Installieren der virtuellen vSRX-Firewall mit VMware vSphere Web Client

Das folgende Verfahren beschreibt, wie Sie die virtuelle vSRX-Firewall installieren und vSRX-Schnittstellen der virtuellen Firewall mit den virtuellen Switches für die entsprechenden Anwendungen verbinden. Nur der virtuelle vSRX-Switch der virtuellen Firewall verfügt über eine Verbindung zu einem physischen Adapter (dem Uplink), sodass der gesamte Anwendungsdatenverkehr über die virtuelle vSRX-Firewall-VM zum externen Netzwerk fließt.

So installieren Sie die virtuelle vSRX-Firewall mit dem VMware vSphere Web Client:

Anmerkung:

Informationen zum Upgrade einer vorhandenen vSRX-Instanz der virtuellen Firewall finden Sie unter Migration, Upgrade und Downgrade in den Versionshinweisen zur virtuellen vSRX-Firewall.

1. Laden Sie das Softwarepaket vSRX Virtual Firewall für VMware von der Juniper Networks-Website herunter.

   Anmerkung:

   Ändern Sie nicht den Dateinamen des heruntergeladenen Software-Images, da sonst die Installation fehlschlägt.

2. Überprüfen Sie bei Bedarf die OVA-Datei der virtuellen vSRX-Firewall. Weitere Informationen finden Sie unter Überprüfen der vSRX-OVA-Datei für VMware.

3. Geben Sie den Hostnamen oder die Adresse des vCenter-Servers in Ihren Browser ein (https://<ipaddress>:9443), um auf den vSphere Web Client zuzugreifen, und melden Sie sich mit Ihren Anmeldeinformationen beim vCenter-Server an.

4. Wählen Sie einen Host oder ein anderes gültiges übergeordnetes Element für eine virtuelle Maschine aus und klicken Sie auf Aktionen > Alle vCenter-Aktionen > OVF-Vorlage bereitstellen.

   Anmerkung:

   Das Clientintegrations-Plug-in muss installiert sein, bevor Sie OVF-Vorlagen bereitstellen können (weitere Informationen finden Sie in der VMware-Dokumentation).

5. Klicken Sie auf Durchsuchen , um das Softwarepaket vSRX Virtual Firewall zu suchen, und klicken Sie dann auf Weiter.

6. Klicken Sie im Fenster OVF-Vorlagendetails auf Weiter .

7. Klicken Sie im Fenster Endbenutzer-Lizenzvereinbarung auf Akzeptieren , und klicken Sie dann auf Weiter.

8. Ändern Sie den standardmäßigen VM-Namen der virtuellen vSRX-Firewall im Feld Name, und klicken Sie auf Weiter. Es wird empfohlen, diesen Namen mit dem Hostnamen identisch zu lassen, den Sie der VM zuweisen möchten.

9. Ändern Sie im Fenster "Datenspeicher" nicht die Standardeinstellungen für:

   • Datenspeicher

   • Verfügbarer Platz

   In Tabelle 1 sind die Datenträgerformate aufgeführt, die zum Speichern des virtuellen Datenträgers verfügbar sind. Sie können eine der drei aufgeführten Optionen auswählen.

   Anmerkung:

   Ausführliche Informationen zu den Datenträgerformaten finden Sie unter Bereitstellung virtueller Datenträger.

   Tabelle 1: Datenträgerformate für virtuellen Festplattenspeicher

   Festplattenformat	Beschreibung
   Dicke Provision, Lazy Zeroed	Weist der virtuellen Festplatte Speicherplatz zu, ohne die zuvor gespeicherten Daten zu löschen. Die vorherigen Daten werden gelöscht, wenn die VM zum ersten Mal verwendet wird.
   Dicke Provision, eifer Zeroed	Löscht die zuvor gespeicherten Daten vollständig und weist dann den Speicherplatz der virtuellen Festplatte zu. Die Erstellung von Datenträgern in diesem Format ist zeitaufwändig.
   Thin Provision	Weist nur so viel Speicherplatz im Datenspeicher zu, wie der Datenträger für die ersten Vorgänge benötigt. Verwenden Sie dieses Format, um Speicherplatz zu sparen.

10. Wählen Sie einen Datenspeicher aus, um die Konfigurationsdatei und die Dateien der virtuellen Festplatte in der OVF-Vorlage zu speichern, und klicken Sie dann auf Weiter.

11. Wählen Sie Ihr Verwaltungsnetzwerk aus der Liste aus, und klicken Sie dann auf Weiter. Das Verwaltungsnetzwerk wird dem ersten Netzwerkadapter zugewiesen, der für die Verwaltungsschnittstelle (fxp0) reserviert ist.

12. Klicken Sie auf Fertig stellen , um die Installation abzuschließen.

13. Öffnen Sie die Seite "Einstellungen bearbeiten" der virtuellen vSRX-Firewall-VM, und wählen Sie für jeden Netzwerkadapter einen virtuellen Switch aus. Standardmäßig werden drei Netzwerkadapter erstellt. Netzwerkadapter 1 ist für das Verwaltungsnetzwerk (fxp0) vorgesehen. Um einen vierten Adapter hinzuzufügen, wählen Sie unten auf der Seite in der Liste "Neues Gerät" die Option "Netzwerk " aus. Informationen zum Hinzufügen weiterer Adapter finden Sie unter Hinzufügen von vSRX-Schnittstellen.

    In Abbildung 1 verwendet Netzwerkadapter 2 das Verwaltungsnetzwerk für den Uplink zum externen Netzwerk.

    Abbildung 1: Seite "Einstellungen bearbeiten" der virtuellen vSRX-Firewall

14. Aktivieren Sie den Promiscuous-Modus für den virtuellen Management-Switch:

    Bei virtuellen vSRX-Firewall-Plattformen verwendet VMware die vNIC VMXNET 3 und benötigt den Promiscuous-Modus auf dem vSwitch für die Verwaltungsschnittstelle fxp0.

    Dieser Schritt ist bei der virtuellen vSRX Firewall 3.0 nicht erforderlich, und es ist nicht erforderlich, die Ports mit der Steuerungsebene zu verbinden, um den Promiscuous-Modus zu aktivieren.

    1. Wählen Sie den Host aus, auf dem die virtuelle vSRX-Firewall-VM installiert ist, und wählen Sie Manage > Networking > Virtual Switches aus.

    2. Wählen Sie in der Liste der virtuellen Switches vSwitch0 aus, um das Topologiediagramm für das Verwaltungsnetzwerk anzuzeigen, das mit Netzwerkadapter 1 verbunden ist.

    3. Klicken Sie oben in der Liste auf das Symbol "Bearbeiten", wählen Sie "Sicherheit" und dann "Akzeptieren" neben "Promiscuous-Modus" aus. Klicken Sie auf OK.

    Anmerkung:

    vSwitch1 entspricht Netzwerkadapter 2, vSwitch2 entspricht Netzwerkadapter 3 usw.

15. Aktivieren Sie die hardwaregestützte Virtualisierung, um die Leistung der vSRX Virtual Firewall Routing Engine zu optimieren, die in einer verschachtelten VM ausgeführt wird:

    1. Schalten Sie die virtuelle vSRX-Firewall-VM aus.

    2. Klicken Sie mit der rechten Maustaste auf die virtuelle vSRX-Firewall-VM, und wählen Sie Einstellungen bearbeiten aus.

    3. Erweitern Sie auf der Registerkarte Virtuelle Hardware die Option CPU, wählen Sie Hardwaregestützte Virtualisierung für Gastbetriebssystem verfügbar machen aus, und klicken Sie auf OK.

    Wählen Sie auf der Registerkarte Verwalten die Option Einstellungen > VM-Hardware aus, und erweitern Sie CPU, um zu überprüfen, ob die Option Hardwarevirtualisierung als Aktiviert angezeigt wird.

Anmerkung:

Die standardmäßige VM-Anmelde-ID der virtuellen vSRX-Firewall lautet root ohne Kennwort. Standardmäßig wird der virtuellen vSRX-Firewall eine DHCP-basierte IP-Adresse zugewiesen, wenn ein DHCP-Server im Netzwerk verfügbar ist.