vRealize Network Insight 支援 Palo Alto Panorama 防火牆。

備註: vRealize Network Insight 不支援 Palo Alto Panorama 與多個 NSX Manager 整合。
若要在 vRealize Network Insight 中新增 Palo Alto Panorama,Palo Alto 網路使用者必須擁有具有 XML API 存取權的 管理員角色。在 Paloalto Networks 使用者介面中,執行下列步驟為 XML API 新增管理員角色。
  1. 選取 Panorama > 管理員角色
  2. 按一下新增以新增管理員角色。

  3. [管理員角色設定檔] 視窗隨即開啟。

  4. 輸入角色的名稱,然後選取 Panorama
  5. 按一下 Web 使用者介面索引標籤,並停用所有項目。
  6. 按一下 XML API 索引標籤,然後停用除組態運作要求之外的所有項目。
  7. 按一下確定以關閉視窗。

    新的管理員角色即顯示在清單中。

  8. 按一下認可
  9. 將此角色指派給管理員帳戶,或建立新使用者並將此角色指派給新使用者。
vRealize Network Insight 支援的 Palo Alto 網路功能如下所示:
  • Palo Alto 和 NSX 實體的關聯性:Palo Alto 網路的位址和位址群組的虛擬機器成員資格是以 IP 位址到虛擬機器之間的對應進行計算。可以透過下列方式查詢此成員資格資訊:
    • VM where Address = <>
    • Palo Alto address where vm = <>
    • VM where Address Group = <>
    • Palo Alto address group where vm = <>
  • 查詢:您可以對 vRealize Network Insight 支援的所有 Palo Alto 實體執行查詢。所有實體都以 Palo Alto 為前置詞。一些查詢如下所示:
    表 1.
    實體 查詢
    Palo Alto 位址

    Palo Alto address where vm = <>

    VM where Address = <>

    Palo Alto 位址群組

    Palo Alto address group where Translated VMs = <>

    VM where address group = <>

    Palo Alto 裝置

    Palo Alto Device where Version = <>

    Palo Alto Device where connected = true

    Palo Alto Device where family = 'PA-5060'

    Palo Alto 實體裝置 Palo Alto Physical Device where model = 'PA-5060'
    Palo Alto 虛擬機器裝置 Palo Alto VM Device where model = 'PA-VM'
    Palo Alto 裝置群組

    Palo Alto Device Group where device = <>

    Palo Alto Device Group where address = <>

    Palo Alto Device Group where address group = <>

    Palo Alto 服務

    Palo Alto service where Port = <>

    Palo Alto service where Protocol = <>

    Palo Alto 服務群組 Palo Alto service group where Member = <>
    Palo Alto 原則

    Palo Alto Policy where Source vm = <> and Destination vm = <>

    Palo Alto Policy where Source IP = <> and Destination IP = <>

    Palo Alto 防火牆 Palo Alto firewall where Rule = <>
    Palo Alto 區域 Palo Alto Zone where device = <>
    Palo Alto 虛擬系統

    Palo Alto Virtual System where Device = <>

    Palo Alto Virtual System where Device Group = <>

    備註: 除了查詢之外,也可以使用面來分析搜尋結果。
  • 虛擬機器至虛擬機器路徑:做為虛擬機器-虛擬機器拓撲的一部分,vRealize Network Insight 在主機上顯示 Palo Alto 虛擬機器系列防火牆。按一下防火牆圖示時,會顯示適用的規則。如果 Palo Alto 網路的防火牆裝置 (路由裝置) 也存在於路徑中,則也會顯示此裝置。按一下應用裝置圖示時,您會看到基本資訊,例如路由表、介面和包含已套用防火牆規則的資料表。

  • 您可以檢視與下列 Palo Alto Networks 案例相關的一些系統警示:
    • Palo Alto 裝置未連線至 Panorama (管理程式)
    • NSX Manager 未在 Panorama 登錄
    • 在 palo alto 裝置的 ESX 上找不到 NSX 網狀架構代理程式
    • 在 NSX 網狀架構代理程式的 Panorama 上找不到 Palo alto 裝置
    • 安全群組成員資格資料不同步
  • 您可以使用指定的 NSX manager 在 Panorama 中建立和登錄多個服務定義。如果不同的 ESXi 叢集具有需要虛擬機器系列防火牆以不同方式處理流量的工作負載,則您建立多個服務定義。每個服務定義都有從中選取原則的關聯裝置群組。在 vRealize Network Insight 中顯示虛擬機器-虛擬機器路徑時,應考慮基於虛擬機器叢集資訊的正確原則集。

Palo Alto Manager 儀表板範例