Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:UbuntuでのvSRX仮想ファイアウォールのインストールと起動

この例では、KVMを使用してUbuntuサーバーにvSRX仮想ファイアウォールインスタンスをインストールして起動する方法を示しています。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 汎用 x86 サーバー

  • vSRX仮想ファイアウォールのJunos OSリリース15.1X49-D20

  • Ubuntuバージョン14.04.2

始める前に:

  • この例では、Ubuntu サーバー ソフトウェアの新規インストールを前提としています。

  • ホストOSが、 KVM上のvSRXの要件で指定されている要件を満たしていることを確認します。

概要

この例では、Ubuntuホストサーバーを設定し、vSRX仮想ファイアウォールVMをインストールして起動する方法を示しています。 図1 は、Ubuntuサーバー上のvSRX仮想ファイアウォールVMの基本構造を示しています。

図 1: Ubuntu vSRX Virtual Firewall VM on Ubuntu 上の vSRX 仮想ファイアウォール VM
手記:

この例では、静的 IP アドレスを使用しています。 NFV 環境でvSRX仮想ファイアウォールインスタンスを設定する場合は、DHCPを使用する必要があります。

クイック設定 - UbuntuでのvSRX仮想ファイアウォールVMのインストールと起動

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、指定されたとおりにコマンドをコピーしてUbuntuサーバーターミナルまたはvSRX仮想ファイアウォールコンソールに貼り付けます。

プロシージャ

手順

  1. 既定の仮想ネットワークがまだ存在しない場合は、次のコマンドをコピーして Ubuntu サーバー ターミナルに貼り付け、既定の仮想ネットワークを作成します。

  2. Ubuntuサーバー上に左側の、または信頼できる仮想ネットワークを作成します。

  3. Ubuntuサーバー上に適切な、または信頼できない仮想ネットワークを作成します。

  4. ジュニパーネットワークスのウェブサイト( 以下、ジュニパーネットワークスのウェブサイト)から、vSRX仮想ファイアウォールKVMイメージをダウンロードします。

  5. 次のコマンドをコピーし、UbuntuサーバーのCPUと一致するように cpu パラメーターとフラグを変更します。生成されたコマンドをUbuntuサーバーターミナルに貼り付けてイメージをマウントポイントにコピーし、vSRX仮想ファイアウォールVMを作成します。

    手記:

    virt-install コマンドの CPU モデルとフラグは、Ubuntu サーバーの CPU と機能によって異なる場合があります。

  6. vSRX仮想ファイアウォールVMでrootパスワードを設定するには、コマンドをコピーして、 [edit] 階層レベルのvSRX仮想ファイアウォールCLIに貼り付けます。

  7. vSRX仮想ファイアウォールVMで基本設定を作成するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、次のコマンドをコピーしてvSRX仮想ファイアウォールCLIに [edit] 階層レベルで貼り付け、設定モードから commit を入力します。

手順

ステップバイステップ設定

vSRX仮想ファイアウォールVMをインストールして起動するための詳細な手順については、以下のセクションを参照してください。

仮想ネットワークの追加

手順

vSRX仮想ファイアウォールVM上のインターフェイスにネットワーク接続を提供するために、Ubuntuサーバー上に仮想ネットワークを作成する必要があります。これらのコマンドをコピーして、Ubuntuサーバーのターミナルに貼り付けます。

この例では、次の 3 つの仮想ネットワークを使用します。

  • default:fxp0 管理インターフェイスを接続します。

    手記:

    既定の仮想ネットワークは、Ubuntu サーバーに既に存在している必要があります。 virsh net-list コマンドを使用して、デフォルトのネットワークが存在し、アクティブであることを確認します。

  • TestLeft— ge-0/0/0 インターフェイスを信頼ゾーンに接続します。

  • TestRight—ge-0/0/1インターフェイスを信頼できないゾーンに接続します。

  1. 既定のネットワークが存在しない場合は、次の手順を実行します。

    手順

    1. Ubuntuサーバーでテキストエディターを開き、デフォルトのネットワークXML(default.xml)ファイルを作成します。

    2. 転送モードを [ nat] に設定し、IP アドレスとサブネット マスク、およびブリッジ インターフェイスを構成し、この仮想ネットワーク上のインターフェイスに IP アドレスを割り当てるように DHCP を構成します。

      手記:

      libvirt で指定された XML フォーマットを使用します。

    3. 作成した default.xml ファイルに基づいて、既定の仮想ネットワークを定義して開始します。

  2. 以前に構成した TestLeft 仮想ネットワークをすべて削除します。

  3. 以前に構成した TestRight 仮想ネットワークをすべて削除します。

  4. Ubuntu サーバーでテキスト エディターを開き、TestLeft ネットワーク XML (testleftnetwork.xml) ファイルを作成します。

  5. 転送モードを [ route] に設定し、IP アドレスとサブネット マスク、およびブリッジ インターフェイスを構成し、この仮想ネットワーク上のインターフェイスに IP アドレスを割り当てるように DHCP を構成します。

    手記:

    libvirt で指定された XML フォーマットを使用します。

  6. Ubuntu サーバーでテキスト エディターを開き、テストライト ネットワーク XML (testrightnetwork.xml) ファイルを作成します。

  7. 転送モードを [ nat] に設定し、IP アドレスとサブネット マスク、およびブリッジ インターフェイスを構成し、この仮想ネットワーク上のインターフェイスに IP アドレスを割り当てるように DHCP を構成します。

    手記:

    libvirt で指定された XML フォーマットを使用します。

  8. 作成した testleftnetwork.xml ファイルに基づいて、TestLeft 仮想ネットワークを定義して開始します。

  9. 作成した testrightnetwork.xml ファイルに基づいて、TestRight 仮想ネットワークを定義して開始します。

仮想ネットワークの検証

目的

Ubuntu サーバーで新しい仮想ネットワーク構成を確認します。

アクション

Ubuntuサーバーで virsh net-list コマンドを使用して、新しい仮想インターフェイスがアクティブであり、再起動時に自動起動するように設定されていることを確認します。

vSRX仮想ファイアウォールイメージのダウンロードとインストール

手順

UbuntuサーバーにvSRX仮想ファイアウォールイメージをダウンロードしてインストールするには、次の手順に従います。

  1. ジュニパーネットワークスのWebサイトからvSRX仮想ファイアウォールKVMイメージをダウンロードします。 https://www.juniper.net/support/downloads/?p=vsrx#sw

  2. vSRX仮想ファイアウォールイメージを適切なマウントポイントにコピーします。

  3. virt-installコマンドを使用して、vSRX仮想ファイアウォールVMを作成します。cpuパラメーターとフラグを、UbuntuサーバーのCPUに一致するように変更します。

    手記:

    virt-install コマンドの CPU モデルとフラグは、Ubuntu サーバーの CPU と機能によって異なる場合があります。

vSRX仮想ファイアウォールのインストールを確認する

目的

vSRX仮想ファイアウォールのインストールを確認します。

アクション

  1. Ubuntuサーバーで virsh console コマンドを使用してvSRX仮想ファイアウォールコンソールにアクセスし、インストールの進行状況を確認します。インストールが完了するまでに数分かかる場合があります。

  2. vSRX仮想ファイアウォールコンソールにログインし、インストールされているvSRX仮想ファイアウォールのバージョンを確認します。

vSRX仮想ファイアウォールインスタンスでの基本設定の作成

手順

vSRX仮想ファイアウォールインスタンスで基本設定を行うには、 edit モードで以下のステップを入力します。

  1. root パスワードを作成します。

  2. 管理インターフェイスの IP アドレスファミリーを設定し、このインターフェイスの DHCP クライアントを有効にします。

  3. ge-0/0/0.0インターフェイスのIPアドレスを設定します。

  4. ge-0/0/1.0インターフェイスのIPアドレスファミリーを設定し、このインターフェイスのDHCPクライアントを有効にします。

  5. ge-0/0/0.0インターフェイスをtrustセキュリティゾーンに追加し、そのインターフェイス上のインバウンドトラフィックからのすべてのシステムサービスを許可します。

  6. ge-0/0/1.0インターフェイスをuntrustセキュリティ ゾーンに追加し、そのインターフェイスのインバウンドトラフィックからのDHCPシステムサービスのみを許可します。

  7. 仮想ルーターのルーティングインスタンスを作成し、そのルーティングインスタンスに2つのインターフェイスを追加します。

  8. ソース NAT ルール セットを作成します。

  9. パケットを照合し、送信元アドレスをエグレスインターフェイスのアドレスに変換するルールを設定します。

業績

設定モードから、 show interfaces コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

設定モードから、 show security policies コマンドを入力してセキュリティポリシーを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

手記:

最後の手順として、設定モードを終了し、 request system reboot コマンドを使用して vSRX 仮想ファイアウォール VM を再起動します。Ubuntuサーバーで virsh console コマンドを使用すると、再起動後にvSRX仮想ファイアウォールに再接続できます。

vSRX仮想ファイアウォールインスタンスの基本設定の確認

目的

vSRX仮想ファイアウォールインスタンスの基本設定を確認します。

アクション

ge-0/0/0.0 インターフェイスに TestLeft ネットワーク DHCP アドレス範囲からの IP アドレスが割り当てられており、ge-0/0/1.0 に TestRight ネットワーク DHCP アドレス範囲からの IP アドレスが割り当てられていることを確認します。