예: Ubuntu에 vSRX 가상 방화벽 설치 및 시작
이 예는 KVM을 사용하여 Ubuntu 서버에 vSRX 가상 방화벽 인스턴스를 설치하고 실행하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
일반 x86 서버
Junos OS vSRX 가상 방화벽 위한 릴리스 15.1X49-D20
Ubuntu 버전 14.04.2
시작하기 전에 다음을 수행합니다.
이 예에서는 Ubuntu 서버 소프트웨어의 새 설치를 가정합니다.
호스트 OS가 KVM의 vSRX 요구 사항에 명시된 요구 사항을 충족하는지 확인합니다.
개요
이 예는 Ubuntu 호스트 서버를 설정하고 vSRX 가상 방화벽 VM을 설치하고 시작하는 방법을 보여줍니다. 그림 1 은 Ubuntu 서버의 vSRX 가상 방화벽 VM의 기본 구조를 보여줍니다.
의 VM vSRX 가상 방화벽
이 예에서는 정적 IP 주소를 사용합니다. NFV 환경에서 vSRX 가상 방화벽 인스턴스를 구성하는 경우 DHCP를 사용해야 합니다.
빠른 구성 - Ubuntu에서 vSRX 가상 방화벽 VM 설치 및 실행
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레인을 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 명령을 Ubuntu 서버 터미널 또는 지정된 대로 vSRX 가상 방화벽 콘솔로 복사해 붙여 넣습니다.
절차
단계별 절차
기본 가상 네트워크가 존재하지 않는 경우 다음 명령을 복사하여 Ubuntu 서버 터미널에 붙여 기본 가상 네트워크를 생성합니다.
cat <<EOF> /etc/libvirt/qemu/networks/default.xml <network> <name>default</name> <forward mode='nat'/> <nat> <port start ='1024' end='65535' /> </nat> <bridge name='virbr0' stp='on' delay='0' /> <ip address='192.168.2.1' netmask='255.255.255.0'> <dhcp> <range start='192.168.2.2' end='192.168.2.254' /> </dhcp> </ip> </network> EOF virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start default virsh net-autostart default
Ubuntu 서버에서 왼쪽 또는 신뢰할 수 있는 가상 네트워크를 생성합니다.
cat <<EOF> /etc/libvirt/qemu/networks/testleftnetwork.xml <network> <name>TestLeft</name> <forward mode='route'/> <bridge name='virbr1' stp='on' delay='0' /> <ip address='192.168.123.1' netmask='255.255.255.0'> <dhcp> <range start='192.168.123.100' end='192.168.123.250' /> </dhcp> </ip> </network> EOF virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
Ubuntu 서버에서 우측 또는 신뢰할 수 없는 가상 네트워크를 생성합니다.
cat <<EOF > /etc/libvirt/qemu/networks/testrightnetwork.xml <network> <name>TestRight</name> <forward mode='nat'/> <nat> <port start ='1024' end='65535' /> </nat> <bridge name='virbr2' stp='on' delay='0' /> <ip address='192.168.124.1' netmask='255.255.255.0'> <dhcp> <range start='192.168.124.100' end='192.168.124.250' /> </dhcp> </ip> </network> EOF virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight virsh net-autostart TestRight
-
https://www.juniper.net/support/downloads/?p=vsrx#sw 주니퍼 네트웍스 웹 사이트에서 vSRX 가상 방화벽 KVM 이미지를 다운로드합니다.
-
다음 명령을 복사하고 매개 변수와 플래그를
cpu수정하여 Ubuntu 서버 CPU와 일치하도록 합니다. 결과 명령을 Ubuntu 서버 터미널에 붙여넣어 이미지를 마운트 포인트로 복사하여 vSRX 가상 방화벽 VM을 생성합니다.cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2 virt-install --name vSRX20One --ram 4096 --cpu SandyBridge,+vmx,-invtsc, --vcpus=2 --arch=x86_64 --disk path=/mnt/vsrx20one.qcow2,size=16,device=disk,bus=ide,format=qcow2 --os-type linux --os-variant rhel7 --import --network=network:default,model=virtio --network=network:TestLeft,model=virtio --network=network:TestRight,model=virtio
참고:명령의
virt-installCPU 모델과 플래그는 Ubuntu 서버의 CPU 및 기능에 따라 다를 수 있습니다. -
vSRX 가상 방화벽 VM에서 루트 암호를 설정하려면 계층 수준에서 명령을 복사하여 vSRX 가상 방화벽 CLI에
[edit]붙여 넣습니다.set system root-authentication plain-text-password
-
vSRX 가상 방화벽 VM에서 기본 구성을 생성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성과 일치하기 위해 필요한 세부 사항을 바꾸고 계층 수준에서 다음 명령을 vSRX 가상 방화벽 CLI
[edit]로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다commit.set interfaces fxp0 unit 0 family inet dhcp-client set interfaces ge-0/0/0 unit 0 family inet address 192.168.123.254/24 set interfaces ge-0/0/1 unit 0 family inet dhcp-client set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services dhcp set routing-instances CUSTOMER-VR instance-type virtual-router set routing-instances CUSTOMER-VR interface ge-0/0/0.0 set routing-instances CUSTOMER-VR interface ge-0/0/1.0 set security nat source rule-set source-nat from zone trust set security nat source rule-set source-nat to zone untrust set security nat source rule-set source-nat rule nat1 match source-address 0.0.0.0/0 set security nat source rule-set source-nat rule nat1 then source-nat interface
단계별 절차
단계별 구성
다음 섹션에서 더 자세한 절차 집합을 사용하여 vSRX 가상 방화벽 VM을 설치하고 시작합니다.
- 가상 네트워크 추가
- 가상 네트워크 확인
- vSRX 가상 방화벽 이미지 다운로드 및 설치
- vSRX 가상 방화벽 설치 확인
- vSRX 가상 방화벽 인스턴스에서 기본 구성 생성
- vSRX 가상 방화벽 인스턴스에서 기본 구성 확인
가상 네트워크 추가
단계별 절차
Ubuntu 서버에서 가상 네트워크를 생성하여 vSRX 가상 방화벽 VM의 인터페이스에 네트워크 연결을 제공해야 합니다. 이 명령을 복사하여 Ubuntu 서버의 터미널에 붙여 넣습니다.
이 예에서는 다음과 같은 세 가지 가상 네트워크를 사용합니다.
default - fxp0 관리 인터페이스를 연결합니다.
참고:기본 가상 네트워크는 이미 Ubuntu 서버에 존재해야 합니다.
virsh net-list명령을 사용하여 기본 네트워크가 존재하고 활성화되었는지 확인합니다.TestLeft — ge-0/0/0 인터페이스를 신뢰할 수 있는 영역에 연결합니다.
TestRight — ge-0/0/1 인터페이스를 신뢰할 수 없는 영역에 연결합니다.
기본 네트워크가 존재하지 않는 경우 다음 단계를 따릅니다.
단계별 절차
Ubuntu 서버에서 텍스트 편집기를 열고 기본 네트워크 XML(default.xml) 파일을 만듭니다.
emacs /etc/libvirt/qemu/networks/default.xml
포워드 모드를
nat로 설정하고, IP 주소 및 서브넷 마스크, 브리지 인터페이스를 구성하고, DHCP를 구성하여 이 가상 네트워크의 인터페이스에 IP 주소를 할당합니다.참고:libvirt에서 지정한 XML 형식을 사용합니다.
<network> <name>default</name> <forward mode='nat'/> <nat> <port start ='1024' end='65535' /> </nat> <bridge name='virbr0' stp='on' delay='0' /> <ip address='192.168.2.1' netmask='255.255.255.0'> <dhcp> <range start='192.168.2.2' end='192.168.2.254' /> </dhcp> </ip> </network>
생성한 default.xml 파일을 기반으로 기본 가상 네트워크를 정의하고 시작합니다.
virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start default virsh net-autostart default
이전에 구성된 TestLeft 가상 네트워크를 제거합니다.
virsh net-destroy TestLeft virsh net-undefine TestLeft
이전에 구성된 모든 TestRight 가상 네트워크를 제거합니다.
virsh net-destroy TestRight virsh net-undefine TestRight
Ubuntu 서버에서 텍스트 편집기를 열고 TestLeft 네트워크 XML(testleftnetwork.xml) 파일을 만듭니다.
emacs /etc/libvirt/qemu/networks/testleftnetwork.xml
포워드 모드를
route로 설정하고, IP 주소 및 서브넷 마스크, 브리지 인터페이스를 구성하고, DHCP를 구성하여 이 가상 네트워크의 인터페이스에 IP 주소를 할당합니다.참고:libvirt에서 지정한 XML 형식을 사용합니다.
<network> <name>TestLeft</name> <forward mode='route'/> <bridge name='virbr1' stp='on' delay='0' /> <ip address='192.168.123.1' netmask='255.255.255.0'> <dhcp> <range start='192.168.123.100' end='192.168.123.250' /> </dhcp> </ip> </network>
Ubuntu 서버에서 텍스트 편집기를 열고 TestRight 네트워크 XML(testrightnetwork.xml) 파일을 만듭니다.
emacs /etc/libvirt/qemu/networks/testrightnetwork.xml
포워드 모드를
nat로 설정하고, IP 주소 및 서브넷 마스크, 브리지 인터페이스를 구성하고, DHCP를 구성하여 이 가상 네트워크의 인터페이스에 IP 주소를 할당합니다.참고:libvirt에서 지정한 XML 형식을 사용합니다.
<network> <name>TestRight</name> <forward mode='nat'/> <nat> <port start ='1024' end='65535' /> </nat> <bridge name='virbr2' stp='on' delay='0' /> <ip address='192.168.124.1' netmask='255.255.255.0'> <dhcp> <range start='192.168.124.100' end='192.168.124.250' /> </dhcp> </ip> </network>
생성한 testleftnetwork.xml 파일을 기반으로 TestLeft 가상 네트워크를 정의하고 시작합니다.
virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
생성한 testrightnetwork.xml 파일을 기반으로 TestRight 가상 네트워크를 정의하고 시작합니다.
virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight virsh net-autostart TestRight
가상 네트워크 확인
목적
Ubuntu 서버에서 새로운 가상 네트워크 구성을 확인합니다.
작업
virsh net-list Ubuntu 서버의 명령을 사용하여 새로운 가상 인터페이스가 활성화되고 재부팅 시 자동 시작되도록 설정되어 있는지 확인합니다.
virsh net-list
Name State Autostart Persistent ---------------------------------------------------------- default active yes yes TestLeft active yes yes TestRight active yes yes
vSRX 가상 방화벽 이미지 다운로드 및 설치
단계별 절차
Ubuntu 서버에 vSRX 가상 방화벽 이미지를 다운로드하여 설치하려면,
-
주니퍼 네트웍스 웹 사이트에서 vSRX 가상 방화벽 KVM 이미지를 다운로드 : https://www.juniper.net/support/downloads/?p=vsrx#sw
-
vSRX 가상 방화벽 이미지를 적절한 마운트 포인트로 복사합니다.
hostOS# cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2
-
virt-install명령을 사용하여 vSRX 가상 방화벽 VM을 생성합니다. 매개 변수와 플래그를cpu수정하여 Ubuntu 서버 CPU와 일치합니다.hostOS# virt-install --name vSRX20One --ram 4096 --cpu SandyBridge,+vmx,-invtsc, --vcpus=2 --arch=x86_64 --disk path=/mnt/vsrx20one.qcow2,size=16,device=disk,bus=ide,format=qcow2 --os-type linux --os-variant rhel7 --import --network=network:default,model=virtio --network=network:TestLeft,model=virtio --network=network:TestRight,model=virtio
참고:명령의
virt-installCPU 모델과 플래그는 Ubuntu 서버의 CPU 및 기능에 따라 다를 수 있습니다.
vSRX 가상 방화벽 설치 확인
목적
vSRX 가상 방화벽 설치를 확인합니다.
작업
-
virsh consoleUbuntu 서버의 명령을 사용하여 vSRX 가상 방화벽 콘솔에 액세스하고 설치 진행 상황을 확인합니다. 설치를 완료하는 데 몇 분이 걸릴 수 있습니다.hostOS# virsh console vSRx200ne
Starting install... ERROR internal error: process exited while connecting to monitor: libust[11994/11994]: Warning: HOME environment variable not set. Disabling LTTng-UST per-user tracing. (in setup_local_apps() at lttng-ust-comm.c:305) libust[11994/11995]: Error: Error opening shm /lttng-ust-wait-5 (in get_wait_shm() at lttng-ust-comm.c:886) libust[11994/11995]: Error: Error opening shm /lttng-ust-wait-5 (in get_wait_shm() at lttng-ust-comm.c:886) Booting `Juniper Linux' Loading Linux ... Consoles: serial port BIOS drive C: is disk0 BIOS drive D: is disk1 BIOS drive E: is disk2 BIOS drive F: is disk3 BIOS 639kB/999416kB available memory FreeBSD/i386 bootstrap loader, Revision 1.2 (builder@example.com, Thu Jul 30 23:20:10 UTC 2015) Loading /boot/defaults/loader.conf /kernel text=0xa3a2c0 data=0x6219c+0x11f8e0 syms=[0x4+0xb2ed0+0x4+0x1061bb] /boot/modules/libmbpool.ko text=0xce8 data=0x114 /boot/modules/if_em_vsrx.ko text=0x184c4 data=0x7fc+0x20 /boot/modules/virtio.ko text=0x2168 data=0x208 syms=[0x4+0x7e0+0x4+0x972] /boot/modules/virtio_pci.ko text=0x2de8 data=0x200+0x8 syms=[0x4+0x8f0+0x4+0xb22] /boot/modules/virtio_blk.ko text=0x299c data=0x1dc+0xc syms=[0x4+0x960+0x4+0xa0f] /boot/modules/if_vtnet.ko text=0x5ff0 data=0x360+0x10 syms=[0x4+0xdf0+0x4+0xf19] /boot/modules/pci_hgcomm.ko text=0x12fc data=0x1a4+0x44 syms=[0x4+0x560+0x4+0x61d] /boot/modules/chassis.ko text=0x9bc data=0x1d0+0x10 syms=[0x4+0x390+0x4+0x399] Hit [Enter] to boot immediately, or space bar for command prompt. Booting [/kernel]... platform_early_bootinit: Early Boot Initialization GDB: debug ports: sio GDB: current port: sio KDB: debugger backends: ddb gdb KDB: current backend: ddb Copyright (c) 1996-2015, Juniper Networks, Inc. All rights reserved. Copyright (c) 1992-2007 The FreeBSD Project. Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD is a registered trademark of The FreeBSD Foundation. JUNOS 15.1X49-D15.4 #0: 2015-07-31 02:20:21 UTC <output omitted> The machine id is empty. Cleaning up ... Thu Aug 27 12:06:22 UTC 2015 Aug 27 12:06:22 init: exec_command: /usr/sbin/dhcpd (PID 1422) started Aug 27 12:06:22 init: dhcp (PID 1422) started Aug 27 12:06:23 init: exec_command: /usr/sbin/pppd (PID 1428) started Amnesiac (ttyd0) login: -
vSRX 가상 방화벽 콘솔에서 로그인하여 vSRX 가상 방화벽 버전이 설치되었는지 확인합니다.
login: root
--- JUNOS 15.1X49-D15.4 built 2015-07-31 02:20:21 UTC root@%
root@% cli
root>
root> show version
Model: vSRX Junos: 15.1X49-D15.4 JUNOS Software Release [15.1X49-D15.4]
vSRX 가상 방화벽 인스턴스에서 기본 구성 생성
단계별 절차
vSRX 가상 방화벽 인스턴스에서 기본 설정을 구성하려면 모드에서 edit 다음 단계를 입력합니다.
루트 암호를 생성합니다.
[edit] set system root-authentication plain-text-password
관리 인터페이스에 대한 IP 주소 패밀리를 설정하고 이 인터페이스에 대한 DHCP 클라이언트를 활성화합니다.
set interfaces fxp0 unit 0 family inet dhcp-client
ge-0/0/0.0 인터페이스에 대한 IP 주소를 설정합니다.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.123.254/24
ge-0/0/1.0 인터페이스에 대한 IP 주소 패밀리를 설정하고 이 인터페이스에 대한 DHCP 클라이언트를 활성화합니다.
set interfaces ge-0/0/1 unit 0 family inet dhcp-client
ge-0/0/0.0 인터페이스를 트러스트 보안 영역에 추가하고 해당 인터페이스의 인바운드 트래픽에서 모든 시스템 서비스를 허용합니다.
set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all
ge-0/0/1.0 인터페이스를 신뢰할 수 없는 보안 영역에 추가하고 해당 인터페이스의 인바운드 트래픽에서 DHCP 시스템 서비스만 허용합니다.
set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services dhcp
가상 라우터 라우팅 인스턴스를 생성하고 해당 라우팅 인스턴스에 두 인터페이스를 추가합니다.
set routing-instances CUSTOMER-VR instance-type virtual-router set routing-instances CUSTOMER-VR interface ge-0/0/0.0 set routing-instances CUSTOMER-VR interface ge-0/0/1.0
소스 NAT 규칙 집합을 생성합니다.
set security nat source rule-set source-nat from zone trust set security nat source rule-set source-nat to zone untrust
패킷과 일치하는 규칙을 구성하고 소스 주소를 송신 인터페이스 주소로 변환합니다.
set security nat source rule-set source-nat rule nat1 match source-address 0.0.0.0/0 set security nat source rule-set source-nat rule nat1 then source-nat interface
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show interfaces . 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
show interfaces
구성 모드에서 명령을 입력 show security policies 하여 보안 정책을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
마지막 단계로 구성 모드를 종료하고 명령을 사용하여 request system reboot vSRX 가상 방화벽 VM을 재부팅합니다. Ubuntu 서버의 virsh console 명령을 사용하여 재부팅 후 vSRX 가상 방화벽 다시 연결할 수 있습니다.
vSRX 가상 방화벽 인스턴스에서 기본 구성 확인
목적
vSRX 가상 방화벽 인스턴스에서 기본 구성을 확인합니다.
작업
ge-0/0/0.0 인터페이스에 TestLeft 네트워크 DHCP 주소 범위에서 할당된 IP 주소가 있고 ge-0/0/1.0이 TestRight 네트워크 DHCP 주소 범위에서 할당된 IP 주소를 가지고 있는지 확인합니다.
root> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 192.168.123.254/24
gr-0/0/0 up up
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/1.0 up up inet 192.168.124.238/24
dsc up up
em0 up up
em0.0 up up inet 128.0.0.1/2
em1 up up
em1.32768 up up inet 192.168.1.2/24
em2 up up
fxp0 up up
fxp0.0 up up inet 192.168.2.1/24
ipip up up
irb up up
lo0 up up
lo0.16384 up up inet 127.0.0.1 --> 0/0
lo0.16385 up up inet 10.0.0.1 --> 0/0
10.0.0.16 --> 0/0
128.0.0.1 --> 0/0
128.0.0.4 --> 0/0
128.0.1.16 --> 0/0
lo0.32768 up up
lsi up up
mtun up up
pimd up up
pime up up
pp0 up up
ppd0 up up
ppe0 up up
st0 up up
tap up up
vlan up down