Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

添加 vSRX 虚拟防火墙接口

Hyper-V 虚拟交换机是基于软件的第 2 层以太网网络交换机,用于将虚拟机连接到物理或虚拟网络。虚拟交换机可从 Hyper-V 管理器或 Windows PowerShell 进行配置。Hyper-V 主机使用虚拟交换机,通过主机计算机的网络连接将虚拟机连接到互联网。您可以根据需要在 Hyper-V 主机中添加、移除和修改其相关适配器,为 vSRX 虚拟防火墙配置网络。

注意:

要执行此过程,您必须具有相应的权限。请与虚拟服务器管理员联系,请求相应的权限来添加虚拟交换机和适配器。。

对于 vSRX 虚拟防火墙虚拟机,您可以将一个适配器与虚拟交换机配对,以便 vSRX 虚拟防火墙接收和传输流量。您将网络连接适配器映射到特定的 vSRX 虚拟防火墙接口:网络适配器 1 映射到 fxp0(带外管理)接口,适配器 2 映射到 ge-0/0/0(收入)接口,网络适配器 3 映射到 ge-0/0/1,等等(请参阅 Microsoft Hyper-V 上的 vSRX 要求)。Hyper-V 最多支持八个网络适配器。

注意:

添加虚拟交换机时,Hyper-V 不会施加任何限制。实际限制取决于可用的计算资源。

本节包括以下有关在 Hyper-V 中添加 vSRX 虚拟防火墙接口的主题:

添加虚拟交换机

要使用 Hyper-V 管理器中的虚拟交换机管理器为 vSRX 虚拟防火墙虚拟机添加虚拟交换机:

  1. 通过选择“ 开始>管理工具> Hyper-V 管理器”,打开 Hyper-V 管理器
  2. 选择 “操作>虚拟交换机管理器”。此时将显示虚拟交换机管理器。
  3. 在虚拟交换机部分下,选择 新虚拟网络交换机。此时将显示“创建虚拟交换机”窗格(请参阅 图 1)。
    图 1:创建虚拟交换机窗格 Create Virtual Switch Pane
  4. 选择要创建的虚拟交换机类型:

    • 外部 - 为虚拟机提供对物理网络的访问,以与外部网络上的服务器和客户端通信。它允许同一 Hyper-V 服务器上的虚拟机相互通信。

    • 内部 - 允许在同一 Hyper-V 服务器上,以及虚拟机与管理主机操作系统之间的虚拟机之间进行通信。

    • 专用 — 仅允许在同一 Hyper-V 服务器上的虚拟机之间进行通信。专用网络与 Hyper-V 服务器上的所有外部网络流量隔离。当您必须创建隔离的网络环境(如隔离测试域)时,这种类型的网络会很有用。

    在大多数情况下,添加 vSRX 虚拟防火墙适配器时,请选择 外部 作为虚拟交换机的类型。内部和专用虚拟交换机旨在将网络流量保留到 Hyper-V 服务器内。

    注意:

    对于 fxp0(带外管理)接口,将其连接到外部虚拟交换机,后者可以连接到外部网络。

    对于 ge-0/0/0(收入端口)接口,如果只需要同一 Hyper-V 服务器中的虚拟机之间的通信,则内部或专用虚拟交换机应已足够。但是,如果需要虚拟机与外部网络进行通信,请将其连接到外部虚拟交换机。
  5. 选择 创建虚拟交换机。将显示虚拟交换机属性窗格(请参阅 图 2)。
    图 2:虚拟交换机属性窗格 Virtual Switch Properties Pane
  6. 指定虚拟交换机的名称。
  7. 选择您想要使用的物理网络接口卡 b(NIC)(仅限选择 “外部”时的要求)。
  8. 选择“ 启用虚拟 LAN 识别”,将网络流量与管理 Hyper-V 主机操作系统或其他共享同一虚拟交换机的虚拟机隔离。您可以将 VLAN ID 更改为任意编号或保留默认值。有关详细信息 ,请参阅将 vSRX 虚拟防火墙配置为使用 VLAN
  9. 单击 确定,然后单击 应用网络更改并关闭虚拟交换机管理器窗口。
  10. 如有必要,重复步骤 3 至 9,添加供 vSRX 虚拟防火墙 VM 使用的其他适配器。
  11. 右键单击 vSRX 虚拟防火墙虚拟机,并从上下文菜单中选择 设置 。从“设置”对话框的“硬件”部分下,单击“ 网卡”。将显示“网卡”窗格(请参阅 图 3)。
  12. 从虚拟交换机下拉列表中,选择要分配给此网络适配器的 虚拟交换机 。有关 vSRX 虚拟防火墙虚拟机的接口名称和映射摘要,请参阅 Microsoft Hyper-V 上的 vSRX 要求。
    图 3:将虚拟交换机添加到网络适配器示例 Adding Virtual Switch to Network Adapter Example
  13. 如果要将网络适配器用作 vSRX 虚拟防火墙上支持第 2 层模式的接口,则从“网络适配器”面板中选择“ 高级功能”。选中 “启用 MAC 地址欺骗 ”复选框,为网络适配器启用 MAC 地址欺骗功能(请参阅 图 4)。

    MAC 地址欺骗允许每个网络适配器将其传出数据包的源 MAC 地址更改为未分配给它们的地址。如果源 MAC 地址无法与传出接口 MAC 地址匹配,则启用 MAC 地址欺骗可确保这些数据包不会被网络接口丢弃。

    图 4:网络接口启用 MAC 地址欺骗示例 Network Adapter Enable MAC Address Spoofing Example
  14. 单击 “应用确定 ”,在“设置”(Settings) 框中保存更改。
  15. 在 Hyper-V Manager 中启动 vSRX 虚拟防火墙实例并启动电源,方法为:从虚拟机列表中选择 vSRX 虚拟防火墙虚拟机,然后右击并从上下文菜单中选择 “开始 ”(或选择 “操作>开始”)。

另请参阅

将 vSRX 虚拟防火墙配置为使用 VLAN

Hyper-V 支持在主机计算机的网卡上配置 VLAN。对于您为 vSRX 虚拟防火墙虚拟机配置的每个网络适配器,如果需要,您可以添加一个 VLAN 标识符,以指定 vSRX 虚拟防火墙虚拟机将通过该适配器用于所有网络通信的 VLAN。

默认情况下,Hyper-V 为 VLAN 启用中继模式。中继模式允许多个 VLAN ID 在物理网卡和物理网络之间共享连接。

要为多个 VLAN 中的虚拟网络上的 vSRX 虚拟防火墙虚拟机提供外部访问权限,您需要将物理网络上的端口配置为处于中继模式。您还需要了解所使用的特定 VLAN 以及虚拟网络支持的虚拟机使用的所有 VLAN ID。

要使用超 V VLAN,请确保您使用的是支持 802.1q VLAN 标记的物理网卡。默认情况下,Hyper-V 中的虚拟网卡处于未标记模式,您可能需要在虚拟适配器上启用该功能。

注意:

通过使用 Windows PowerShell,您可以确定 vNIC 的模式(Get-VmNetworkAdapterVlan 命令)并更改 vNIC (Set-VmNetworkAdapterVlan 命令) 的模式。有关 Windows PowerShell 虚拟网适配器命令的详细信息,请参阅 Get-VMworkAdapterVlanSet-VMNetworkAdapterVlan

要为 vSRX 虚拟防火墙虚拟机虚拟网卡添加 VLAN,请执行以下操作:

  1. 通过选择“ 开始>管理工具> Hyper-V 管理器”,打开 Hyper-V 管理器
  2. 右键单击 vSRX 虚拟防火墙虚拟机,并从上下文菜单中选择 设置
  3. 从“设置”对话框的“硬件”部分下,选择连接到外部虚拟网络的网卡。将显示“网卡”窗格。
  4. 选择 “启用虚拟 LAN 识别”,然后输入您想要使用的 VLAN ID(请参阅 图 5)。您可以将 VLAN ID 更改为任意编号或保留默认值。这是 vSRX 虚拟防火墙将用于通过此适配器进行所有网络通信的 VLAN 识别号。
    图 5:启用 VLAN 识别示例 Enable VLAN Identification Example
  5. 单击 “确定”,然后单击“ ”应用网络更改。
  6. 如有必要,重复步骤 3 到 5,将 VLAN 标识添加到 vSRX 虚拟防火墙 VM 正在使用的其他适配器。

另请参阅