GNS3でPaloaltoの仮想アプライアンスのを用いてトポロジーを作成してみる

Tweet

GNS3上のPaloaltoで実際にトポロジーを作成し、各機器の疎通確認を行う。

目次

• 概要
• Cisco IOSの入ったルータを作成する
• Paloalto設定
• Ciscoルータ設定 & ケーブル接続
• 動作確認
 
 

概要

前回の記事ではMacbookのGNS3で、Paloaltoの仮想アプライアンスを動作させるところまで完了した。今回はこのPaloaltoを用いて実際にトポロジーを作成し、トポロジーに配置したNW機器からPaloaltoに疎通確認が出来るところまでやってみる。トポロジーは下記のように作成する。Paloaltoはホストオンリーアダプタ経由でGUIやCUIを用いて管理を行う。エミュレーションさせるCisco機器はCisco7200シリーズを使用する。IOSイメージは必ず正規の方法で入手を行うこと。

 
 
MacbookのGNS3でPaloaltoの仮想アプライアンスを動作させる方法は以下のリンクを参照。

MacbookのGNS3でPaloaltoの仮想アプライアンスを動作させてみる – Shadow-log

GNS3でPaloaltoを動かしてみる。 目次 概要 VirtualboxでPAN-OSを動作させる GNS3に組み込む 動作確認 ※PA-VM-ESX-X.X.X.ovaの入手にはパートナの権限が必要となるので注意。 概要 …

 
 

Cisco IOSの入ったルータを作成する

1.上のメニューバーの”GNS3″ -> “Preferences…”をクリックする。


2.右のメニューから”IOS routers”をクリックし、下の”New”をクリック。


3.”Run this IOS router on my local computer”にチェックを入れ”Next”をクリック。


4.ここではIOSイメージの選択を行う。”New Image”にチェックを入れ、IOS imageの項目を”Browse…”から選択する。IOSイメージを選択して”OK”を押すと、”Would you like to decompress this IOS image?”と聞かれるので”Yes”を選択する。



5.無事イメージを展開できたら”Next”。


6.警告が出るが”OK”で次に進める。(PowerPC用のOSなので使用を推奨しませんとかなんとか。。。)


7. ルータの表記名とプラットフォームを以下のように設定する。値を入れたら”Next”で次へ。

Name	Cisco 7200
Platform	c7200
Chassis	空欄



8.ルータに割り当てるRAMの量を決める。特に増やす必要はないので”Next”で次へ。


9.Cisco 7200に載せるモジュールを選択する。自分は全てのスロットにPA-GE(Gigabitethernet)の挿入した。設定が完了したら”Next”。


10.このまま動作させるとIOSがCPUリソースを食いまくるので、”Idle-PC finder”を押す事で、CPU使用率を自動で調整することができる。ただうまく動かない場合があるので、そのような場合は特に設定する必要は無し。”Finish”を押すとルータの作成は完了する。

 
これでほぼ準備完了なので、次に各機器にIPなどの設定を入れて疎通確認まで行ってみる。

 
 

Paloalto設定

1.まずは下記のトポロジーを作成するためにPaloaltoに設定を加える。INSIDE,OUTSIDEの2つのゾーンを作成し、インターフェイスにIPアドレスを設定する。INSIDEゾーンのインターフェイスからはpingを返すようにしたいので、その許可設定も投入する。ちなみにGUIだと説明が長くなってしまうので、CUIを使用して一気にコンフィグを投入する。

 
設定するIPアドレスは以下の通り。
ethernet1/1 : INSIDE : 172.16.1.1/24
ethernet1/2 : OUTSIDE : 172.16.2.1/24
 
以下、コンフィグ。

set cli pager off configure set network interface ethernet ethernet1/1 layer3 ip 172.16.1.1/24 set network virtual-router default interface ethernet1/1 set zone INSIDE network layer3 ethernet1/1 set network interface ethernet ethernet1/2 layer3 ip 172.16.2.1/24 set network virtual-router default interface ethernet1/2 set zone OUTSIDE network layer3 ethernet1/2 set network profiles interface-management-profile allow-icmp ping yes set network interface ethernet ethernet1/1 layer3 interface-management-profile allow-icmp commit

 
 
2.インターフェイスに割り当てられたIPアドレス、ゾーン、VRを確認する。以下のコマンドを実行。設定下通りになっていればOK。

show interface all

show interface all

admin@PA-VM> show interface all total configured hardware interfaces: 2 name id speed/duplex/state mac address -------------------------------------------------------------------------------- ethernet1/1 16 ukn/ukn/down(autoneg) 08:00:27:f4:19:d8 ethernet1/2 17 ukn/ukn/down(autoneg) 08:00:27:06:fd:5f aggregation groups: 0 total configured logical interfaces: 2 name id vsys zone forwarding tag address ------------------- ----- ---- ---------------- ------------------------ ------ ------------------ ethernet1/1 16 1 INSIDE vr:default 0 172.16.1.1/24 ethernet1/2 17 1 OUTSIDE vr:default 0 172.16.2.1/24

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

admin@PA-VM> show interface all   total configured hardware interfaces: 2   name                    id    speed/duplex/state        mac address       -------------------------------------------------------------------------------- ethernet1/1             16    ukn/ukn/down(autoneg)     08:00:27:f4:19:d8 ethernet1/2             17    ukn/ukn/down(autoneg)     08:00:27:06:fd:5f   aggregation groups: 0     total configured logical interfaces: 2   name                id    vsys zone             forwarding               tag    address                                         ------------------- ----- ---- ---------------- ------------------------ ------ ------------------ ethernet1/1         16    1    INSIDE           vr:default               0      172.16.1.1/24     ethernet1/2         17    1    OUTSIDE          vr:default               0      172.16.2.1/24

 
 
3.以下のコマンドを実行し、pingプロファイルが割り当てられているか確認する。

show interface ethernet1/1

show interface ethernet1/1

admin@PA-VM> show interface ethernet1/1 -------------------------------------------------------------------------------- Name: ethernet1/1, ID: 16 Link status: Runtime link speed/duplex/state: unknown/unknown/down Configured link speed/duplex/state: auto/auto/auto MAC address: Port MAC address 08:00:27:f4:19:d8 Operation mode: layer3 Untagged sub-interface support: no -------------------------------------------------------------------------------- Name: ethernet1/1, ID: 16 Operation mode: layer3 Virtual router default Interface MTU 1500 Interface IP address: 172.16.1.1/24 Interface management profile: allow-icmp ping: yes telnet: no ssh: no http: no https: no snmp: no response-pages: no userid-service: no Service configured: Zone: INSIDE, virtual system: vsys1 Adjust TCP MSS: no Policing: no -------------------------------------------------------------------------------- ・・・以下省略・・・

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

admin@PA-VM> show interface ethernet1/1   -------------------------------------------------------------------------------- Name: ethernet1/1, ID: 16 Link status:   Runtime link speed/duplex/state: unknown/unknown/down   Configured link speed/duplex/state: auto/auto/auto             MAC address:   Port MAC address 08:00:27:f4:19:d8 Operation mode: layer3 Untagged sub-interface support: no -------------------------------------------------------------------------------- Name: ethernet1/1, ID: 16 Operation mode: layer3 Virtual router default Interface MTU 1500 Interface IP address: 172.16.1.1/24 Interface management profile: allow-icmp   ping: yes  telnet: no  ssh: no  http: no  https: no     snmp: no  response-pages: no  userid-service: no Service configured: Zone: INSIDE, virtual system: vsys1 Adjust TCP MSS: no Policing: no --------------------------------------------------------------------------------   ・・・以下省略・・・

Paloalto側の設定はこれで完了。次にCiscoルータの設定とケーブルを繋いでみる。

 
 

Ciscoルータ設定 & ケーブル接続

1.”Cisco 7200″を2つ以下のように配置する。

 
 
2.ケーブルの以下のように接続。PaloaltoのポートのEthernet0はホストオンリーアダプタと接続されているので使用することはできない。
PA-VM ethernet1 <-> R1 Fa0/0
PA-VM ethernet2 <-> R2 Fa0/0

 
 
3.Ciscoルータに以下の設定を投入する。
・R1

conf t hostname R1 interface f0/0 ip address 172.16.1.2 255.255.255.0 no shutdown end ! copy run start

・R2

conf t hostname R2 interface f0/0 ip address 172.16.2.2 255.255.255.0 no shutdown end ! copy run start

とりあえず今回は設定はこれで完了。

 
 

動作確認

1.R1(INSIDE側)からPaloaltoにping(172.16.1.1)を打ち、疎通が取れるかを確認する。PaloaltoのINSIDE側のインターフェイスにはpingプロファイルが適用されているのでpingは通る。

ping result

R1#ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/10/12 ms R1# R1#

1 2 3 4 5 6 7

R1#ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/10/12 ms R1# R1#

 
 
2.R2(OUTSIDE側)からPaloaltoにping(172.16.2.1)を打ち、疎通が取れるかを確認する。PaloaltoのOUTSIDE側にはpingプロファイルが適用されていないのでpingが通らない。

ping result

R2#ping 172.16.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) R2#

1 2 3 4 5 6

R2#ping 172.16.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) R2#

 
 
3.mgmtのインターフェイス(172.16.0.2)への疎通確認はmacbook側から行える。また、「https://172.16.0.2/」でアクセスできれば疎通性を証明することが出来る。

 
・・・と、今回はここまで。大したことはしてないけど、ここまで構築するのも結構めんどくさい。。。次回記事を書く機会があれば、何らかのポリシーを適用し、動きなどを検証してみたいと思う。