Palo Alto Deploy mô hình Lab Palo Alto - Phần 1

pluto

pluto

Moderator
LAB FIREWALL PALO ALTO

Phần 1: Deploy mô hình Lab Palo Alto

1.Mô hình Lab Palo Alto
1615733296928.png

Mô tả mô hình LAB PALO ALTO, các thành phần gồm:
  • PAN01: Thành phần Firewall Palo Alto 01
  • PAN02: Thành phần Firewall Palo Alto 02
  • VM TEST PAN 01: VM thuộc vùng mạng Internal 01
  • VM TEST PAN 02: VM thuộc vùng mạng Internal 02


Trên mỗi thành Firewall Palo Alto, có các interface sau:
  • ethernet1/1: Kết nối tới vùng mạng External
  • ethernet1/2: Kết nối tới vùng mạng Internal 01
  • ethernet1/3: Kết nối tới vùng mạng Internal 01
  • ethernet1/4: Được sử dụng làm đường HA1 giữa 2 thành phần Firewall
  • ethernet1/5: Được sử dụng làm đường HA1-Backup giữa 2 thành phần Firewall
  • ethernet1/6: Được sử dụng làm đường HA2 giữa 2 thành phần Firewall
1615733327131.png



1615733334311.png


2.Deploy mô hình LAB PAN trên vCenter
2.1 Deploy PAN
Tại host đặt VM, chọn ACTION:
1615733360877.png





Chọn Deploy OVF Template:
1615733430798.png



Chọn Local file , sau đó chọn UPLOAD FILES:
1615733449940.png




Chọn file PA-VM-ESX-10.0.0.ova , sau đó chọn Open:
1615733485944.jpeg





Đợi quá trình UPLOAD FILES hoàn tất, chọn NEXT:
1615733508482.jpeg




Đặt tên cho VM, chọn thư mục sau đó chọn NEXT:
1615733527913.jpeg



Chọn host lưu trữ VM, sau đó chọn NEXT:
1615733547361.jpeg




Review lại thông tin VM, sau đó chọn NEXT:
1615733566402.jpeg




Chọn VM Storage Policy FTT0-2, sau đó chọn vsanDatastore, rồi chọn NEXT:
1615733585613.jpeg



Tại bước select Network, tạm thời bỏ qua bước chọn VM Network, sẽ cấu hình tại phần sau, sau đó chọn NEXT:

1615733615284.jpeg




View lại cấu hình VM, sau đó chọn FINISH:
1615733638130.jpeg





Sau đó đi đến thư mục chứa VM, chọn VM, sau đó chọn ACTION, chọn Edit Settings:
1615733657064.jpeg




Sau đó thực hiện tùy chỉnh cấu hình như hình dưới đây, sau đó chọn OK:
1615733682425.jpeg




Sau đó chọn Power On VM:
1615733701806.jpeg




Sau đó chọn LAUNCH WEB CONSOLE:
1615733724349.jpeg




Sau đó đợi VM start, chú ý quá trình này có thể tốn nhiều thời gian , đợi cho đến khi quá trình này hoàn thành:
1615733750554.jpeg




Sau khi VM start thành công:
  • Đăng nhập với user/pasword mặc định: admin | admin.
  • Sau đó PAN sẽ yêu cầu nhập password mặc định, để đổi password mới.
1615733776959.jpeg






Sau đó sử dụng các câu lệnh sau để cấu hình IP MGMT cho PAN:
> configure ter
# set deviceconfig system type static
# set deviceconfig system ip-address 10.120.140.199 netmask 255.255.255.0 default-gateway 10.120.140.250 dns-setting servers primary 10.120.100.201
#commit
1615733811369.jpeg





Sau khi #commit , quá trình commit như sau:
1615733846767.jpeg





Sau khi commit thành công, tại thanh trình duyệt, nhập https://10.120.140.199, sau đó chọn Advanced, chọn Proceed to 10.120.140.199:

1615733863240.jpeg





Sau đó đăng nhập với admin và password mới:
1615733881105.jpeg



Như vậy, đã hoàn thành deploy một VM PAN lên vCenter, để deploy các VM PAN khác trong mô hình, thực hiện tương tự các bước trên.


3. Cấu hình PAN 01
3.1 Cấu hình Interfaces ethernet1/1
Chọn NETWORK, chọn Interfaces, sau đó chọn interface cần cấu hình, ở đây chọn ethernet1/1:
1615733926109.jpeg



a)Tại tab Config.
Cấu hình ethernet1/1 với thông tin như sau, sau đó chọn OK:
  • Interface Type: Layer3
  • Netflow Profile: None
  • Virtual Router: default
  • Security Zone: UNTRUST
Nếu trong lần đầu cấu hình, chưa có Security Zone, cần tạo như bước bên dưới.
1615733959790.jpeg





Nếu chưa có Security Zone, tạo Security Zone như sau, chọn New Zone khi Security Zone là None:
1615734123712.jpeg





Sau đó nhập Name là UNTRUST, sau đó cọn OK:
1615734163690.jpeg




b)Tại tab Ipv4
Chọn + Add để thêm địa chỉ IP:
1615734211080.jpeg




Sau đó nhập 10.120.10.245/24
1615734230441.jpeg




c)Tại tab Advanced
Chọn tab Advanced, chọn mũi tên đi xuống trong phần Management Profile, sau đó chọn Management Profile:
1615734288284.jpeg




Thiết lập như dưới đây, sau đó chọn OK:
  • Name: MGMT-Ping
  • Tích chọn: HTTPS, SSH, Ping.
1615734316047.jpeg




Sau khi hoàn tất cấu hình tại các tab Config, Ipv4, Advanced, sau đó chọn OK để hoàn tất cấu hình interface ethernet1/1:
1615734381671.jpeg




3.2 Cấu hình interface ethernet1/2
Chọn NETWORK, chọn Interfaces, sau đó chọn interface cần cấu hình, ở đây chọn ethernet1/2:
1615734402386.jpeg



a)Tại tab Config.
Cấu hình ethernet1/2 với thông tin như sau, sau đó chọn OK:
  • Interface Type: Layer3
  • Netflow Profile: None
  • Virtual Router: default
  • Security Zone: TRUST
Nếu chưa có Security Zone, cần tạo như bước bên dưới.
1615734464838.jpeg




Nếu chưa có Security Zone, tạo Security Zone như sau, chọn New Zone khi Security Zone chưa có Zone cần chọn:
1615734486668.jpeg




Sau đó nhập Name là TRUST, sau đó cọn OK:
1615734503786.jpeg




b)Tại tab Ipv4
Chọn + Add để thêm địa chỉ IP:
1615734520391.jpeg





Sau đó nhập 10.120.140.245/24
1615734535632.jpeg




c)Tại tab Advanced
Chọn tab Advanced, chọn mũi tên đi xuống trong phần Management Profile, sau đó chọn MGMT-Ping đã tạo ở trên:
1615734552054.jpeg





Sau khi hoàn tất cấu hình tại các tab Config, Ipv4, Advanced, sau đó chọn OK để hoàn tất cấu hình interface ethernet1/2:
1615734936755.jpeg




3.3 Cấu hình interface ethernet 1/3
Chọn NETWORK, chọn Interfaces, sau đó chọn interface cần cấu hình, ở đây chọn ethernet1/3:
1615735020531.jpeg


a)Tại tab Config.
Cấu hình ethernet1/3 với thông tin như sau, sau đó chọn OK:
  • Interface Type: Layer3
  • Netflow Profile: None
  • Virtual Router: default
  • Security Zone: TRUST
Nếu chưa có Security Zone, cần tạo như bước bên dưới.
1615735094660.jpeg





b)Tại tab Ipv4
Chọn + Add để thêm địa chỉ IP:
1615735113758.jpeg




Sau đó nhập 10.120.160.245/24
1615735128618.jpeg




c)Tại tab Advanced
Chọn tab Advanced, chọn mũi tên đi xuống trong phần Management Profile, sau đó chọn MGMT-Ping đã tạo ở trên:
1615735145557.jpeg




Sau khi hoàn tất cấu hình tại các tab Config, Ipv4, Advanced, sau đó chọn OK để hoàn tất cấu hình interface ethernet1/3:
1615735161601.jpeg





3.4 Cấu hình Static Route
Để cấu hình Static Route, chọn NETWORK, chọn Virtual Routers, chọn More Runtime Stats:
1615735181714.jpeg




Sau đó chọn Static Routes, tại tab IPv4 , chọn Add:
1615735196718.jpeg





Sau đó, hoành thành các thông tin như bên dưới, sau đó chọn OK:
  • Name: DEFAULT
  • Destination: 0.0.0.0/0
  • Interface: None
  • Next Hop: IP Address | 10.120.10.250
1615735214660.jpeg




Sau đó chọn OK để tiếp tục:
1615735228735.jpeg





3.5 Cấu hình Policy-NAT
a)Cấu hình Policy
Để thêm một Policy(trong trường hợp này tạo rule Any-Any cho phép tất cả traffic trên các máy đi qua PAN) , chọn POLICIES, chọn Security, chọn Add:
1615735246015.jpeg




Tại tab General, đặt tên cho Policy tại thẻ Name là Any-Any:
1615735265061.jpeg




Tại tab Source, trong phần SOURCE ZONE, click Add để chọn Zone TRUST, trong phần SOURCE ADDRESS chọn Any:
1615735279556.jpeg




Tại tab Destination, trong phần DESTINATION ZONE, click Add để chọn Zone UNTRUST, trong phần DESTINATION ADDRESS chọn Any:
1615735302004.jpeg




Tại tab Application, trong phần APPLICATIONS, chọn Any:
1615735323704.jpeg




Tại tab Service/URL Category, trong phần SERVICE , chọn any:
1615735338395.jpeg





Tại phần Action, chọn Allow , bật Log at Session End trong Log Setting, sau đó chọn OK để hoàn thành tạo Policy.
1615735354125.jpeg




b)Cấu hình NAT
Để cấu hình NAT cho PAN, chọn POLICIES, chọn NAT, sau đó chọn Add:
1615735375590.jpeg




Tại General , đặt tên Name là NAT-Internet:
1615735394155.jpeg




Tại tab Original Packet, trong phần SOURCE ZONE chọn TRUST, trong phần Destination Packet chọn UNTRUST:
1615735413936.jpeg





Tại tab Translated Packet, chọn theo thông tin dưới đây, sau đó chọn OK:
  • Translation Type: Dynamic IP And Port
  • Address Type: Interface Address
  • Interface: ethernet1/1
  • IP Address: 10.120.10.245/24
  • Translaton Type: None
1615735439129.jpeg





3.6 Commit
Sau khi hoàn thành các cấu hình , thực hiện Commit các cấu hình để apply vào PAN.

Chọn Commit trên góc phải,
1615735457603.jpeg




Chọn Commit All Chnges, sau đó chọn Commit:
1615735486059.jpeg




Đợi quá trình Commit hoàn tất:
1615735502506.jpeg




4. Deploy PANORAMA và VM test cho mô hình LAB PAN.
4.1 Deploy PANORAMA
Tại Host deploy VM, chọn ACTION, chọn Deploy OVF Template, đó chọn Local file, sau đó chọn UPLOAD FILES:
1615735544136.jpeg




Chọn file Panorama-ESX-10.0.0.ova, sau đó chọn Open:
1615735561118.jpeg




Xác nhận lại file đã chọn, sau đó chọn NEXT:
1615735576064.jpeg





Hoàn thành Virtual machine name, chọn thư mục chứa VM, sau đó chọn NEXT:
1615735598846.jpeg





Chọn host chứa VM, sau đó chọn NEXT:
1615735613913.jpeg




Review lại, sau đó chọn NEXT:
1615735626697.jpeg




Chọn Storage sau đó chọn NEXT:
1615735642941.jpeg



Tạm thời bỏ qua bước chọn networks, sẽ edit network trong các bước tiếp theo, sau đó chọn NEXT:
1615735685270.jpeg





Review lại cấu hình, sau đó chọn FINISH:
1615735706746.jpeg






Đợi quá trình Deploy OVF template hoàn thành:
1615735723173.jpeg




Sau khi quá trình Deploy OVF hoàn thành, chọn VM Panorama trong thư mục, chọn ACTION, chọn Edit Settings:
1615735742584.jpeg





Chọn các cấu hình theo hình dưới đây, sau đó chọn OK:
1615735757724.jpeg




Sau đó Power On VM:
1615735783454.jpeg



Sau khi Power On, chọn LAUCH WEB CONSOLE theo dõi quá trình boot của PAN-OS:
1615735798827.jpeg





Bắt đầu quá trình boot của PANOS:
1615735812697.jpeg




Đợi quá trình boot hoàn thành(có thể mất nhiều thời gian), đăng nhập với acount default(admin|admin), sau lần đăng nhập đầu tiên PANOS sẽ bắt buộc đổi mật khẩu, hoàn thành và đăng nhập với password mới:
1615735830752.jpeg





Sau đó sử dụng các câu lệnh sau để cấu hình IP MGMT cho PAN:
> configure ter
# set deviceconfig system type static
# set deviceconfig system ip-address 10.120.140.195 netmask 255.255.255.0 default-gateway 10.120.140.250 dns-setting servers primary 10.120.100.201
#commit

1615735866399.jpeg




Sau khi #commit , quá trình commit như sau:
1615735880439.jpeg




Sau khi commit thành công, tại thanh trình duyệt, nhập https://10.120.140.195 , sau đó chọn Advanced, chọn Proceed to 10.120.140.195:
1615735899492.jpeg




Sau đó đăng nhập với admin và password mới:
1615735916375.jpeg





4.2 Deploy VM test cho mô hình LAB PAN
Deploy một VM sử dụng Windows OS, sau đó cấu hình mạng cho mỗi VM như bên dưới.

VM TEST PAN 01: VM thuộc vùng mạng Internal 01
1615735935127.jpeg







VM TEST PAN 02: VM thuộc vùng mạng Internal 02
1615735951800.jpeg
 

Đính kèm

  • 1615733395087.png
    1615733395087.png
    176.8 KB · Lượt xem: 0
  • 1615733608746.jpeg
    1615733608746.jpeg
    120 KB · Lượt xem: 0
  • 1615735052652.jpeg
    1615735052652.jpeg
    76.1 KB · Lượt xem: 0
Bài viết liên quan
[LAB 05] Cấu hình interface layer 3 và tạo zone trên firewall PaloAlto bởi khanhle,
[LAB 01] Xây dựng và setup ban đầu cho firewall PaloAlto bởi khanhle,
[LAB 04] Cấu hình Download & Schedule Dynamic Firmware bởi khanhle,
[LAB 03] Cấu hình Active License trên firewall PaloAlto bởi khanhle,
[LAB 02] Cấu hình các thông tin quản trị, cơ bản trên firewall PaloAlto bởi khanhle,
Introduction Firewall Palo Alto Next-Generation bởi khanhle,
Bài viết mới
[LAB 05] Cấu hình interface layer 3 và tạo zone trên firewall PaloAlto bởi khanhle,
[LAB 01] Xây dựng và setup ban đầu cho firewall PaloAlto bởi khanhle,
[LAB 04] Cấu hình Download & Schedule Dynamic Firmware bởi khanhle,
[LAB 03] Cấu hình Active License trên firewall PaloAlto bởi khanhle,
[LAB 02] Cấu hình các thông tin quản trị, cơ bản trên firewall PaloAlto bởi khanhle,
Introduction Firewall Palo Alto Next-Generation bởi khanhle,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top