vRealize Network Insight unterstützt die Palo Alto Panorama-Firewall.

Hinweis: vRealize Network Insight unterstützt die Palo Alto Panorama-Integration in mehrere NSX-Manager nicht.
Um das Palo Alto Panorama in vRealize Network Insight hinzuzufügen, benötigt der Palo Alto Networks-Benutzer die Administratorrolle mit Zugriff auf die XML-API. Führen Sie auf der Benutzeroberfläche Palo Alto-Netzwerke die folgenden Schritte aus, um eine Administratorrolle für die XML-API hinzuzufügen.
  1. Klicken Sie auf Panorama > Administratorrollen.
  2. Klicken Sie auf Hinzufügen, um eine neue Administratorrolle hinzuzufügen.

  3. Das Fenster „Admin-Rollenprofil“ wird geöffnet.

  4. Geben Sie den Namen für die Rolle ein und klicken Sie auf Panorama.
  5. Klicken Sie auf die Registerkarte Web-UI und deaktivieren Sie alle Einträge.
  6. Klicken Sie auf die Registerkarte XML-API und deaktivieren Sie alle Einträge außer Konfiguration und Betriebsanforderungen.
  7. Klicken Sie auf OK, um das Fenster zu schließen.

    Die neue Administratorrolle wird in der Liste angezeigt.

  8. Klicken Sie auf Übernehmen.
  9. Weisen Sie diese Rolle einem Administratorkonto zu oder erstellen Sie einen neuen Benutzer und weisen Sie ihm diese Rolle zu.
Die Palo Alto-Netzwerkfunktionen, die von vRealize Network Insight unterstützt werden, lauten wie folgt:
  • Zusammenhang zwischen Palo Alto- und NSX-Einheiten: die VM-Mitgliedschaft der Adresse und der Adressgruppe von Palo Alto-Netzwerken wird basierend auf der Zuordnung von IP-Adresse zu VM berechnet. Diese Mitgliedschaftsinformationen können wie folgt abgefragt werden:
    • VM where Address = <>
    • Palo Alto address where vm = <>
    • VM where Address Group = <>
    • Palo Alto address group where vm = <>
  • Abfrage: Sie können eine Abfrage für alle Palo Alto-Einheiten durchführen, die von vRealize Network Insight unterstützt werden. Allen Einheiten wird das Präfix „Palo Alto“ vorangestellt. Einige der Abfragen lauten wie folgt:
    Tabelle 1.
    Elemente Abfragen
    Palo Alto-Adresse

    Palo Alto address where vm = <>

    VM where Address = <>

    Palo Alto-Adressgruppe

    Palo Alto address group where Translated VMs = <>

    VM where address group = <>

    Palo Alto-Gerät

    Palo Alto Device where Version = <>

    Palo Alto Device where connected = true

    Palo Alto Device where family = 'PA-5060'

    Physisches Palo Alto-Gerät Palo Alto Physical Device where model = 'PA-5060'
    Palo Alto-VM-Gerät Palo Alto VM Device where model = 'PA-VM'
    Palo Alto-Gerätegruppe

    Palo Alto Device Group where device = <>

    Palo Alto Device Group where address = <>

    Palo Alto Device Group where address group = <>

    Palo Alto-Dienst

    Palo Alto service where Port = <>

    Palo Alto service where Protocol = <>

    Palo Alto-Dienstgruppe Palo Alto service group where Member = <>
    Palo Alto-Richtlinie

    Palo Alto Policy where Source vm = <> and Destination vm = <>

    Palo Alto Policy where Source IP = <> and Destination IP = <>

    Palo Alto-Firewall Palo Alto firewall where Rule = <>
    Palo Alto-Zone Palo Alto Zone where device = <>
    Virtuelles Palo Alto-System

    Palo Alto Virtual System where Device = <>

    Palo Alto Virtual System where Device Group = <>

    Hinweis: Mit Ausnahme der Abfragen können Sie auch Facets zur Analyse der Suchergebnisse verwenden.
  • VM-zu-VM-Pfad: Als Teil der VM-VM-Topologie zeigt vRealize Network Insight die Palo Alto VM Series-Firewall auf dem Host an. Die anwendbaren Regeln werden angezeigt, wenn Sie auf das Firewall-Symbol klicken. Wenn auch ein Firewall-Gerät (Routing-Gerät) des Palo Alto-Netzwerks im Pfad vorhanden ist, wird dieses Gerät ebenfalls angezeigt. Wenn Sie auf das Gerätesymbol klicken, werden die grundlegenden Informationen wie eine Routing-Tabelle, Schnittstellen und eine Tabelle mit den angewendeten Firewallregeln angezeigt.

  • Sie können einige Systemwarnungen anzeigen, die sich auf die folgenden Szenarien für Palo Alto Networks beziehen:
    • Palo Alto-Gerät ist nicht mit Panorama (Manager) verbunden.
    • NSX Manager ist nicht bei Panorama registriert.
    • NSX-Fabric-Agent wurde auf dem ESX für Palo Alto-Gerät nicht gefunden.
    • Palo Alto-Gerät wurde auf Panorama für NSX-Fabric-Agent nicht gefunden.
    • Nicht synchronisierte Daten der Sicherheitsgruppenmitgliedschaft
  • Sie können mehrere Dienstdefinitionen in Panorama mit einem bestimmten NSX Manager erstellen und registrieren. Wenn verschiedene ESXi-Cluster Arbeitslasten aufweisen, die erfordern, dass die VM-Series-Firewall den Datenverkehr unterschiedlich verarbeitet, werden mehrere Dienstdefinitionen erstellt. Jede Dienstdefinition verfügt über eine zugeordnete Gerätegruppe, aus der die Richtlinien entnommen werden. Beim Anzeigen des VM-VM-Pfads in vRealize Network Insight sollte basierend auf den Cluster-Informationen der richtige Satz von Richtlinien berücksichtigt werden.

Beispiel für ein Palo Alto Manager-Dashboard