最近受到疫情影响,在家远程办公接入的需求增加,原有VPN已经饱和,为满足更多的用户安全接入,访问公司内部资源。

我们采用在内网VMware ESXI主机上部署一台Palo Alto VM-Series (4 vCPU, 9 GB),最大支持2000人的VPN并发;

首先介绍一下VMware ESXI环境中部署Palo Alto VM-Series方法。

首先,将Palo Alto VM-Series的OVF模板下载到本地。OVF模板可以使用自己Palo Alto support账号到支持网站下载(support.paloaltonetworks.com);也可以向Palo Alto的供应商索取OVF模板。

然后,就是部署Palo Alto VM-Series,具体步骤如下:

  1. 登录ESXI的Web UI管理界面,点击“创建/注册虚拟机”,在弹出的新窗口中选择“从OVF或OVA文件部署虚拟机”,再点击“下一页”按钮,进行部署,如下图所示:

Palo Alto VM-Series VMware ESXI环境部署方法_ESXI

Palo Alto VM-Series VMware ESXI环境部署方法_ESXI_02

  1. 当出现新的窗口输入虚拟系统名称,例如:“Palo Alto VM”;以及选择Palo Alto VM的ova文件,再点击“下一页”按钮进行部署,如下图所示:

Palo Alto VM-Series VMware ESXI环境部署方法_ESXI_03

  1. 当出现新的窗口时,我们这里选择的本地“标准”存储,当然你可以根据实际情况选择存储位置,再点击“下一页”。

Palo Alto VM-Series VMware ESXI环境部署方法_ESXI_04


* 这里选择的存储位置,是指Palo Alto VM-Series系统和日志存储位置;默认大小为60GB,若需要存储更多的日志,可以参考Palo Alto VM-Series部署手册,进行磁盘扩展即可。


  1. 当出现新的窗口时,选择网络映射,这里是映射Palo Alto VM-Series的管理接口,需要将映射到管理网段所在端口,例如“VM Network”,在点击“下一页”继续安装。如下图所示:

Palo Alto VM-Series VMware ESXI环境部署方法_ESXI_05

  1. 当出现新的窗口时,点击“完成”即可,这时会自动完成Palo Alto VM OVA文件的上传,上传完成后Palo Alto VM将会自动运行,因文件比较大,这个过程会比较长,需要多等待一会。如下图所示:

接着,就是部署Palo Alto VM-Series,管理地址初始化配置:

等待Palo Alto  VM-Series完全启动后(注意:这个过程比较长,需要多等待一些时间),这时可以使用初始用户名和密码登录(username:admin;Password:admin);VM-Series 9.1.0以后版本,初次登录要求修改密码;如下图所示:

Palo Alto VM-Series VMware ESXI环境部署方法_ESXI_06

密码修改完成后,就可以正常进入Palo Alto  VM-Series管理界面, Palo Alto  VM-Series默认管理IP地址为DHCP自动获取,若网络中无DHCP服务器;可以通过CLI命令配置管理接口IP地址,具体操作如下:

admin@PA-VM-1>Configure t

admin@ PA-VM-1 # Set deviceconfig system ip-address 192.168.31.90 netmask 255.255.255.0 default-gateway 192.168.31.1 type static

admin@ PA-VM-1 # commit

最后,就可以通过浏览器进行管理Palo Alto VM-Series,如下图所示:

Palo Alto VM-Series VMware ESXI环境部署方法_ESXI_07