Mise en place et provisionnement des clusters de pare-feu virtuels vSRX pour VMware

L’organisation et le provisionnement d’un cluster de pare-feu virtuel vSRX comprennent les tâches suivantes :

Déploiement des machines virtuelles et des interfaces réseau supplémentaires

Le cluster de pare-feu virtuel vSRX utilise trois interfaces exclusivement pour le clustering (les deux premières sont prédéfinies) :

Interface de gestion hors bande (fxp0).
Liaison de contrôle du cluster (em0).
Liaisons de structure de cluster (fab0 et fab1). Par exemple, vous pouvez spécifier ge-0/0 comme fab0 sur node0 et ge-7/0/0 comme fab1 sur nœud1.

Initialement, la VM ne dispose que de deux interfaces. Un cluster nécessite trois interfaces (deux pour le cluster et une pour la gestion) et des interfaces supplémentaires pour transférer des données. Vous pouvez ajouter des interfaces via VMware vSphere Web Client.

Sur VMware vSphere Web Client, cliquez sur Modifier les paramètres de chaque machine virtuelle pour chaque VM pour créer des interfaces supplémentaires.

Cliquez sur Ajouter du matériel et spécifiez les attributs dans le tableau 1.

Tableau 1 : Attributs matériels
Attribut	Description
Type d’adaptateur	Sélectionnez VMXNET 3 dans la liste.
Étiquette réseau	Sélectionnez le label réseau dans la liste.
Connectez-vous au moment de l’alimentation	Vérifiez qu’il y a une coche en regard de cette option.

Création de la connexion de liaison de contrôle à l’aide de VMware

Pour connecter l’interface de contrôle via le vSwitch de contrôle à l’aide de VMware vSphere Web Client :

Choisissez Configuration > Networking.
Cliquez sur Add Networking pour créer un vSwitch pour le lien de contrôle.
Choisissez les attributs suivants :
- Type de connexion
  - Machines virtuelles
- Accès réseau
  - Créer un commutateur vSphere
  - Pas d’adaptateurs physiques
- Propriétés des groupes de ports
  - Étiquette réseau : contrôle HA
  - ID VLAN : Aucun(0)
  Note:
  Les groupes de ports ne sont pas des VLAN. Le groupe de ports ne segmente pas le vSwitch en domaines de diffusion distincts, sauf si les domaines ont des balises VLAN différentes.
  
  Pour utiliser un VLAN en tant que vSwitch dédié, vous pouvez utiliser la balise VLAN par défaut (0) ou spécifier une balise VLAN.
  
  Pour utiliser un VLAN en tant que vSwitch partagé et utiliser un groupe de ports, attribuez une balise VLAN sur le groupe de ports pour chaque liaison de cluster de châssis.
Cliquez avec le bouton droit sur le réseau de contrôle, cliquez sur Modifier les paramètres et sélectionnez Sécurité.
Définissez le mode promiscuous sur Accepter, puis cliquez sur OK, comme illustré dans la figure 1.

Figure 1 : Mode promiscuous

Note:
Vous devez activer le mode promiscuous sur le vSwitch de contrôle pour le cluster de châssis.

Vous pouvez utiliser les paramètres par défaut du vSwitch pour les paramètres restants.
Cliquez sur Modifier les paramètres des deux vm de pare-feu virtuel vSRX pour ajouter l’interface de contrôle (adaptateur réseau 2) dans le vSwitch de contrôle.

Voir la figure 2 pour les propriétés vSwitch et la figure 3 pour les propriétés de VM pour le contrôle vSwitch.

Figure 2 : contrôler les propriétés Control vSwitch Properties

du vSwitch

Figure 3 : propriétés des machines virtuelles pour le commutateur vSwitch Virtual Machine Properties for the Control vSwitch

de contrôle

L’interface de contrôle sera connectée via le commutateur vSwitch de contrôle. Voir la figure 4.

Figure 4 : Interface de contrôle connectée via le commutateur vSwitch Control Interface Connected through the Control vSwitch

de contrôle

Création de la connexion de liaison de fabric à l’aide de VMware

Pour connecter l’interface de la structure via le vSwitch de structure à l’aide de VMware vSphere Web Client :

Choisissez Configuration > Networking.
Cliquez sur Add Networking (Ajouter un réseau ) pour créer un lien vSwitch pour la structure.
Choisissez les attributs suivants :
- Type de connexion
  - Machines virtuelles
- Accès réseau
  - Créer un commutateur vSphere
  - Pas d’adaptateurs physiques
- Propriétés des groupes de ports
  - Étiquette réseau : structure HA
  - ID VLAN : Aucun(0)
  Note:
  Les groupes de ports ne sont pas des VLAN. Le groupe de ports ne segmente pas le vSwitch en domaines de diffusion distincts, sauf si les domaines ont des balises VLAN différentes.
  
  Pour utiliser un VLAN en tant que vSwitch dédié, vous pouvez utiliser la balise VLAN par défaut (0) ou spécifier une balise VLAN.
  
  Pour utiliser VLAN en tant que vSwitch partagé et utiliser un groupe de ports, attribuez une balise VLAN sur le groupe de ports pour chaque liaison de cluster de châssis.
Cliquez sur Propriétés pour activer les fonctionnalités suivantes :
- Propriétés avancées de > général :
  - MTU : 9 000
- Sécurité > des règles efficaces :
  - Changements d’adresse MAC : accepter
  - Faux transmissions : accepter
Cliquez sur Modifier les paramètres des deux vm de pare-feu virtuel vSRX pour ajouter l’interface de structure à la structure vSwitch.

Voir la figure 5 pour les propriétés de vSwitch et la figure 6 pour les propriétés de VM pour la structure vSwitch.

Figure 5 : propriétés Fabric vSwitch Properties

du vSwitch de structure

Figure 6 : Propriétés de la machine virtuelle pour le vSwitch Virtual Machine Properties for the Fabric vSwitch

de fabric

L’interface de la structure sera connectée via le vSwitch de la structure. Voir la figure 7.

Figure 7 : Interface de structure connectée via le vSwitch Fabric Interface Connected Through the Fabric vSwitch

de fabric

Création d’interfaces de données à l’aide de VMware

Pour mapper toutes les interfaces de données aux réseaux souhaités :

Choisissez Configuration > Networking.
Cliquez sur Add Networking (Ajouter un réseau ) pour créer un lien vSwitch pour la structure.
Choisissez les attributs suivants :
- Type de connexion
  - Machines virtuelles
- Accès réseau
  - Créer un commutateur vSphere
  - Pas d’adaptateurs physiques
- Propriétés des groupes de ports
  - Label réseau : cluster de châssis Reth
  - ID VLAN : Aucun(0)
  Cliquez sur Propriétés pour activer les fonctionnalités suivantes :
  - Sécurité > sécurité efficace :
    - Changements d’adresse MAC : accepter
    - Faux transmissions : accepter

L’interface de données sera connectée via le vSwitch de données à l’aide de la procédure ci-dessus.

Préparer la configuration à partir de la console

La procédure suivante explique les commandes de configuration requises pour configurer le cluster de châssis de pare-feu virtuel vSRX. La procédure alimente les deux nœuds, ajoute la configuration au cluster et permet l’accès distant SSH.

Connectez-vous en tant qu’utilisateur racine. Il n’y a pas de mot de passe.
Démarrez la CLI.
Passez en mode configuration.

Copiez les commandes suivantes et collez-les dans la CLI :

Définissez le mot de passe d’authentification racine en entrant un mot de passe en clair, un mot de passe chiffré ou une chaîne de clé publique SSH (DSA ou RSA).

Pour activer l’accès distant SSH :
Pour activer IPv6 :
Cette étape est facultative et nécessite un redémarrage du système.
Validez la configuration pour l’activer sur l’équipement.
Une fois l’équipement configuré, quittez le mode de configuration.

Connexion et installation de la configuration intermédiaire

Après la configuration initiale du cluster de pare-feu virtuel vSRX, définissez l’ID de cluster et l’ID de nœud, comme décrit dans Configurer un cluster de châssis vSRX dans Junos OS.

Après le redémarrage, les deux nœuds sont accessibles sur l’interface fxp0 avec SSH. Si la configuration est opérationnelle, la commande affiche un show chassis cluster status résultat similaire à celui affiché dans l’exemple de sortie suivant.

Pare-feu virtuel vSRX> show chassis cluster status

Un cluster est sain lorsque les nœuds principaux et secondaires sont présents et ont tous deux une priorité supérieure à 0.