivo. Dependiendo del tipo de implementación, observará diferentes estados de aprovisionamiento.
La siguiente tabla resume las posibles causas de los problemas de Auth Code y las medidas que se deben tomar a continuación.
| Possible Root Causes | Provisioning State | Next Steps |
|---|---|---|
| Auth Code is not valid | Single or Redundant Device Provisioning status shows Provisioned. However, your serial number will not be generated and registered to the Palo Alto Customer Support Portal. To validate, use the web console in Device Details > Tools to access your CLI console and check your serial number using show system info. If an invalid Auth Code is used, the serial number value will be unknown. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see VM Device License Installed message in the CLI console. |
| Auth Codes for both primary and secondary devices are not valid. Auth Codes for either primary or secondary devices are not valid. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Use CLI command request license fetch auth-code <your_auth_code> from the SSH or Web Console to manually trigger the Auth Code registration process. Once you provide a valid Auth Code, you will see a VM Device License Installed message in the CLI console. You will see an Update the license file via the console to proceed message. Select the acknowledgment statement and click Confirm to bring both VNF instances to a Provisioned state. |
| Auth Codes for both devices are valid, but there are no adequate credits available for both cluster devices to be deployed. | Cluster Device - Device Provisioning Status shows License Error on both cluster devices, and License Status shows Registration Failed. | Log in to the Palo Alto Networks Customer Support Portal and verify that the Auth Code has adequate credits to deploy two VM series firewalls. |
Desactivación de su VNF de Palo Alto Networks VM-Series
Si va a desaprovisionar (eliminar) una VNF, asegúrese de desactivar su licencia de la VNF. Es posible que tenga que configurar su PAN-OS para que admita la clave API para interactuar con el portal de asistencia al cliente de Palo Alto Network para la desactivación.
Puede desactivar manualmente su licencia. Para obtener más información, consulte la documentación de Palo Alto Networks.
Prisma SD-WAN de Palo Alto Networks
| 2 Cores | 4 Cores | 8 Cores | |
|---|---|---|---|
| Memory | 8 GB | 8 GB | 32 GB |
| Software Package | Virtual ION (3103v) | Virtual ION (3103v) Virtual ION (3104v) | Virtual ION (3103v) Virtual ION (3104v) Virtual ION (7108v) |
| Virtual Data Interfaces Supported | 10 / 10 | ||
| System Reserved Interfaces | Controller Port 1 (WAN1) Port 2 (WAN2) | ||
| Available License Type | BYOL | ||
| Access Methods | SSH Prime Orchestrator | ||
| Image Version | See Available Image Versions | ||
| Vendor Throughput Information | Prisma SD-WAN Instant-On Network (ION) Device Specifications | ||
| Vendor Product Specs | https://www.paloaltonetworks.com/sase/sd-wan.html |
Creación de dispositivos SD-WAN Prisma de Palo Alto Networks
Al crear tu dispositivo, tendrás que especificar:
- Clave de licencia - Introduzca su clave de licencia.
- Secreto de licencia - Introduzca su frase secreta de licencia.
Los dispositivos SD-WAN pueden lanzarse utilizando las API de Network Edge. Para obtener más información, consulte API de Network Edge - Crear dispositivo SD-WAN