Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Virtuelle Firewall-Schnittstellen der vSRX-Serie hinzufügen

Der virtuelle Hyper-V-Switch ist ein softwarebasierter Layer-2-Ethernet-Netzwerk-Switch, der VMs mit physischen oder virtuellen Netzwerken verbindet. Ein virtueller Switch kann über Hyper-V Manager oder Windows PowerShell konfiguriert werden. Der Hyper-V-Host verwendet die virtuellen Switches, um virtuelle Maschinen über die Netzwerkverbindung des Hostcomputers mit dem Internet zu verbinden. Sie konfigurieren das Netzwerk für die virtuelle vSRX-Firewall, indem Sie die zugehörigen Netzwerkadapter auf dem Hyper-V-Host nach Bedarf hinzufügen, entfernen und ändern.

Hinweis:

Zum Ausführen dieses Verfahrens benötigen Sie entsprechende Berechtigungen. Wenden Sie sich an Ihren Virtual Server-Administrator, um die erforderlichen Berechtigungen zum Hinzufügen eines virtuellen Switches und Eines Netzwerkadapters anzufordern.

Für die virtuelle vSRX-Firewall-VM koppeln Sie einen Netzwerkadapter mit einem virtuellen Switch für die virtuelle vSRX-Firewall, um Datenverkehr zu empfangen und zu übertragen. Sie zuordnen Netzwerkadapter den spezifischen virtuellen vSRX-Firewall-Schnittstellen: Netzwerkadapter 1 wird der Fxp0-Schnittstelle (Out-of-Band-Management) zugeordnet, Netzwerkadapter 2 wird der Ge-0/0/0-Schnittstelle (Umsatz) zugeordnet, Netzwerkadapter 3 wird ge-0/0/1 zugeordnet und so weiter (siehe Anforderungen für vSRX auf Microsoft Hyper-V). Hyper-V unterstützt maximal acht Netzwerkadapter.

Hinweis:

Beim Hinzufügen virtueller Switches gibt es keine Einschränkungen durch Hyper-V. Die praktische Grenze hängt von den verfügbaren Rechenressourcen ab.

Dieser Abschnitt enthält die folgenden Themen zum Hinzufügen virtueller vSRX-Firewall-Schnittstellen in Hyper-V:

Hinzufügen virtueller Switches

So fügen Sie virtuelle Switches für die virtuelle vSRX-Firewall-VM mithilfe des Virtual Switch Manager im Hyper-V Manager hinzu:

  1. Öffnen Sie den Hyper-V-Manager, indem Sie "Start > Administrative Tools > Hyper-V Manager" auswählen.
  2. Wählen Sie Aktion > Virtual Switch Manager aus. Der Virtuelle Switch-Manager wird angezeigt.
  3. Wählen Sie im Abschnitt Virtuelle Switches die Option Neuer virtueller Netzwerk-Switch aus. Das Fenster "Virtueller Switch erstellen" wird angezeigt (siehe Abbildung 1).
    Abbildung 1: Bereich "Virtueller Switch erstellen" Create Virtual Switch Pane
  4. Wählen Sie den Typ des virtuellen Switches aus, um Folgendes zu erstellen:

    • Extern: Ermöglicht virtuellen Maschinen den Zugriff auf ein physisches Netzwerk, um mit Servern und Clients in einem externen Netzwerk zu kommunizieren. Virtuelle Maschinen auf demselben Hyper-V-Server können miteinander kommunizieren.

    • Intern: Ermöglicht die Kommunikation zwischen virtuellen Maschinen auf demselben Hyper-V-Server sowie zwischen den virtuellen Maschinen und dem Management-Host-Betriebssystem.

    • Privat: Ermöglicht nur die Kommunikation zwischen virtuellen Maschinen auf demselben Hyper-V-Server. Ein privates Netzwerk ist vom gesamten externen Netzwerkverkehr auf dem Hyper-V-Server isoliert. Diese Art von Netzwerk ist nützlich, wenn Sie eine isolierte Netzwerkumgebung erstellen müssen, z. B. eine isolierte Testdomäne.

    Wenn Sie einen vSRX Virtual Firewall-Netzwerkadapter hinzufügen, wählen Sie in den meisten Fällen extern als Typ des virtuellen Switches aus. Interne und private virtuelle Switches sollen den Netzwerkverkehr innerhalb des Hyper-V-Servers halten.

    Hinweis:

    Für die fxp0-Schnittstelle (Out-of-Band-Management) verbinden Sie sie mit externen virtuellen Switch, der eine Verbindung zu einem externen Netzwerk herstellen kann.

    Für die Ge-0/0/0-Schnittstelle (Umsatzport) sollte der interne oder private virtuelle Switch ausreichend sein, wenn nur Kommunikation zwischen VMs auf demselben Hyper-V-Server erforderlich ist. Wenn jedoch eine Kommunikation zwischen der VM und einem externen Netzwerk erforderlich ist, verbinden Sie sie mit dem externen virtuellen Switch.
  5. Wählen Sie Virtuellen Switch erstellen aus. Der Bereich "Eigenschaften des virtuellen Switches" wird angezeigt (siehe Abbildung 2).
    Abbildung 2: Bereich "Eigenschaften virtueller Switch" Virtual Switch Properties Pane
  6. Geben Sie einen Namen für den virtuellen Switch an.
  7. Wählen Sie die physische Netzwerkschnittstellenkarte b(NIC), die Sie verwenden möchten (nur eine Anforderung, wenn Sie Extern auswählen).
  8. Isolieren des Netzwerkdatenverkehrs vom Management-Hyper-V-Host-Betriebssystem oder anderen virtuellen Maschinen, die denselben virtuellen Switch nutzen, indem Sie die virtuelle LAN-Identifizierung aktivieren auswählen. Sie können die VLAN-ID in eine beliebige Nummer ändern oder den Standard belassen. Weitere Informationen finden Sie unter Konfigurieren der virtuellen Firewall vSRX für die Verwendung eines VLANs .
  9. Klicken Sie auf OK und dann auf Ja , um Netzwerkänderungen anzuwenden und das Fenster Virtual Switch Manager zu schließen.
  10. Wiederholen Sie bei Bedarf die Schritte 3 bis 9, um zusätzliche Netzwerkadapter für die Verwendung durch die virtuelle vSRX-Firewall-VM hinzuzufügen.
  11. Klicken Sie mit der rechten Maustaste auf die virtuelle vSRX-Firewall-VM, und wählen Sie im Kontextmenü "Einstellungen" aus. Klicken Sie im Dialogfeld Einstellungen im Abschnitt Hardware auf Netzwerkadapter. Der Bereich "Netzwerkadapter" wird angezeigt (siehe Abbildung 3).
  12. Wählen Sie in der Dropdown-Liste Virtueller Switch den virtuellen Switch aus, den Sie diesem Netzwerkadapter zuweisen möchten. Unter Anforderungen für vSRX auf Microsoft Hyper-V finden Sie eine Zusammenfassung der Schnittstellennamen und Zuordnungen für eine virtuelle vSRX-Firewall-VM.
    Abbildung 3: Hinzufügen Adding Virtual Switch to Network Adapter Example eines virtuellen Switches zum Netzwerkadapter
  13. Wenn ein Netzwerkadapter als Schnittstelle für Die Unterstützung des Layer-2-Modus in der virtuellen vSRX-Firewall verwendet werden soll, wählen Sie im Bereich Netzwerkadapter die Option Erweiterte Funktionen aus. Aktivieren Sie das Kontrollkästchen MAC-Adress-Spoofing aktivieren , um die Mac-Adress-Spoofing-Funktion für den Netzwerkadapter zu aktivieren (siehe Abbildung 4).

    Das Spoofing von MAC-Adressen ermöglicht jedem Netzwerkadapter, seine Quell-MAC-Adresse für ausgehende Pakete in eine zu ändern, die ihm nicht zugewiesen ist. Die Aktivierung von MAC-Adress-Spoofing stellt sicher, dass diese Pakete nicht vom Netzwerkadapter gelöscht werden, wenn die Quell-MAC-Adresse nicht mit der MAC-Adresse der ausgehenden Schnittstelle übereinstimmt.

    Abbildung 4: Beispiel für "Network Adapter Enable MAC Address Spoofing" (Network Adapter Enable MAC Address Spoofing) Network Adapter Enable MAC Address Spoofing Example
  14. Klicken Sie auf Anwenden und OK , um die Änderungen im Dialogfeld Einstellungen zu speichern.
  15. Starten Sie die virtuelle Firewall-Instanz der vSRX im Hyper-V Manager, indem Sie die virtuelle vSRX-Firewall-VM aus der Liste der virtuellen Maschinen auswählen, klicken Sie dann mit der rechten Maustaste und wählen Sie im Kontextmenü "Starten " aus (oder wählen Sie "Aktion > Start").

Siehe auch

Konfigurieren der virtuellen vSRX-Firewall für die Verwendung eines VLANs

Hyper-V unterstützt die Konfiguration von VLANs auf einem Netzwerkadapter auf dem Hostcomputer. Für jeden Netzwerkadapter, den Sie für die virtuelle vSRX-Firewall-VM konfigurieren, können Sie bei Bedarf einen VLAN-Bezeichner hinzufügen, um das VLAN anzugeben, das die virtuelle vSRX-Firewall-VM für die gesamte Netzwerkkommunikation über den Netzwerkadapter verwendet.

Standardmäßig aktiviert Hyper-V den Trunk-Modus für ein VLAN. Im Trunk-Modus können mehrere VLAN-IDs eine Verbindung zwischen dem physischen Netzwerkadapter und dem physischen Netzwerk gemeinsam nutzen.

Um der virtuellen vSRX-Firewall-VM externen Zugriff auf das virtuelle Netzwerk in mehreren VLANs zu gewähren, müssen Sie den Port des physischen Netzwerks so konfigurieren, dass er sich im Trunk-Modus befindet. Außerdem müssen Sie die spezifischen verwendeten VLANs und alle VLAN-IDs kennen, die von den virtuellen Maschinen verwendet werden, die vom virtuellen Netzwerk unterstützt werden.

Um ein Hyper-V-VLAN zu nutzen, stellen Sie sicher, dass Sie einen physischen Netzwerkadapter verwenden, der 802.1q VLAN-Tagging unterstützt. Standardmäßig befindet sich der virtuelle Netzwerkadapter in Hyper-V im nicht getaggten Modus, und Sie müssen die Funktion möglicherweise auf einem virtuellen Netzwerkadapter aktivieren.

Hinweis:

Mithilfe von Windows PowerShell können Sie den Modus der vNIC (Get-VmNetworkAdapterVlan Befehl) bestimmen und den Modus des vNIC -Befehls ändernSet-VmNetworkAdapterVlan . Unter Get-VMNetworkAdapterVlan und Set-VMNetworkAdapterVlan finden Sie Details zu beiden Befehlen der virtuellen Netzwerkadapter von Windows PowerShell.

So fügen Sie ein VLAN für einen virtuellen vSRX-Firewall-VM-virtuellen Netzwerkadapter hinzu:

  1. Öffnen Sie den Hyper-V-Manager, indem Sie "Start > Administrative Tools > Hyper-V Manager" auswählen.
  2. Klicken Sie mit der rechten Maustaste auf die virtuelle vSRX-Firewall-VM, und wählen Sie im Kontextmenü "Einstellungen" aus.
  3. Wählen Sie im Dialogfeld Einstellungen im Abschnitt Hardware den Netzwerkadapter aus, der mit dem externen virtuellen Netzwerk verbunden ist. Der Bereich "Netzwerkadapter" wird angezeigt.
  4. Wählen Sie Virtual LAN-Identifizierung aktivieren aus, und geben Sie dann die VLAN-ID ein, die Sie verwenden möchten (siehe Abbildung 5). Sie können die VLAN-ID in eine beliebige Nummer ändern oder den Standard belassen. Dies ist die VLAN-Identifikationsnummer, die die virtuelle vSRX-Firewall für die gesamte Netzwerkkommunikation über diesen Netzwerkadapter verwendet.
    Abbildung 5: Beispiel Enable VLAN Identification Example für VLAN-Identifizierung aktivieren
  5. Klicken Sie auf OK und dann auf Ja , um Netzwerkänderungen anzuwenden.
  6. Wiederholen Sie bei Bedarf die Schritte 3 bis 5, um zusätzliche Netzwerkadapter, die von der virtuellen vSRX-Firewall-VM verwendet werden, VLAN-Identifizierung hinzuzufügen.

Siehe auch