跳至内容

创建Palo Alto Networks 群集 VM 系列防火墙

如果您使用 Panorama 应用程序管理您的设备,则需要在创建设备时输入 Panorama IP 地址身份验证密钥。Panorama 仅支持 10.1.12 及更高版本。

Palo Alto Networks VM 系列防火墙提供三种部署选项:单部署、冗余部署和集群部署。以下描述的配置选项适用于集群部署。单部署和冗余部署的配置选项请参阅创建 VM 系列防火墙

连接选项

Network Edge配置集群设备的方式因连接选项而异。请仔细阅读本节,了解将主设备和辅助设备配置为集群节点所需的步骤。

两种连接性选项(有或没有Equinix公共IP地址)在初始设备配置后,主节点和次节点之间都有链接。这些链接用于心跳通信,是集群部署所需的。

下表总结了基于连接类型的配置细节。

Connectivity TypeWith Equinix Public IP AddressWithout Equinix Public IP Address
使用场景此选项提供来自 Equinix 的公网 IP 地址,无需额外的虚拟连接即可管理虚拟设备。此选项会移除 Equinix 提供的公网 IP 地址分配,并在设备创建后将 VNF 与互联网隔离。如果需要通过托管机柜中运行的软件或通过专用虚拟连接来管理设备,建议选择此选项。
互联网连接Equinix 会为以下接口分配公网 IP 地址,并可通过互联网访问:管理 (MGMT)、以太网 1/1 (WAN)。不包含 Equinix 提供的公网 IP 地址。此选项需要您从网络服务提供商 (NSP) 或互联网服务提供商 (ISP) 获取单独的虚拟连接。有关更多信息,请参阅自带连接 - 远程 Fabric 端口
访问控制列表创建访问控制列表 (ACL) 以限制流向 VNF 管理 (MGMT) 或 WAN 接口的流量。ACL 选项不可用。可以针对来自任何专用虚拟连接的流量实施额外的补偿控制。
SSH 访问使用以太网 1/1 (WAN) 接口进行 SSH 访问。您需要生成一个 RSA 公钥(参见 ../../access-devices/ne-console-ssh-key.md)用于 SSH 访问,并在设备创建流程中进行配置(必需)。默认情况下不提供 SSH 访问。您需要创建一个用户名才能访问设备。一种方法是生成一个 RSA 公钥(参见 ../../access-devices/ne-console-ssh-key.md)用于 SSH 访问并进行配置。通过您的网络服务提供商 (NSP) 或互联网服务提供商 (ISP) 建立互联网连接。
设备管理对于集群设备,Panorama 访问权限只能映射到管理 (MGMT) 接口。对于集群部署,要访问 Panorama,需要先将虚拟连接(通过 BYOC 选项)分配给管理 (MGMT) 接口。
许可证注册在设备创建流程中提供授权码。当虚拟设备连接到 Palo Alto Networks 许可证注册服务器时,授权码将自动注册。设备创建流程中无需提供授权码。用户负责通过专用虚拟连接使用互联网访问(在线许可证注册)或离线模式许可证进行许可证注册。
集群设置集群设置会在设备创建工作流程中自动完成。用户需要手动配置集群设备。
内部高可用性连接默认情况下,千兆以太网接口 8 和 9 会自动配置为高可用性连接。您无法更改此配置。无需使用设备链路连接主设备和备用设备。选择任意两个接口用于心跳通信。主设备和备用设备的接口编号必须匹配。例如,如果主节点上配置了千兆以太网接口 5,则备用节点上也需要配置千兆以太网接口 5 来进行首次高可用性连接。每个节点需要分配两个接口用于高可用性连接。
内部高可用性配置默认情况下,在设备配置阶段会完成两台设备之间建立集群所需的所有配置。您无需进行任何额外的集群配置。您需要在上述两个接口(链路)上配置集群设置。示例配置请参见不使用 Equinix 公网 IP 地址的集群配置
授权码创建集群设备之前,需要生成主节点和辅助节点的授权码。这些授权码将自动用于设备配置,无需手动应用许可证。缺少授权码或授权码无效会导致配置失败。设备创建流程完成后,系统将生成主节点和辅助节点的相同授权码。您需要为每个虚拟网络功能 (VNF) 指定 CPU ID 和 UUID 才能生成授权码。设备配置完成后,您需要手动应用许可证。

在没有Equinix公有 IP 地址的情况下配置您的设备

如果您选择创建设备时不使用 Equinix 公网 IP 地址,则 VNF 将在 WAN 或管理接口上配置为无公网 IP 地址。您需要自行配置许可证注册、叠加网络配置和集群。

管理界面配置

以下是管理接口设置的示例配置,仅供参考。 命令

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

许可证注册

您需要手动将许可证添加到设备。您应该已经可以访问 Palo Alto Networks 客户支持门户(许可证门户),您可以在该门户中使用 UUID 和 CPU-ID 信息注册您的设备。使用门户中的许可证密钥将许可证添加到设备。许可证激活文档可从 Palo Alto Networks 文档 获取。

部署方案

场景 1:从托管机房管理防火墙(离线许可证注册),其中管理界面只能从连接到托管机房的网络访问离线许可证注册。

  1. 在网络边缘门户中创建 VM 系列防火墙 VNF 不带 Equinix 公共 IP 地址
  2. 用你的用户名和密码登录到主要和次要的VNF控制台。
  3. 在第一个接口(管理接口)上创建从 VNF 到共置的虚拟连接。
  4. 为两个VNF的管理接口分配一个IP地址。
  5. 确认主机托管空间内设备的IP可达性。
  6. 使用SSH从主机托管空间的设备访问VNF。
  7. 确定VNF的CPU ID和UUID。
  8. 访问Palo Alto Networks客户支持门户(License portal),为VNFs生成两个相同的许可证。
  9. 离线模式许可证应用于两个VNF。
  10. (可选)您可以通过在托管空间中配置的 Panorama 管理软件来管理 VNF。
  11. 从剩余的接口创建到云服务提供商(CSP)的虚拟连接。
  12. 继续使用离线设备管理进行软件更新。

场景 2:从 NSP 网络管理防火墙(在线许可证注册),管理界面可通过 NSP 虚拟连接或 BYOC 连接的接口访问。在线许可证注册。

  1. 在网络边缘门户中创建 VM 系列防火墙 VNF 不带 Equinix 公共 IP 地址
  2. 用你的用户名和密码登录到主要和次要的VNF控制台。
  3. 在第一个接口(管理接口)上创建一个从VNF到NSP的虚拟连接。
  4. 为两个VNF的管理接口分配一个IP地址。
  5. 确认NSP网络中设备的IP可达性。
  6. 使用SSH从NSP网络中的设备访问VNF。
  7. 访问Palo Alto Networks客户支持门户(License portal),为该VNF生成许可证和授权码。
  8. 将相同的授权代码应用于两个VNF。
  9. (可选)您可以通过在 NSP 网络中配置的 Panorama 管理软件来管理 VNF。
  10. 从剩余的接口创建与CSP的虚拟连接。

不使用Equinix公网 IP 地址的集群配置

如果您选择“不使用 Equinix 公网 IP 地址”的连接选项,则需要在每个节点上配置两个接口,以在主节点和辅助节点之间形成集群。以下是使用命令行界面 (CLI) 的配置示例。

主节点的示例配置:

set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha1 ip-address <Primary_HA1_IP> 
set deviceconfig high-availability interface ha1 netmask <NETMASK> 
set deviceconfig high-availability interface ha1-backup 

set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha2 ip-address <Primary_HA2_IP> 
set deviceconfig high-availability interface ha2 netmask <NETMASK> 
set deviceconfig high-availability group group-id <Group_ID> 
set deviceconfig high-availability group peer-ip <Secondary_IP> 
set deviceconfig high-availability group election-option device-priority <Priority> 
set deviceconfig high-availability group election-option timers recommended

set deviceconfig high-availability enabled yes 
set network interface ethernet ethernet1/<HA1_Interface> ha 
set network interface ethernet ethernet1/<HA2_Interface> ha

辅助节点的示例配置:

set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha1 ip-address <Secondary_HA1_IP> 
set deviceconfig high-availability interface ha1 netmask <NETMASK> 
set deviceconfig high-availability interface ha1-backup 

set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface> 
set deviceconfig high-availability interface ha2 ip-address <Secondary_HA2_IP> 
set deviceconfig high-availability interface ha2 netmask <NETMASK> 
set deviceconfig high-availability group group-id <Group_ID> 
set deviceconfig high-availability group peer-ip <Primary_IP> 
set deviceconfig high-availability group election-option device-priority <Priority> 

set deviceconfig high-availability enabled yes 
set network interface ethernet ethernet1/<HA1_Interface> ha 
set network interface ethernet ethernet1/<HA2_Interface> ha

有关使用管理软件的图形用户界面 (GUI) 进行配置的示例,请参阅 Palo Alto 文档中的配置 HA 集群

启用 FIPS 模式

默认情况下,Palo Alto Networks 虚拟防火墙设备上未启用 FIPS 模式,因此您需要启用它。

先决条件:

  • 通过公共 IP 或Colo通过 GUI 和 SSH 访问防火墙的管理界面。
  • 控制台访问虚拟设备。
  • 未经许可的Palo Alto VM;启用 FIPS 后,您需要手动加载许可证。
  • 设备配置的备份。
  • 深入了解Palo Alto防火墙操作。
  • 管理员密码需要采用 SHA256 加密。
  • 设备在管理接口上必须可以使用 SSH。
  • 对于 FIPS 模式,OTP 是强制性的。

  1. 使用 ssh 备份 VM1 的 HA 配置。

    > set cli config-output-format set
    > configure
    Entering configuration mode
    [edit]

    # show | match high-availability

  2. 在启用 FIPS 之前禁用 VM1 上的 HA 并提交配置。

  3. 通过控制台登录设备。

  4. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

  5. 在 MRT 中,选择设置 FIPS--CC 模式。保留默认值,选择“启用 FIPS-CC 模式”,然后按Enter键。目前不建议进行数据清理。

  6. 重新启动设备。

  7. 通过 SSH 连接到设备并删除以下默认配置。

    对于CLI ,登录时将显示以下消息。

    **** FIPS-CC 模式已启用 ****

    delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
    delete network ike crypto-profiles ike-crypto-profiles default encryption
    set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
    delete network ike crypto-profiles ike-crypto-profiles default dh-group
    set network ike crypto-profiles ike-crypto-profiles default dh-group group19

    删除网络 ike 加密配置文件 ipsec 加密配置文件默认 esp 加密

设置网络 IKE 加密配置文件 ipsec-crypto-profiles 默认 esp 加密 aes-256-cbc 删除网络 ike 加密配置文件 ipsec 加密配置文件默认 dh 组

强制

对 VM2 重复上述步骤。登录两个虚拟机的 GUI。FIPS-CC 模式应显示在初始登录页面上,并始终显示在 Web 界面底部的状态栏中。

每个 Palo Alto Networks 防火墙都有自己的高可用性密钥,可用于加密 HA1 流量(https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/high-availability/refresh-ha1-ssh-keys-and-configure-key-options#idf58348b2-b027-4864-8173-6a3ce3a98f8d)。该密钥需要从 VM1 导出并导入到 VM2。同样,VM2 的密钥也需要导出并导入到 VM1。

1. 登录到 VM2 的 GUI。转到设备 > 证书管理 > 证书 > 设备证书 > 导出 HA 密钥

    :::note
    确保密钥文件名不包含任何特殊字符。
    :::

1. 登录虚拟机 1 的 GUI:将虚拟机 2 的 HA 密钥上传到虚拟机 1。前往设备 > 证书管理 > 证书 > 设备证书 > 导入 HA 密钥

1. 登录虚拟机 1 的 GUI:从虚拟机 1 下载 HA 密钥。前往设备 > 证书管理 > 证书 > 设备证书 > 导出 HA 密钥

1. 登录虚拟机 2 的 GUI:将虚拟机 1 的 HA 密钥上传到虚拟机 2。前往设备 > 证书管理 > 证书 > 设备证书 > 导入 HA 密钥

1. 将以下行附加到步骤 1 中从 VM1 和 VM2 获取的备份 HA 配置。

    ```sh
    set deviceconfig setting auto-mac-detect yes
    set deviceconfig high-availability interface ha1 encryption enabled yes
    ```

1. 从各自的备份中将配置添加到 VM1 和 VM2,并通过 ssh 提交配置。

    ```
    > configure
    Entering configuration mode
    [edit]

    # <Load config>

    # commit
    ```

1. 在两台设备上加载许可证。

    ```sh
    request license fetch auth-code <auth-code>
    ```

    :::info[重要的]
    许可证应用成功后,设备将自动重启。
    :::

1. 如果需要,请登录主设备并同步两个设备之间的配置。

    ```sh
    request high-availability sync-to-remote running-config
    ```

此页面有帮助吗?