Virtuální brána firewall vSRX poskytuje funkce zabezpečení pro
virtualizovaná prostředí. Postupujte podle níže uvedených kroků pro nasazení a
spravovat virtuální firewall.

Instalace

Připravte svůj server na virtuální bránu firewall vSRX
Instalace:

Povolit vnořenou virtualizaci

Upgradujte linuxové jádro na Ubuntu

Nainstalujte vSRX Virtual Firewall s KVM:

Pomocí virt-manager nebo virt-install

Konfigurace

Načtěte počáteční konfiguraci na virtuální bránu firewall vSRX pomocí
KVM

Vytvořte vSRX Virtual Firewall Bootstrap ISO obraz
Poskytování virtuální brány firewall vSRX se zapnutým obrazem ISO Bootstrap
KVM

Řízení

Nakonfigurujte vSRX Virtual Firewall pomocí CLI
Připojte se k konzole pro správu virtuální brány firewall vSRX zapnuto
KVM

Přidejte virtuální síť k virtuálnímu počítači vSRX Virtual Firewall s
KVM
Přidejte virtuální rozhraní Virtio do virtuálního počítače vSRX Virtual Firewall
s KVM

Podpora SR-IOV a PCI

Podrobnosti o konfiguraci rozhraní SR-IOV a omezení.

Často kladené otázky (FAQ)

Otázka: Je virtuální brána vSRX kompatibilní se všemi cloudy
platformy?

Odpověď: Virtuální brána firewall vSRX je navržena tak, aby fungovala s oběma
soukromé a veřejné cloudové platformy. Nicméně specifické požadavky
se může lišit.

Otázka: Mohu automatizovat inicializaci virtuální brány firewall vSRX
instance v prostředí OpenStack?

Odpověď: Ano, můžete použít Cloud-Init v prostředí OpenStack
automatizovat inicializaci instancí virtuální brány firewall vSRX.

“`

View Fullscreen

Průvodce nasazením virtuální brány firewall vSRX pro soukromé a veřejné cloudové platformy
Publikováno
2023-11-09

ii
Juniper Networks, Inc. 1133 Innovation Way Sunnyvale, Kalifornie 94089 USA 408-745-2000 www.juniper.net
Juniper Networks, logo Juniper Networks, Juniper a Junos jsou registrované ochranné známky společnosti Juniper Networks, Inc. ve Spojených státech a dalších zemích. Všechny ostatní ochranné známky, servisní známky, registrované známky nebo registrované servisní známky jsou majetkem příslušných vlastníků.
Juniper Networks nepřebírá žádnou odpovědnost za jakékoli nepřesnosti v tomto dokumentu. Juniper Networks si vyhrazuje právo změnit, upravit, převést nebo jinak revidovat tuto publikaci bez upozornění.
Průvodce nasazením virtuální brány firewall vSRX pro soukromé a veřejné cloudové platformy Copyright © 2023 Juniper Networks, Inc. Všechna práva vyhrazena.
Informace v tomto dokumentu jsou aktuální k datu na titulní straně.
OZNÁMENÍ ROK 2000
Hardwarové a softwarové produkty Juniper Networks jsou v souladu s rokem 2000. Junos OS nemá žádná známá časová omezení do roku 2038. Je však známo, že aplikace NTP bude mít v roce 2036 určité potíže.
LICENČNÍ SMLOUVA S KONCOVÝM UŽIVATELEM
Produkt Juniper Networks, který je předmětem této technické dokumentace, se skládá ze softwaru Juniper Networks (nebo je s ním určen). Použití takového softwaru podléhá ustanovením a podmínkám Licenční smlouvy s koncovým uživatelem („EULA“) zveřejněné na https://support.juniper.net/support/eula/. Stažením, instalací nebo používáním takového softwaru souhlasíte s podmínkami dané EULA.

iii

Obsah

O této příručce | xvii

VSRX Virtual Firewall Deployment pro KVM

Nadview | 2

Pochopte vSRX Virtual Firewall s KVM | 2

Požadavky na vSRX Virtual Firewall na KVM | 7

Nainstalujte vSRX Virtual Firewall do KVM | 19 Připravte svůj server na instalaci virtuální brány firewall vSRX | 19
Povolit vnořenou virtualizaci | 19 Upgradujte linuxové jádro na Ubuntu | 21

Nainstalujte vSRX Virtual Firewall s KVM | 21 Nainstalujte vSRX Virtual Firewall pomocí virt-manager | 22 Nainstalujte virtuální bránu firewall vSRX pomocí virt-install | 24

Načtěte počáteční konfiguraci na virtuální bránu firewall vSRX pomocí KVM | 45 Vytvoření ISO obrazu bootstrap virtuální brány firewall vSRX | 46 Poskytování virtuální brány firewall vSRX s obrazem ISO Bootstrap na KVM | 47

Použití Cloud-Init v prostředí OpenStack k automatizaci inicializace instancí virtuální brány firewall vSRX | 48
Proveďte automatické nastavení instance virtuální brány firewall vSRX pomocí rozhraní příkazového řádku OpenStack | 52
Proveďte automatické nastavení instance virtuální brány firewall vSRX z ovládacího panelu OpenStack (Horizont) | 54

vSRX Virtual Firewall Správa virtuálních počítačů s KVM | 62

iv
Konfigurace virtuální brány firewall vSRX pomocí rozhraní CLI | 62
Připojte se k vSRX Virtual Firewall Management Console na KVM | 64
Přidejte virtuální síť k virtuálnímu počítači vSRX Virtual Firewall s KVM | 65
Přidejte virtuální rozhraní Virtio k virtuálnímu počítači vSRX Virtual Firewall s KVM | 67
SR-IOV a PCI | 69 SR-IOV Konecview | 69 Podpora SR-IOV HA s vypnutým režimem důvěryhodnosti (pouze KVM) | 70 Vysvětlení podpory SR-IOV HA s vypnutým režimem důvěryhodnosti (pouze KVM) | 70 Konfigurace podpory SR-IOV s vypnutým režimem důvěryhodnosti (pouze KVM) | 72 Omezení | 73 Konfigurace rozhraní SR-IOV na KVM | 74
Upgrade vícejádrového virtuálního firewallu vSRX | 78 Konfigurace hodnoty fronty pro virtuální počítač vSRX Virtual Firewall pomocí KVM | 78 Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager | 79 Upgrade virtuální brány firewall vSRX pomocí virt-manager | 79
Monitorujte virtuální počítač vSRX Virtual Firewall v KVM | 81
Spravujte instanci virtuální brány firewall vSRX na KVM | 82 Zapnutí instance virtuální brány firewall vSRX pomocí virt-manager | 82 Zapnutí instance virtuální brány firewall vSRX pomocí virsh | 82 Pozastavte instanci virtuální brány firewall vSRX pomocí virt-manager | 83 Pozastavte instanci virtuální brány firewall vSRX pomocí virsh | 83 Restartování instance virtuální brány firewall vSRX pomocí virt-manager | 83 Restartujte instanci virtuální brány firewall vSRX pomocí virsh | 83 Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager | 84 Vypněte instanci virtuální brány firewall vSRX pomocí virsh | 84 Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager | 85 Vypněte instanci virtuální brány firewall vSRX pomocí virsh | 85 Odeberte instanci virtuální brány firewall vSRX pomocí virsh | 86
Obnovení hesla root pro virtuální bránu firewall vSRX v prostředí KVM | 87
Konfigurace vSRX Virtual Firewall Chassis Clusters na KVM | 89 vSRX Virtual Firewall Cluster Staging a Provisioning pro KVM | 89

Poskytování chassis Cluster Provisioning na vSRX Virtual Firewall | 89 Vytvoření virtuálních sítí Chassis Cluster pomocí virt-manager | 91 Vytvoření virtuálních sítí Chassis Cluster pomocí virsh | 91 Konfigurace ovládacího a Fabric rozhraní pomocí virt-manager | 93 Konfigurace ovládacího a Fabric rozhraní pomocí virsh | 93 Konfigurace portů Fabric clusteru podvozku | 93

Ověřte konfiguraci clusteru podvozku | 105

VSRX Virtual Firewall Deployment pro VMware

Nadview | 107

Pochopte vSRX Virtual Firewall s VMware | 107

Požadavky na vSRX Virtual Firewall na VMware | 115

Nainstalujte vSRX Virtual Firewall do VMware | 124 Nainstalujte vSRX Virtual Firewall s VMware vSphere Web Klient | 124

Načtěte počáteční konfiguraci na virtuální bránu firewall vSRX pomocí VMware | 128 Vytvoření ISO obrazu bootstrap virtuální brány firewall vSRX | 132 Nahrajte obraz ISO do úložiště dat VMWare | 133 Poskytování virtuální brány firewall vSRX s obrazem ISO Bootstrap na VMWare | 134

Ověřte vSRX Virtual Firewall .ova File pro VMware | 135

vSRX Virtual Firewall Správa virtuálních počítačů s VMware | 139 Přidat rozhraní virtuální brány firewall vSRX | 139
Přidat rozhraní SR-IOV | 140 Přidat rozhraní VMXNET 3 | 142

Upgradujte vícejádrový virtuální firewall vSRX pomocí VMware | 142 Vypnutí virtuálního počítače vSRX Virtual Firewall s VMware vSphere Web Klient | 143 Upgradujte vícejádrový virtuální firewall vSRX pomocí VMware vSphere Web Klient | 143 Optimalizace výkonu virtuální brány firewall vSRX | 144

Automatizujte inicializaci instancí vSRX Virtual Firewall 3.0 na VMware Hypervisor pomocí VMware Tools | 145 přesview | 145 Poskytování nástrojů VMware pro automatickou konfiguraci | 146

Konfigurace vSRX Virtual Firewall Chassis Clusters ve VMware | 150 vSRX Virtual Firewall Cluster Staging a Provisioning pro VMware | 150
Nasazení virtuálních počítačů a dalších síťových rozhraní | 150 Vytvoření připojení Control Link pomocí VMware | 151 Vytvoření připojení Fabric Link pomocí VMware | 155 Vytvoření datových rozhraní pomocí VMware | 158 Preztagkonfigurace z konzoly | 159 Připojení a instalace StagKonfigurace | 160

Nasazení vSRX Virtual Firewall Chassis Cluster uzlů napříč různými hostiteli ESXi pomocí dvSwitch | 174

VSRX Virtual Firewall Deployment pro Microsoft Hyper-V

Nadview | 179

Pochopte vSRX Virtual Firewall s Microsoft Hyper-V | 179

Požadavky na vSRX Virtual Firewall na Microsoft Hyper-V | 181

Nainstalujte vSRX Virtual Firewall v Microsoft Hyper-V | 188 Příprava na nasazení virtuální brány firewall vSRX v Microsoft Hyper-V | 188

Nasaďte virtuální bránu firewall vSRX v hostiteli Hyper-V pomocí Správce Hyper-V | 189

Nasaďte virtuální bránu firewall vSRX v hostiteli Hyper-V pomocí prostředí Windows PowerShell | 200

vSRX Virtual Firewall Správa virtuálních počítačů s Microsoft Hyper-V | 205 Konfigurace virtuální brány firewall vSRX pomocí rozhraní CLI | 205

Nakonfigurujte vSRX Virtual Firewall pomocí J-Web Rozhraní | 207 Přístup k J-Web Rozhraní a konfigurace virtuální brány firewall vSRX | 207

vii

Použijte konfiguraci | 210 Přidat licence funkcí virtuální brány firewall vSRX | 210

Přidat rozhraní virtuální brány firewall vSRX | 211 Přidat virtuální přepínače | 212 Konfigurace virtuální brány firewall vSRX pro použití VLAN | 219

Vypněte virtuální počítač vSRX Virtual Firewall pomocí Hyper-V | 221

Konfigurace vSRX Virtual Firewall Chassis Clusters | 222 vSRX Virtual Firewall Cluster Staging a poskytování v Hyper-V | 222
Nasazení virtuálních počítačů a dalších síťových adaptérů v Hyper-V | 223 Vytvoření připojení Control Link v Hyper-V | 223 Vytvoření spojení Fabric Link v Hyper-V | 226 Vytvoření datového rozhraní pomocí Hyper-V | 227 Preztagkonfigurace z konzoly | 228 Připojení a instalace StagKonfigurace | 229

VSRX Virtual Firewall Deployment for Contrail

Nadview servisních řetězců virtuální brány firewall vSRX v Contrail | 245

Pochopte vSRX Virtual Firewall s Contrail | 245

Požadavky na vSRX Virtual Firewall on Contrail | 247

Nadview servisních řetězců s vSRX Virtual Firewall | 256

Nainstalujte vSRX Virtual Firewall v Contrail | 267

viii

Povolit vnořenou virtualizaci | 267

Vytvořte image Flavor s OpenStack | 269 Vytvořte image Flavor pro vSRX Virtual Firewall s Horizon | 269 Vytvořte image Flavor pro vSRX Virtual Firewall pomocí Nova CLI | 272

Nahrajte obrázek virtuální brány firewall vSRX | 273 Nahrajte obraz virtuální brány firewall vSRX pomocí OpenStack Horizon | 273 Nahrajte obraz virtuální brány firewall vSRX pomocí rozhraní CLI OpenStack Glance | 276

Použití Cloud-Init v prostředí OpenStack k automatizaci inicializace instancí virtuální brány firewall vSRX | 277
Proveďte automatické nastavení instance virtuální brány firewall vSRX pomocí rozhraní příkazového řádku OpenStack | 280
Proveďte automatické nastavení instance virtuální brány firewall vSRX z ovládacího panelu OpenStack (Horizont) | 282

vSRX Virtual Firewall Správa virtuálních počítačů s Contrail | 291 Připojení ke konzole pro správu virtuální brány firewall vSRX | 291
Připojte se k konzole pro správu virtuální brány firewall vSRX pomocí aplikace Horizon | 291 Připojte se k vSRX Virtual Firewall Management Console pomocí Contrail | 291

Upgrade Multicore vSRX Virtual Firewall s Contrail | 294 Konfigurace vícefrontového Virtio rozhraní pro virtuální počítač vSRX Virtual Firewall s OpenStack | 294 Upravte příchuť obrazu pro virtuální bránu firewall vSRX pomocí řídicího panelu | 295 Aktualizace šablony služby | 296

Monitor vSRX Virtual Firewall s Contrail | 297

Nasazení virtuální brány firewall vSRX pro Nutanix

Nadview | 299

Pochopte nasazení virtuální brány firewall vSRX s Nutanix | 299

Platforma Nutanix Overview | 299

Nasazení virtuálního firewallu vSRX s Nutanix Overview | 302 Pochopte nasazení virtuální brány firewall vSRX s Nutanix AHV | 304 Sample Nasazení virtuální brány firewall vSRX pomocí Nutanix AHV | 306

Požadavky na vSRX Virtual Firewall na Nutanix | 307 Systémové požadavky pro Nutanix | 307 Požadavky na reference | 310

Nainstalujte vSRX Virtual Firewall v Nutanix | 312 Spuštění a nasazení vSRX Virtual Firewall v Nutanix AHV Cluster | 312
Přihlaste se do nastavení Nutanix | 312 Přidání obrazu virtuální brány firewall vSRX | 314 Tvorba sítě | 314 Vytvoření a nasazení virtuálního počítače vSRX Virtual Firewall | 315 Zapnutí virtuálních počítačů vSRX Virtual Firewall | 322 Spusťte konzolu virtuálního počítače vSRX Virtual Firewall | 323

Upgradujte Junos OS pro vSRX Virtual Firewall Software Release | 324

Nasazení virtuální brány firewall vSRX pro AWS

Nadview | 326

Pochopte vSRX Virtual Firewall s AWS | 326

Požadavky na vSRX Virtual Firewall na AWS | 332

Konfigurace a správa virtuální brány firewall v AWS | 337 Konfigurace virtuálního privátního cloudu Amazon pro virtuální bránu firewall vSRX | 337
Krok 1: Vytvořte Amazon VPC a internetovou bránu | 338 Krok 2: Přidání podsítí pro virtuální bránu firewall vSRX | 340 Krok 3: Připojte rozhraní k podsíti | 341 Krok 4: Přidání směrovacích tabulek pro virtuální bránu firewall vSRX | 344 Krok 5: Přidání skupin zabezpečení pro virtuální bránu firewall vSRX | 345

Spusťte instanci virtuální brány firewall vSRX na virtuálním privátním cloudu Amazon | 348
Krok 1: Vytvořte pár klíčů SSH | 348 Krok 2: Spusťte instanci virtuální brány firewall vSRX | 350 Krok 3: View systémové protokoly AWS | 354 Krok 4: Přidání síťových rozhraní pro virtuální bránu firewall vSRX | 354 Krok 5: Přidělení elastických IP adres | 356

x
Krok 6: Přidejte privátní rozhraní virtuální brány firewall vSRX do směrovacích tabulek | 356 Krok 7: Restartujte instanci virtuální brány firewall vSRX | 357 Krok 8: Přihlaste se k instanci virtuální brány firewall vSRX | 357
Zaregistrujte virtuální firewall vSRX na AWS s Juniper ATP Cloud | 359
Použití Cloud-Init k automatizaci inicializace instancí virtuální brány firewall vSRX v AWS | 364
AWS elastické vyvažování zátěže a elastický síťový adaptér | 366 konecview elastického vyvažování zátěže AWS | 367 Konecview aplikace Load Balancer | 369 Nasazení AWS Application Load Balancer | 370 Vyvolání vytvoření zásobníku šablony cloudové formace (CFT) pro virtuální bránu firewall vSRX Za nasazením AWS Application Load Balancer | 374 Konecview elastického síťového adaptéru AWS (ENA) pro instance virtuální brány firewall vSRX | 383
Podpora vícejádrového škálování na AWS s SWRSS a ENA | 384
Centralizované monitorování a odstraňování problémů pomocí funkcí AWS | 385 Principy centralizovaného monitorování pomocí Cloudwatch | 385 Integrace virtuální brány firewall vSRX s funkcemi monitorování a odstraňování problémů AWS | 393 Udělení oprávnění pro virtuální bránu firewall vSRX pro přístup k AWS CloudWatch a Security Hub | 393 Povolit monitorování instancí virtuální brány firewall vSRX pomocí metriky AWS CloudWatch | 395 Sbírejte, ukládejte a View vSRX Virtual Firewall se přihlásí do AWS CloudWatch | 396 Povolení a konfigurace Security Hub na vSRX Virtual Firewall | 397
Nasazení vSRX Virtual Firewall 3.0 pro zabezpečení dat pomocí AWS KMS | 398 Integrujte AWS KMS s vSRX Virtual Firewall 3.0 | 398 šablon vytváření cloudu AWS | 402
Konfigurace virtuální brány firewall vSRX pomocí rozhraní CLI | 406 Vysvětlení virtuální brány firewall vSRX na předkonfiguraci AWS a výchozích továrních nastaveních | 406 Přidat základní konfiguraci virtuální brány firewall vSRX | 407 Přidat servery DNS | 410 Přidat licence funkcí virtuální brány firewall vSRX | 410
Nakonfigurujte vSRX Virtual Firewall pomocí J-Web Rozhraní | 411 Přístup k J-Web Rozhraní a konfigurace virtuální brány firewall vSRX | 411 Použít konfigurační nastavení pro vSRX Virtual Firewall | 413 Přidat licence funkcí virtuální brány firewall vSRX | 414

Upgradujte software Junos OS na instanci virtuální brány firewall vSRX | 414 Aktualizace operačního systému Junos pro vSRX Virtual Firewall Software Release | 414 Nahraďte instanci virtuální brány firewall vSRX na AWS | 415

Odeberte instanci virtuální brány firewall vSRX na AWS | 416

Vyrovnávání zátěže brány AWS s Geneve | 433 Konecview AWS Gateway Load Balancer | 433 AWS GWLB s Geneve vSRX Virtual Firewall 3.0 Deployment | 435

Example: Konfigurace Juniper ATP Cloud pro vSRX Virtual Firewall | 445 Než začnete | 445 přesview | 445 Konfigurace cloudu Juniper ATP | 445

VSRX Virtual Firewall Deployment pro Microsoft Azure

Nadview | 449

Pochopte virtuální bránu firewall vSRX s cloudem Microsoft Azure | 449

xii
Požadavky na vSRX Virtual Firewall v Microsoft Azure | 453 Nasazení virtuální brány firewall vSRX z Azure Portal | 461 Než nasadíte virtuální bránu firewall vSRX z Azure Portal | 461 Vytvořit skupinu prostředků | 462 Vytvořit účet úložiště | 466 Vytvoření virtuální sítě | 471 Nasazení obrazu virtuální brány firewall vSRX z Azure Marketplace | 476
Nasazení obrazu virtuální brány firewall vSRX | 476 Ověřte nasazení virtuální brány firewall vSRX do Microsoft Azure | 489 Přihlaste se k virtuálnímu počítači vSRX Virtual Firewall | 490 Nasazení virtuální brány firewall vSRX z Azure CLI | 493 Než nasadíte virtuální bránu firewall vSRX pomocí Azure CLI | 493 Nasazení virtuální brány firewall vSRX z Azure CLI | 495 Nainstalujte Microsoft Azure CLI | 496 Stáhněte si nástroje pro nasazení virtuální brány firewall vSRX | 497 Změňte hodnoty parametrů v souboru vSRX Virtual Firewall.parameter.json File | 498 Nasazení virtuální brány firewall vSRX pomocí skriptu Shell | 502 Ověřte nasazení virtuální brány firewall vSRX do Microsoft Azure | 504 Přihlášení k instanci virtuální brány firewall vSRX | 507 Konfigurace a správa virtuální brány firewall vSRX pro Microsoft Azure | 509 Konfigurace virtuální brány firewall vSRX pomocí rozhraní CLI | 509 Konfigurace virtuální brány firewall vSRX pomocí J-Web Rozhraní | 511 Přístup k J-Web Rozhraní a konfigurace virtuální brány firewall vSRX | 512 Použít konfiguraci | 514 Přidat licence funkcí virtuální brány firewall vSRX | 515 Odebrání instance virtuální brány firewall vSRX z Microsoft Azure | 515 Upgrade softwaru Junos OS na instanci virtuální brány firewall vSRX | 515 Aktualizace operačního systému Junos pro vSRX Virtual Firewall verze softwaru | 516 Nahraďte instanci virtuální brány firewall vSRX v Azure | 516 Konfigurace funkcí Azure na vSRX Virtual Firewall a případy použití | 518

xiii

Nasazení modulu Microsoft Azure Hardware Security Module na vSRX Virtual Firewall 3.0 | 518
Integrace hardwarového bezpečnostního modulu Microsoft Azure Key Vault skončilaview | 519 Konfigurace Microsoft Azure Key Vault HSM na vSRX Virtual Firewall 3.0 | 520 Změňte hlavní heslo šifrování | 524 Ověřte stav HSM | 524 request security hsm master-encryption-password | 525 zobrazit stav zabezpečení hsm | 526 Principy funkcí VPN se službou Microsoft Azure Key Vault HSM | 529 Chování CLI s a bez HSM | 533 požadavek zabezpečení pki zapsat místní certifikát scep | 534

Example: Konfigurace Juniper ATP Cloud pro vSRX Virtual Firewall | 548 Než začnete | 548 přesview | 548 Konfigurace cloudu Juniper ATP | 548

Nasazení virtuální brány firewall vSRX pro platformu Google Cloud

Nadview | 552

Pochopte nasazení virtuální brány firewall vSRX s Google Cloud | 552

Pochopte nasazení virtuální brány firewall vSRX s platformou Google Cloud Platform | 552

Požadavky na vSRX Virtual Firewall na Google Cloud Platform | 555 Typy instancí výpočetního modulu Google | 555 Podpora virtuální brány firewall vSRX pro Google Cloud | 556 Specifikace virtuální brány firewall vSRX pro GCP | 557

xiv

Nainstalujte vSRX Virtual Firewall v Google Cloud | 560 Připravte se na nastavení nasazení virtuální brány firewall vSRX na GCP | 560
Krok 1: Plánování účtu Google Cloud Platform | 562 Krok 2: Definování síťových atributů a generování páru klíčů SSH pro ověřování | 563 Krok 3: Plánování sítě virtuálního privátního cloudu Google (VPC) | 565

Nasazení virtuální brány firewall vSRX na platformě Google Cloud | 566
Nasaďte vSRX Virtual Firewall Firewall z Marketplace Launcher | 566 Nasaďte instanci virtuální brány firewall vSRX z portálu GCP pomocí vlastního soukromého obrazu | 574
Nahrajte obrázek virtuální brány firewall vSRX do úložiště Google Cloud Storage | 574 Vytvoření obrazu virtuální brány firewall vSRX | 576 Nasaďte vSRX Virtual Firewall Firewall z portálu GCP | 578 Nasazení vSRX Virtual Firewall Firewall pomocí Cloud-init | 580

Upgradujte Junos OS pro vSRX Virtual Firewall Software Release | 583

VSRX Virtual Firewall Deployment pro IBM Cloud

Nadview | 595

vSRX Virtual Firewall Overview | 595

Začínáme s Juniper vSRX Virtual Firewall na IBM Cloud | 598 konecview vSRX Virtual Firewall v IBM Cloud | 598 Výběr licence virtuální brány firewall vSRX | 600 Objednání virtuální brány firewall vSRX | 602

Funkce Junos OS podporované na vSRX Virtual Firewall | 604

Instalace a konfigurace virtuální brány firewall vSRX v IBM | 618 Základy provádění virtuální brány firewall vSRX v IBM Cloud | 618
Viewing všech zařízení brány | 619

xv
Viewpodrobnosti o zařízení brány | 619 Přejmenování zařízení brány | 619 Zrušení zařízení brány | 620 Provádění dalších úloh virtuální brány firewall vSRX | 620
Kontroly připravenosti virtuální brány firewall vSRX v IBM Cloud | 623 Kontrola připravenosti virtuální brány firewall vSRX | 623 Stav připravenosti | 624 Oprava chyb připravenosti | 624
Správa VLAN pomocí zařízení brány | 626 Přidružení VLAN k zařízení brány | 626 Směrování přidružené VLAN | 626 Obejití směrování zařízení brány pro VLAN | 627 Odpojení VLAN od zařízení brány | 627
Práce s výchozími konfiguracemi virtuální brány firewall vSRX | 628 Vysvětlení výchozí konfigurace virtuální brány firewall vSRX | 628 Import a export konfigurace virtuální brány firewall vSRX | 629 Export části konfigurace virtuální brány firewall vSRX | 630 Import celé konfigurace virtuální brány firewall vSRX | 631 Import části konfigurace virtuální brány firewall vSRX | 631
Migrace starších konfigurací na aktuální architekturu virtuální brány firewall vSRX | 633 Migrace samostatných konfigurací virtuální brány firewall 1G vSRX | 633 Migrace konfigurací vysoké dostupnosti virtuální brány firewall 1G vSRX | 641
Povolení SSH a ping na veřejnou podsíť | 642 Povolení SSH a Ping na veřejnou podsíť | 642
Provádění pokročilých úloh virtuální brány firewall vSRX v IBM Cloud | 643 Práce s firewally | 643 Zásady zóny | 644 Filtry brány firewall | 645 Práce s sNAT | 645 Práce s převzetím služeb při selhání | 645 Práce se směrováním | 647 Práce s VPN | 648

xvi

Zabezpečení hostitelského operačního systému | 654 Konfigurace rozhraní pro správu | 656

Správa virtuální brány firewall vSRX v IBM Cloud | 666 Nástroje pro konfiguraci a správu virtuální brány firewall vSRX | 666

Správa zásad zabezpečení pro virtuální počítače pomocí Junos Space Security Director | 667

Monitorování a odstraňování problémů | 669

Technická podpora | 669

VSRX Virtual Firewall Deployment pro OCI

Nadview | 671

Vysvětlení nasazení virtuální brány firewall vSRX v infrastruktuře Oracle Cloud | 671

Nadview architektury Oracle VM | 671 vSRX Virtual Firewall s Oracle Cloud Infrastructure | 672 OCI Slovník | 672

Požadavky na vSRX Virtual Firewall na Oracle Cloud Infrastructure | 673 Minimální systémové požadavky pro OCI | 674 Výchozí nastavení virtuální brány firewall vSRX s OCI | 675 Doporučené postupy pro nasazení virtuální brány firewall vSRX | 675

Instalace virtuální brány firewall vSRX v OCI | 676 Nasazení virtuální brány firewall vSRX v infrastruktuře Oracle Cloud | 676
Nadview | 676 Spusťte instance virtuální brány firewall vSRX v OCI | 678

Upgradujte Junos OS pro vSRX Virtual Firewall Software Release | 692

Licencování virtuální brány firewall vSRX | 693 licencí pro vSRX Virtual Firewall | 693

xvii
O této příručce
vSRX Virtual Firewall je virtualizovaná forma firewallu nové generace Juniper Networks. Je umístěn pro použití ve virtualizovaném nebo cloudovém prostředí, kde může chránit a zabezpečit provoz ve směru východ-západ a sever-jih. Tato příručka poskytuje podrobnosti o nasazení virtuální brány firewall vSRX na různých privátních a veřejných cloudových platformách.

1 XNUMX XNUMX ČÁST
VSRX Virtual Firewall Deployment pro KVM
Nadview | 2 Nainstalujte vSRX Virtual Firewall do KVM | 19 vSRX Virtual Firewall Správa virtuálních počítačů s KVM | 62 Konfigurace vSRX Virtual Firewall Chassis Clusters na KVM | 89

2
KAPITOLA 1
Nadview
V TÉTO KAPITOLE Pochopte vSRX Virtual Firewall s KVM | 2 Požadavky na vSRX Virtual Firewall na KVM | 7
Pochopte vSRX Virtual Firewall s KVM
V TÉTO ČÁSTI vSRX Virtual Firewall na KVM | 2 vSRX Virtual Firewall škálování výkonu | 3
Tato sekce představuje konecview vSRX Virtual Firewall na KVM.
vSRX Virtual Firewall na KVM
Linuxové jádro používá virtuální stroj založený na jádře (KVM) jako virtualizační infrastrukturu. KVM je software s otevřeným zdrojovým kódem, který můžete použít k vytvoření více virtuálních strojů (VM) a k instalaci bezpečnostních a síťových zařízení. Mezi základní součásti KVM patří: · Zaváděcí modul jádra zahrnutý v jádře Linuxu, který poskytuje základní virtualizaci
infrastruktura · Modul specifický pro procesor Po nahrání do linuxového jádra funguje software KVM jako hypervizor. KVM podporuje multitenancy a umožňuje vám provozovat více virtuálních počítačů vSRX Virtual Firewall na hostitelském OS. KVM spravuje a sdílí systémové prostředky mezi hostitelským OS a několika virtuálními počítači vSRX Virtual Firewall.

3
POZNÁMKA: vSRX Virtual Firewall vyžaduje, abyste povolili hardwarovou virtualizaci na hostitelském operačním systému, který obsahuje procesor Intel Virtualization Technology (VT). Obrázek 1 na stránce 3 ukazuje základní strukturu virtuálního počítače vSRX Virtual Firewall na serveru Ubuntu. Obrázek 1: Virtuální brána firewall vSRX na Ubuntu

vSRX Virtual Firewall zvyšuje výkon

Tabulka 1 na stránce 3 ukazuje zvýšení výkonu vSRX Virtual Firewall při nasazení na KVM na základě počtu vCPU a vRAM použitých na virtuálním počítači vSRX Virtual Firewall spolu s vydáním Junos OS, ve kterém byla uvedena konkrétní specifikace softwaru vSRX Virtual Firewall. .
Tabulka 1: Zvýšení výkonu virtuální brány firewall vSRX

vCPU

vRAM

NIC

Vydání představeno

2 vCPU

4 GB

· Virtio
· SR-IOV (Intel 82599, X520/540)

Junos OS Release 15.1X49-D15 a Junos OS Release 17.3R1

Tabulka 1: Zvýšení výkonu virtuální brány firewall vSRX (pokračování)

vCPU

vRAM

NIC

Vydání představeno

5 vCPU

8 GB

· Virtio
· SR-IOV (Intel 82599, X520/540)

Junos OS Release 15.1X49-D70 a Junos OS Release 17.3R1

5 vCPU

8 GB

· SR-IOV (Intel X710/ XL710)

Junos OS Release 15.1X49-D90 a Junos OS Release 17.3R1

1 vCPU 4 vCPU

4 GB 8 GB

SR-IOV na adaptérech rodiny Mellanox ConnectX-4 a ConnectX-5.

Verze operačního systému Junos 21.2R1

SR-IOV na adaptérech rodiny Mellanox ConnectX-4 a ConnectX-5.

Verze operačního systému Junos 21.2R1

8 vCPU

16 GB

SR-IOV na adaptérech rodiny Mellanox ConnectX-4 a ConnectX-5.

Verze operačního systému Junos 21.2R1

16 vCPU

32 GB

SR-IOV na adaptérech rodiny Mellanox ConnectX-4 a ConnectX-5.

Verze operačního systému Junos 21.2R1

Výkon a kapacitu instance virtuální brány firewall vSRX můžete škálovat zvýšením počtu jednotek vCPU a množství paměti vRAM přidělené virtuální bráně vSRX. Vícejádrový vSRX Virtual Firewall automaticky vybírá vhodné hodnoty vCPU a vRAM při spouštění a také počet front škálování na straně příjmu (RSS) v NIC. Pokud nastavení vCPU a vRAM přidělené virtuálnímu počítači vSRX Virtual Firewall neodpovídají tomu, co je aktuálně dostupné, virtuální brána firewall vSRX se sníží na nejbližší podporovanou hodnotu pro danou instanci. NapřampPokud má virtuální počítač vSRX Virtual Firewall 3 vCPU a 8 GB vRAM, vSRX Virtual Firewall se spustí na menší velikost vCPU, která vyžaduje minimálně 2 vCPU. Instanci virtuální brány firewall vSRX můžete škálovat na vyšší počet vCPU

5
a množství vRAM, ale nemůžete zmenšit existující instanci virtuální brány firewall vSRX na menší nastavení.
POZNÁMKA: Počet front RSS se obvykle shoduje s počtem vCPU datové roviny instance virtuální brány firewall vSRX. NapřampVirtuální firewall vSRX se 4 vCPU datové roviny by měl mít 4 fronty RSS.

Zvýšení kapacity relace virtuální brány firewall vSRX
Řešení vSRX Virtual Firewall je optimalizováno pro zvýšení počtu relací zvýšením paměti.
Díky možnosti zvýšit počet relací zvýšením paměti můžete povolit virtuální bránu firewall vSRX:
· Poskytovat vysoce škálovatelné, flexibilní a vysoce výkonné zabezpečení na strategických místech v mobilní síti.
· Poskytovat výkon, který poskytovatelé služeb vyžadují pro škálování a ochranu svých sítí. Spusťte souhrn relace toku zabezpečení zobrazení | grep maximální příkaz k view maximální počet relací.
Počínaje verzí Junos OS Release 18.4R1 se počet relací toku podporovaných instancí virtuální brány firewall vSRX zvyšuje na základě použité velikosti paměti vRAM.
Počínaje verzí Junos OS 19.2R1 se počet relací toku podporovaných instancí vSRX Virtual Firewall 3.0 zvyšuje na základě použité velikosti paměti VRAM.

POZNÁMKA: VSRX Virtual Firewall 28 podporuje maximálně 3.0 milionů relací. VSRX Virtual Firewall 3.0 můžete nasadit s více než 64G pamětí, ale maximální tok relací může být stále pouze 28 milionů.

Tabulka 2 na stránce 5 uvádí kapacitu relace toku. Tabulka 2: vSRX Virtual Firewall a vSRX Virtual Firewall 3.0 Podrobnosti o kapacitě relace

vCPU

Paměť

Kapacita relace průtoku

4 GB

0.5 M

Tabulka 2: vSRX Virtual Firewall a vSRX Virtual Firewall 3.0 Podrobnosti o kapacitě relace (pokračování)

vCPU

Paměť

Kapacita relace průtoku

6 GB

1 M

2/5

8 GB

2 M

2/5

10 GB

2 M

2/5

12 GB

2.5 M

2/5

14 GB

3 M

2. 5. 9

16 GB

4 M

2. 5. 9

20 GB

6 M

2. 5. 9

24 GB

8 M

2. 5. 9

28 GB

10 M

2/5/9/17

32 GB

12 M

2/5/9/17

40 GB

16 M

2/5/9/17

48 GB

20 M

2/5/9/17

56 GB

24 M

2/5/9/17

64 GB

28 M

Tabulka historie vydání Popis vydání

19.2R1

Počínaje verzí Junos OS 19.2R1 se počet relací toku podporovaných instancí vSRX Virtual Firewall 3.0 zvyšuje na základě použité velikosti paměti VRAM.

18.4R1

Počínaje verzí Junos OS Release 18.4R1 se počet relací toku podporovaných instancí virtuální brány firewall vSRX zvyšuje na základě použité velikosti paměti vRAM.

SOUVISEJÍCÍ DOKUMENTACE Požadavky na vSRX Virtual Firewall na KVM | 7 Upgrade vícejádrového virtuálního firewallu vSRX | 78 Instalace virtuální brány firewall vSRX pomocí KVM | 21
Požadavky na vSRX Virtual Firewall na KVM
V TÉTO ČÁSTI Specifikace softwaru | 7 Hardwarové specifikace | 13 osvědčených postupů pro zlepšení výkonu virtuální brány firewall vSRX | 14 Mapování rozhraní pro virtuální bránu firewall vSRX na KVM | 16 Výchozí nastavení virtuální brány firewall vSRX na KVM | 18

Tato sekce představuje konecview požadavků na nasazení instance virtuální brány firewall vSRX na KVM;
Specifikace softwaru
Bez názvu odkazu jsou uvedeny specifikace požadavků na systémový software při nasazení virtuální brány firewall vSRX v prostředí KVM. Tabulka uvádí verzi Junos OS, ve které byla představena konkrétní softwarová specifikace pro nasazení virtuální brány firewall vSRX na KVM. Abyste mohli pokračovat, budete si muset stáhnout konkrétní verzi Junos OStage určitých funkcí.

UPOZORNĚNÍ: Problém s protokolováním změn stránky (PML) související s hostitelským jádrem KVM může bránit úspěšnému spuštění virtuální brány vSRX. Pokud se s tímto chováním setkáte u virtuální brány firewall vSRX, doporučujeme zakázat PML na úrovni hostitelského jádra. Podrobnosti o deaktivaci PML jako součásti povolení vnořené virtualizace najdete v části Příprava serveru na instalaci vSRX.

Tabulka 3: Podpora funkcí virtuální brány firewall vSRX

Vlastnosti

Specifikace

Představena verze Junos OS

vCPU/paměť

2 vCPU / 4 GB RAM

Junos OS Release 15.1X49-D15 a Junos OS Release 17.3R1 (vSRX Virtual Firewall)

5 vCPU / 8 GB RAM

Junos OS Release 15.1X49-D70 a Junos OS Release 17.3R1 (vSRX Virtual Firewall)

9 vCPU / 16 GB RAM

Junos OS Release 18.4R1 (vSRX Virtual Firewall)
Junos OS Release 19.1R1 (vSRX Virtual Firewall 3.0)

17 vCPU / 32 GB RAM

Junos OS Release 18.4R1 (vSRX Virtual Firewall)
Junos OS Release 19.1R1 (vSRX Virtual Firewall 3.0)

Flexibilní kapacita toku relace

škálování o další vRAM

Junos OS Release 19.1R1 (vSRX Virtual Firewall)
Junos OS Release 19.2R1 (vSRX Virtual Firewall 3.0)

Podpora vícejádrového škálování (Software NA RSS)

Junos OS Release 19.3R1 (pouze vSRX Virtual Firewall 3.0)

Tabulka 3: Podpora funkcí virtuální brány firewall vSRX (pokračování)

Vlastnosti

Specifikace

Vyhraďte si další jádra vCPU pro NA the Routing Engine (vSRX Virtual Firewall a vSRX Virtual Firewall 3.0)

Představena verze Junos OS

Virtio (virtio-net, vhost-net) (vSRX NA Virtual Firewall a vSRX Virtual Firewall 3.0)

Podporované hypervizory Podpora Linux KVM Hypervisor

Ubuntu 14.04.5, 16.04 a 16.10 Junos OS Release 18.4R1

Další funkce Cloud-init

Ubuntu 18.04 a 20.04

Verze operačního systému Junos 20.4R1

Red Hat Enterprise Linux (RHEL) 7.3

Verze operačního systému Junos 18.4R1

Red Hat Enterprise Linux (RHEL) 7.6 a 7.7

Verze operačního systému Junos 19.2R1

Red Hat Enterprise Linux (RHEL) 8.2

Verze operačního systému Junos 20.4R1

CentOS 7.1, 7.2, 7.6 a 7.7

Verze operačního systému Junos 19.2R1

Powermode IPSec (PMI)

Klastr podvozku

Tabulka 3: Podpora funkcí virtuální brány firewall vSRX (pokračování)

Vlastnosti

Specifikace

Relace založená na GTP TEID

distribuce pomocí Software RSS

Představena verze Junos OS
Ano (Junos OS verze 19.3R1 a novější)

Modul antivirové kontroly na zařízení

(Avira)

Ano (Junos OS verze 19.4R1 a novější)

LLDP

Telemetrické rozhraní Junos

Systémové požadavky

Hardwarová akcelerace/povoleno

VMX příznak CPU v hypervisoru

Ano (Junos OS verze 21.1R1 a novější)
Ano (Junos OS verze 20.3R1 a novější)

Místo na disku

16 GB (jednotky IDE nebo SCSI) (virtuální brána vSRX)

Junos OS Release 15.1X49-D15 a Junos OS Release 17.3R1

18 GB (vSRX Virtual Firewall 3.0)

Tabulka 4: Podpora vNIC na vSRX Virtual Firewall

vNIC

Vydání představeno

Virtio SA a HA

SR-IOV SA a HA přes řadu Intel 82599/X520

Junos OS Release 15.1X49-D90 a Junos OS Release 17.3R1

SR-IOV SA a HA přes řadu Intel X710/XL710/XXV710

Verze operačního systému Junos 15.1X49-D90

SR-IOV SA přes řadu Intel E810

Verze operačního systému Junos 18.1R1

Tabulka 4: Podpora vNIC na vSRX Virtual Firewall (pokračování)

vNIC

Vydání představeno

SR-IOV HA přes řadu Intel E810

Unos OS verze 18.1R1

SR-IOV SA a HA přes Mellanox ConnectX-3

Není podporováno

SR-IOV SA a HA přes Mellanox ConnectX-4/5/6 (pouze ovladač MLX5)

Junos OS Release 18.1R1 (vSRX Virtual Firewall)
Junos OS Release 21.2R1 a novější na vSRX Virtual Firewall 3.0

Průchod PCI přes Intel řady 82599/X520 Průchod PCI přes Intel X710/XL710 řadu Data Plane Development Kit (DPDK) verze 17.05

Nepodporováno Nepodporováno Junos OS Release 18.2R1

Data Plane Development Kit (DPDK) verze 18.11

Verze operačního systému Junos 19.4R1

Počínaje Junos OS Release 19.4R1 je na vSRX Virtual Firewall podporována DPDK verze 18.11. S touto funkcí nyní karta Mellanox Connect Network Interface Card (NIC) na vSRX Virtual Firewall podporuje OSPF Multicast a VLAN.

Data Plane Development Kit (DPDK) verze 20.11

Verze operačního systému Junos 21.2R1

Počínaje verzí Junos OS Release 21.2R1 jsme upgradovali sadu Data Plane Development Kit (DPDK) z verze 18.11 na verzi 20.11. Nová verze podporuje ovladač ICE Poll Mode Driver (PMD), který umožňuje fyzickou podporu 810G NIC Intel řady E100 na vSRX Virtual Firewall 3.0.

POZNÁMKA: Virtuální brána vSRX při nasazení KVM vyžaduje, abyste povolili hardwarovou virtualizaci na hostitelském operačním systému, který obsahuje procesor podporující technologii Intel Virtualization Technology (VT). Kompatibilitu CPU můžete ověřit zde: http://www.linux-kvm.org/page/ Processor_support

Bez názvu odkazu jsou uvedeny specifikace virtuálního počítače vSRX Virtual Firewall.
Počínaje Junos OS Release 19.1R1 instance vSRX Virtual Firewall podporuje hostující OS pomocí 9 nebo 17 vCPU s single-root I/O virtualizací přes Intel X710/XL710 na Linux KVM hypervisoru pro lepší škálovatelnost a výkon.

Doporučení jádra KVM pro virtuální bránu firewall vSRX
Tabulka 5 na stránce 12 uvádí doporučenou verzi linuxového jádra pro váš hostitelský operační systém Linux při nasazení virtuální brány firewall vSRX na KVM. Tabulka uvádí verzi operačního systému Junos, ve které byla zavedena podpora pro konkrétní verzi linuxového jádra.
Tabulka 5: Doporučení jádra pro KVM

Distribuce Linuxu

Verze jádra Linuxu

Podporovaná verze Junos OS

CentOS

3.10.0.229
Upgradujte linuxové jádro, abyste získali doporučenou verzi.

Junos OS Release 15.1X49-D15 a Junos OS Release 17.3R1 nebo novější vydání

Ubuntu

3.16

Junos OS Release 15.1X49-D15 a Junos OS Release 17.3R1 nebo novější vydání

4.4

Junos OS Release 15.1X49-D15 a Junos OS

Vydání 17.3R1 nebo novější

18.04

Junos OS Release 20.4R1 nebo novější

20.04

Junos OS Release 20.4R1 nebo novější

RHEL

3.10

Junos OS Release 15.1X49-D15 a Junos OS Release 17.3R1 nebo novější vydání

Další Linuxové balíčky pro vSRX Virtual Firewall na KVM
Tabulka 6 na stránce 13 uvádí další balíčky, které potřebujete na hostitelském operačním systému Linux ke spuštění virtuální brány vSRX na KVM. Informace o instalaci těchto balíčků, pokud nejsou na vašem serveru, naleznete v dokumentaci k hostitelskému OS.
Tabulka 6: Další balíčky Linuxu pro KVM

Balík

Verze

Odkaz ke stažení

libvirt

0.10.0

libvirt ke stažení

virt-manager (doporučeno)

0.10.0

virt-manager ke stažení

Hardwarové specifikace

Tabulka 7 na stránce 13 uvádí hardwarové specifikace pro hostitelský počítač, na kterém běží virtuální počítač vSRX Virtual Firewall.
Tabulka 7: Hardwarové specifikace pro hostitelský počítač

Komponent

Specifikace

Typ hostitelského procesoru

Vícejádrový procesor Intel x86_64
POZNÁMKA: DPDK vyžaduje podporu Intel Virtualization VT-x/VT-d v CPU. Viz O virtualizační technologii Intel.

Tabulka 7: Hardwarové specifikace pro hostitelský počítač (pokračování)

Komponent

Specifikace

Podpora fyzické NIC pro vSRX Virtual Firewall a vSRX Virtual Firewall 3.0

· Virtio · SR-IOV (Intel X710/XL710, X520/540, 82599)

· SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro a Mellanox ConnectX-4 EN/ ConnectX-4 Lx EN)

POZNÁMKA: Pokud používáte SR-IOV s adaptéry Mellanox ConnectX-3 nebo ConnectX-4 Family, nainstalujte na hostitele Linux v případě potřeby nejnovější ovladač MLNX_OFED pro Linux. Viz Mellanox OpenFabrics Enterprise Distribution for Linux (MLNX_OFED).

POZNÁMKA: Chcete-li poskytnout hardwarovou podporu pro přímé přiřazování fyzických zařízení pro každého hosta, musíte povolit rozšíření Intel VT-d. Viz Konfigurace SR-IOV a PCI na KVM.

Podpora fyzické síťové karty pro vSRX Virtual Firewall 3.0

Podpora SR-IOV na Intel X710/XL710/XXV710 a Intel E810.

Doporučené postupy pro zlepšení výkonu virtuální brány firewall vSRX
Review následující postupy ke zlepšení výkonu virtuální brány firewall vSRX.
NUMA uzly
Architektura serveru x86 se skládá z více soketů a více jader v soketu. Každý soket má paměť, která se používá k ukládání paketů během I/O přenosů z NIC k hostiteli. Pro efektivní čtení paketů z paměti by hostované aplikace a přidružená periferní zařízení (jako je síťová karta) měly být umístěny v jednom soketu. Pokuta je spojena s překlenutím soketů CPU pro přístupy do paměti, což může vést k nedeterministickému výkonu. Pro vSRX Virtual Firewall doporučujeme, aby všechny vCPU pro vSRX Virtual Firewall VM byly ve stejném uzlu fyzického non-uniform memory access (NUMA) pro optimální výkon.
UPOZORNĚNÍ: Packet Forwarding Engine (PFE) na vSRX Virtual Firewall přestane reagovat, pokud je topologie uzlů NUMA nakonfigurována v hypervizoru tak, aby rozprostřela vCPU instance mezi více hostitelských uzlů NUMA. vSRX Virtual Firewall vyžaduje, abyste zajistili, že všechny vCPU jsou umístěny ve stejném uzlu NUMA.

Doporučujeme svázat instanci virtuální brány firewall vSRX s konkrétním uzlem NUMA nastavením afinity uzlu NUMA. Afinita uzlu NUMA omezuje plánování prostředků virtuálního počítače virtuální brány firewall vSRX pouze na zadaný uzel NUMA.
Mapování virtuálních rozhraní na virtuální počítač vSRX Virtual Firewall Chcete-li určit, která virtuální rozhraní na vašem hostitelském operačním systému Linux se mapují na virtuální počítač vSRX Virtual Firewall: 1. Pomocí příkazu virsh list na hostitelském operačním systému Linux vypište spuštěné virtuální počítače.
hostOS# virsh list

Identifikační jméno

Stát

———————————————————-

9 centů 1

běh

15 centů 2

běh

16 centů 3

běh

48 vsrx

běh

50 1117-2

běh

51 1117-3

běh

2. Pomocí příkazu virsh domiflist vsrx-name vypište seznam virtuálních rozhraní na tomto virtuálním počítači vSRX Virtual Firewall.

hostOS# virsh domiflist vsrx

Typ rozhraní

Zdrojový model

MAC

————————————————————-

vnet1

most brem2

virtio

52:54:00:8f:75:a5

vnet2

most br1

virtio

52:54:00:12:37:62

vnet3

most brconnect virtio

52:54:00:b2:cd:f4

POZNÁMKA: První virtuální rozhraní se mapuje na rozhraní fxp0 v OS Junos.

Mapování rozhraní pro vSRX Virtual Firewall na KVM

Každý síťový adaptér definovaný pro virtuální bránu firewall vSRX je mapován na konkrétní rozhraní v závislosti na tom, zda je instance virtuální brány firewall vSRX samostatný virtuální počítač nebo jeden z páru klastrů pro vysokou dostupnost. Názvy rozhraní a mapování ve vSRX Virtual Firewall jsou uvedeny v tabulce 8 na stránce 16 a v tabulce 9 na stránce 17.
Všimněte si následujícího:
· V samostatném režimu:
· fxp0 je rozhraní pro správu mimo pásmo.
· ge-0/0/0 je první rozhraní pro provoz (výnosy).
· V režimu clusteru:
· fxp0 je rozhraní pro správu mimo pásmo.
· em0 je spojení pro řízení clusteru pro oba uzly.
· Jakékoli z provozních rozhraní lze specifikovat jako propojení struktury, například ge-0/0/0 pro fab0 na uzlu 0 a ge-7/0/0 pro fab1 na uzlu 1.
Tabulka 8 na stránce 16 uvádí názvy a mapování rozhraní pro samostatný virtuální počítač vSRX Virtual Firewall. Tabulka 8: Názvy rozhraní pro samostatný virtuální počítač vSRX Virtual Firewall

Síťový adaptér

Název rozhraní v Junos OS pro vSRX Virtual Firewall

fxp0

ge-0/0/0

ge-0/0/1

ge-0/0/2

ge-0/0/3

Tabulka 8: Názvy rozhraní pro samostatný virtuální počítač vSRX Virtual Firewall (pokračování)

Síťový adaptér

Název rozhraní v Junos OS pro vSRX Virtual Firewall

ge-0/0/4

ge-0/0/5

ge-0/0/6

Tabulka 9 na stránce 17 ukazuje názvy a mapování rozhraní pro pár virtuálních počítačů vSRX Virtual Firewall v klastru (uzel 0 a uzel 1).
Tabulka 9: Názvy rozhraní pro pár klastrů virtuální brány firewall vSRX

Síťový adaptér

Název rozhraní v Junos OS pro vSRX Virtual Firewall

fxp0 (uzel 0 a 1)

em0 (uzel 0 a 1)

ge-0/0/0 (uzel 0)

ge-7/0/0 (uzel 1)

ge-0/0/1 (uzel 0)

ge-7/0/1 (uzel 1)

ge-0/0/2 (uzel 0)

ge-7/0/2 (uzel 1)

ge-0/0/3 (uzel 0)

ge-7/0/3 (uzel 1)

ge-0/0/4 (uzel 0)

ge-7/0/4 (uzel 1)

Tabulka 9: Názvy rozhraní pro pár klastrů virtuální brány firewall vSRX (pokračování)

Síťový adaptér

Název rozhraní v Junos OS pro vSRX Virtual Firewall

ge-0/0/5 (uzel 0)

ge-7/0/5 (uzel 1)

Výchozí nastavení virtuální brány firewall vSRX na KVM

vSRX Virtual Firewall vyžaduje následující základní konfigurační nastavení: · Rozhraní musí mít přiřazené adresy IP. · Rozhraní musí být vázáno na zóny. · Zásady musí být nakonfigurovány mezi zónami, aby povolily nebo zakázaly provoz. Tabulka 10 na stránce 18 uvádí výchozí tovární nastavení zásad zabezpečení pro virtuální bránu firewall vSRX. Tabulka 10: Výchozí nastavení z výroby pro zásady zabezpečení

Zdrojová zóna

Cílová zóna

Zásadní akce

důvěra

nedůvěřovat

povolení

důvěra

povolení

nedůvěřovat

důvěra

odmítnout

SOUVISEJÍCÍ DOKUMENTACE O virtualizační technologii Intel Poznámky k vydání DPDK

19
KAPITOLA 2
Nainstalujte vSRX Virtual Firewall v KVM
V TÉTO KAPITOLE Připravte svůj server na instalaci virtuální brány firewall vSRX | 19 Instalace virtuální brány firewall vSRX pomocí KVM | 21 Přample: Instalace a spuštění virtuální brány firewall vSRX na Ubuntu | 27 Načtení počáteční konfigurace na virtuální bránu firewall vSRX pomocí KVM | 45 Použití Cloud-Init v prostředí OpenStack k automatizaci inicializace instancí virtuální brány firewall vSRX | 48
Připravte svůj server na instalaci virtuální brány firewall vSRX
V TÉTO ČÁSTI Povolte vnořenou virtualizaci | 19 Upgradujte linuxové jádro na Ubuntu | 21
Povolit vnořenou virtualizaci
Doporučujeme povolit vnořenou virtualizaci na vašem hostitelském OS nebo výpočetním uzlu OpenStack. Vnořená virtualizace je ve výchozím nastavení povolena na Ubuntu, ale ve výchozím nastavení je zakázána na CentOS. Pomocí následujícího příkazu určete, zda je ve vašem hostitelském operačním systému povolena vnořená virtualizace. Výsledek by měl být Y. hostOS# cat /sys/module/kvm_intel/parameters/nested hostOS# Y

20
POZNÁMKA: Virtualizace APIC (APICv) nefunguje dobře s vnořenými virtuálními počítači, jako jsou ty, které se používají s KVM. Na procesorech Intel, které podporují APICv (typicky modely v2, napřample E5 v2 a E7 v2), musíte před nasazením virtuální brány firewall vSRX zakázat APICv na hostitelském serveru.
Chcete-li povolit vnořenou virtualizaci na hostitelském operačním systému: 1. V závislosti na hostitelském operačním systému proveďte následující:
· Na CentOS otevřete soubor /etc/modprobe.d/dist.conf file ve výchozím editoru.
hostOS# vi /etc/modprobe.d/dist.conf · Na Ubuntu otevřete soubor /etc/modprobe.d/qemu-system-x86.conf file ve výchozím editoru.
hostOS# vi /etc/modprobe.d/qemu-system-x86.conf 2. Přidejte následující řádek do file:
hostOS# options kvm-intel nested=y enable_apicv=n
POZNÁMKA: Problém s protokolováním změn stránky (PML) související s hostitelským jádrem KVM může bránit úspěšnému spuštění virtuální brány vSRX. Doporučujeme přidat následující řádek do file místo řádku uvedeného výše v kroku 2: hostOS# options kvm-intel nested=y enable_apicv=n pml=n
3. Zachraň file a restartujte hostitelský OS. 4. (Volitelné) Po restartu ověřte, že je povolena vnořená virtualizace.
hostOS# cat /sys/module/kvm_intel/parameters/nested
hostOS # Y

21
5. Na procesorech Intel, které podporují APICv (napřample, E5 v2 a E7 v2), zakažte APICv na hostitelském OS.
root@host# sudo rmmod kvm-intel root@host# sudo sh -c “echo 'options kvm-intel enable_apicv=n' >> /etc/modprobe.d/dist.conf” root@host# sudo modprobe kvm-intel 6. Volitelně ověřte, že APICv je nyní zakázáno.
root@host# cat /sys/module/kvm_intel/parameters/enable_apicv
N
Upgradujte linuxové jádro na Ubuntu
Upgrade na nejnovější stabilní linuxové jádro na Ubuntu: 1. Získejte a nainstalujte dostupné aktualizované jádro.
hostOS:$ sudo apt-get install linux-image-generic-lts-utopic 2. Restartujte hostitelský OS.
hostOS:$ reboot 3. Volitelně zadejte uname -a do terminálu vašeho hostitelského OS, abyste ověřili, že hostitelský OS používá nejnovější
verze jádra. hostOS:$ uname -a
3.16.0-48-generický
Nainstalujte vSRX Virtual Firewall s KVM
V TÉTO ČÁSTI Nainstalujte vSRX Virtual Firewall pomocí virt-manager | 22 Nainstalujte virtuální bránu firewall vSRX pomocí virt-install | 24

22 K instalaci virtuálních počítačů vSRX Virtual Firewall používáte virt-manager nebo virt-install. Úplné podrobnosti o těchto balíčcích najdete v dokumentaci k hostitelskému OS.
POZNÁMKA: Chcete-li upgradovat existující instanci virtuální brány firewall vSRX, přečtěte si část Migrace, upgrade a přechod na nižší verzi v poznámkách k verzi vSRX Virtual Firewall.
Nainstalujte vSRX Virtual Firewall pomocí virt-manager
Ujistěte se, že jste již na svůj hostitelský OS nainstalovali KVM, qemu, virt-manager a libvirt. Musíte také nakonfigurovat požadované virtuální sítě a fond úložiště v hostitelském OS pro virtuální počítač vSRX Virtual Firewall. Podrobnosti naleznete v dokumentaci k hostitelskému operačnímu systému. Virtuální bránu firewall vSRX můžete nainstalovat a spustit pomocí balíčku GUI KVM virt-manager. Instalace vSRX Virtual Firewall pomocí virt-manager: 1. Stáhněte si obraz vSRX Virtual Firewall QCOW2 ze stránky pro stažení softwaru Juniper. 2. V hostitelském operačním systému zadejte virt-manager. Zobrazí se Správce virtuálních strojů. Viz obrázek 2 na straně
22. POZNÁMKA: Abyste mohli používat virt-manager, musíte mít administrátorská práva na hostitelském OS.
Obrázek 2: virt-manager
3. Klepněte na Vytvořit nový virtuální počítač, jak je vidět na Obrázek 3 na straně 23. Zobrazí se průvodce Nový virtuální počítač.

23
Obrázek 3: Vytvoření nového virtuálního stroje
4. Vyberte Importovat existující obraz disku a klepněte na Předat dál. 5. Vyhledejte umístění staženého obrazu virtuální brány firewall vSRX QCOW2 a vyberte
Obraz virtuální brány firewall vSRX. 6. Vyberte Linux ze seznamu OS type a vyberte Show all OS options ze seznamu Version. 7. Z rozbaleného seznamu verzí vyberte Red Hat Enterprise Linux 7 a klikněte na Předat dál. 8. Nastavte RAM na 4096 MB a CPU nastavte na 2. Klikněte na Forward. 9. Nastavte velikost obrazu disku na 16 GB a klikněte na Vpřed. 10. Pojmenujte virtuální počítač vSRX Virtual Firewall a vyberte Před instalací přizpůsobit tuto konfiguraci
změňte parametry před vytvořením a spuštěním virtuálního počítače. Klepněte na tlačítko Dokončit. Zobrazí se dialogové okno Konfigurace. 11. Vyberte Processor a rozbalte seznam Konfigurace. 12. Vyberte Kopírovat konfiguraci hostitelského CPU. 13. Nastavte CPU Feature invtsc na vypnuto u CPU, které tuto funkci podporují. Nastavte vmx na požadované pro optimální propustnost. Volitelně můžete nastavit aes, které bude vyžadovat pro lepší kryptografickou propustnost
POZNÁMKA: Pokud možnost funkce CPU není ve vaší verzi virt-manager přítomna, musíte jednou spustit a zastavit virtuální počítač a poté upravit XML virtuálního firewallu vSRX file, který se obvykle nachází v adresáři /etc/libvirt/qemu vašeho hostitelského OS. K úpravě XML virtuálního počítače použijte úpravu virsh file konfigurovat pod živel. Také přidejte pokud váš hostitelský OS podporuje tento příznak CPU. Pomocí příkazu virsh options na vašem hostitelském OS vypište hostitelský OS a možnosti virtualizace CPU. Následující exampSoubor zobrazuje relevantní část XML virtuální brány firewall vSRX file na hostiteli CentOS:
SandyBridge Intel

24

14. Vyberte disk a rozbalte Upřesnit možnosti. 15. Vyberte IDE ze seznamu Disk bus. 16. Vyberte NIC a v poli Model zařízení vyberte virtio. Toto první NIC je fpx0
(správa) rozhraní pro vSRX Virtual Firewall. 17. Klepnutím na Přidat hardware přidejte další virtuální sítě a vyberte virtio ze seznamu Model zařízení. 18. Klepněte na tlačítko Použít a klepnutím na tlačítko x zavřete dialogové okno. 19. Klepněte na Zahájit instalaci. Správce virtuálního počítače vytvoří a spustí virtuální počítač vSRX Virtual Firewall.
POZNÁMKA: Výchozí přihlašovací ID virtuálního počítače vSRX Virtual Firewall je root bez hesla. Ve výchozím nastavení, pokud je v síti DHCP server, přiřadí IP adresu virtuálnímu počítači vSRX Virtual Firewall.
Nainstalujte vSRX Virtual Firewall pomocí virt-install
Ujistěte se, že jste již na svůj hostitelský OS nainstalovali KVM, qemu, virt-install a libvirt. Musíte také nakonfigurovat požadované virtuální sítě a fond úložiště v hostitelském OS pro virtuální počítač vSRX Virtual Firewall. Podrobnosti naleznete v dokumentaci k hostitelskému operačnímu systému.

POZNÁMKA: Abyste mohli použít příkaz virt-install, musíte mít v hostitelském OS přístup root.

Nástroje virt-install a virsh jsou alternativami CLI k instalaci a správě virtuálních počítačů vSRX Virtual Firewall na hostiteli Linux. Instalace virtuální brány vSRX pomocí virt-install: 1. Stáhněte si obraz virtuální brány vSRX QCOW2 ze stránky pro stahování softwaru Juniper. 2. V hostitelském operačním systému použijte příkaz virt-install s povinnými volbami uvedenými v tabulce 11 na stránce
25.
POZNÁMKA: Úplný popis dostupných možností naleznete v oficiální dokumentaci k instalaci virt.

Tabulka 11: Možnosti virt-install

Možnost příkazu

Popis

– jméno jméno

Pojmenujte virtuální počítač vSRX Virtual Firewall.

– RAM megabajtů

Přidělte RAM pro virtuální počítač v megabajtech.

–cpu cpu-model, cpu-flags Aktivujte funkci vmx pro optimální propustnost. Můžete také povolit aes pro lepší kryptografickou propustnost.
POZNÁMKA: Podpora příznaku CPU závisí na vašem hostitelském OS a CPU.
Pomocí funkcí virsh vypište možnosti virtualizace vašeho hostitelského operačního systému a CPU.

–číslo vcpus

Přidělte počet vCPU pro virtuální počítač vSRX Virtual Firewall.

Tabulka 11: Možnosti virt-install (pokračování)

Možnost příkazu

Popis

- cesta k disku

Zadejte diskové úložné médium a velikost pro virtuální počítač. Zahrňte následující možnosti:
· velikost=gigabajty · zařízení=disk · sběrnice=ide · formát=qcow2

–os-typ os-typ –os-varianta os-typ

Nakonfigurujte typ a variantu hostujícího OS.

-import

Vytvořte a spusťte virtuální počítač vSRX Virtual Firewall z existující bitové kopie.

Následující exampTento soubor vytvoří virtuální počítač vSRX Virtual Firewall s 4096 MB RAM, 2 vCPU a diskovým úložištěm až 16 GB:
hostOS# virt-install –name vSRXVM –ram 4096 –cpu SandyBridge,+vmx,-invtsc –vcpus=2 -arch=x86_64 –cesta k disku=/mnt/vsrx.qcow2,size=16,device=disk,bus=ide ,format=qcow2 –os-type linux –os-varianta rhel7 –import
Následující exampSoubor zobrazuje relevantní část XML virtuální brány firewall vSRX file na hostiteli CentOS:
SandyBridge Intel

27

POZNÁMKA: Výchozí přihlašovací ID virtuálního počítače vSRX Virtual Firewall je root bez hesla. Ve výchozím nastavení, pokud je v síti DHCP server, přiřadí IP adresu virtuálnímu počítači vSRX Virtual Firewall.
SOUVISEJÍCÍ DOKUMENTACE Instalace virtuálního počítače pomocí virt-install Migration, Upgrade a Downgrade Linux CPU Flags
Example: Nainstalujte a spusťte virtuální bránu firewall vSRX na Ubuntu
V TÉTO ČÁSTI Požadavky | 28 Konecview | 28 Rychlá konfigurace – Instalace a spuštění virtuálního počítače vSRX Virtual Firewall na Ubuntu | 29 | 32 Konfigurace krok za krokem | 32

28 Tento example ukazuje, jak nainstalovat a spustit instanci virtuální brány firewall vSRX na serveru Ubuntu s KVM.
Požadavky
Tento exampsoubor používá následující hardwarové a softwarové komponenty: · Obecný x86 server · Junos OS Release 15.1X49-D20 pro vSRX Virtual Firewall · Ubuntu verze 14.04.2 Než začnete: · Tento příkladample předpokládá čerstvou instalaci serverového softwaru Ubuntu. · Ujistěte se, že váš hostitelský operační systém splňuje požadavky uvedené v části Požadavky pro vSRX na KVM.
Nadview
Tento example ukazuje, jak nastavit váš hostitelský server Ubuntu a nainstalovat a spustit virtuální počítač vSRX Virtual Firewall. Obrázek 4 na stránce 28 ukazuje základní strukturu virtuálního počítače vSRX Virtual Firewall na serveru Ubuntu.
Obrázek 4: Virtuální firewall vSRX na Ubuntu
POZNÁMKA: Tento example používá statické IP adresy. Pokud konfigurujete instanci virtuální brány firewall vSRX v prostředí NFV, měli byste použít DHCP.

29
Rychlá konfigurace – Nainstalujte a spusťte virtuální počítač vSRX Virtual Firewall na Ubuntu
V TÉTO SEKCI
Rychlá konfigurace CLI | 29 Postup | 29
Rychlá konfigurace CLI
Chcete-li rychle nakonfigurovat tento example, zkopírujte následující příkazy a vložte je do textu file, odstraňte zalomení řádků, změňte veškeré podrobnosti nezbytné k tomu, aby odpovídaly konfiguraci vaší sítě, a zkopírujte a vložte příkazy do serverového terminálu Ubuntu nebo do konzoly virtuální brány firewall vSRX, jak je uvedeno.
Postup
Postup krok za krokem
1. Pokud výchozí virtuální síť ještě neexistuje, zkopírujte následující příkazy a vložte je do terminálu serveru Ubuntu, abyste vytvořili výchozí virtuální síť.
kočka < /etc/libvirt/qemu/networks/default.xml výchozí
EOF virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start default

30
výchozí virsh net-autostart
2. Vytvořte levou nebo důvěryhodnou virtuální síť na serveru Ubuntu.
kočka < /etc/libvirt/qemu/networks/testleftnetwork.xml TestLeft
EOF virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
3. Vytvořte správnou nebo nedůvěryhodnou virtuální síť na serveru Ubuntu.
kočka < /etc/libvirt/qemu/networks/testrightnetwork.xml
TestRight
EOF virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight

31
virsh net-autostart TestRight
4. Stáhněte si obraz vSRX Virtual Firewall KVM z Juniper Networks webna adrese https://www.juniper.net/support/downloads/?p=vsrx#sw.
5. Zkopírujte následující příkazy a upravte parametr a příznaky cpu tak, aby odpovídaly vašemu CPU serveru Ubuntu. Vložte výsledné příkazy do terminálu serveru Ubuntu, abyste zkopírovali bitovou kopii do bodu připojení a vytvořte virtuální počítač vSRX Virtual Firewall.
cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2 virt-install –name vSRX20One –ram 4096 –cpu SandyBridge,+vmx,-invtsc, –vcpus=2 –arch=vcpus=86 –arch= cesta=/mnt/vsrx64one.qcow20,size=2,device=disk,bus=ide,format=qcow16 –ostype linux –os-variant rhel2 –import –network=network:default,model=virtio -network=network:TestLeft ,model=virtio –network=network:TestRight,model=virtio
POZNÁMKA: Model CPU a příznaky v příkazu virt-install se mohou lišit v závislosti na CPU a funkcích serveru Ubuntu.
6. Chcete-li nastavit heslo uživatele root na virtuálním počítači vSRX Virtual Firewall, zkopírujte a vložte příkaz do CLI virtuální brány firewall vSRX na úrovni hierarchie [upravit].
nastavit systémové heslo pro autentizaci pomocí prostého textu
7. Chcete-li vytvořit základní konfiguraci na virtuálním počítači vSRX Virtual Firewall, zkopírujte následující příkazy a vložte je do textu file, odstraňte zalomení řádků, změňte veškeré podrobnosti nezbytné k tomu, aby odpovídaly konfiguraci vaší sítě, zkopírujte a vložte následující příkazy do rozhraní příkazového řádku virtuální brány firewall vSRX na úrovni hierarchie [edit] a poté zadejte potvrzení z režimu konfigurace.
sada rozhraní fxp0 jednotka 0 rodina inet dhcp-klient sada rozhraní ge-0/0/0 jednotka 0 rodina inet adresa 192.168.123.254/24 sada rozhraní ge-0/0/1 jednotka 0 rodina inet dhcp-klient sada bezpečnostních zón zabezpečení- zóna důvěryhodná rozhraní ge-0/0/0.0 host-inbound-traffic systemservices all set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic systemservices dhcp set routing-instances CUSTOMER-VR instance-type virtual -sada routeru routing-instances CUSTOMER-VR interface ge-0/0/0.0

32
nastavit routing-instances CUSTOMER-VR interface ge-0/0/1.0 set security nat source rule-set source-nat from zone trust set security nat source rule-set source-nat to zone untrust set security nat source rule-set source- nat pravidlo nat1 shoda zdrojové-adresy 0.0.0.0/0 nastavení zabezpečení nat zdrojového pravidla zdrojové-nat pravidlo nat1 potom zdrojové-nat rozhraní
V TÉTO SEKCI | 32
Postup krok za krokem
Konfigurace krok za krokem
V TÉTO ČÁSTI Přidat virtuální sítě | 33 Ověřte virtuální sítě | 36 Stažení a instalace obrazu virtuální brány firewall vSRX | 37 Ověřte instalaci virtuální brány firewall vSRX | 37 Vytvořte základní konfiguraci na instanci virtuální brány firewall vSRX | 40 Ověřte základní konfiguraci na instanci virtuální brány firewall vSRX | 43
V následujících částech naleznete podrobnější sadu postupů pro instalaci a spuštění virtuálního počítače vSRX Virtual Firewall.

33
Přidat virtuální sítě
Postup krok za krokem Musíte vytvořit virtuální sítě na serveru Ubuntu, abyste zajistili síťové připojení k rozhraním na virtuálním počítači vSRX Virtual Firewall. Zkopírujte a vložte tyto příkazy do terminálu na serveru Ubuntu. Tento exampSoubor používá tři virtuální sítě: · výchozí – Připojuje rozhraní pro správu fxp0.
POZNÁMKA: Výchozí virtuální síť by již na serveru Ubuntu měla existovat. Pomocí příkazu virsh net-list ověřte, zda je přítomna a aktivní výchozí síť.
· TestLeft – Připojuje rozhraní ge-0/0/0 k důvěryhodné zóně. · TestRight – Připojuje rozhraní ge-0/0/1 k nedůvěryhodné zóně. 1. Pokud výchozí síť neexistuje, postupujte takto:
Postup krok za krokem
A. Otevřete textový editor na serveru Ubuntu a vytvořte výchozí síťový XML (default.xml) file.
emacs /etc/libvirt/qemu/networks/default.xml
b. Nastavte dopředný režim na nat, nakonfigurujte IP adresu a masku podsítě a rozhraní mostu a nakonfigurujte DHCP tak, aby přiděloval IP adresy rozhraním v této virtuální síti.
POZNÁMKA: Použijte formát XML určený libvirt.
výchozí

34

C. Definujte a spusťte výchozí virtuální síť na základě souboru default.xml file jste vytvořili.
virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start výchozí virsh net-autostart výchozí
2. Odeberte jakoukoli dříve nakonfigurovanou virtuální síť TestLeft.
virsh net-destroy TestLeft virsh net-undefine TestLeft
3. Odeberte jakoukoli dříve nakonfigurovanou virtuální síť TestRight.
virsh net-destroy TestRight virsh net-undefine TestRight
4. Otevřete textový editor na serveru Ubuntu a vytvořte síťový XML TestLeft (testleftnetwork.xml) file.
emacs /etc/libvirt/qemu/networks/testleftnetwork.xml
5. Nastavte dopředný režim na směrování, nakonfigurujte IP adresu a masku podsítě a rozhraní mostu a nakonfigurujte DHCP tak, aby přiděloval IP adresy rozhraním v této virtuální síti.

35
POZNÁMKA: Použijte formát XML určený libvirt.
TestLeft

6. Otevřete textový editor na serveru Ubuntu a vytvořte síťový XML TestRight (testrightnetwork.xml) file.
emacs /etc/libvirt/qemu/networks/testrightnetwork.xml
7. Nastavte dopředný režim na nat, nakonfigurujte IP adresu a masku podsítě a rozhraní mostu a nakonfigurujte DHCP tak, aby přiděloval IP adresy rozhraním v této virtuální síti.
POZNÁMKA: Použijte formát XML určený libvirt.
TestRight

36
8. Definujte a spusťte virtuální síť TestLeft na základě souboru testleftnetwork.xml file jste vytvořili.
virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
9. Definujte a spusťte virtuální síť TestRight na základě souboru testrightnetwork.xml file jste vytvořili.
virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight virsh net-autostart TestRight

Ověřte účel virtuálních sítí Ověřte konfiguraci nové virtuální sítě na serveru Ubuntu. Akce Pomocí příkazu virsh net-list na serveru Ubuntu ověřte, zda jsou nová virtuální rozhraní aktivní a jsou nastavena na automatické spouštění při restartu.
virsh net-list

Jméno

Stát

Trvalé automatické spuštění

—————————————————————-

výchozí

aktivní

Ano

TestLeft

aktivní

Ano

TestRight

aktivní

Ano

37
Stáhněte a nainstalujte obraz virtuální brány firewall vSRX
Postup krok za krokem Stažení a instalace obrazu virtuální brány firewall vSRX na server Ubuntu: 1. Stáhněte obraz KVM virtuální brány vSRX ze sítě Juniper Networks. webweb: https://
www.juniper.net/support/downloads/?p=vsrx#sw 2. Zkopírujte obraz virtuální brány firewall vSRX do příslušného bodu připojení.
hostOS# cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2
3. Pomocí příkazu virt-install vytvořte virtuální počítač vSRX Virtual Firewall. Upravte parametr a příznaky cpu tak, aby odpovídaly vašemu CPU serveru Ubuntu.
hostOS# virt-install –name vSRX20One –ram 4096 –cpu SandyBridge,+vmx,-invtsc, –vcpus=2 -arch=x86_64 –cesta k disku=/mnt/vsrx20one.qcow2,size=16,device=disk,bus= ide,format=qcow2 –ostype linux –os-variant rhel7 –import –network=network:default,model=virtio -network=network:TestLeft,model=virtio –network=network:TestRight,model=virtio
POZNÁMKA: Model CPU a příznaky v příkazu virt-install se mohou lišit v závislosti na CPU a funkcích serveru Ubuntu.
Ověřte instalaci virtuální brány firewall vSRX
Účel Ověřte instalaci virtuální brány firewall vSRX.

38
Akce
1. Pomocí příkazu virsh console na serveru Ubuntu otevřete konzolu virtuální brány firewall vSRX a sledujte průběh instalace. Dokončení instalace může trvat několik minut.
hostOS# virsh konzole vSRx200ne
Spouštění instalace... CHYBA vnitřní chyba: proces byl ukončen při připojování k monitoru: libus[11994/11994]: Upozornění: Proměnná prostředí HOME není nastavena. Zakázání trasování LTTng-UST na uživatele. (v setup_local_apps() na lttng-ust-comm.c:305) libust[11994/11995]: Chyba: Chyba při otevírání shm /lttng-ust-wait-5 (v get_wait_shm() na lttngust-comm.c:886) libus[11994/11995]: Chyba: Chyba při otevírání shm /lttng-ust-wait-5 (v get_wait_shm() na lttngust-comm.c:886)
Zavedení `Juniper Linux'
Načítání Linuxu … Konzoly: sériový port jednotka BIOSu C: je disk0 jednotka BIOSu D: je disk1 jednotka BIOSu E: je disk2 jednotka BIOSu F: je disk3 BIOS 639 kB/999416 kB dostupné paměti
FreeBSD/i386 bootstrap loader, Revize 1.2 (builder@example.com, Thu Jul 30 23:20:10 UTC 2015) Loading /boot/defaults/loader.conf /kernel text=0xa3a2c0 data=0x6219c+0x11f8e0 syms=[0x4+0xb2ed0+0x4+0x1061bb] /boot/modules/libmbpool.ko text=0xce8 data=0x114 /boot/modules/if_em_vsrx.ko text=0x184c4 data=0x7fc+0x20 /boot/modules/virtio.ko text=0x2168 data=0x208 syms=[0x4+0x7e0+0x4+0x972] /boot/modules/virtio_pci.ko text=0x2de8 data=0x200+0x8 syms=[0x4+0x8f0+0x4+0xb22] /boot/modules/virtio_blk.ko text=0x299c data=0x1dc+0xc syms=[0x4+0x960+0x4+0xa0f] /boot/modules/if_vtnet.ko text=0x5ff0 data=0x360+0x10 syms=[0x4+0xdf0+0x4+0xf19] /boot/modules/pci_hgcomm.ko text=0x12fc data=0x1a4+0x44 syms=[0x4+0x560+0x4+0x61d] /boot/modules/chassis.ko text=0x9bc data=0x1d0+0x10 syms=[0x4+0x390+0x4+0x399] Hit [Enter] to boot immediately, or space bar for command prompt.

39
Booting [/kernel]… platform_early_bootinit: Inicializace předčasného spouštění GDB: ladění portů: sio GDB: aktuální port: sio KDB: backendy ladicího programu: ddb gdb KDB: aktuální backend: ddb Copyright (c) 1996-2015, Juniper Networks, Inc. práva vyhrazena. Copyright (c) 1992-2007 Projekt FreeBSD. Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
Regenti Kalifornské univerzity. Všechna práva vyhrazena. FreeBSD je registrovaná ochranná známka společnosti FreeBSD Foundation. JUNOS 15.1X49-D15.4 #0: 2015-07-31 02:20:21 UTC

ID stroje je prázdné. Úklid … Čt 27. srpna 12:06:22 UTC 2015 27. srpna 12:06:22 init: exec_command: /usr/sbin/dhcpd (PID 1422) spuštěno 27. srpna 12:06:22 init: dhcp (PID) zahájeno 1422. srpna 27:12:06 init: exec_command: /usr/sbin/pppd (PID 23) spuštěno
Amnesiac (ttyd0)
přihlášení:

40
2. Na konzole virtuální brány firewall vSRX se přihlaste a ověřte nainstalovanou verzi virtuální brány vSRX. přihlášení: root
— JUNOS 15.1X49-D15.4 vyrobeno 2015-07-31 02:20:21 UTC root@%
root@% cli
kořen>
root> zobrazit verzi
Model: vSRX Junos: 15.1X49-D15.4 Vydání softwaru JUNOS [15.1X49-D15.4] Vytvoření základní konfigurace na instanci virtuální brány firewall vSRX Postup krok za krokem Chcete-li nakonfigurovat základní nastavení na instanci virtuální brány vSRX, v režimu úprav zadejte následující kroky: 1. Vytvořte heslo uživatele root.
[upravit] nastavit systémový root-autentizace prosté-text-heslo

41
2. Nastavte rodinu IP adres pro rozhraní pro správu a povolte pro toto rozhraní klienta DHCP.
sada rozhraní fxp0 jednotka 0 rodina inet dhcp-client
3. Nastavte IP adresu pro rozhraní ge-0/0/0.0.
set rozhraní ge-0/0/0 jednotka 0 rodina inet adresa 192.168.123.254/24
4. Nastavte rodinu IP adres pro rozhraní ge-0/0/1.0 a povolte pro toto rozhraní klienta DHCP.
nastavit rozhraní ge-0/0/1 jednotka 0 rodina inet dhcp-client
5. Přidejte rozhraní ge-0/0/0.0 do zóny zabezpečení důvěryhodnosti a povolte všechny systémové služby z příchozího provozu na tomto rozhraní.
nastavit bezpečnostní zóny bezpečnostní zóna důvěryhodná rozhraní ge-0/0/0.0 host-inbound-traffic systemservices all
6. Přidejte rozhraní ge-0/0/1.0 do zóny zabezpečení nedůvěry a povolte pouze systémové služby DHCP z příchozího provozu na tomto rozhraní.
nastavit bezpečnostní zóny security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic systemservices dhcp
7. Vytvořte instanci směrování virtuálního směrovače a přidejte do této instance směrování dvě rozhraní.
nastavit routing-instances CUSTOMER-VR instance-type virtuální-router set routing-instances CUSTOMER-VR interface ge-0/0/0.0 set routing-instances CUSTOMER-VR interface ge-0/0/1.0
8. Vytvořte zdrojovou sadu pravidel NAT.
nastavit zabezpečení nat zdrojová sada pravidel source-nat ze zóny důvěřovat nastavit zabezpečení nat zdrojová sada pravidel source-nat na zónu nedůvěra

42
9. Nakonfigurujte pravidlo, které odpovídá paketům a překládá zdrojovou adresu na adresu výstupního rozhraní.
nastavit zabezpečení nat zdrojová sada pravidel zdroj-nat pravidlo nat1 shoda zdrojová-adresa 0.0.0.0/0 nastavit zabezpečení nat zdrojová sada pravidel zdrojové-nat pravidlo nat1 pak rozhraní source-nat
Výsledky
V konfiguračním režimu potvrďte svou konfiguraci zadáním příkazu show interfaces. Pokud výstup nezobrazuje zamýšlenou konfiguraci, opakujte pokyny v tomto příkladuample pro opravu konfigurace.
zobrazit rozhraní
V konfiguračním režimu potvrďte své zásady zabezpečení zadáním příkazu show security policies. Pokud výstup nezobrazuje zamýšlenou konfiguraci, opakujte pokyny v tomto příkladuample pro opravu konfigurace.
zobrazit zásady zabezpečení
důvěra ze zóny do zóny důvěra { zásada default-permit { match { source-address any; cílová adresa libovolná; aplikace jakákoli; } potom { povolení; } }
} from-zone trust to-zone untrust {
policy default-permit { match { source-address any; cílová adresa libovolná; aplikace jakákoli;

43
} pak {
povolení; } } } from-zone untrust to-zone trust { policy default-deny { match {
zdrojová adresa libovolná; cílová adresa libovolná; aplikace jakákoli; } potom { popřít; } } }
Pokud jste dokončili konfiguraci zařízení, zadejte commit z konfiguračního režimu.
POZNÁMKA: Jako poslední krok ukončete konfigurační režim a pomocí příkazu request system reboot restartujte virtuální počítač vSRX Virtual Firewall. K opětovnému připojení k virtuální bráně firewall vSRX po restartu můžete použít příkaz virsh console na serveru Ubuntu.
Ověřte základní konfiguraci na instanci virtuální brány firewall vSRX
Účel
Ověřte základní konfiguraci na instanci virtuální brány firewall vSRX.

44
Akce Ověřte, že rozhraní ge-0/0/0.0 má přiřazenou IP adresu z rozsahu adres DHCP sítě TestLeft a zda má ge-0/0/1.0 přiřazenou adresu IP z rozsahu adres DHCP sítě TestRight.
root> zobrazit rozhraní stručně

Interface ge-0/0/0 ge-0/0/0.0 gr-0/0/0 ip-0/0/0 lsq-0/0/0 lt-0/0/0 mt-0/0/0 sp-0/0/0 sp-0/0/0.0
sp-0/0/0.16383 ge-0/0/1 ge-0/0/1.0 dsc em0 em0.0 em1 em1.32768 em2 fxp0 fxp0.0 ipip irb lo0 lo0.16384 lo0.16385
0.32768 lsi

Admin Link Proto nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru inet
inet6 nahoru nahoru inet nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru nahoru inet nahoru nahoru nahoru nahoru nahoru nahoru nahoru inet nahoru
nahoru nahoru nahoru nahoru

Místní

Vzdálený

192.168.123.254/24

192.168.124.238/24 128.0.0.1/2 192.168.1.2/24 192.168.2.1/24

127.0.0.1 10.0.0.1 10.0.0.16 128.0.0.1 128.0.0.4 128.0.1.16

–> 0/0 –> 0/0 –> 0/0 –> 0/0 –> 0/0 –> 0/0

mtun

nahoru nahoru

pimd

nahoru nahoru

pime

nahoru nahoru

str. 0

nahoru nahoru

ppd0

nahoru nahoru

ppe0

nahoru nahoru

st0

nahoru nahoru

klepnout

nahoru nahoru

vlan

nahoru dolů

SOUVISEJÍCÍ DOKUMENTACE libvirt Network XML Format libvirt Command Reference
Načtěte počáteční konfiguraci na virtuální bránu firewall vSRX pomocí KVM
V TÉTO ČÁSTI Vytvořte vSRX Virtual Firewall Bootstrap ISO Image | 46 Poskytování virtuální brány firewall vSRX s obrazem ISO Bootstrap na KVM | 47

Počínaje verzí Junos OS Release 15.1X49-D40 a Junos OS Release 17.3R1 můžete použít připojený obraz ISO k předání počáteční konfigurace Junos OS do virtuálního počítače vSRX Virtual Firewall. Tento obraz ISO obsahuje a file v kořenovém adresáři s názvem juniper.conf. Tento file používá standardní syntaxi příkazů Junos OS k definování podrobností o konfiguraci, jako je heslo uživatele root, adresa IP správy, výchozí brána a další konfigurační příkazy. Proces zavedení virtuálního počítače vSRX Virtual Firewall s obrazem konfigurace ISO je následující:
POZNÁMKA: Konfigurace SNMPv3 není podporována při poskytování platforem virtuální brány firewall vSRX s obrazem bootstrap ISO.
1. Vytvořte konfiguraci juniper.conf file s konfigurací Junos OS.

46
2. Vytvořte obraz ISO, který obsahuje soubor juniper.conf file. 3. Připojte obraz ISO k virtuálnímu počítači vSRX Virtual Firewall. 4. Spusťte nebo restartujte virtuální počítač vSRX Virtual Firewall. vSRX Virtual Firewall se spustí pomocí souboru juniper.conf
file zahrnuto v připojeném ISO obrazu. 5. Odpojte obraz ISO z virtuálního počítače vSRX Virtual Firewall.
POZNÁMKA: Pokud po úvodním spuštění nebo restartu neodpojíte obraz ISO, všechny následné změny konfigurace virtuální brány firewall vSRX budou při příštím restartu přepsány obrazem ISO.
Vytvořte vSRX Virtual Firewall Bootstrap ISO obraz
Tato úloha používá k vytvoření obrazu ISO systém Linux. Chcete-li vytvořit zaváděcí ISO obraz vSRX Virtual Firewall: 1. Vytvořte konfiguraci file v prostém textu se syntaxí příkazu Junos OS a uložit do a file volal
jalovec.conf. 2. Vytvořte nový adresář.
hostOS$ mkdir iso_dir
3. Zkopírujte juniper.conf do nového adresáře ISO.
hostOS$ cp juniper.conf iso_dir
POZNÁMKA: Soubor jalovec.conf file musí obsahovat úplnou konfiguraci virtuální brány firewall vSRX. Proces bootstrap ISO přepíše jakoukoli existující konfiguraci virtuální brány firewall vSRX.

47
4. Pomocí příkazu Linux mkisofs vytvořte obraz ISO.
hostOS$ mkisofs -l -o test.iso iso_dir
I: -input-charset není zadán, používá utf-8 (zjištěno v nastavení národního prostředí) Celková velikost překladové tabulky: 0 Celkový počet bajtů atributů rockridge: 0 Celkový počet bajtů adresáře: 0 Velikost tabulky cesty (bajty): 10 Maximální použitý prostor brk 0 175 zapsané rozsahy (0 MB)
POZNÁMKA: Volba -l umožňuje dlouhé filejméno.
Poskytování virtuální brány firewall vSRX s obrazem ISO Bootstrap na KVM
Chcete-li zajistit virtuální počítač vSRX Virtual Firewall z obrazu bootstrap ISO: 1. Použijte příkaz virsh edit na hostitelském serveru KVM, kde je virtuální počítač vSRX Virtual Firewall umístěn.
přidejte obraz ISO bootstrap jako diskové zařízení.
<disk type=’file' device='cdrom'> file='/home/test.iso'/>

2. Spusťte nebo restartujte virtuální počítač vSRX Virtual Firewall.
user@host# virsh start ixvSRX
Připojeno k doméně ixvSRX

48
3. Volitelně použijte linuxový příkaz virsh domblklist k ověření, zda je obraz ISO bootstrap součástí virtuálního počítače.
hostOS# virsh domblklist ixvSRX

Cílový zdroj

——————————————————

hda

/home/test/vsrx209.qcow2

hdc

/home/test/test.iso

4. Ověřte konfiguraci a poté vypněte virtuální počítač vSRX Virtual Firewall, abyste odstranili obraz ISO. 5. Pomocí příkazu virsh edit na hostitelském serveru KVM odstraňte přidané příkazy ISO image xml
v kroku 1 a poté restartujte virtuální počítač vSRX Virtual Firewall.

Tabulka historie vydání

Uvolnění

Popis

15.1X49-D80

SOUVISEJÍCÍ DOKUMENTACE Příkaz mkisofs pro Linux
Použití Cloud-Init v prostředí OpenStack k automatizaci inicializace instancí virtuální brány firewall vSRX
V TÉTO ČÁSTI Proveďte automatické nastavení instance virtuální brány firewall vSRX pomocí rozhraní příkazového řádku OpenStack | 52

49
Proveďte automatické nastavení instance virtuální brány firewall vSRX z ovládacího panelu OpenStack (Horizont) | 54
Počínaje verzí Junos OS Release 15.1X49-D100 a Junos OS Release 17.4R1 je balíček cloud-init (verze 0.7x) předinstalován v obrazu virtuální brány vSRX, aby se zjednodušila konfigurace nových instancí virtuální brány vSRX pracujících v prostředí OpenStack. podle zadaných uživatelských dat file. Cloud-init se provádí během prvního spuštění instance virtuální brány firewall vSRX.
Cloud-init je softwarový balík OpenStack pro automatizaci inicializace cloudové instance při spouštění. Je k dispozici v Ubuntu a většině hlavních operačních systémů Linux a FreeBSD. Cloud-init je navržen tak, aby podporoval více různých poskytovatelů cloudu, takže stejný obraz virtuálního stroje (VM) lze přímo použít ve více hypervizorech a cloudových instancích bez jakýchkoli úprav. Podpora cloud-init v instanci virtuálního počítače se spouští při spouštění (první spuštění) a inicializuje instanci virtuálního počítače podle zadaných uživatelských dat. file.
Uživatelská data file je speciální klíč ve službě metadat, který obsahuje a file že cloudové aplikace v instanci virtuálního počítače mohou přistupovat při prvním spuštění. V tomto případě se jedná o ověřenou konfiguraci Junos OS file kterou hodláte nahrát do instance virtuální brány firewall vSRX jako aktivní konfiguraci. Tento file používá standardní syntaxi příkazů Junos OS k definování podrobností o konfiguraci, jako je heslo uživatele root, adresa IP správy, výchozí brána a další konfigurační příkazy.
Když vytvoříte instanci virtuální brány firewall vSRX, můžete použít cloud-init s ověřenou konfigurací Junos OS file (juniper.conf) k automatizaci inicializace nových instancí virtuální brány firewall vSRX. Uživatelská data file používá standardní syntaxi Junos OS k definování všech podrobností konfigurace pro vaši instanci virtuální brány firewall vSRX. Výchozí konfigurace Junos OS je během spouštění instance virtuální brány firewall vSRX nahrazena ověřenou konfigurací Junos OS, kterou dodáte ve formě uživatelských dat. file.
POZNÁMKA: Pokud používáte verzi starší než Junos OS Release 15.1X49-D130 a Junos OS Release 18.4R1, konfigurace uživatelských dat file nesmí přesáhnout 16 kB. Pokud vaše uživatelská data file překročí tento limit, musíte komprimovat file pomocí gzip a použijte komprimovaný file. Napřample, výsledkem příkazu gzip junos.conf je soubor junos.conf.gz file. Počínaje verzí Junos OS Release 15.1X49-D130 a Junos OS Release 18.4R1, pokud používáte zdroj dat konfiguračního disku v prostředí OpenStack, konfigurace uživatelských dat file velikost může být až 64 MB.
Konfigurace musí být ověřena a musí obsahovat podrobnosti o rozhraní fxp0, přihlášení a ověřování. Musí mít také výchozí trasu pro provoz na fxp0. Pokud některá z těchto informací chybí nebo je nesprávná, instance je nepřístupná a musíte spustit novou.

50
VAROVÁNÍ: Ujistěte se, že konfigurace uživatelských dat file není nakonfigurován k provádění automatické instalace na rozhraních používajících protokol DHCP (Dynamic Host Configuration Protocol) k přiřazení adresy IP virtuální bráně vSRX. Automatická instalace pomocí DHCP bude mít za následek „selhání potvrzení“ konfigurace uživatelských dat file.
Počínaje verzí Junos OS Release 15.1X49-D130 a Junos OS Release 18.4R1 byla funkce cloud-init ve vSRX Virtual Firewall rozšířena o podporu použití zdroje dat konfiguračního disku v prostředí OpenStack. Konfigurační jednotka používá atribut user-data k předání ověřené konfigurace Junos OS file do instance virtuální brány firewall vSRX. Uživatelská data mohou být prostý text nebo MIME file zadejte text/prostý. Konfigurační jednotka se obvykle používá ve spojení se službou Compute a je přítomna v instanci jako diskový oddíl označený config-2. Konfigurační jednotka má maximální velikost 64 MB a musí být naformátována pomocí vfat nebo ISO 9660 filesystém.
Zdroj dat konfiguračního disku také poskytuje flexibilitu pro přidání více než jednoho file které lze použít pro konfiguraci. Typickým případem použití by bylo přidání konfigurace Day0 file a licenci file. V tomto případě existují dvě metody, které lze použít k použití zdroje dat konfiguračního disku s instancí virtuální brány firewall vSRX:
· Uživatelská data (Junos OS Configuration File) sám – Tento přístup používá atribut user-data k předání konfigurace Junos OS file do každé instance virtuální brány firewall vSRX. Uživatelská data mohou být prostý text nebo MIME file zadejte text/prostý.
· Konfigurace Junos OS file a licence file– Tento přístup využívá zdroj dat konfiguračního disku k odeslání konfigurace a licence Junos OS file(s) do každé instance virtuální brány firewall vSRX.
POZNÁMKA: Pokud licence file má být konfigurován ve vSRX Virtual Firewallu, je doporučeno použítfile možnost namísto možnosti uživatelských dat poskytuje flexibilitu konfigurace files větší než limit 16 kB uživatelských dat.
Chcete-li použít zdroj dat konfiguračního disku k odeslání konfigurace a licence Junos OS file(s) do instance virtuální brány firewall vSRX, files je třeba odeslat ve specifické struktuře složek. V této aplikaci je struktura složek zdroje dat konfiguračního disku ve virtuální bráně vSRX následující:
– OpenStack – nejnovější – junos-config – configuration.txt – licence junos

51
– Licence_file_name.lic – Licence_file_name.lic
//OpenStack//latest/junos-config/configuration.txt //OpenStack//latest/junos-license/license.lic Než začnete: · Vytvořte konfiguraci file pomocí syntaxe příkazu Junos OS a uložte jej. Konfigurace file může
být prostý text nebo MIME file zadejte text/prostý. Řetězec #junos-config musí být prvním řádkem konfigurace uživatelských dat file před konfigurací Junos OS.
POZNÁMKA: Řetězec #junos-config je povinný v konfiguraci uživatelských dat file; pokud není zahrnuta, konfigurace nebude aplikována na instanci virtuální brány firewall vSRX jako aktivní konfigurace.
· Určete název instance virtuální brány firewall vSRX, kterou chcete inicializovat s ověřenou konfigurací operačního systému Junos file.
· Určete variantu vaší instance virtuální brány firewall vSRX, která definuje výpočetní, paměťovou a úložnou kapacitu instance virtuální brány firewall vSRX.
· Počínaje verzí Junos OS Release 15.1X49-D130 a Junos OS Release 18.4R1, pokud používáte konfigurační jednotku, zajistěte, aby byla splněna následující kritéria pro povolení cloud-init podpory pro konfigurační jednotku v OpenStack: · Konfigurační jednotka musí být naformátována pomocí buď vfat nebo iso9660 filesystém.
POZNÁMKA: Výchozí formát konfigurační jednotky je ISO 9660 file Systém. Chcete-li explicitně určit formát ISO 9660/vfat, přidejte do souboru nova.conf řádek config_drive_format=iso9660/vfat file.
· Konfigurační jednotka musí mít a filesystémový štítek config-2. · Velikost složky nesmí být větší než 64 MB.
V závislosti na vašem prostředí OpenStack můžete ke spuštění a inicializaci instance vSRX Virtual Firewall použít buď rozhraní příkazového řádku OpenStack (jako je vytvoření serveru nova boot nebo openstack) nebo OpenStack Dashboard (“Horizon”).

52
Proveďte automatické nastavení instance virtuální brány firewall vSRX pomocí rozhraní příkazového řádku OpenStack
Instanci virtuální brány firewall vSRX můžete spustit a spravovat pomocí příkazů vytvoření serveru nova boot nebo openstack, což zahrnuje použití ověřených uživatelských dat konfigurace Junos OS. file z místního adresáře inicializovat aktivní konfiguraci cílové instance virtuální brány firewall vSRX.
Chcete-li zahájit automatické nastavení instance virtuální brány firewall vSRX z klienta příkazového řádku OpenStack:
1. Pokud jste tak ještě neučinili, vytvořte konfiguraci file pomocí syntaxe příkazu Junos OS a uložte soubor file. Konfigurace file může být prostý text nebo MIME file zadejte text/prostý. Konfigurace uživatelských dat file musí obsahovat úplnou konfiguraci virtuální brány firewall vSRX, která má být použita jako aktivní konfigurace v každé instanci virtuální brány firewall vSRX, a řetězec #junos-config musí být prvním řádkem konfigurace uživatelských dat file před konfigurací Junos OS.
POZNÁMKA: Řetězec #junos-config je povinný v konfiguraci uživatelských dat file; pokud není zahrnuta, konfigurace nebude aplikována na instanci virtuální brány firewall vSRX jako aktivní konfigurace.
2. Zkopírujte konfiguraci Junos OS file do přístupného umístění, odkud jej lze získat pro spuštění instance virtuální brány firewall vSRX.
3. V závislosti na vašem prostředí OpenStack použijte příkaz nova boot nebo openstack server create ke spuštění instance vSRX Virtual Firewall s ověřenou konfigurací Junos OS. file jako specifikovaná uživatelská data.
POZNÁMKA: Ekvivalent nova boot můžete také použít v Orchestrační službě, jako je HEAT.
Napřample: · nova boot -user-data –image vSRX_image –flavor vSRX_flavor_instance · vytvoření serveru openstack -user-data –image vSRX_image –příchuť
vSRX_flavor_instance Kde: -user-data určuje umístění konfigurace Junos OS file. Konfigurace uživatelských dat file velikost je omezena na přibližně 16,384 XNUMX bajtů. –image vSRX_image identifikuje název jedinečného obrazu virtuální brány firewall vSRX. –flavor vSRX_flavor_instance identifikuje variantu virtuální brány firewall vSRX (ID nebo název).

53
Počínaje verzí Junos OS Release 15.1X49-D130 a Junos OS Release 18.4R1, aby bylo možné použít konfigurační jednotku pro konkrétní požadavek ve výpočetním prostředí OpenStack, zahrňte parametr -configdrive true do příkazu nova boot nebo openstack server create.
POZNÁMKA: Konfigurační jednotku je možné povolit automaticky ve všech instancích konfigurací služby OpenStack Compute tak, aby vždy vytvořila konfigurační jednotku. Chcete-li to provést, zadejte volbu force_config_drive=True v souboru nova.conf file.
Napřample, chcete-li použít atribut user-data k předání konfigurace Junos OS do každé instance virtuální brány firewall vSRX: nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image -user-data Kde: -uživatelská-data určuje umístění konfigurace Junos OS file. Konfigurace uživatelských dat file velikost je omezena na přibližně 64 MB. -image vSRX_image identifikuje název jedinečného obrazu virtuální brány firewall vSRX. -flavor vSRX_flavor_instance identifikuje variantu vSRX Virtual Firewall (ID nebo název).
Napřample, chcete-li zadat konfigurační jednotku s násobkem files (konfigurace OS Junos file a licence file): nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image [-file /config/junos-config/ configuration.txt=/cesta/k/file] [-file /junos-license/license.lic=path/to/license] Kde: [-file /config/junos-config/configuration.txt=/cesta/k/file] určuje umístění konfigurace Junos OS file. [-file /config/junos-license/license.lic=path/to/license] určuje umístění konfigurace Junos OS file. -image vSRX_image identifikuje název jedinečného obrazu virtuální brány firewall vSRX. -flavor vSRX_flavor_instance identifikuje variantu vSRX Virtual Firewall (ID nebo název). 4. Spusťte nebo restartujte instanci virtuální brány firewall vSRX. Během počáteční spouštěcí sekvence zpracuje instance virtuální brány firewall vSRX požadavek cloud-init.

54
POZNÁMKA: Doba spouštění pro instanci virtuální brány firewall vSRX se může s použitím balíčku cloud-init prodloužit. Tento dodatečný čas v počáteční spouštěcí sekvenci je způsoben operacemi prováděnými balíčkem cloud-init. Během této operace cloud-init balíček zastaví spouštěcí sekvenci a provede vyhledání konfiguračních dat v každém datovém zdroji identifikovaném v cloud.cfg. Čas potřebný k vyhledání a naplnění cloudových dat je přímo úměrný počtu definovaných zdrojů dat. Pokud neexistuje zdroj dat, proces vyhledávání pokračuje, dokud nedosáhne předem definovaného časového limitu 30 sekund pro každý zdroj dat.
5. Když se obnoví počáteční spouštěcí sekvence, uživatelská data file nahradí původní tovární konfiguraci Junos OS načtenou do instance vSRX Virtual Firewall. Pokud bude odevzdání úspěšné, výchozí nastavení z výroby bude trvale nahrazeno. Pokud konfigurace není podporována nebo ji nelze použít na instanci virtuální brány firewall vSRX, virtuální brána firewall vSRX se spustí pomocí výchozí konfigurace Junos OS.
VIZ TAKÉ
Dokumentace Cloud-Init Klienti příkazového řádku OpenStack Klient příkazového řádku výpočetní služby (nova) Vytvoření serveru Openstack Povolení instancí konfigurační jednotky (configdrive)
Proveďte automatické nastavení instance virtuální brány firewall vSRX z ovládacího panelu OpenStack (Horizont)
Horizon je kanonická implementace OpenStack Dashboard. Poskytuje a Webuživatelské rozhraní pro služby OpenStack včetně Nova, Swift, Keystone a tak dále. Instanci vSRX Virtual Firewall můžete spustit a spravovat z OpenStack Dashboard, což zahrnuje použití ověřených uživatelských dat konfigurace Junos OS. file z místního adresáře inicializovat aktivní konfiguraci cílové instance virtuální brány firewall vSRX.
Chcete-li spustit automatické nastavení instance virtuální brány firewall vSRX z ovládacího panelu OpenStack:
1. Pokud jste tak ještě neučinili, vytvořte konfiguraci file pomocí syntaxe příkazu Junos OS a uložte soubor file. Konfigurace file může být prostý text nebo MIME file zadejte text/prostý. Konfigurace uživatelských dat file musí obsahovat úplnou konfiguraci virtuální brány firewall vSRX, která má být použita jako aktivní konfigurace v každé instanci virtuální brány firewall vSRX, a řetězec #junosconfig musí být prvním řádkem konfigurace uživatelských dat file před konfigurací Junos OS.

55
POZNÁMKA: Řetězec #junos-config je povinný v konfiguraci uživatelských dat file; pokud není zahrnuta, konfigurace nebude aplikována na instanci virtuální brány firewall vSRX jako aktivní konfigurace.
2. Zkopírujte konfiguraci Junos OS file do přístupného umístění, odkud jej lze získat pro spuštění instance virtuální brány firewall vSRX.
3. Přihlaste se do OpenStack Dashboard pomocí svých přihlašovacích údajů a poté vyberte příslušný projekt z rozbalovací nabídky vlevo nahoře.
4. Na kartě Project klepněte na kartu Compute a vyberte Instance. Řídicí panel zobrazuje různé instance s názvem obrázku, soukromými a plovoucími IP adresami, velikostí, stavem, zónou dostupnosti, úkolem, stavem napájení atd.
5. Klepněte na Spustit instanci. Zobrazí se dialogové okno Spustit instanci. 6. Na kartě Podrobnosti (viz Obrázek 5 na stránce 55) zadejte název instance pro virtuální vSRX
Firewall VM spolu s přidruženou zónou dostupnosti (napřample, Nova) a potom klepněte na tlačítko Další. Doporučujeme ponechat tento název stejný jako název hostitele přiřazený virtuálnímu počítači vSRX Virtual Firewall.
Obrázek 5: Karta Podrobnosti o instanci spuštění

56 7. Na kartě Zdroj (viz Obrázek 6 na straně 56) vyberte zdroj obrazu virtuálního počítače vSRX Virtual Firewall file
ze seznamu Dostupné a poté klikněte na +(Plus). Vybraný obraz virtuální brány firewall vSRX se zobrazí v části Přiděleno. Klepněte na tlačítko Další. Obrázek 6: Záložka Zdroj instance spuštění
8. Na kartě Flavour (viz Obrázek 7 na stránce 57) vyberte instanci virtuální brány firewall vSRX s konkrétním výpočetním výkonem, pamětí a úložnou kapacitou ze seznamu Dostupné a poté klikněte na + (znaménko plus). Vybraná varianta virtuální brány firewall vSRX se zobrazí v části Přiděleno. Klepněte na tlačítko Další.

57 Obrázek 7: Karta Příchuť spuštění instance
9. Na kartě Sítě (viz Obrázek 8 na stránce 58) vyberte konkrétní síť instance virtuální brány firewall vSRX ze seznamu Dostupné a klepněte na + (znaménko plus). Vybraná síť se zobrazí v části Přiděleno. Klepněte na tlačítko Další. POZNÁMKA: Neaktualizujte žádné parametry na kartách Síťové porty, Skupiny zabezpečení nebo Pár klíčů v dialogovém okně Spustit instanci.

58 Obrázek 8: Spuštění karty Instance Networks
10. Na kartě Konfigurace (viz Obrázek 9 na stránce 59) klepněte na Procházet a přejděte do umístění ověřené konfigurace Junos OS. file z místního adresáře, který chcete použít jako uživatelská data file. Klepněte na tlačítko Další.

59 Obrázek 9: Spuštění záložky Konfigurace instance
11. Potvrďte, že načtená konfigurace Junos OS obsahuje řetězec #junos-config v prvním řádku konfigurace uživatelských dat file (viz Obrázek 10 na stránce 60) a potom klepněte na tlačítko Další. POZNÁMKA: Neaktualizujte žádné parametry na kartě Metadata v dialogovém okně Spustit instanci.

60 Obrázek 10: Spusťte kartu Konfigurace instance s načtenou konfigurací Junos OS
12. Klepněte na Spustit instanci. Během počáteční spouštěcí sekvence zpracuje instance virtuální brány firewall vSRX požadavek cloud-init. POZNÁMKA: Doba spouštění pro instanci virtuální brány firewall vSRX se může s použitím balíčku cloud-init prodloužit. Tento dodatečný čas v počáteční spouštěcí sekvenci je způsoben operacemi prováděnými balíčkem cloud-init. Během této operace balíček cloud-init zastaví spouštěcí sekvenci a provede vyhledání konfiguračních dat v každém datovém zdroji identifikovaném v cloud.cfg. Čas potřebný k vyhledání a naplnění cloudových dat je přímo úměrný počtu definovaných zdrojů dat. Pokud neexistuje zdroj dat, proces vyhledávání pokračuje, dokud nedosáhne předem definovaného časového limitu 30 sekund pro každý zdroj dat.
13. Když se obnoví počáteční spouštěcí sekvence, uživatelská data file nahradí původní tovární konfiguraci Junos OS načtenou do instance vSRX Virtual Firewall. Pokud bude odevzdání úspěšné, výchozí nastavení z výroby bude trvale nahrazeno. Pokud konfigurace není podporována nebo ji nelze použít na instanci virtuální brány firewall vSRX, virtuální brána firewall vSRX se spustí pomocí výchozí konfigurace Junos OS.

VIZ TAKÉ

Dokumentace Cloud-Init OpenStack Dashboard Spuštění a správa instancí Horizon: The OpenStack Dashboard Project

Tabulka historie vydání

Uvolnění

Popis

15.1X49D130

Počínaje verzí Junos OS Release 15.1X49-D130 a Junos OS Release 18.4R1 byla funkce cloud-init ve vSRX Virtual Firewall rozšířena o podporu použití zdroje dat konfiguračního disku v prostředí OpenStack. Konfigurační jednotka používá atribut user-data k předání ověřené konfigurace Junos OS file do instance virtuální brány firewall vSRX.

15.1X49D100

Počínaje verzí Junos OS Release 15.1X49-D100 a Junos OS Release 17.4R1 je balíček cloud-init (verze 0.7x) předinstalován v obrazu virtuální brány vSRX, aby se zjednodušila konfigurace nových instancí virtuální brány vSRX pracujících v prostředí OpenStack. podle zadaných uživatelských dat file. Cloud-init se provádí během prvního spuštění instance virtuální brány firewall vSRX.

62
KAPITOLA 3
vSRX Virtual Firewall Správa virtuálních počítačů s KVM
V TÉTO KAPITOLE Konfigurujte vSRX Virtual Firewall pomocí CLI | 62 Připojte se ke konzole pro správu virtuální brány firewall vSRX na KVM | 64 Přidání virtuální sítě k virtuálnímu počítači vSRX Virtual Firewall s KVM | 65 Přidání virtuálního rozhraní Virtio k virtuálnímu počítači vSRX Virtual Firewall s KVM | 67 SR-IOV a PCI | 69 Upgrade vícejádrového virtuálního firewallu vSRX | 78 Monitorování virtuálního počítače vSRX Virtual Firewall v KVM | 81 Správa instance virtuální brány firewall vSRX na KVM | 82 Obnovení hesla uživatele root pro virtuální bránu firewall vSRX v prostředí KVM | 87
Nakonfigurujte vSRX Virtual Firewall pomocí CLI
Konfigurace instance virtuální brány firewall vSRX pomocí rozhraní CLI: 1. Ověřte, zda je virtuální brána firewall vSRX zapnutá. 2. Přihlaste se jako uživatel root. Neexistuje žádné heslo. 3. Spusťte CLI.
root#cli root@> 4. Vstupte do konfiguračního režimu.
konfigurovat [upravit] root@#

63
5. Nastavte heslo pro autentizaci uživatele root zadáním hesla prostého textu, šifrovaného hesla nebo řetězce veřejného klíče SSH (DSA nebo RSA).
[upravit] root@# nastavit autentizaci systému root-prosté-textové heslo Nové heslo: heslo Znovu zadejte nové heslo: heslo 6. Nakonfigurujte název hostitele.
[upravit] root@# set system host-name host-name 7. Nakonfigurujte rozhraní pro správu.
[editovat] root@# nastavit rozhraní fxp0 jednotka 0 rodina inet dhcp-client 8. Nakonfigurujte komunikační rozhraní.
[editovat] root@# set interfaces ge-0/0/0 unit 0 family inet dhcp-client 9. Nakonfigurujte základní bezpečnostní zóny a připojte je k komunikačním rozhraním.
[editovat] root@# nastavit bezpečnostní zóny rozhraní důvěryhodnosti bezpečnostní zóny ge-0/0/0.0 10. Ověřte konfiguraci.
[upravit] kontrola konfigurace root@# kontrola odevzdání byla úspěšná

64
11. Potvrďte konfiguraci pro její aktivaci v instanci virtuální brány firewall vSRX.
[edit] root@# commit commit complete 12. Volitelně použijte příkaz show k zobrazení konfigurace, abyste ověřili, že je správná.
POZNÁMKA: Některé funkce softwaru Junos OS vyžadují k aktivaci této funkce licenci. Chcete-li povolit licencovanou funkci, musíte zakoupit, nainstalovat, spravovat a ověřit licenční klíč, který odpovídá každé licencované funkci. Chcete-li splnit požadavky na licencování softwarových funkcí, musíte si zakoupit jednu licenci na funkci a instanci. Přítomnost příslušného klíče pro odblokování softwaru ve vaší virtuální instanci vám umožňuje konfigurovat a používat licencovanou funkci. Podrobnosti viz Správa licencí pro vSRX.
SOUVISEJÍCÍ DOKUMENTACE Uživatelská příručka CLI
Připojte se k konzole pro správu virtuální brány firewall vSRX na KVM
Ujistěte se, že máte na svém hostitelském OS nainstalovaný balíček virt-manager nebo virsh. Chcete-li se připojit ke konzole pro správu virtuální brány vSRX pomocí virt-manager: 1. Spusťte virt-manager. 2. V seznamu zobrazených virtuálních počítačů zvýrazněte virtuální počítač vSRX Virtual Firewall, ke kterému se chcete připojit. 3. Klikněte na Otevřít. 4. Vyberte View>Textové konzoly>Sériové číslo 1. Zobrazí se konzola virtuální brány firewall vSRX. Připojení k virtuálnímu počítači vSRX Virtual Firewall pomocí virsh:

65
1. Použijte příkaz virsh console na hostitelském operačním systému Linux.
user@host# virsh console vSRX-kvm-2
Připojeno k doméně vSRX-kvm-2
2. Zobrazí se konzola virtuální brány firewall vSRX.
Přidejte virtuální síť k virtuálnímu počítači vSRX Virtual Firewall s KVM
Stávající virtuální počítač vSRX Virtual Firewall můžete rozšířit o další virtuální sítě. Chcete-li vytvořit virtuální síť pomocí virt-manager: 1. Spusťte virt-manager a vyberte Upravit>Podrobnosti připojení. Zobrazí se dialogové okno Podrobnosti připojení. 2. Vyberte položku Virtuální sítě. Zobrazí se seznam existujících virtuálních sítí. 3. Klepnutím na + vytvořte novou virtuální síť pro ovládací odkaz. Průvodce vytvořením nové virtuální sítě
objeví se. 4. Nastavte podsíť pro tuto virtuální síť a klepněte na Předat dál. 5. Volitelně vyberte Enable DHCP a klikněte na Forward. 6. Vyberte typ sítě ze seznamu a klikněte na Předat dál. 7. Ověřte nastavení a kliknutím na Dokončit vytvořte virtuální síť. Chcete-li vytvořit virtuální síť pomocí virsh: 1. Pomocí příkazu virsh net-define na hostitelském operačním systému vytvořte soubor XML. file který definuje nový virtuální
síť. Chcete-li definovat tuto síť, zahrňte pole XML popsaná v tabulce 12 na stránce 66.
POZNÁMKA: Úplný popis dostupných možností, včetně způsobu konfigurace sítí IPv6, najdete v oficiální dokumentaci virsh.

Tabulka 12: Pole XML definovaná sítí virsh

Pole

Popis

…

Pomocí tohoto prvku XML wrapper můžete definovat virtuální síť.

síťový název

Zadejte název virtuální sítě.

Zadejte název hostitelského mostu použitého pro tuto virtuální síť.

Zadejte směrovaný nebo nat. Nepoužívejte prvek pro izolovaný režim.

<ip address=”ip-address” netmask=”netmask”

Zadejte adresu IP a masku podsítě, kterou používá tato virtuální síť, spolu s rozsahem adres DHCP.

Následující example ukazuje jakoample XML file která definuje novou virtuální síť.
mgmt
2. Pomocí příkazu virsh net-start v hostitelském OS spusťte novou virtuální síť.
hostOS# virsh net-start mgmt
3. Použijte příkaz virsh net-autostart v hostitelském operačním systému k automatickému spuštění nové virtuální sítě při spuštění hostitelského OS.
hostOS# virsh net-autostart mgmt

4. Volitelně použijte příkaz virsh net-list all v hostitelském OS k ověření nové virtuální sítě.

HostOS# # virsh net-list –vše

Jméno

Stát

Trvalé automatické spuštění

—————————————————————-

mgmt

aktivní ano

Ano

výchozí

aktivní ano

Ano

SOUVISEJÍCÍ DOKUMENTACE nástroje virt
Přidejte virtuální rozhraní Virtio k virtuálnímu počítači vSRX Virtual Firewall s KVM
Ke stávajícímu virtuálnímu počítači vSRX Virtual Firewall s KVM můžete přidat další virtuální rozhraní virtio. Chcete-li přidat další virtuální rozhraní virtio k virtuálnímu počítači vSRX Virtual Firewall pomocí správce virt-manager: 1. Ve virt-manager poklepejte na virtuální počítač vSRX Virtual Firewall a vyberte View> Podrobnosti. Virtuální vSRX
Zobrazí se dialogové okno Podrobnosti virtuálního počítače brány firewall. 2. Klepněte na Přidat hardware. Zobrazí se dialogové okno Přidat hardware. 3. Vyberte Síť z levého navigačního panelu. 4. Vyberte hostitelské zařízení nebo virtuální síť, na které chcete vytvořit nové virtuální rozhraní
Seznam zdrojů sítě. 5. Vyberte virtio ze seznamu Device model a klikněte na Finish. 6. Z konzoly virtuální brány firewall vSRX restartujte instanci virtuální brány firewall vSRX.
vsrx# požaduje restart systému. vSRX Virtual Firewall restartuje jak Junos OS, tak hostující virtuální počítač vSRX Virtual Firewall.
POZNÁMKA: DPDK omezuje na typ Virtio NIC 64 MAC adres. Při nasazení protokolu, který generuje další MAC adresu, napřample VRRP, musíte zajistit, aby nebylo nakonfigurováno více než 64 dílčích rozhraní na Virtio NIC, aby nedošlo ke ztrátě provozu.
Chcete-li přidat další virtuální rozhraní virtio do virtuálního počítače vSRX Virtual Firewall pomocí virsh:

1. Použijte příkaz virsh attachment-interface na hostitelském operačním systému s povinnými možnostmi uvedenými v tabulce 13 na stránce 68.
POZNÁMKA: Úplný popis dostupných možností naleznete v oficiální dokumentaci virsh.

Tabulka 13: Možnosti připojení virsh-interface Příkaz Možnost Popis

-doménové jméno

Zadejte název virtuálního počítače hosta.

-typ

Zadejte typ připojení hostitelského OS jako most nebo síť.

–source interface Zadejte fyzické nebo logické rozhraní hostitelského OS, které chcete přidružit k této vNIC.

–cílový vnic

Zadejte název nového vNIC.

-Modelka

Zadejte model vNIC.

Následující example vytvoří nový virtio vNIC z hostitelského OS virbr0 bridge.
uživatel@hostitel# virsh připojit-rozhraní –doména vsrxVM –typ mostu –zdroj virbr0 –cíl vsrxmgmt –model virtio

Rozhraní bylo úspěšně připojeno

uživatel@hostitel# virsh dumpxml vsrxVM

69

2. Z konzoly virtuální brány firewall vSRX restartujte instanci virtuální brány firewall vSRX. vsrx# požaduje restart systému. vSRX Virtual Firewall restartuje jak Junos OS, tak hostující virtuální počítač vSRX Virtual Firewall.
SOUVISEJÍCÍ DOKUMENTACE nástroje virt
SR-IOV a PCI
V TÉTO ČÁSTI SR-IOV Overview | 69 Podpora SR-IOV HA s vypnutým režimem důvěryhodnosti (pouze KVM) | 70 Konfigurace rozhraní SR-IOV na KVM | 74
Tato část obsahuje následující témata o SR-IOV pro instanci virtuální brány firewall vSRX nasazenou na KVM:
Konec SR-IOVview
vSRX Virtual Firewall na KVM podporuje typy rozhraní virtualizace I/O s jedním kořenem (SR-IOV). SR-IOV je standard, který umožňuje, aby se jedna fyzická síťová karta prezentovala jako více vNIC nebo virtuálních funkcí (VF), ke kterým se může připojit virtuální počítač (VM). SR-IOV se kombinuje s dalšími virtualizačními technologiemi, jako je Intel VT-d, pro zlepšení I/O výkonu virtuálního počítače. SR-IOV umožňuje každému virtuálnímu počítači přímý přístup k paketům zařazeným do fronty pro virtuální počítače připojené k virtuálnímu počítači. SR-IOV použijete, když potřebujete výkon I/O, který se blíží výkonu fyzických rozhraní s holými kovy.

70
V nasazeních používajících rozhraní SR-IOV jsou pakety zahazovány, když je MAC adresa přiřazena rozhraní vSRX Virtual Firewall Junos OS. K tomuto problému dochází, protože SR-IOV neumožňuje změny MAC adresy v PF ani VF.
POZNÁMKA: SR-IOV v KVM nepřemapuje čísla rozhraní. Sekvence rozhraní v XML virtuální brány firewall vSRX file odpovídá sekvenci rozhraní zobrazené v rozhraní příkazového řádku Junos OS na instanci virtuální brány firewall vSRX.
SR-IOV používá dvě funkce PCI: · Fyzické funkce (PF) – plná zařízení PCIe, která zahrnují možnosti SR-IOV. Fyzikální funkce jsou
objevil, spravoval a konfiguroval jako normální zařízení PCI. Fyzické funkce konfigurují a spravují funkčnost SR-IOV přiřazením virtuálních funkcí. Když je SR-IOV zakázáno, hostitel vytvoří jeden PF na jedné fyzické NIC. · Virtuální funkce (VF) – Jednoduché funkce PCIe, které zpracovávají pouze I/O. Každá virtuální funkce je odvozena z fyzické funkce. Počet virtuálních funkcí, které zařízení může mít, je omezeno hardwarem zařízení. Jediný ethernetový port, fyzické zařízení, může mapovat mnoho virtuálních funkcí, které lze sdílet s hosty. Když je povolena SR-IOV, hostitel vytvoří jeden PF a více VF na jedné fyzické NIC. Počet VF závisí na konfiguraci a podpoře ovladače.
Podpora SR-IOV HA s vypnutým režimem důvěryhodnosti (pouze KVM)
V TÉTO ČÁSTI Vysvětlení podpory SR-IOV HA s vypnutým režimem důvěryhodnosti (pouze KVM) | 70 Konfigurace podpory SR-IOV s vypnutým režimem důvěryhodnosti (pouze KVM) | 72 Omezení | 73
Vysvětlení podpory SR-IOV HA s vypnutým režimem důvěryhodnosti (pouze KVM)
Redundantní ethernetové rozhraní (RETH) je virtuální rozhraní sestávající ze stejného počtu členských rozhraní z každého zúčastněného uzlu klastru SRX. Všechny logické konfigurace, jako je IP adresa, QoS, zóny a VPN, jsou svázány s tímto rozhraním. Fyzikální vlastnosti jsou aplikovány na členská nebo podřízená rozhraní. Rozhraní RETH má virtuální MAC adresu, která se vypočítává pomocí id clusteru. RETH byl implementován jako agregované rozhraní/LAG v Junos OS. Pro LAG je nadřazená (logická) MAC adresa IFD zkopírována do každého z podřízených rozhraní. Když nakonfigurujete podřízené rozhraní pod rozhraním RETH, virtuální MAC rozhraní RETH se přepíše v aktuálním poli MAC adresy

71
fyzické rozhraní dítěte. To také vyžaduje, aby byla virtuální MAC adresa naprogramována na odpovídající NIC.
Junos OS běží jako VM na vSRX Virtual Firewall. Junos OS nemá přímý přístup k NIC a má pouze virtuální NIC přístup poskytovaný hypervizorem, který může být sdílen s jinými VM běžícími na stejném hostitelském počítači. Tento virtuální přístup přichází s určitými omezeními, jako je speciální režim zvaný důvěryhodný režim, který je nutný k naprogramování virtuální MAC adresy na NIC. Během nasazení nemusí být poskytování přístupu v režimu důvěryhodnosti možné z důvodu možných problémů se zabezpečením. Aby model RETH mohl pracovat v takových prostředích, je upraveno chování přepisu MAC. Namísto kopírování rodičovské virtuální MAC adresy dětem ponecháme fyzickou MAC adresu dětí nedotčenou a zkopírujeme fyzickou MAC adresu dítěte patřícího do aktivního uzlu clusteru do aktuální MAC rozhraní reth. Tímto způsobem není vyžadován přístup pro přepis MAC, když je vypnutý režim důvěryhodnosti.
V případě vSRX Virtual Firewallu DPDK čte fyzickou MAC adresu poskytnutou hypervizorem a sdílí ji s řídicí rovinou Junos OS. V samostatném režimu je tato fyzická MAC adresa naprogramována na fyzických IFD. Ale podpora pro totéž není k dispozici v režimu clusteru, kvůli čemuž je MAC adresa pro fyzické rozhraní převzata z rezervovaného fondu MAC společnosti Juniper. V prostředí, kde režim důvěryhodnosti není proveditelný, není hypervizor schopen poskytnout fyzickou adresu MAC.
Abychom tento problém překonali, přidali jsme podporu pro použití fyzické adresy MAC poskytnuté hypervizorem namísto jejího přidělování z vyhrazené oblasti MAC. Viz „Konfigurace podpory SR-IOV s vypnutým režimem důvěryhodnosti (pouze KVM)“ na stránce 72.

72 Konfigurace podpory SR-IOV s vypnutým režimem důvěryhodnosti (pouze KVM) Obrázek 11: Kopírování MAC adresy z aktivního podřízeného rozhraní do nadřazeného RETH
Počínaje verzí Junos OS 19.4R1 je SR-IOV HA podporována s vypnutým režimem důvěryhodnosti. Tento režim můžete povolit nakonfigurováním konfiguračních příkazů use-active-child-mac-on-reth a use-actual-mac-on-physical-interfaces na úrovni hierarchie [upravit cluster podvozku]. Pokud nakonfigurujete příkazy v clusteru, hypervizor přiřadí MAC adresu podřízeného fyzického rozhraní a MAC adresa nadřazeného RETH rozhraní bude přepsána MAC adresou aktivního podřízeného fyzického rozhraní.
POZNÁMKA: SR-IOV můžete nakonfigurovat se zakázaným režimem důvěryhodnosti, pouze pokud jsou rozhraní příjmů SRIOV. Rozhraní nebo propojení tkaniny nemohou používat SR-IOV s deaktivovaným režimem důvěryhodnosti, když jsou nakonfigurována skutečná fyzická rozhraní MAC. Použití SRIOV se zakázaným režimem důvěryhodnosti je podporováno, pokud jsou SR-IOV pouze rozhraní příjmů. Chcete-li povolit tento režim, musíte restartovat instanci virtuální brány firewall vSRX. Aby se příkazy projevily, musí být oba uzly v clusteru restartovány. Chcete-li tuto funkci aktivovat, musíte společně nakonfigurovat příkazy use-active-child-mac-on-reth a use-actual-mac-on-physical-interfaces.

73
VIZ TÉŽ use-active-child-mac-on-reth use-actual-mac-on-physical-interfaces
Omezení
Podpora SR-IOV HA s vypnutým režimem důvěry na KVM má následující omezení:
· Podpora SR-IOV HA s vypnutým režimem důvěry je podporována pouze na systémech založených na KVM.
· Rozhraní reth může mít maximálně jeden port jako člen na každém uzlu clusteru virtuální brány firewall vSRX.
· Funkci zabezpečení nat proxy-arp nelze použít pro fondy NAT, protože při převzetí služeb při selhání pro adresy IP v fondech NAT není odesláno žádné G-ARP. Místo toho lze nastavit cesty do rozsahu NAT poolu v upstream routeru tak, aby ukazovaly na IP adresu vSRX Virtual Firewall reth rozhraní jako další skok. Nebo pokud přímo připojení hostitelé potřebují přístup k adresám fondu NAT, lze tyto adresy fondu NAT nakonfigurovat pro proxy ARP v rozhraní reth.
· Pokud je rozhraní reth nakonfigurováno s mnoha sítěmi VLAN, může odeslání všech G-ARP při převzetí služeb při selhání nějakou dobu trvat. To může vést k znatelnému přerušení provozu.
· Selhání datové roviny bude mít za následek změnu MAC adresy rozhraní reth. Proto není převzetí služeb při selhání transparentní pro přímo připojená sousední zařízení na 3. vrstvě (směrovače nebo servery). IP adresa vSRX Virtual Firewall reth musí být namapována na novou MAC adresu v tabulce ARP na sousedních zařízeních. vSRX Virtual Firewall odešle G-ARP, který těmto zařízením pomůže. V případě, že tato sousední zařízení nereagují na G-ARP přijaté z vSRX Virtual Firewallu nebo vykazují pomalou odezvu, může být provoz přerušen, dokud dané zařízení správně neaktualizuje svou tabulku ARP.
· Následující funkce virtuální brány firewall vSRX nejsou podporovány v nasazeních, která používají rozhraní SR-IOV:
Tato omezení platí v nasazeních, kde nelze aktualizovat nebo ovládat ovladače PF. Omezení neplatí, pokud je vSRX Virtual Firewall nasazen na podporovaných zařízeních Juniper Networks.
· Vysoká dostupnost (HA)
· Rozhraní IRB
· IPv6 adresování
· Jumbo rámy
· Podpora vrstvy 2

74
· Multicast s dalšími funkcemi, jako jsou OSPF a IPv6
· Paketový režim
Nakonfigurujte rozhraní SR-IOV na KVM
Pokud máte fyzickou síťovou kartu, která podporuje SR-IOV, můžete k instanci virtuální brány firewall vSRX připojit síťové karty vNIC nebo virtuální funkce (VF) s podporou SR-IOV a zlepšit tak výkon. Pokud používáte SR-IOV, doporučujeme, aby byly všechny příjmové porty nakonfigurovány jako SR-IOV.
Poznámka k podpoře SR-IOV pro virtuální bránu firewall vSRX na KVM:
· Počínaje Junos OS Release 15.1X49-D90 a Junos OS Release 17.3R1, instance vSRX Virtual Firewall nasazená na KVM podporuje SR-IOV na Intel X710/XL710 NIC kromě Intel 82599 nebo X520/540.
· Počínaje Junos OS Release 18.1R1 instance virtuální brány firewall vSRX nasazená na KVM podporuje SR-IOV na adaptérech Mellanox ConnectX-3 a ConnectX-4 Family.
POZNÁMKA: Viz diskuzi o škálování výkonu virtuální brány vSRX v článku Porozumět vSRX s KVM, kde najdete zvýšení výkonu virtuální brány vSRX při nasazení na KVM na základě vNIC a počtu vCPU a vRAM použitých na virtuální počítač vSRX Virtual Firewall.
Než budete moci připojit VF s podporou SR-IOV k instanci virtuální brány firewall vSRX, musíte provést následující úlohy:
· Do hostitelského serveru vložte fyzický síťový adaptér podporující SR-IOV.
· Povolte virtualizační rozšíření Intel VT-d CPU v systému BIOS na hostitelském serveru. Rozšíření Intel VT-d poskytuje hardwarovou podporu pro přímé přiřazení fyzických zařízení hostovi. Ověřte proces u dodavatele, protože různé systémy mají různé metody pro povolení VT-d.
· Ujistěte se, že je SR-IOV povoleno na úrovni BIOSu systému/serveru tak, že během spouštěcí sekvence hostitelského serveru přejdete do nastavení systému BIOS a potvrdíte nastavení SR-IOV. Různí výrobci serverů mají různé konvence pojmenování parametru BIOS používaného k povolení SR-IOV na úrovni systému BIOS. NapřampU serveru Dell se ujistěte, že možnost SR-IOV Global Enable je nastavena na Enabled.
POZNÁMKA: Ke konfiguraci rozhraní SR-IOV doporučujeme použít virt-manager. Chcete-li se dozvědět, jak přidat hostitelské zařízení PCI k virtuálnímu počítači pomocí příkazů CLI virsh, nahlédněte do dokumentace příkazu virsh attachment-device. Také musíte nakonfigurovat rozhraní v pořadí 1G, 10G, 40G a 100G. Pokud toto pořadí není dodrženo, musíte resetovat síťové adaptéry.

75
Chcete-li přidat SR-IOV VF do virtuálního počítače vSRX Virtual Firewall pomocí grafického rozhraní virt-manager: 1. V rozhraní Junos OS CLI vypněte virtuální počítač vSRX Virtual Firewall, pokud je spuštěn.
vsrx> požadavek na vypnutí systému
2. Ve virt-manager poklepejte na virtuální počítač vSRX Virtual Firewall a vyberte View> Podrobnosti. Zobrazí se dialogové okno Podrobnosti virtuálního počítače vSRX Virtual Firewall.
3. Vyberte kartu Hardware a klepněte na tlačítko Přidat hardware. Zobrazí se dialogové okno Přidat hardware. 4. Vyberte PCI Host Device ze seznamu Hardware na levé straně. 5. Vyberte SR-IOV VF pro toto nové virtuální rozhraní ze seznamu hostitelských zařízení. 6. Klepnutím na tlačítko Dokončit přidejte nové zařízení. Nastavení je dokončeno a virtuální počítač vSRX Virtual Firewall nyní má
přímý přístup k zařízení. 7. Na liště ikon virt-manager v levé horní části okna klikněte na šipku Zapnout. The
Spustí se virtuální počítač vSRX Virtual Firewall. Po zapnutí virtuální brány vSRX se v okně zobrazí stav Spuštěno. Můžete se připojit k řídící konzole a sledovat spouštěcí sekvenci.
POZNÁMKA: Po spuštění spouštění je třeba vybrat View>Text Consoles>Serial 1 ve virt-manager pro připojení ke konzole vSRX Virtual Firewall.
Chcete-li přidat SR-IOV VF do virtuálního počítače vSRX Virtual Firewall pomocí příkazů virsh CLI: 1. Definujte čtyři virtuální funkce pro rozhraní eno2, aktualizujte soubor sriov_numvfs file s číslem 4.
root@LabHost:~# echo 4 > /sys/class/net/eno2/device/sriov_numvfs root@LabHost:~# další /sys/class/net/eno2/device/sriov_numvfs
2. Identifikujte zařízení. Identifikujte zařízení PCI určené pro přiřazení zařízení k virtuálnímu počítači. Pomocí příkazu lspci zobrazíte seznam dostupných zařízení PCI. Výstup lspci můžete upřesnit pomocí grep.

76
Pomocí příkazu lspci zkontrolujte číslo VF podle ID VF.
root@ kvmsrv:~# lspci | grep Ether
…… 83:00.0 Ethernetový řadič: Intel Corporation Ethernet Controller XL710 pro 40GbE QSFP+ (rev 02) – Fyzická funkce 83:00.1 Ethernetový řadič: Intel Corporation Ethernet Controller XL710 pro 40GbE QSFP+ (rev 02) – Fyzická funkce 83:02.0 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.1 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.2 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.3 Ethernetový řadič : Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.4 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.5 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.6 Ethernet řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.7 Ethernet řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.0 Ethernet řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83 :0a.1 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.2 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.3 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.4 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.5 Ethernetový řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.6 Ethernet řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.7 Ethernet řadič: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) ………
3. Přidejte přiřazení zařízení SR-IOV z vSRX Virtual Firewall XML profile na KVM a znovuview informace o zařízení.
Ovladač může používat buď vfio nebo kvm, záleží na verzi OS/kernelu KVM serveru a ovladačích pro podporu virtualizace. Typ adresy odkazuje na jedinečné číslo slotu PCI pro každý SR-IOV VF (virtuální funkce).
Informace o doméně, sběrnici a funkci jsou dostupné z výstupu příkazu virsh nodedev-dumpxml.

4. Přidejte zařízení PCI do nastavení úprav a vyberte VF podle čísla VF.

POZNÁMKA: Tato operace by měla být provedena, když je virtuální počítač vypnutý. Také neklonujte VM se zařízeními PCI, což by mohlo vést ke konfliktu VF nebo MAC.

5. Spusťte virtuální počítač pomocí # virsh start name příkazu virtuálního stroje.

Tabulka historie vydání

Uvolnění

Popis

18.1R1

Počínaje verzí Junos OS 18.1R1 instance virtuální brány firewall vSRX nasazená na KVM podporuje SR-IOV na adaptérech Mellanox ConnectX-3 a ConnectX-4 Family.

15.1X49-D90

Počínaje Junos OS Release 15.1X49-D90 a Junos OS Release 17.3R1, instance vSRX Virtual Firewall nasazená na KVM podporuje SR-IOV na Intel X710/XL710 NIC kromě Intel 82599 nebo X520/540.

SOUVISEJÍCÍ DOKUMENTACE
Požadavky na vSRX Virtual Firewall na KVM | 7 Intel SR-IOV Vysvětlení PCI-SIG SR-IOV Primer SR-IOV Intel – SR-IOV Konfigurační příručka Red Hat – SRIOV – PCI zařízení

78
Upgradujte vícejádrový virtuální firewall vSRX
V TÉTO ČÁSTI Konfigurujte hodnotu fronty pro virtuální počítač vSRX Virtual Firewall s KVM | 78 Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager | 79 Upgrade virtuální brány firewall vSRX pomocí virt-manager | 79
Počínaje verzí Junos OS Release 15.1X49-D70 a Junos OS Release 17.3R1 můžete použít virt-manager ke škálování výkonu a kapacity instance vSRX Virtual Firewall zvýšením počtu vCPU nebo množství vRAM přidělené virtuálnímu vSRX Firewall. Specifikace požadavků na software pro virtuální počítač vSRX Virtual Firewall najdete v části Požadavky pro vSRX na KVM. Úplné podrobnosti o balíčku virt-manager najdete v dokumentaci k hostitelskému OS
POZNÁMKA: U existujícího virtuálního počítače vSRX Virtual Firewall nemůžete zmenšit počet vCPU ani snížit množství vRAM.
Nakonfigurujte hodnotu fronty pro virtuální počítač vSRX Virtual Firewall s KVM
Než budete plánovat zvýšení výkonu virtuální brány vSRX, upravte XML virtuální brány vSRX Virtual Firewall file ke konfiguraci síťového multi-queuingu jako prostředku pro podporu zvýšeného počtu vCPU datové roviny pro virtuální počítač vSRX Virtual Firewall. Toto nastavení aktualizuje ovladač libvirt, aby povolil multi-queue virtio-net, aby se výkon sítě mohl škálovat s rostoucím počtem vCPU datové roviny. Multiqueue virtio je přístup, který umožňuje, aby zpracování odesílání a přijímání paketů bylo škálováno na počet dostupných virtuálních CPU (vCPU) hosta pomocí více front. Konfigurace multi-queue virtio-net však může být provedena pouze v XML file. OpenStack nepodporuje multi-queue. Chcete-li aktualizovat frontu, na řádek v XML virtuální brány firewall vSRX file, porovnejte počet front s počtem vCPU datové roviny, které plánujete nakonfigurovat pro virtuální počítač vSRX Virtual Firewall. Výchozí hodnota je 4 vCPU datové roviny, ale toto číslo můžete škálovat na 4, 8 nebo 16 vCPU.

79
Následující XML file exampsoubor konfiguruje 8 front pro virtuální počítač vSRX Virtual Firewall s 8 datovými vCPU:

Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager
V situacích, kdy chcete upravit a upravit XML virtuálního virtuálního firewallu vSRX file, musíte zcela vypnout virtuální bránu firewall vSRX a související virtuální počítač. Chcete-li elegantně vypnout instanci virtuální brány firewall vSRX pomocí virt-manager: 1. Spusťte virt-manager. 2. Zaškrtněte instanci virtuální brány firewall vSRX, kterou chcete vypnout. 3. Výběrem možnosti Otevřít otevřete okno konzoly pro instanci virtuální brány firewall vSRX. 4. Z konzoly vSRX Virtual Firewall restartujte instanci vSRX Virtual Firewall.
vsrx# požaduje vypnutí systému. 5. Z virt-manager vyberte Shut Down pro úplné vypnutí VM, abyste mohli upravovat XML file.
POZNÁMKA: Nepoužívejte Force Reset nebo Force Off na žádném aktivním virtuálním počítači, protože se může vytvořit file korupce.
Upgradujte vSRX Virtual Firewall pomocí virt-manager
Než budete moci aktualizovat hodnoty vCPU nebo vRAM pro virtuální počítač, musíte virtuální počítač vSRX Virtual Firewall vypnout. VSRX Virtual Firewall můžete upgradovat a spustit pomocí balíčku GUI KVM virt-manager. Chcete-li rozšířit virtuální počítač vSRX Virtual Firewall s virt-manager na vyšší počet vCPU nebo na větší množství vRAM: 1. V hostitelském operačním systému zadejte virt-manager. Zobrazí se Správce virtuálních strojů. Viz obrázek 12 na straně
80.

80 POZNÁMKA: Abyste mohli používat virt-manager, musíte mít administrátorská práva na hostitelském OS. Obrázek 12: virt-manager

2. Výběrem možnosti Otevřít otevřete vypnutý virtuální počítač vSRX Virtual Firewall a výběrem možnosti Upravit podrobnosti hardwaru otevřete okno podrobností virtuálního počítače.
3. Vyberte Processor a nastavte počet vCPU. Klepněte na tlačítko Použít. 4. Vyberte Paměť a nastavte paměť vRAM na požadovanou velikost. Klepněte na tlačítko Použít. 5. Klepněte na Zapnout. Správce virtuálních počítačů spustí virtuální počítač vSRX Virtual Firewall s novým vCPU a
nastavení vRAM.

POZNÁMKA: vSRX Virtual Firewall se sníží na nejbližší podporovanou hodnotu, pokud nastavení vCPU nebo vRAM neodpovídají tomu, co je aktuálně dostupné.

Tabulka historie vydání

Uvolnění

Popis

15.1X49-D70

Počínaje verzí Junos OS Release 15.1X49-D70 a Junos OS Release 17.3R1 můžete použít virt-manager ke škálování výkonu a kapacity instance vSRX Virtual Firewall zvýšením počtu vCPU nebo množství vRAM přidělené virtuálnímu vSRX Firewall

SOUVISEJÍCÍ DOKUMENTACE Pochopení virtuální brány firewall vSRX s KVM | 2

81
Požadavky na vSRX Virtual Firewall na KVM | 7 Instalace virtuálního počítače pomocí virt-install

Monitorujte virtuální počítač vSRX Virtual Firewall v KVM

Celkový stav virtuálního počítače vSRX Virtual Firewall můžete sledovat pomocí virt-manager nebo virsh. Chcete-li monitorovat virtuální počítač vSRX Virtual Firewall pomocí virt-manager:
1. V grafickém rozhraní virt-manager vyberte virtuální počítač vSRX Virtual Firewall, který chcete monitorovat. 2. Vyberte View>Vypracujte graf a vyberte statistiku, kterou chcete sledovat. Možnosti zahrnují CPU, paměť, disk
Statistiky I/O a síťového rozhraní. Okno se aktualizuje s miniaturními grafy pro vybrané statistiky. 3. Volitelně poklepejte na miniaturní graf pro rozbalení view.
Chcete-li monitorovat virtuální počítač vSRX Virtual Firewall pomocí virsh, použijte příkazy uvedené v tabulce Tabulka 14 na stránce 81. Tabulka 14: Příkazy monitoru virsh

Příkaz

Popis

virsh cpu-stats vm-name

Uvádí statistiky CPU pro virtuální počítač.

virsh domifstat vm-name název-rozhraní

Zobrazuje statistiku vNIC pro virtuální počítač.

virsh dommemstat vm-name

Zobrazuje statistiku paměti pro virtuální počítač.

virsh vcpuinfo vm-name

Zobrazuje podrobnosti o vCPU pro virtuální počítač.

virsh nodecpustats

Zobrazuje statistiky CPU pro hostitelský OS.

SOUVISEJÍCÍ DOKUMENTACE nástroje virt

82
Spravujte instanci virtuální brány firewall vSRX na KVM
V TÉTO ČÁSTI Zapněte instanci virtuální brány firewall vSRX pomocí virt-manager | 82 Zapnutí instance virtuální brány firewall vSRX pomocí virsh | 82 Pozastavte instanci virtuální brány firewall vSRX pomocí virt-manager | 83 Pozastavte instanci virtuální brány firewall vSRX pomocí virsh | 83 Restartování instance virtuální brány firewall vSRX pomocí virt-manager | 83 Restartujte instanci virtuální brány firewall vSRX pomocí virsh | 83 Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager | 84 Vypněte instanci virtuální brány firewall vSRX pomocí virsh | 84 Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager | 85 Vypněte instanci virtuální brány firewall vSRX pomocí virsh | 85 Odeberte instanci virtuální brány firewall vSRX pomocí virsh | 86
Každá instance virtuální brány firewall vSRX je nezávislý virtuální počítač, který můžete zapnout, pozastavit nebo vypnout. Virtuální bránu firewall vSRX můžete spravovat pomocí několika nástrojů, včetně virt-manager a virsh.
Zapněte instanci virtuální brány firewall vSRX pomocí virt-manager
Zapnutí instance vSRX Virtual Firewall pomocí virt-manager: 1. Spusťte virt-manager. 2. Zaškrtněte instanci virtuální brány firewall vSRX, kterou chcete zapnout. 3. Na liště ikon vyberte šipku zapnutí. Spustí se virtuální počítač vSRX Virtual Firewall. Můžete se připojit
do řídicí konzoly, kde můžete sledovat spouštěcí sekvenci.
POZNÁMKA: Po spuštění spouštění je třeba vybrat View>Text Consoles>Serial 1 ve virt-manager pro připojení ke konzole vSRX Virtual Firewall.
Zapněte instanci virtuální brány firewall vSRX pomocí virsh
Zapnutí instance virtuální brány firewall vSRX pomocí virsh:

83
Pomocí příkazu virsh start na hostitelském OS spusťte virtuální počítač vSRX Virtual Firewall.
user@host# virsh start vSRX-kvm-2
Doména vSRX-kvm-2 byla spuštěna
Pozastavte instanci virtuální brány firewall vSRX pomocí virt-manager
Chcete-li pozastavit instanci virtuální brány firewall vSRX pomocí virt-manager: 1. Spusťte virt-manager. 2. Zaškrtněte instanci virtuální brány firewall vSRX, kterou chcete pozastavit. 3. Na liště ikon vyberte ikonu pozastavení napájení. Virtuální počítač vSRX Virtual Firewall se pozastaví.
Pozastavte instanci virtuální brány firewall vSRX pomocí virsh
Pozastavení instance virtuální brány firewall vSRX pomocí virsh: Pomocí příkazu virsh suspend na hostitelském operačním systému pozastavte virtuální počítač vSRX Virtual Firewall.
user@host# virsh suspend vSRX-kvm-2
Doména vSRX-kvm-2 pozastavena
Restartování instance virtuální brány firewall vSRX pomocí virt-manager
Restartování instance vSRX Virtual Firewall pomocí virt-manager: 1. Spusťte virt-manager. 2. Zaškrtněte instanci virtuální brány firewall vSRX, kterou chcete restartovat. 3. Výběrem možnosti Otevřít otevřete okno konzoly pro instanci virtuální brány firewall vSRX. 4. Z konzoly vSRX Virtual Firewall restartujte instanci vSRX Virtual Firewall.
vsrx# požaduje restart systému. vSRX Virtual Firewall restartuje jak Junos OS, tak hostující virtuální počítač vSRX Virtual Firewall.
Restartujte instanci virtuální brány firewall vSRX pomocí virsh
Restartování virtuálního počítače vSRX Virtual Firewall pomocí virsh:

84
1. Pomocí příkazu virsh console na hostitelském OS se připojte k virtuálnímu počítači vSRX Virtual Firewall. 2. Na konzole vSRX Virtual Firewall použijte příkaz request system reboot k restartování Junos OS a
virtuálního počítače vSRX Virtual Firewall.
user@host# virsh console vSRX-kvm-2
Připojeno k doméně vSRX-kvm-2
vsrx# požaduje restart systému
Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager
Vypnutí instance vSRX Virtual Firewall pomocí virt-manager: 1. Spusťte virt-manager. 2. Zaškrtněte instanci virtuální brány firewall vSRX, kterou chcete vypnout. 3. Výběrem možnosti Otevřít otevřete okno konzoly pro instanci virtuální brány firewall vSRX. 4. Z konzoly vSRX Virtual Firewall vypněte instanci vSRX Virtual Firewall.
vsrx> požadavek na vypnutí systému
vSRX Virtual Firewall vypíná jak Junos OS, tak hostující VM.
Vypněte instanci virtuální brány firewall vSRX pomocí virsh
Vypnutí instance vSRX Virtual Firewall pomocí virsh: 1. Pomocí příkazu virsh console na hostitelském OS se připojte k virtuálnímu počítači vSRX Virtual Firewall.

85
2. Na konzole vSRX Virtual Firewall použijte příkaz request system power-off k vypnutí Junos OS a virtuálního počítače vSRX Virtual Firewall.
user@host# virsh console vSRX-kvm-2
Připojeno k doméně vSRX-kvm-2
vsrx# požaduje vypnutí systému
Vypněte instanci virtuální brány firewall vSRX pomocí virt-manager
V situacích, kdy chcete upravit a upravit XML virtuálního virtuálního firewallu vSRX file, musíte zcela vypnout virtuální bránu firewall vSRX a související virtuální počítač. Chcete-li elegantně vypnout instanci virtuální brány firewall vSRX pomocí virt-manager: 1. Spusťte virt-manager. 2. Zaškrtněte instanci virtuální brány firewall vSRX, kterou chcete vypnout. 3. Výběrem možnosti Otevřít otevřete okno konzoly pro instanci virtuální brány firewall vSRX. 4. Z konzoly vSRX Virtual Firewall restartujte instanci vSRX Virtual Firewall.
vsrx# požaduje vypnutí systému. 5. Z virt-

Dokumenty / zdroje

Nasazení virtuální brány Juniper vSRX [pdfNávod k obsluze
VSRX Virtual Firewall Deployment, vSRX, Virtual Firewall Deployment, Firewall Deployment, Deployment

Reference

Uživatelská příručka

Návod k nasazení virtuální brány Juniper vSRX

Nasazení virtuální brány firewall vSRX

Informace o produktu

Specifikace

Návod k použití produktu

Nadview

Instalace

Konfigurace

Řízení

Podpora SR-IOV a PCI

Často kladené otázky (FAQ)

Otázka: Je virtuální brána vSRX kompatibilní se všemi cloudy
platformy?

Otázka: Mohu automatizovat inicializaci virtuální brány firewall vSRX
instance v prostředí OpenStack?

Dokumenty / zdroje

Reference

Zanechte komentář

Zrušit odpověď

Nasazení virtuální brány firewall vSRX

Informace o produktu

Specifikace

Návod k použití produktu

Nadview

Instalace

Konfigurace

Řízení

Podpora SR-IOV a PCI

Často kladené otázky (FAQ)

Otázka: Je virtuální brána vSRX kompatibilní se všemi cloudy platformy?

Otázka: Mohu automatizovat inicializaci virtuální brány firewall vSRX instance v prostředí OpenStack?

Dokumenty / zdroje

Reference

Zanechte komentář

Zrušit odpověď

Otázka: Je virtuální brána vSRX kompatibilní se všemi cloudy
platformy?

Otázka: Mohu automatizovat inicializaci virtuální brány firewall vSRX
instance v prostředí OpenStack?