EVE-NG Paloalto PA-VMのデプロイ手順（ver 11.0 .ovaファイル使用）

はじめに

EVE-NGでは様々なネットワーク機器をデプロイし検証することができ、FW（ファイアウォール）としては有名どころのPaloaltoのVM版もデプロイ可能です。
現在のPaloalto公式ソフトウェアダウンロードサイトでqemuで利用可能な.qcow2形式のイメージファイルが配布されているかはわかりませんが、以前は.ova形式のみで.qcow2形式は配布されておりませんでした。

しかし、EVE-NG公式のイメージデプロイ手順が更新されてからは.qcow2形式の場合を想定した手順しか記載がないため、メモとして.ova形式のイメージファイルをEVE-NG上でデプロイするための方法を残しておこうと思います。

～ 注意 ～

本記事ではEVE-NG上でPaloalto PA-VMの機器イメージをデプロイ可能にするまでを手順として残してます。従って、Paloaltoの設定関連については記載しておりません。

リソースと構成

■Paloalto PA-VM：11.0.0
・PA-VMのファイル名：PA-VM-ESX-11.0.0.ova

■デプロイ先環境
・デプロイ環境：EVE-NG 6.2.0-3-Community Edition

■使用するツール
・WinSCP
・Teraterm
・Google Chrome

※Paloalto PA-VMの10.2.3以上のイメージをEVE-NG上で利用するためにはEVE-NGのバージョンが最低でもv6.0以上である必要があります。
EVE-NG v6.0からqemuのバージョンアップがあったためかと思われます。

Paloalto PA-VMのデプロイ

１．EVE-NGサーバにPA-VMイメージファイルをアップロード

１．WinSCPを起動し以下情報でEVE-NG サーバーへ接続します。
　・ホスト名(H)：[EVE-NGサーバのIPアドレスまたはホスト名]
　・ユーザー名(U)：[rootユーザー]（デフォルトはroot）
　・パスワード(P)：[rootユーザーパスワード]（デフォルトはeve）

WinSCPの接続先入力画面

EVE-NGサーバにWinSCPで接続できると以下の画面の様に右側にEVE-NGサーバのフォルダが表示されます。（WinSCPの設定により変わりますがデフォルト設定の場合以下の表示になると思います）

EVE-NGサーバへWinSCPで接続できた画面

２．EVE-NGサーバ側のフォルダ階層で以下のフォルダへ移動します。
　・移動先フォルダ階層： /opt/unetlab/addons/qemu

初期構成状態のEVE-NGサーバの場合、上記フォルダ内には何もファイルやディレクトリが無い状態と思います。

/opt/unetlab/addons/qemuディレクトリへ移動した画面

３．EVE-NGサーバー側に以下の名前のディレクトリを作成します。
　・ディレクトリ名：paloalto-11.0.0

新規ディレクトリの作成

ディレクトリの作成はEVE-NGサーバ側ウィンドウ上で右クリックし「新規(N)」-->「ディレクトリ(D)…」をクリックすることで作成可能です。

ディレクトリの新規作成

４．上項で新規作成したディレクトリ（paloalto-11.0.0）配下へ移動し、ローカルPC上のPaloalto PA-VMの.ovaファイルをコピーします。
PA-VMのファイル名は以下です。
・PA-VMのファイル名：PA-VM-ESX-11.0.0.ova

コピーの際はローカルPC上で.ovaの対象ファイルを選択しドラッグアンドドロップでEVE-NGサーバ側ウィンドウへ移動すればOKです。
ドラッグアンドドロップした際、以下画像の確認画面が表示されますが「OK」を押下で問題ありません。

EVE-NGサーバへファイルアップロード時の確認画面

※PA-VMのイメージファイルはファイルサイズが大きいため、通信環境によってはアップロードに時間がかかります。ネットワーク接続断やタイムアウト等、エラーにならないよう気を付けてください。

アップロードが完了するとEVE-NGサーバ側ウィンドウにもファイルが表示されます。

EVE-NGサーバへアップロード完了後画面

２．ファイル変換とファイル名のリネーム

１．Teratermを起動しEVE-NGサーバに接続します。
・ホスト(T)：[EVE-NGサーバのIPアドレスまたはホスト名]
・サービス：SSH
・TCPポート#(P)：22

Teratermの接続先入力画面

２．認証画面が表示されユーザー名/パスワードの入力を求められるため、入力し「OK」で接続します。

ユーザー認証のための入力画面

接続が完了すると以下画像の様にプロンプトが表示されます。

ログイン完了時の画面

３．作業対象のディレクトリに以下コマンドで移動します。
・コマンド：cd /opt/unetlab/addons/qemu/paloalto-10.2.5_eval/

root@eve-ngv6-2-2:~# 
root@eve-ngv6-2-2:~# cd /opt/unetlab/addons/qemu/paloalto-11.0.0/
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#

４．以下コマンドを実行しPA-VM用の.ovaファイルを展開します。
・コマンド：tar xf PA-VM-ESX-11.0.0.ova
※実行前と実行後でわかりやすくするために ls コマンドを実行しています。

root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# ls -l
total 41790571
-rw-r--r-- 1 root root 4179057152 Mar  9  2023 PA-VM-ESX-11.0.0.ova
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# 
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# tar xf PA-VM-ESX-11.0.0.ova
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# ls -l
total 8162236
-rw-r--r-- 1   64   64 4179044352 Nov 29  2022 PA-VM-ESX-11.0.0-disk1.vmdk
-rw-r--r-- 1   64   64        145 Nov 29  2022 PA-VM-ESX-11.0.0.mf
-rw-r--r-- 1 root root 4179057152 Mar  9  2023 PA-VM-ESX-11.0.0.ova
-rw-r--r-- 1   64   64       9545 Nov 29  2022 PA-VM-ESX-11.0.0.ovf
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#

展開後、展開前ファイルを含め以下4つのファイルが「paloalto-11.0.0」フォルダ配下に存在している状態になったと思います。
・展開前ファイル　：PA-VM-ESX-11.0.0.ova
・展開後ファイル１：PA-VM-ESX-11.0.0-disk1.vmdk
・展開後ファイル２：PA-VM-ESX-11.0.0.mf
・展開後ファイル３：PA-VM-ESX-11.0.0.ovf

WinSCP上でも画面を更新すると以下画像の様に展開前と展開後の３ファイルが存在していることがか確認できると思います。

.ovaファイル展開後

EVE-NGサーバ側ウィンドウの画面更新をする際は以下赤枠のアイコンを押下することで可能です。

WinSCPの画面更新

５．.ovaファイル展開後、EVE-NG上で使用するのはESXi用の.vmdkファイルのみです。
.vmdkファイルのままではEVE-NGで使用できないため.vmdkファイルを.qcow2形式に以下コマンドで変換します。
・コマンド：/opt/qemu/bin/qemu-img convert -f vmdk -O qcow2 PA-VM-ESX-11.0.0-disk1.vmdk virtioa.qcow2
※実行前と実行後でわかりやすくするために ls コマンドを実行しています。

root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# ls -l
total 8162236
-rw-r--r-- 1   64   64 4179044352 Nov 29  2022 PA-VM-ESX-11.0.0-disk1.vmdk
-rw-r--r-- 1   64   64        145 Nov 29  2022 PA-VM-ESX-11.0.0.mf
-rw-r--r-- 1 root root 4179057152 Mar  9  2023 PA-VM-ESX-11.0.0.ova
-rw-r--r-- 1   64   64       9545 Nov 29  2022 PA-VM-ESX-11.0.0.ovf
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# /opt/qemu/bin/qemu-img convert -f vmdk -O qcow2 PA-VM-ESX-11.0.0-disk1.vmdk virtioa.qcow2
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# ls -l
total 15931076
-rw-r--r-- 1   64   64 4179044352 Nov 29  2022 PA-VM-ESX-11.0.0-disk1.vmdk
-rw-r--r-- 1   64   64        145 Nov 29  2022 PA-VM-ESX-11.0.0.mf
-rw-r--r-- 1 root root 4179057152 Mar  9  2023 PA-VM-ESX-11.0.0.ova
-rw-r--r-- 1   64   64       9545 Nov 29  2022 PA-VM-ESX-11.0.0.ovf
-rw-r--r-- 1 root root 7955546112 Jul 15 14:35 virtioa.qcow2
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#

以下ファイルが作成されていることが確認できます。
・ファイル変換後：virtioa.qcow2

WinSCP上でも同様に確認できます。

.qcow2ファイルの作成後

EVE-NGサーバ側ウィンドウの画面更新をする際は以下赤枠のアイコンを押下することで可能です。

WinSCPの画面更新

３．不要なファイルの削除

「２．ファイル変換とファイル名のリネーム」の手順にて作成した「virtioa.qcow2」以外のファイルは不要です。
WinSCP上でも大丈夫ですし、Teratermでのコマンド実行でも大丈夫なため、以下４ファイルを削除します。
■削除対象ファイル：
　・PA-VM-ESX-11.0.0.ova
　・PA-VM-ESX-11.0.0-disk1.vmdk
　・PA-VM-ESX-11.0.0.mf
　・PA-VM-ESX-11.0.0.ovf

※削除せず残しておいても問題ないのですが、EVE-NG上のストレージ領域逼迫の原因にもなるため削除したほうがいいと思います。

◆Teratermで削除する場合
以下４コマンドでファイルを削除します。
・コマンド１：rm -f PA-VM-ESX-11.0.0-disk1.vmdk
・コマンド２：rm -f PA-VM-ESX-11.0.0.mf
・コマンド３：rm -f PA-VM-ESX-11.0.0.ova
・コマンド４：rm -f PA-VM-ESX-11.0.0.ovf
※実行前と実行後でわかりやすくするために ls コマンドを実行しています。

root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# ls -l
total 15931076
-rw-r--r-- 1   64   64 4179044352 Nov 29  2022 PA-VM-ESX-11.0.0-disk1.vmdk
-rw-r--r-- 1   64   64        145 Nov 29  2022 PA-VM-ESX-11.0.0.mf
-rw-r--r-- 1 root root 4179057152 Mar  9  2023 PA-VM-ESX-11.0.0.ova
-rw-r--r-- 1   64   64       9545 Nov 29  2022 PA-VM-ESX-11.0.0.ovf
-rw-r--r-- 1 root root 7955546112 Jul 15 14:35 virtioa.qcow2
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# rm -f PA-VM-ESX-11.0.0-disk1.vmdk
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# rm -f PA-VM-ESX-11.0.0.mf
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# rm -f PA-VM-ESX-11.0.0.ova
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# rm -f PA-VM-ESX-11.0.0.ovf
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0# ls -l
total 7768840
-rw-r--r-- 1 root root 7955546112 Jul 15 14:35 virtioa.qcow2
root@eve-ngv6-2-2:/opt/unetlab/addons/qemu/paloalto-11.0.0#

◆WinSCPで削除する場合
削除したいファイルを右クリックし「削除(D)」を押下することで対象のファイルを削除できます。

WinSCPでのファイル削除

対象のファイルに対して上記操作を実行してください。

４．権限の設定

１．Teratermを起動しEVE-NGサーバに接続します。
・ホスト(T)：[EVE-NGサーバのIPアドレスまたはホスト名]
・サービス：SSH
・TCPポート#(P)：22

Teratermの接続先入力画面

２．認証画面が表示されユーザー名/パスワードの入力を求められるため、入力し「OK」で接続します。

ユーザー認証のための入力画面

接続が完了すると以下画像の様にプロンプトが表示されます。

ログイン完了時の画面

３．作業対象のディレクトリに以下コマンドで移動し、以下コマンドで権限の変更をします。
・コマンド：/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

root@eve-ngv6-2-2:~# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

root@eve-ngv6-2-2:~#

数秒から数分程度の時間がかかります。プロンプトが返ってくるまで待機してください。

５．EVE-NG GUI上にPaloalto PA-VMをデプロイ

EVE-NG上でPA-VMをデプロイするための準備は完了しました。次にEVE-NG上にPA-VMをデプロイします。

１．Google ChromeやMicrosoft Edgeを起動し、アドレスバーに以下入力しEVE-NGサーバへGUIアクセスします。
・アドレスバーへ入力：http://[EVE-NGサーバのIPアドレス]

EVE-NGのGUI画面

２．GUIログイン画面にユーザー名/パスワードを入力しログインします。
・ユーザー名：[ユーザー名]（初期構成の場合はadminのみ）
・パスワード：[パスワード]（初期構成のadminユーザーの場合eve）

EVE-NG GUIログイン画面

３．PA-VMをデプロイするLabを開きます。
※1つもLabを作成していない場合は新規作成してください。

Lab選択画面

Labを新規作成する場合は以下画像赤枠のファイルアイコンをクリックし、「Name」を入力後「Save」を押下することで作成可能です。

Lab新規作成1

Lab新規作成2

Lab画面が開くと以下の様な画面が開きます。（Labファイル作成後初期状態の画面です）

Lab画面

４．左端にあるメニューバーの中から「Add an Object」から「Node」を押下します。

EVE-NG Lab画面メニューバー1

EVE-NG Lab画面メニューバー2

５．追加するノード選択画面が表示されるため検索バーに「Palo Alto」と入力し、結果に表示された「Palo Alto」を押下します。

Labに追加するノード検索画面

６．以下箇所の確認と修正を行い「Save」を押下します。
■確認箇所
・Template：Palo Alto
・Image：paloalto-11.0.0（上項の「１．EVE-NGサーバにPA-VMイメージファイルをアップロード」にて作成したディレクトリの名称になっていることを確認）
■修正箇所
・CPU (MB)：初期構成時は「2」となっているため、「4」以上に修正
・RAM (MB)：初期構成時は「4096」となっているため、「8192」以上に修正

PA-VMノード設定編集画面

以下のアイコンがLab画面に表示されていればノードの追加は完了です。
（設定によりアイコンは異なりますが、何かしらのアイコンが追加されていれば問題ありません）

PA-VMノード追加後

６．起動確認と初期設定

１．上項で追加されたアイコンにマウスカーソルを合わせ右クリックから「▶Start」を押下します。

ノードのオプション画面

ノードアイコンの色がグレーから色が付き、ステータス表示が三角に変化すれば大丈夫です。

ノード起動前と起動後

起動したPA-VMにqemuアクセスすると起動時の出力がされます。

PA-VMの起動時出力

２．PA-VMへqemuアクセスしEnterを2,3回押下するとPA-VMの「PA-HDF login:」のプロンプトが表示されるようになります。
この「PA-HDF login:」プロンプトの状態ではまだ起動時の処理が完了していないためPA-VMにログインすることができません。
ログインしようとすると以下の様に出力されます。
※パスワードは入力しても表示されません。

PA-HDF login: admin
Password:
Login incorrect

PA-HDF login:

※「PA-HDF」については本記事末の「参考」に参考URLを添付しておきます。

ログインプロンプトが「PA-HDF」ではなく「PA-VM」になった場合、以下の初期ユーザー名/パスワードでログインしてください。
・初期ユーザー名：admin
・初期パスワード：admin
※パスワードは入力しても表示されません。

PA-HDF login: admin
Password:

３．初期ユーザーでログイン後パスワードの変更を求められるため、任意のパスワードを設定して下さい。（確認のため同一のパスワードの再入力を求められます。）
※パスワードは入力しても表示されません。

Enter old password :
Enter new password :
Confirm password   :

ログインが完了すると「admin@PA-VM>」のプロンプトが表示されます。

Number of　failed attempts since last successsful login: 0

Warning: Your device is still configured with the default admin account credentials. Please change your password prior to deployment.

admin@PA-VM>

以上でEVE-NGにPaloalto PA-VMをデプロイは完了です。
お疲れさまでした。

おわりに

ネットワークやインフラエンジニアとして働いている方はFW（ファイアウォール）といえばPaloaltoかFrotigateというくらいメジャーな製品のため、EVE-NGで気軽に検証できるのは嬉しいところです。
今後は別記事にて検証内容な度も書こうと思いますため、ご閲読いただけますと幸いです。

ここまでお読みいただきありがとうございました！

参考

EVE-NG公式Paloaltoデプロイガイド

※以前は.ova形式のデプロイ方法も記載ありましたが、更新され.qcow2形式のみになってしまいました。

Palo Alto -

「PA-HDF login:」について

show "cfg.general.need-acknowledgement-to-login' no_matches" after PA-HDF login"

Default username and password of Admin-Admin Does Not Work After Factory Reset