vRealize Network Insight es compatible con el firewall Palo Alto Panorama.

Nota: vRealize Network Insight no admite la integración de Palo Alto Panorama con varias instancias de NSX Manager.
Para agregar Palo Alto Panorama a vRealize Network Insight, el usuario de Palo Alto Networks debe tener la función de administrador con acceso a la API XML. En la interfaz de usuario de Palo Alto Networks, realice los siguientes pasos para agregar una función de administrador a la API XML.
  1. Seleccione Panorama > Funciones de administrador.
  2. Haga clic en Agregar para agregar una nueva función de administrador.
  3. Se abrirá la ventana Perfil de función de administrador.

  4. Introduzca el nombre de la función y seleccione Panorama.
  5. Haga clic en la pestaña Interfaz de usuario web y deshabilite todas las entradas.
  6. Haga clic en la pestaña API XML y deshabilite todas las entradas, excepto Configuración y Solicitudes operativas.
  7. Haga clic en Aceptar para cerrar la ventana.

    Se mostrará la nueva función de administrador en la lista.

  8. Haga clic en Confirmar.
  9. Asigne esta función a una cuenta de administrador o cree un usuario nuevo y asigne esta función al nuevo usuario.
Las funciones de Palo Alto Networks compatibles con vRealize Network Insight son las siguientes:
  • Interrelación de entidades de Palo Alto y NSX: la membresía de máquina virtual de la dirección y del grupo de direcciones de Palo Alto Networks se calcula en función de la asignación de dirección IP a máquina virtual. Esta información de membresía se puede consultar de la siguiente manera:
    • VM where Address = <>
    • Palo Alto address where vm = <>
    • VM where Address Group = <>
    • Palo Alto address group where vm = <>
  • Consulta: puede realizar una consulta para todas las entidades de Palo Alto que son compatibles con vRealize Network Insight. Todas las entidades reciben un prefijo de Palo Alto. Algunas de las consultas son las siguientes:
    Tabla 1.
    Entidades Consultas
    Dirección de Palo Alto

    Palo Alto address where vm = <>

    VM where Address = <>

    Grupo de direcciones de Palo Alto

    Palo Alto address group where Translated VMs = <>

    VM where address group = <>

    Dispositivo de Palo Alto

    Palo Alto Device where Version = <>

    Palo Alto Device where connected = true

    Palo Alto Device where family = 'PA-5060'

    Dispositivo físico de Palo Alto Palo Alto Physical Device where model = 'PA-5060'
    Dispositivo de máquina virtual de Palo Alto Palo Alto VM Device where model = 'PA-VM'
    Grupo de dispositivos de Palo Alto

    Palo Alto Device Group where device = <>

    Palo Alto Device Group where address = <>

    Palo Alto Device Group where address group = <>

    Servicio de Palo Alto

    Palo Alto service where Port = <>

    Palo Alto service where Protocol = <>

    Grupo de servicios de Palo Alto Palo Alto service group where Member = <>
    Directiva de Palo Alto

    Palo Alto Policy where Source vm = <> and Destination vm = <>

    Palo Alto Policy where Source IP = <> and Destination IP = <>

    Firewall de Palo Alto Palo Alto firewall where Rule = <>
    Zona de Palo Alto Palo Alto Zone where device = <>
    Sistema virtual de Palo Alto

    Palo Alto Virtual System where Device = <>

    Palo Alto Virtual System where Device Group = <>

    Nota: Además de las consultas, también puede utilizar facetas para analizar los resultados de la búsqueda.
  • Ruta de máquina virtual a máquina virtual: como parte de la topología de máquina virtual a máquina virtual, vRealize Network Insight muestra el firewall de la serie Palo Alto para máquinas virtuales en el host. Las reglas aplicables se muestran al hacer clic en el icono Firewall. Si un dispositivo de firewall (dispositivo de enrutamiento) de la red de Palo Alto también está presente en la ruta de acceso, también se muestra ese dispositivo. Al hacer clic en el icono Dispositivo, puede ver información básica, como una tabla de enrutamiento, las interfaces y una tabla que contiene las reglas de firewall aplicadas.

  • Puede ver algunos eventos del sistema relacionados con los siguientes escenarios de Palo Alto Networks:
    • El dispositivo de Palo Alto no está conectado a Panorama (Manager).
    • NSX Manager no está registrado en Panorama.
    • No se encuentra el agente de tejido de NSX en el dispositivo ESX para Palo Alto.
    • No se encuentra el dispositivo de Palo Alto en el agente de tejido de Panorama para NSX.
    • Los datos de membresía de grupos de seguridad no están sincronizados.
  • Puede crear y registrar varias definiciones de servicios en Panorama con una determinada instancia de NSX Manager. Si hay diferentes clústeres de ESXi con cargas de trabajo que requieren que el firewall VM-Series procese el tráfico de forma diferente, se crean varias definiciones de servicio. Cada definición de servicio tiene un grupo de dispositivos asociado desde el que se seleccionan las directivas. Al mostrar la ruta de máquina virtual a máquina virtual en vRealize Network Insight, se debe tener en cuenta el conjunto correcto de directivas basadas en la información del clúster de la máquina virtual.

Ejemplo de panel de control Palo Alto Manager