Virtuelle Firewall vSRX Cluster Staging und Provisioning für VMware

Die Bereitstellung und Bereitstellung eines virtuellen vSRX-Firewall-Clusters umfasst die folgenden Aufgaben:

Bereitstellung von VMs und zusätzlichen Netzwerkschnittstellen

Der virtuelle Firewall-Cluster vSRX verwendet drei Schnittstellen ausschließlich für clustering (die ersten beiden sind vordefiniert):

Out-of-Band-Managementschnittstelle (fxp0).
Cluster-Steuerungslink (em0).
Cluster-Fabric-Links (fab0 und fab1). Sie können beispielsweise ge-0/0/0 als fab0 auf Node0 und ge-7/0/0 als fab1 auf Node1 angeben.

Zunächst verfügt die VM nur über zwei Schnittstellen. Ein Cluster erfordert drei Schnittstellen (zwei für den Cluster und eine für die Verwaltung) und zusätzliche Schnittstellen zur Weiterleitung von Daten. Sie können Schnittstellen über den VMware vSphere Web Client hinzufügen.

Klicken Sie im VMware vSphere Web Client für jede VM auf Einstellungen für virtuelle Maschinen bearbeiten , um zusätzliche Schnittstellen zu erstellen.

Klicken Sie auf Hardware hinzufügen , und geben Sie die Attribute in Tabelle 1 an.

Tabelle 1: Hardwareattribute
Attribut	Beschreibung
Adaptertyp	Wählen Sie VMXNET 3 aus der Liste aus.
Netzwerk-Label	Wählen Sie das Netzwerklabel aus der Liste aus.
Verbinden Sie sich beim Einschalten	Stellen Sie sicher, dass neben dieser Option ein Häkchen vorhanden ist.

Erstellen der Control Link-Verbindung mit VMware

So verbinden Sie die Steuerungsschnittstelle über den Control vSwitch mit dem VMware vSphere Web Client:

Wählen Sie Configuration > Networking.
Klicken Sie auf "Netzwerk hinzufügen" , um einen vSwitch für die Steuerungsverbindung zu erstellen.
Wählen Sie die folgenden Attribute aus:
- Verbindungstyp
  - Virtuelle Maschinen
- Netzwerkzugriff
  - Erstellen eines vSphere-Switches
  - Keine physischen Adapter
- Portgruppeneigenschaften
  - Netzwerk-Label: HA-Steuerung
  - VLAN-ID: Keine(0)
  Hinweis:
  Portgruppen sind keine VLANs. Die Portgruppe segmentt den vSwitch nicht in separate Broadcast-Domänen, es sei denn, die Domänen verfügen über unterschiedliche VLAN-Tags.
  
  Um ein VLAN als dedizierten vSwitch zu verwenden, können Sie das Standard-VLAN-Tag (0) verwenden oder ein VLAN-Tag angeben.
  
  Wenn Sie ein VLAN als gemeinsam genutzten vSwitch und eine Portgruppe verwenden möchten, weisen Sie für jeden Chassis-Cluster-Link ein VLAN-Tag in der Portgruppe zu.
Klicken Sie mit der rechten Maustaste auf das Steuerungsnetzwerk, klicken Sie auf Einstellungen bearbeiten, und wählen Sie Sicherheit aus.
Legen Sie den promiscuous-Modus auf Accept fest, und klicken Sie auf OK, wie in Abbildung 1 dargestellt.

Abbildung 1: Promiscuous Mode

Hinweis:
Sie müssen den promiscuous-Modus auf dem Control-vSwitch für Chassis-Cluster aktivieren.

Sie können die vSwitch-Standardeinstellungen für die verbleibenden Parameter verwenden.
Klicken Sie für beide virtuellen Firewall-VMs der vSRX-Serie auf "Einstellungen bearbeiten" , um die Steuerungsschnittstelle (Netzwerkadapter 2) zum vSwitch-Steuerelement hinzuzufügen.

Siehe Abbildung 2 für vSwitch-Eigenschaften und Abbildung 3 für VM-Eigenschaften für das Steuerelement vSwitch.

Abbildung 2: Steuerung der vSwitch-Eigenschaften Control vSwitch Properties

Abbildung 3: Eigenschaften der virtuellen Maschine für den Control vSwitch Virtual Machine Properties for the Control vSwitch

Die Steuerungsschnittstelle wird über den Control vSwitch verbunden. Siehe Abbildung 4.

Abbildung 4: Control Interface Connected through the Control vSwitch (Control vSwitch

)

Erstellen der Fabric-Link-Verbindung mit VMware

So verbinden Sie die Fabric-Schnittstelle über das Fabric vSwitch mithilfe des VMware vSphere Web Client:

Wählen Sie Configuration > Networking.
Klicken Sie auf "Netzwerk hinzufügen" , um einen vSwitch für den Fabric-Link zu erstellen.
Wählen Sie die folgenden Attribute aus:
- Verbindungstyp
  - Virtuelle Maschinen
- Netzwerkzugriff
  - Erstellen eines vSphere-Switches
  - Keine physischen Adapter
- Portgruppeneigenschaften
  - Netzwerk-Label: HA-Fabric
  - VLAN-ID: Keine(0)
  Hinweis:
  Portgruppen sind keine VLANs. Die Portgruppe segmentt den vSwitch nicht in separate Broadcast-Domänen, es sei denn, die Domänen verfügen über unterschiedliche VLAN-Tags.
  
  Um ein VLAN als dedizierten vSwitch zu verwenden, können Sie das Standard-VLAN-Tag (0) verwenden oder ein VLAN-Tag angeben.
  
  Um VLAN als gemeinsam genutzten vSwitch zu verwenden und eine Portgruppe zu verwenden, weisen Sie für jeden Chassis-Cluster-Link ein VLAN-Tag auf der Portgruppe zu.
Klicken Sie auf Eigenschaften , um die folgenden Funktionen zu aktivieren:
- Allgemeine > Erweiterte Eigenschaften:
  - MTU: 9000
- Effektive Sicherheitsrichtlinien für >:
  - MAC-Adressänderungen: Akzeptieren
  - Forged Transmits: Akzeptieren
Klicken Sie für beide virtuellen Firewall-VMs der vSRX-Serie auf "Einstellungen bearbeiten" , um die Fabric-Schnittstelle dem Fabric vSwitch hinzuzufügen.

Siehe Abbildung 5 für vSwitch-Eigenschaften und Abbildung 6 für VM-Eigenschaften für die Fabric vSwitch.

Abbildung 5: Fabric vSwitch-Eigenschaften Fabric vSwitch Properties

Abbildung 6: Eigenschaften der virtuellen Maschine für fabric vSwitch Virtual Machine Properties for the Fabric vSwitch

Die Fabric-Schnittstelle wird über den Fabric vSwitch verbunden. Siehe Abbildung 7.

Abbildung 7: Fabric-Schnittstelle über fabric vSwitch Fabric Interface Connected Through the Fabric vSwitch

verbunden

Erstellen der Datenschnittstellen mit VMware

Um alle Datenschnittstellen den gewünschten Netzwerken zuzuordnen:

Wählen Sie Configuration > Networking.
Klicken Sie auf "Netzwerk hinzufügen" , um einen vSwitch für Fabric-Link zu erstellen.
Wählen Sie die folgenden Attribute aus:
- Verbindungstyp
  - Virtuelle Maschinen
- Netzwerkzugriff
  - Erstellen eines vSphere-Switches
  - Keine physischen Adapter
- Portgruppeneigenschaften
  - Netzwerklabel: Gehäuse-Cluster Reth
  - VLAN-ID: Keine(0)
  Klicken Sie auf Eigenschaften , um die folgenden Funktionen zu aktivieren:
  - Effektive Sicherheitsrichtlinien für >:
    - MAC-Adressänderungen: Akzeptieren
    - Forged Transmits: Akzeptieren

Die Datenschnittstelle wird über den Daten-vSwitch mit der oben genannten Prozedur verbunden.

Prestaging der Konfiguration über die Konsole

Im folgenden Verfahren werden die Konfigurationsbefehle erläutert, die zum Einrichten des Chassis-Clusters der virtuellen vSRX-Firewall erforderlich sind. Die Prozedur treibt beide Knoten an, fügt die Konfiguration dem Cluster hinzu und ermöglicht SSH-Remotezugriff.

Melden Sie sich als Root-Benutzer an. Es gibt kein Passwort.
Starten Sie die CLI.
Gehen Sie in den Konfigurationsmodus.

Kopieren Sie die folgenden Befehle und fügen Sie sie in die CLI ein:

Legen Sie das Root-Authentifizierungskennwort fest, indem Sie ein Cleartext-Kennwort, ein verschlüsseltes Kennwort oder eine SSH-Zeichenfolge mit öffentlichem Schlüssel (DSA oder RSA) eingeben.
So aktivieren Sie den SSH-Remotezugriff:
So aktivieren Sie IPv6:
Dieser Schritt ist optional und erfordert einen Neustart des Systems.
Bestätigen Sie die Konfiguration, um sie auf dem Gerät zu aktivieren.
Beenden Sie den Konfigurationsmodus, wenn Sie die Konfiguration des Geräts abgeschlossen haben.

Verbinden und Installieren der Staging-Konfiguration

Legen Sie nach der vSRX Virtual Firewall-Cluster-Ersteinrichtung die Cluster-ID und die Knoten-ID fest, wie unter Konfigurieren eines vSRX-Chassis-Clusters in Junos OS beschrieben.

Nach dem Neustart sind die beiden Knoten über die Schnittstelle fxp0 mit SSH erreichbar. Wenn die Konfiguration betriebsbereit ist, zeigt der Befehl eine show chassis cluster status Ausgabe an, die der folgenden Beispielausgabe ähnelt.

Virtuelle Firewall vSRX> show chassis cluster status

Ein Cluster ist gesund, wenn die primären und sekundären Knoten vorhanden sind und beide eine Priorität größer als 0 haben.