Instalar el firewall virtual de vSRX con VMware vSphere Web Client
El siguiente procedimiento describe cómo instalar el firewall virtual vSRX y conectar interfaces de firewall virtual vSRX a los conmutadores virtuales para las aplicaciones adecuadas. Solo el conmutador virtual del Firewall virtual vSRX tiene una conexión a un adaptador físico (el vínculo ascendente) para que todo el tráfico de la aplicación fluya a través de la máquina virtual del Firewall virtual vSRX hacia la red externa.
Para instalar el Firewall virtual de vSRX con VMware vSphere Web Client:
Para actualizar una instancia existente de vSRX Virtual Firewall, consulte Migración, actualización y degradación en las Notas de la versión de vSRX Virtual Firewall.
Descargue el paquete de software vSRX Virtual Firewall para VMware desde el sitio web de Juniper Networks.
Nota:No cambie el nombre de archivo de la imagen de software descargada o la instalación fallará.
Valide el archivo .ova del firewall virtual vSRX si es necesario. Para obtener más información, consulte Validar el archivo .ova vSRX para VMware.
-
Escriba el nombre de host o la dirección del servidor de vCenter en el explorador (https://<ipaddress>:9443) para acceder a vSphere Web Client e inicie sesión en el servidor de vCenter con sus credenciales.
Seleccione un host u otro elemento primario válido para una máquina virtual y haga clic en Acciones > Todas las acciones de vCenter > Implementar plantilla de OVF.
Nota:El complemento de integración de clientes debe estar instalado antes de poder implementar las plantillas de OVF (consulte la documentación de VMware).
Haga clic en Examinar para buscar el paquete de software vSRX Virtual Firewall y, a continuación, haga clic en Siguiente.
Haga clic en Siguiente en la ventana Detalles de la plantilla de OVF.
Haga clic en Aceptar en la ventana Contrato de licencia de usuario final y, a continuación, haga clic en Siguiente.
Cambie el nombre predeterminado de la máquina virtual vSRX Virtual Firewall en el cuadro Nombre y haga clic en Siguiente. Es recomendable mantener este nombre igual que el nombre de host que desea asignar a la máquina virtual.
En la ventana Almacén de datos, no cambie la configuración predeterminada de:
Almacén de datos
Espacio disponible
En la tabla 1 se enumeran los formatos de disco disponibles para almacenar el disco virtual. Puede elegir una de las tres opciones enumeradas.
Nota:Para obtener información detallada sobre los formatos de disco, consulte Aprovisionamiento de discos virtuales.
Tabla 1: Formatos de disco para almacenamiento en disco virtual Formato de disco
Descripción
Aprovisionamiento grueso Puesta a cero diferida
Asigna espacio en disco al disco virtual sin borrar los datos almacenados anteriormente. Los datos anteriores se borran cuando se usa la máquina virtual por primera vez.
Provisión gruesa Eager Zeroed
Borra completamente los datos almacenados anteriormente y, a continuación, asigna el espacio en disco al disco virtual. La creación de discos en este formato lleva mucho tiempo.
Aprovisionamiento ligero
Asigna sólo la cantidad de espacio del almacén de datos que el disco necesita para sus operaciones iniciales. Utilice este formato para ahorrar espacio de almacenamiento.
Seleccione un almacén de datos para almacenar el archivo de configuración y los archivos de disco virtual en la plantilla de OVF y, a continuación, haga clic en Siguiente.
Seleccione su red de administración de la lista y, a continuación, haga clic en Siguiente. La red de administración se asigna al primer adaptador de red, que está reservado para la interfaz de administración (fxp0).
Haga clic en Finalizar para completar la instalación.
Abra la página Editar configuración de la máquina virtual vSRX Virtual Firewall y seleccione un conmutador virtual para cada adaptador de red. De forma predeterminada, se crean tres adaptadores de red. El adaptador de red 1 es para la red de administración (fxp0). Para agregar un cuarto adaptador, seleccione Red en la lista Nuevo dispositivo en la parte inferior de la página. Para agregar más adaptadores, consulte Agregar interfaces vSRX.
En la figura 1, el adaptador de red 2 usa la red de administración para el vínculo ascendente a la red externa.
Figura 1: Página de configuración de edición del firewall virtual vSRX-
Habilite el modo promiscuo para el conmutador virtual de administración:
Con las plataformas de firewall virtual vSRX, VMware usa vNIC de VMXNET 3 y requiere el modo promiscuo en el vSwitch para la interfaz de administración, fxp0.
Este paso no es necesario en el Firewall virtual vSRX 3.0 y no es necesario que los puertos estén conectados al plano de control para tener habilitado el modo promiscuo.
-
Seleccione el host donde está instalada la máquina virtual del firewall virtual vSRX y seleccione Administrar > redes > conmutadores virtuales.
-
En la lista de conmutadores virtuales, seleccione vSwitch0 para ver el diagrama de topología de la red de administración conectada al adaptador de red 1.
-
Haga clic en el icono Editar en la parte superior de la lista, seleccione Seguridad y seleccione Aceptar junto a Modo promiscuo. Haga clic en Aceptar.
Nota:vSwitch1 corresponde al adaptador de red 2, vSwitch2 corresponde al adaptador de red 3, etc.
-
Habilite la virtualización asistida por hardware para optimizar el rendimiento del motor de enrutamiento del firewall virtual vSRX que se ejecuta en una máquina virtual anidada:
Apague la máquina virtual del firewall virtual vSRX.
Haga clic con el botón derecho en la máquina virtual vSRX Virtual Firewall y seleccione Editar configuración.
En la ficha Hardware virtual, expanda CPU, seleccione Exponer virtualización asistida por hardware al SO invitado y haga clic en Aceptar.
En la pestaña Administrar, seleccione Configuración > hardware de máquina virtual y expanda CPU para comprobar que la opción Virtualización de hardware se muestra como Habilitada.
El ID de inicio de sesión predeterminado de VM de vSRX Virtual Firewall es root sin contraseña. De forma predeterminada, a vSRX Virtual Firewall se le asigna una dirección IP basada en DHCP si hay un servidor DHCP disponible en la red.