PANOSをeve-ng/GNS3にdeployしてみた

■はじめに

　PANOSをDeployしてみた結果がまとまっている日本語サイトがないので幾つかDeployした内容をまとめました。
　仮想Labとして、フリーでの利用できるEve-ngとGNS3を利用しましたが、その他にフリーでは利用できませんがCML（Cisco modeling lab）もあります。マルチベンダーで利用できる仮想LabとしてはCMLは弱いため却下しています。ざっくり却下していますが詳細は本文内で別途記載します。

　現在のエンタープライズ向けインフラで、PaloaltoやBigip、A10などマルチベンダの機器を組み合わせて構築するのが当たり前の環境下でCMLは、Cisco製品のみに近い環境の仮想labのため、エンタープライズに向いていないです。その他にCMLの場合、yamlを作る必要があった気がしますが筆者はあまりわかりませんでした。

　今後のnoteで、仮想lab環境の比較についても触れられればと思います。esxiでもVMware workstation playerでも24時間機器を立ち上げられる環境がありリモートで入れるかどうかだけでもずいぶんネットワークエンジニア、セキュリティエンジニアの品質が変わってきます。

※Cisco社製品だけのラボが組みたい方や、CCNAを受験したい方「refplat（Ciscoの仮想ソフト一式が入った）」ISOが欲しい人にCMLはお勧めです。

以下、Cisco社のディスカッションの中でもCML、eveng、gns3についての記載が有りましたのでご参考までに。

Cisco Learning Network

EVE-NG vs CML vs GNS3

抜粋
Mahmoud Manaa「私はEVE-NGのライセンスを新しくしようと思っているのですが、CMLという選択肢を考えています。EVE-NGのことはよく知っているのですが、CMLについての情報はあまりありません。

CMLにある機能で、EVE-NGにないもの、あるいはEVE-NGと比べて良くないものは何でしょうか？」

CKnetworking「これは個人の嗜好に大きく左右されるので、答えるのが難しいところです。CMLとEVE-NGの基本機能は同じですが、VMの管理、GUI、新しいノードの作成/インポートなどの機能は（多かれ少なかれ）大きく異なります。」

chalosca「マルチベンダーを目指すならEVE-NGかGNS3だが、シスコだけをやるならCMLがいい、と誰かが言っていた。」

Mahmoud Manaa「私はGNS3とCMLを使っているので、同感だと思う。」

Martin L 「それはイメージの問題で、CMLが提供するイメージで、あなたが持っていないものが必要なのですか？　Eveに無料版があることはご存知でしょう！無料のEveを使いながら、CMLを入手することも可能でしょう？CMLはより多くのPCリソースを必要とします。CMLはGNSやEveと比べて動作が遅くなる。」

CKnetworking
＝＝以下長文

個人的な好みに大きく依存するため、お答えするのは難しいです。CMLとEVE-NGの基本的な機能は同じですが、VMの管理、GUI、新しいノードの作成/インポートなどの機能は（多かれ少なかれ）大きく異なります。

this is a tough one to answer as it depends heavily on your personal preferences. While the base functionality of CML and EVE-NG is the same, features like management of the VM, the GUI, creating/importing new nodes, ... differ (more or less) heavily.

これは私の個人的な意見です（CML vs. EVE-NG PRO）：
This is my personal opinion (CML vs. EVE-NG PRO):

特にVM自体のアップデート（OSやパッケージ）や、"External Connector "ノードのインターフェースのような追加機能の設定に関しては。
一方では、CMLの全体的なGUIはより現代的な外観を持ち、作業もより簡単に感じられます。一方、（デバイスにアクセスするための）仮想コンソールの実装は、EVE-NGの方がはるかに柔軟です（CMLではタブ化されているのに対し、EVE-NGでは自由に移動できる単一のオーバーレイウィンドウ）。
新しいノードの作成/インポートは、EVE-NGの方がはるかに簡単です。なぜなら、（特にサードパーティのノードには）あらかじめ定義されたノード定義がたくさん用意されているからです。ほとんどの場合、ノードイメージをアップロードするだけで完了します。
EVE-NGではWiresharkが直接統合されているため、パケットキャプチャが非常に簡単です（まるでPCに直接インストールしたかのように動作します）。
EVE-NGではリンク状態を（ある程度）サポートしており、"show ip interface brief "と入力すると "本当の "リンク状態が表示されます。CMLでは、インターフェイスがシャットダウンされていない場合、インターフェイスが接続されているかどうかに関係なく、"up/up "と表示されます。
EVE-NGではハードウェアリソース（CPUとRAM）のオーバープロビジョニングが可能で、理論上は無制限にノードを起動することができます。対照的に、CMLは十分なハードウェアリソースがない場合、新しいノードを起動しません。

The management of the CML VM is much easier (frontend and backend), especially when it comes to updating the VM itself (OS and packages) or configuring additional features like interfaces for the "External Connector" node.
On one hand, the overall GUI of CML has a more modern look and working with it feels more straightforward. On the other hand, the virtual console implemention (to access the devices) is much more flexible in EVE-NG (tabbed in CML vs. single overlay windows, which you can move freely around, in EVE-NG).
Creating/Importing new nodes is much easier in EVE-NG because there are so many pre-defined node definitions that come preloaded (especially for 3rd party nodes). Most often, you just have to upload the node image and that's it.
Packet capturing is way better and easier in EVE-NG because it has Wireshark directly integrated (feels and works like as if you have installed it directly onto your PC) and it can also run in the background without interrupting the capturing process.
Link state support (to some extent) is available in EVE-NG which means that when you enter "show ip interface brief" it shows you the "real" link state. In CML, if an interface is not shutdown, it just shows "up/up", regardless if an interface is connected or not.
Heavy overprovisioning of hardware resources (CPU and RAM) is possible in EVE-NG which means that you could theoretically start an unlimited amount of nodes. In contrast, CML won't start a new node if it doesn't have the sufficient hardware resources available.

gns3へのdeployについては以下のudemyがおすすめです。筆者も何回も見ました。udemy businessで見れる数少ない教材です。

28GB of files- GNS3: Installing network devices & VM on GNS3
Learn how to setup & build your own lab on GNS3 with various Cisco, Juniper, Palo Alto, Checkpoint etc. network devices.
評価: 3.4（5段階中）
583人の受講生
作成者:
最終更新日: 2022/8
英語

28GB of files- GNS3: Installing network devices & VM on GNS3

evengであればこちらがお勧め、EVE-NG Training Course to Build Virtual Labs
Learn EVE-NG & Network Attacks with Step by Step Lab Workbook

EVE-NG Training Course to Build Virtual Labs

■PANOSを片っ端からeve-ng/GNS3にdeployしてみた

本題に戻ります。ちなみに、10系の操作感（ログインの表示など）を手順化するときに利用したいため、10.1をevengにインストールしました。

eve-ng

Home -

環境　Welcome to Ubuntu 20.04.6 LTS (GNU/Linux 5.17.8-eve-ng-uksm-wg+ x86_64)

VM-Series Deployment Guide VM-Series System Requirements
→PANOSを実装する際に、vCPUは4コア、メモリーは最低10Gくらいあった方が良さそう

VM-Series System Requirements

(1)PaloAlto11.0.0(PA-VM-KVM-11.0.0)

1-1 【NG】GNS3  環境　CPU 4 RAM 10000 Ether 4 QEMU 2.12.0 QEMU x86_64  console telnet PANOS-11.0.0

表示：BootFailed could not read the boot disk

1-2 【NG】GNS3  環境 CPU 4 RAM 10000 Ether 4 QEMU 5.2.0 QEMU x86_64  console telnet PANOS-11.0.0

表示：BootFailed could not read the boot disk

まず、ESXi VMイメージかKVMイメージのどちらかを入手します。ESXi OVAしか入手できない場合は、以前の投稿にある手順に従ってVMDKイメージを取り出し、qcow2フォーマットに変換してください。変換されたVMDKイメージは、Palo Altoから直接入手したKVMイメージよりもかなり大きいことに注意してください： 8.5Gb対4.9Gbです。

EVE-NGのGUIでイメージが利用可能になったら、起動する前に利用可能なRAMを5632MBに増やしてください。

Start by obtaining either the ESXi VM image or KVM image. If you can only get the ESXi OVA follow the steps in a previous post here, to extract and convert the VMDK image into qcow2 format. It is worth noting that the VMDK converted image is significantly larger than the KVM image directly from Palo Alto: 8.5Gb vs 4.9Gb .

Once the image becomes available in the EVE-NG GUI, before you launch it make sure you increase the availble RAM to 5632MB otherwise once the VM has booted it will produce a steady stream of errors and refuse to let you login.

GNS3のPA-VMについて

タイトル未設定

簡単な日本訳と元の英文

Palo Alto knowledgebase documentation recommends 5.5Gb for a VM-50 series model.

From within the EVE-NG GUI before you start the Node, right-click ‘Edit’ to adjust the amount of RAM and also set the console type to ‘telnet’.

Next connect the Palo Alto Node to a Network object in the EVE-NG GUI. I have configured the EVE-NG VM with a single network adapter as type ‘Host-only’, this means I can only reach this subnet whilst on the host itself. By setting the network object to type ‘Cloud0’ it bridges the pnet0 adapter to eth0 VM network interface.

Next connec the Palo Alto ‘mgmt’ interface to the Cloud0 network object, in doing so connecting to the host-only subnet on the vmware Workstation host.