| このページの内容 |
MGTポートの初期設定の流れ
 |
前回のおさらいになるけど、今回はPA-220を私の自宅環境に下図の通り接続していきます。 HP2530 SwitchのP41とPA-220のMGTポートをLANケーブルで赤線のように接続し、PA-220の電源を投入したところまで完了しています。  これから実施する初期設定の流れは以下でいきます。 ①Thin-Client PC(シンクラ)からPA-220にコンソール接続し以下を設定。 |
 |
なるほど。 |
①PA-220にコンソール接続し、MGTポートのIPアドレスなどを設定。
|
ということでPA-220の電源を投入しコンソール接続しました。 起動して数分経過すると以下画面になりました。  では以下のログインIDとPWを入れます。 初期ログインID:admin 初期PW:paloalto(※) ※今回はそうでしたが、OS8.0台までは「admin」になっているそうです。 |
|
おお、ドキドキ。 |
|
ムム!?あれ入れないぞ・・・ (数分経過後)あれ!?入れました・・・。  |
|
なんだ。PWを打ち間違えていたんじゃないの? |
|
違うんだ。後からわかったことだけど、Paloaltoは起動してからログインできるようになるまで数分程度かかる仕様のようなんだ。 |
|
そうなんだ。焦りますねそれは。 |
|
本当に焦ったね・・・。 では設定していきます。この時点ではオペレーションモードになっているので、「configure」を打ってコンフィグレーションモードに入ります。  ※オペレーションモードに戻るのは「exit」 |
|
Ciscoでいうところの「conf t」だね。プロンプトが「>」から「#」に変わった。 |
|
そうだね。では続けて以下のコンフィグを入力します。 MGTポートのIPアドレスを192.168.11.221/24に変更 |
②投入コンフィグ反映のためにcommitを実施
|
Ciscoの場合、投入したコンフィグが即座にrunning-configに反映されるけど、Paloaltoの場合は反映されないんだ。投入したコンフィグはcandidate-config(候補コンフィグ)に書き込まれて、一旦保留したような状態になる。そしてcandidate-configをrunning-configに反映させるためには、CLIでcommitと打つか、GUIで画面右上のほうにある「commit」ボタンを押す必要がある。commitは時間もけっこうかかる。機種や更新するコンフィグ量によっても変わってくるけど、早くても3分以上かかるのが普通という印象かな。 |
| Cisco | Paloalto | |
| running-config (実行中コンフィグ) への反映 |
コンフィグを投入すると即時反映 | コンフィグを投入すると、GUIの表示上やCLIのshowコマンド結果上は反映されているように見える。 しかし実際にはcandidate-configが書き換えられているだけで、running-configは書き換えられていない。 running-configへの反映のためにはcommitを実施要。 |
| running-config の揮発有無 |
揮発性のため、電源を切ると変更内容が消失してしまう。そのため電源を切る前に、startup-configへのコピーが必要。 | 不揮発性のため、電源を切っても変更内容が消失しない。 よってCiscoのようなstartup-configへのコピー作業は不要。 |
|
マジっすか。 「commit=委託する。引き渡す。」 だから、投入したコンフィグを反映させるために機器に引き渡すという感じなんですかね。かなり面倒ですね。CiscoやFortigateは即時反映なのに。 |
|
そうだね。好みにもよるけど、個人的にはCiscoの 「running-configには即時反映。startup-configは手動で保存すると反映。」 が1番好みかな。 ということで、先程投入したMGTポートの設定も反映するよう、commitを打ち、ストップウォッチで計ってみます。 せーの、スタート!  2分30秒経過  |
|
まだ55%・・・ |
|
完了。3分28秒でした。 |
|
・・・。カップラーメン、作れちゃいますね。 |
|
そうだね・・・。 |
③MGTポートにFAT-PCから管理アクセス
|
ということで、ここまで実施した設定により、FAT-PCからSSHやHTTPSで管理アクセスができるようになっているはず。ということではまずはSSHで接続してみます。 Teratermを起動し、ホスト名にMGTポートのIPアドレスを入力。  ログインIDとPWを入力し・・・  無事ログインできました。  |
|
ふむふむ。 |
|
続いてHTTPSでもアクセスしてみます。 chromeを起動し「https://192.168.11.221」にアクセス。 ログイン画面が表示されるのでIDとPWを入力すると、無事アクセスできました。 ※途中でセキュリティ警告が表示されますが無視して進みます。 ※ログイン後、Telemetry通信がなんたらというウインドウが出ましたが、laterを選択しました。 ログイン画面  ログイン成功後の画面  |
|
なるほど。これ、管理アクセスはCLIとGUIのどちらがいいのかな? |
|
私もまだよくわからないけど、PaloaltoはGUI画面が充実しているので、GUIで色々設定をしていくのが一般的らしいんだ。 でもこのサイトではGUIとCLIの両方をなるべく取り上げていきたいと思います。 |
④MGTポートからGoogle(8.8.8.8)などにPing
|
では続いて色々Pingを打ってみようと思います。 先程同様にSSHでPA-220に入ります。  |
|
これ、FortigateみたくGUI画面からCLI画面を開けないのかな? |
|
確認した限りできなそうだった。なのでGUIとCLIの両方を使用したい場合、それぞれに接続しなければいけない。個人的にはここはぜひ改良してほしいなと思った。 では8.8.8.8にPingを打ってみます。 Paloaltoの場合、宛先IPの前に「host」をつける必要があるので、単に打つ場合は ping host 8.8.8.8 と入力します。 |
|
よし、では僕が。 お、飛んだ、よし! ん?おわ、止まらない・・・!? |
|
ハハ。特に何も指定しないとずっと打ち続けてしまうので、 control+C を入力して止める必要がある。 例えば予め5発だけ打つように指定したいときは以下のように入力する。 ping count 5 host 8.8.8.8 ※発数以外のオプションについてはコマンド集のページにまとめましたのでぜひ参照してください。 |
|
おお、できた。 |
|
ありがとう。今回、PA-220が正引き時に参照するDNSサーバを8.8.8.8に指定していた。なので8.8.8.8にPingが飛ぶってことは正引きもできるはずなので、試しにyahooにPingを打ってみてほしい。 ping host www.yahoo.co.jp |
|
ラジャ。お、正引きもできているし、Pingも飛びました。 |
|
ありがとう、バッチリだね。 そしたら次のページではMGTポート以外のインターフェースの設定にトライしていきたいと思います。 |