vRealize Network Insight 支持 Palo Alto Panorama 防火墙。

注: vRealize Network Insight 不支持将 Palo Alto Panorama 与多个 NSX Manager 集成。
要在 vRealize Network Insight 中添加 Palo Alto Panorama,Palo Alto Networks 用户必须拥有具有 XML API 访问权限的 管理员角色。在 Paloalto 网络 UI 中,执行以下步骤以添加 XML API 的管理员角色。
  1. 选择 Panorama > 管理员角色
  2. 单击添加以添加新的管理员角色。
  3. 将打开“管理员角色配置文件”窗口。

  4. 输入角色的名称,然后选择 Panorama
  5. 单击 Web UI 选项卡,然后禁用所有条目。
  6. 单击 XML API 选项卡,并禁用除配置操作请求以外的所有条目。
  7. 单击确定关闭窗口。

    新的管理员角色将显示在列表中。

  8. 单击提交
  9. 将此角色分配给管理员帐户,或创建新用户并将此角色分配给新用户。
vRealize Network Insight 支持的 Palo Alto 网络功能如下所示:
  • Palo Alto 和 NSX 实体的相互关系:Palo Alto 网络的地址和地址组的虚拟机成员资格基于 IP 地址到虚拟机的映射进行计算。可以按以下方式查询此成员资格信息:
    • VM where Address = <>
    • Palo Alto address where vm = <>
    • VM where Address Group = <>
    • Palo Alto address group where vm = <>
  • 查询:可以对 vRealize Network Insight 支持的所有 Palo Alto 实体执行查询。所有实体都以 Palo Alto 为前缀。一些查询如下所示:
    表 1.
    实体 查询
    Palo Alto 地址

    Palo Alto address where vm = <>

    VM where Address = <>

    Palo Alto 地址组

    Palo Alto address group where Translated VMs = <>

    VM where address group = <>

    Palo Alto 设备

    Palo Alto Device where Version = <>

    Palo Alto Device where connected = true

    Palo Alto Device where family = 'PA-5060'

    Palo Alto 物理设备 Palo Alto Physical Device where model = 'PA-5060'
    Palo Alto 虚拟机设备 Palo Alto VM Device where model = 'PA-VM'
    Palo Alto 设备组

    Palo Alto Device Group where device = <>

    Palo Alto Device Group where address = <>

    Palo Alto Device Group where address group = <>

    Palo Alto 服务

    Palo Alto service where Port = <>

    Palo Alto service where Protocol = <>

    Palo Alto 服务组 Palo Alto service group where Member = <>
    Palo Alto 策略

    Palo Alto Policy where Source vm = <> and Destination vm = <>

    Palo Alto Policy where Source IP = <> and Destination IP = <>

    Palo Alto 防火墙 Palo Alto firewall where Rule = <>
    Palo Alto 区域 Palo Alto Zone where device = <>
    Palo Alto 虚拟系统

    Palo Alto Virtual System where Device = <>

    Palo Alto Virtual System where Device Group = <>

    注: 除了查询外,还可以使用面来分析搜索结果。
  • 虚拟机到虚拟机路径:作为虚拟机-虚拟机拓扑的一部分,vRealize Network Insight 在主机上显示 Palo Alto 虚拟机系列防火墙。单击防火墙图标时,将显示适用的规则。如果 Palo Alto 网络的防火墙设备(路由设备)也存在于路径中,则也会显示该设备。单击设备图标时,可以看到基本信息,如路由表、接口和包含已应用防火墙规则的表。

  • 可以查看与 Palo Alto 网络的以下方案相关的一些系统事件:
    • Palo Alto 设备未连接到 Panorama(管理器)
    • NSX Manager 未在 Panorama 中注册
    • 在 palo alto 设备的 ESX 上未找到 NSX 结构层代理
    • 在 NSX 结构层代理的 Panorama 上未找到 Palo alto 设备
    • 安全组成员资格数据不同步
  • 可以使用给定的 NSX Manager 在 Panorama 中创建和注册多个服务定义。如果不同的 ESXi 群集具有需要虚拟机系列防火墙以不同方式处理流量的工作负载,则创建多个服务定义。每个服务定义都具有从中选取策略的关联设备组。在 vRealize Network Insight 中显示虚拟机-虚拟机路径时,应考虑基于虚拟机群集信息的正确策略集。

Palo Alto Manager 仪表板示例