نشر جدار الحماية الافتراضي vSRX

"

معلومات المنتج

تحديد

• اسم المنتج: جدار الحماية الافتراضي vSRX
• دليل النشر للمنصات السحابية الخاصة والعامة
• الناشر: شركة جونيبر نتوركس
• تاريخ النشر: 2023-11-09
• الموقع: 1133 Innovation Way سانيفيل، كاليفورنيا 94089
  الولايات المتحدة الأمريكية
• اتصال: 408-745-2000
• Webموقع: www.juniper.net

تعليمات استخدام المنتج

زيادةview

يوفر جدار الحماية الظاهري vSRX ميزات أمان لـ
البيئات الافتراضية. اتبع الخطوات أدناه للنشر و
إدارة جدار الحماية الظاهري.

تثبيت

1. قم بإعداد الخادم الخاص بك لجدار الحماية الافتراضي vSRX
   تثبيت:

• تمكين المحاكاة الافتراضية المتداخلة
• ترقية Linux Kernel على Ubuntu

تثبيت جدار الحماية الافتراضي vSRX باستخدام KVM:

• باستخدام Virt-Manager أو Virt-Install

إعدادات

1. قم بتحميل التكوين الأولي على جدار الحماية الظاهري vSRX باستخدام
   كيه في إم
2. قم بإنشاء صورة ISO لجدار الحماية الافتراضي vSRX Bootstrap
3. توفير جدار حماية افتراضي vSRX مع تشغيل صورة ISO Bootstrap
   كيه في إم

إدارة

1. قم بتكوين جدار الحماية الظاهري vSRX باستخدام واجهة سطر الأوامر (CLI).
2. اتصل بوحدة تحكم إدارة جدار الحماية الظاهري vSRX على
   كيه في إم
3. أضف شبكة افتراضية إلى VM Virtual Firewall VM باستخدام
   كيه في إم
4. قم بإضافة واجهة Virtio الافتراضية إلى جهاز VM الظاهري لجدار الحماية الظاهري
   مع KVM

دعم SR-IOV وPCI

تفاصيل حول تكوين واجهات SR-IOV وقيودها.

الأسئلة الشائعة

س: هل جدار الحماية الظاهري vSRX متوافق مع جميع الخدمات السحابية
المنصات؟

ج: تم تصميم جدار الحماية الظاهري vSRX للعمل مع كليهما
المنصات السحابية الخاصة والعامة. ومع ذلك، متطلبات محددة
قد تختلف.

س: هل يمكنني أتمتة عملية تهيئة vSRX Virtual Firewall
مثيلات في بيئة OpenStack؟

ج: نعم، يمكنك استخدام Cloud-Init في بيئة OpenStack للقيام بذلك
أتمتة عملية تهيئة مثيلات جدار الحماية الظاهري vSRX.

"

دليل نشر جدار الحماية الافتراضي vSRX لمنصات السحابة الخاصة والعامة
نُشرت
2023-11-09

ii
Juniper Networks, Inc. 1133 Innovation Way سانيفيل، كاليفورنيا 94089 الولايات المتحدة الأمريكية 408-745-2000 www.juniper.net
تعد Juniper Networks وشعار Juniper Networks و Juniper و Junos علامات تجارية مسجلة لشركة Juniper Networks، Inc. في الولايات المتحدة وبلدان أخرى. جميع العلامات التجارية أو علامات الخدمة أو العلامات المسجلة أو علامات الخدمة المسجلة الأخرى مملوكة لأصحابها المعنيين.
لا تتحمل Juniper Networks أية مسؤولية عن أي أخطاء غير دقيقة في هذا المستند. تحتفظ Juniper Networks بالحق في تغيير هذا المنشور أو تعديله أو نقله أو مراجعته بأي شكل آخر دون إشعار.
دليل نشر جدار الحماية الافتراضي vSRX للمنصات السحابية الخاصة والعامة حقوق الطبع والنشر © لعام 2023 لشركة Juniper Networks, Inc.، جميع الحقوق محفوظة.
المعلومات الواردة في هذا المستند حديثة اعتبارًا من التاريخ الموجود على صفحة العنوان.
إشعار عام 2000
تتوافق منتجات أجهزة وبرامج Juniper Networks مع عام 2000. ليس لدى Junos OS قيودًا معروفة تتعلق بالوقت حتى عام 2038. ومع ذلك ، من المعروف أن تطبيق NTP يواجه بعض الصعوبة في عام 2036.
اتفاقية ترخيص المستخدم النهائي
يتكون منتج Juniper Networks الذي هو موضوع هذه الوثائق الفنية من (أو مخصص للاستخدام مع) برنامج Juniper Networks. يخضع استخدام هذا البرنامج لشروط وأحكام اتفاقية ترخيص المستخدم النهائي ("EULA") المنشورة على https://support.juniper.net/support/eula/. عن طريق تنزيل أو تثبيت أو استخدام مثل هذه البرامج، فإنك توافق على شروط وأحكام اتفاقية ترخيص المستخدم النهائي (EULA).

ثالثا

جدول المحتويات

حول هذا الدليل | السابع عشر

1

نشر جدار الحماية الافتراضي vSRX لـ KVM

زيادةview | 2

فهم جدار الحماية الافتراضي vSRX مع KVM | 2

متطلبات جدار الحماية الافتراضي vSRX على KVM | 7

قم بتثبيت جدار الحماية الظاهري vSRX في KVM | 19 قم بإعداد الخادم الخاص بك لتثبيت جدار الحماية الظاهري vSRX | 19
تمكين المحاكاة الافتراضية المتداخلة | 19 ترقية Linux Kernel على Ubuntu | 21

قم بتثبيت جدار الحماية الافتراضي vSRX باستخدام KVM | 21 قم بتثبيت جدار الحماية الظاهري vSRX باستخدام Virt-manager | 22 قم بتثبيت جدار الحماية الظاهري vSRX باستخدام برنامج virt-install | 24

Example: تثبيت وتشغيل جدار الحماية الافتراضي vSRX على Ubuntu | 27
المتطلبات | 28 انتهىview | 28 التكوين السريع – تثبيت وتشغيل جهاز افتراضي لجدار الحماية الافتراضي vSRX على Ubuntu | 29 | 32 التكوين خطوة بخطوة | 32

قم بتحميل التكوين الأولي على جدار الحماية الظاهري vSRX باستخدام KVM | 45 قم بإنشاء صورة ISO لجدار الحماية الافتراضي vSRX Bootstrap | 46 توفير جدار حماية افتراضي vSRX مع صورة ISO Bootstrap على KVM | 47

استخدم Cloud-Init في بيئة OpenStack لأتمتة عملية تهيئة مثيلات جدار الحماية الظاهري vSRX | 48
إجراء الإعداد التلقائي لمثيل جدار الحماية الظاهري vSRX باستخدام واجهة OpenStack CommandLine | 52
إجراء الإعداد التلقائي لمثيل جدار الحماية الظاهري vSRX من لوحة معلومات OpenStack (Horizon) | 54

vSRX إدارة جدار الحماية الظاهري VM مع KVM | 62

iv
قم بتكوين جدار الحماية الظاهري vSRX باستخدام CLI | 62
اتصل بوحدة تحكم إدارة جدار الحماية الظاهري vSRX على KVM | 64
إضافة شبكة افتراضية إلى vSRX Virtual Firewall VM مع KVM | 65
أضف واجهة Virtio الافتراضية إلى جهاز VM لجدار الحماية الظاهري vSRX مع KVM | 67
SR-IOV وPCI | 69 ريال-IOV انتهىview | 69 دعم SR-IOV HA مع تعطيل وضع الثقة (KVM فقط) | 70 فهم دعم SR-IOV HA مع تعطيل وضع الثقة (KVM فقط) | 70 قم بتكوين دعم SR-IOV مع تعطيل وضع الثقة (KVM فقط) | 72 القيود | 73 قم بتكوين واجهة SR-IOV على KVM | 74
ترقية جدار الحماية الظاهري vSRX متعدد النواة | 78 قم بتكوين قيمة قائمة الانتظار لـ vSRX Virtual Firewall VM باستخدام KVM | 78 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virt-manager | 79 قم بترقية جدار الحماية الافتراضي vSRX باستخدام Virt-manager | 79
مراقبة vSRX Virtual Firewall VM في KVM | 81
إدارة مثيل جدار الحماية الظاهري vSRX على KVM | 82 قم بتشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager | 82 قم بتشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 82 قم بإيقاف مثيل جدار الحماية الظاهري vSRX مؤقتًا باستخدام Virt-manager | 83 قم بإيقاف مثيل جدار الحماية الظاهري vSRX مؤقتًا باستخدام virsh | 83 إعادة تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virt-manager | 83 أعد تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 83 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager | 84 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 84 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virt-manager | 85 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 85 قم بإزالة مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 86
استعادة كلمة المرور الجذرية لجدار الحماية الظاهري vSRX في بيئة KVM | 87
قم بتكوين مجموعات هيكل جدار الحماية الظاهري vSRX على KVM | 89 مجموعة جدار الحماية الافتراضية vSRX Stagالتجهيز والتزويد لـ KVM | 89

v

توفير مجموعة الهيكل على جدار الحماية الظاهري vSRX | 89 إنشاء الشبكات الافتراضية لمجموعة الهيكل باستخدام Virt-manager | 91 إنشاء الشبكات الافتراضية لمجموعة الهيكل باستخدام virsh | 91 تكوين واجهات التحكم والنسيج باستخدام Virt-manager | 93 تكوين واجهات التحكم والنسيج باستخدام virsh | 93 تكوين منافذ نسيج مجموعة الهيكل | 93

قم بتكوين مجموعة هيكل جدار الحماية الظاهري vSRX في Junos OS | 94 مجموعة الهيكلview | 95 تمكين تشكيل مجموعة الهيكل | 96 الإعداد السريع لمجموعة الهيكل مع J-Web | 97 تكوين مجموعة الهيكل يدويًا باستخدام J-Web | 98

تحقق من تكوين مجموعة الهيكل | 105

2

نشر جدار الحماية الافتراضي vSRX لـ VMware

زيادةview | 107

فهم جدار الحماية الافتراضي vSRX مع VMware | 107

متطلبات جدار الحماية الافتراضي vSRX على برنامج VMware | 115

قم بتثبيت جدار الحماية الظاهري vSRX في برنامج VMware | 124 قم بتثبيت جدار الحماية الافتراضي vSRX باستخدام برنامج VMware vSphere Web العميل | 124

قم بتحميل التكوين الأولي على جدار الحماية الظاهري vSRX باستخدام VMware | 128 قم بإنشاء صورة ISO لجدار الحماية الافتراضي vSRX Bootstrap | 132 تحميل صورة ISO إلى مخزن بيانات VMWare | 133 توفير جدار الحماية الافتراضي vSRX مع صورة ISO Bootstrap على برنامج VMWare | 134

التحقق من صحة جدار الحماية الظاهري vSRX .ova File لبرنامج إم وير | 135

vSRX Virtual Firewall VM Management مع VMware | 139 إضافة واجهات جدار الحماية الافتراضية vSRX | 139
إضافة واجهات SR-IOV | 140 إضافة واجهات VMXNET 3 | 142

ترقية جدار الحماية الظاهري Multicore vSRX باستخدام VMware | 142 قم بإيقاف تشغيل جدار الحماية الافتراضي vSRX مع VMware vSphere Web العميل | 143 قم بترقية جدار الحماية الظاهري Multicore vSRX باستخدام VMware vSphere Web العميل | 143 تحسين أداء جدار الحماية الافتراضي vSRX | 144

vi

أتمتة تهيئة مثيلات vSRX Virtual Firewall 3.0 على VMware Hypervisor باستخدام أدوات VMware | 145 انتهىview | 145 توفير أدوات VMware للتكوين التلقائي | 146

تكوين مجموعات هيكل جدار الحماية الظاهري vSRX في برنامج VMware | 150 مجموعة جدار الحماية الافتراضية vSRX Stagالتجهيز وتوفير برنامج VMware | 150
نشر الأجهزة الافتراضية وواجهات الشبكة الإضافية | 150 إنشاء اتصال رابط التحكم باستخدام برنامج VMware | 151 إنشاء اتصال رابط النسيج باستخدام برنامج VMware | 155 إنشاء واجهات البيانات باستخدام برنامج VMware | 158 عرضtagتكوين من وحدة التحكم | 159 توصيل وتثبيت Stagالتكوين جي | 160

قم بتكوين مجموعة هيكل جدار الحماية الظاهري vSRX في Junos OS | 161 مجموعة الهيكلview | 161 تمكين تشكيل مجموعة الهيكل | 162 الإعداد السريع لمجموعة الهيكل مع J-Web | 167 تكوين مجموعة الهيكل يدويًا باستخدام J-Web | 168

نشر عقد مجموعة هيكل جدار الحماية الظاهري vSRX عبر مضيفي ESXi المختلفين باستخدام dvSwitch | 174

3

نشر جدار الحماية الظاهري vSRX لـ Microsoft Hyper-V

زيادةview | 179

فهم جدار الحماية الظاهري vSRX مع Microsoft Hyper-V | 179

متطلبات جدار الحماية الظاهري vSRX على Microsoft Hyper-V | 181

قم بتثبيت جدار الحماية الظاهري vSRX في Microsoft Hyper-V | 188 التحضير لنشر جدار الحماية الظاهري vSRX في Microsoft Hyper-V | 188

نشر جدار الحماية الظاهري vSRX في مضيف Hyper-V باستخدام Hyper-V Manager | 189

نشر جدار الحماية الظاهري vSRX في مضيف Hyper-V باستخدام Windows PowerShell | 200

إدارة VM لجدار الحماية الظاهري vSRX مع Microsoft Hyper-V | 205 قم بتكوين جدار الحماية الظاهري vSRX باستخدام CLI | 205

تكوين جدار الحماية الظاهري vSRX باستخدام J-Web الواجهة | 207 الوصول إلى J-Web الواجهة وتكوين جدار الحماية الظاهري vSRX | 207

سابعا

تطبيق التكوين | 210 إضافة تراخيص ميزة جدار الحماية الافتراضي vSRX | 210

إضافة واجهات جدار الحماية الافتراضية vSRX | 211 إضافة مفاتيح افتراضية | 212 قم بتكوين جدار الحماية الظاهري vSRX لاستخدام شبكة VLAN | 219

قم بإيقاف تشغيل جهاز افتراضي لجدار الحماية الافتراضي vSRX باستخدام Hyper-V | 221

تكوين مجموعات هيكل جدار الحماية الظاهري vSRX | 222 vSRX مجموعة جدار الحماية الافتراضية Stagالتهيئة والتوفير في Hyper-V | 222
نشر الأجهزة الافتراضية ومحولات الشبكة الإضافية في Hyper-V | 223 إنشاء اتصال ارتباط التحكم في Hyper-V | 223 إنشاء اتصال رابط النسيج في Hyper-V | 226 إنشاء واجهات البيانات باستخدام Hyper-V | 227 عرضtagتكوين من وحدة التحكم | 228 توصيل وتثبيت Stagالتكوين جي | 229

قم بتكوين مجموعة هيكل جدار الحماية الظاهري vSRX في Junos OS | 230 مجموعة الهيكلview | 230 تمكين تشكيل مجموعة الهيكل | 231 الإعداد السريع لمجموعة الهيكل مع J-Web | 237 تكوين مجموعة الهيكل يدويًا باستخدام J-Web | 237

4

نشر جدار الحماية الافتراضي vSRX لـ Contrail

زيادةview سلاسل خدمة جدار الحماية الافتراضي vSRX في Contrail | 245

فهم جدار الحماية الافتراضي vSRX المزود بـ Contrail | 245

متطلبات جدار الحماية الظاهري vSRX على Contrail | 247

زيادةview سلاسل الخدمة مع جدار الحماية الافتراضي vSRX | 256

Spawn vSRX Virtual Firewall في سلسلة خدمة Contrail | 259 إنشاء قالب خدمة | 259 إنشاء شبكات افتراضية لليسار واليمين | 262 إنشاء مثيل خدمة جدار الحماية الظاهري vSRX | 263 إنشاء سياسة الشبكة | 263 إضافة سياسة الشبكة إلى شبكة افتراضية | 264

قم بتثبيت جدار الحماية الظاهري vSRX في Contrail | 267

الثامن

تمكين المحاكاة الافتراضية المتداخلة | 267

قم بإنشاء نكهة صورة باستخدام OpenStack | 269 ​​قم بإنشاء نكهة صورة لجدار الحماية الظاهري vSRX باستخدام Horizon | 269 ​​قم بإنشاء نكهة صورة لجدار الحماية الظاهري vSRX باستخدام Nova CLI | 272

قم بتحميل صورة جدار الحماية الافتراضي vSRX | 273 قم بتحميل صورة جدار الحماية الافتراضي vSRX باستخدام OpenStack Horizon | 273 قم بتحميل صورة جدار الحماية الافتراضي vSRX باستخدام OpenStack Glance CLI | 276

استخدم Cloud-Init في بيئة OpenStack لأتمتة عملية تهيئة مثيلات جدار الحماية الظاهري vSRX | 277
إجراء الإعداد التلقائي لمثيل جدار الحماية الظاهري vSRX باستخدام واجهة OpenStack CommandLine | 280
إجراء الإعداد التلقائي لمثيل جدار الحماية الظاهري vSRX من لوحة معلومات OpenStack (Horizon) | 282

إدارة VM لجدار الحماية الافتراضي vSRX مع Contrail | 291 الاتصال بوحدة التحكم في إدارة جدار الحماية الظاهري vSRX | 291
اتصل بوحدة تحكم إدارة جدار الحماية الظاهري vSRX باستخدام Horizon | 291 اتصل بوحدة تحكم إدارة جدار الحماية الظاهري vSRX باستخدام Contrail | 291

إدارة vSRX Virtual Firewall VM | 292
قم بتشغيل الجهاز الافتراضي من OpenStack | 292 إيقاف الجهاز الظاهري مؤقتًا | 293 أعد تشغيل الجهاز الظاهري | 293 قم بإيقاف تشغيل الجهاز الظاهري من OpenStack | 293 قم بحذف vSRX Virtual Firewall VM من Contrail | 293

ترقية جدار الحماية الظاهري Multicore vSRX باستخدام Contrail | 294 تكوين واجهة Virtio متعددة قوائم الانتظار لجدار الحماية الظاهري vSRX مع OpenStack | 294 قم بتعديل نكهة الصورة لجدار الحماية الافتراضي vSRX باستخدام لوحة المعلومات | 295 تحديث قالب الخدمة | 296

مراقبة جدار الحماية الافتراضي vSRX باستخدام Contrail | 297

5

نشر جدار الحماية الافتراضي vSRX لـ Nutanix

زيادةview | 299

فهم نشر جدار الحماية الافتراضي vSRX باستخدام Nutanix | 299

منصة Nutanix انتهتview | 299

ix

انتهى نشر جدار الحماية الافتراضي vSRX مع Nutanixview | 302 فهم نشر جدار الحماية الافتراضي vSRX باستخدام Nutanix AHV | 304 سampنشر جدار الحماية الافتراضي vSRX باستخدام Nutanix AHV | 306

متطلبات جدار الحماية الافتراضي vSRX على Nutanix | 307 متطلبات النظام لـ Nutanix | 307 المتطلبات المرجعية | 310

قم بتثبيت جدار الحماية الافتراضي vSRX في Nutanix | 312 إطلاق ونشر جدار الحماية الافتراضي vSRX في مجموعة Nutanix AHV | 312
قم بتسجيل الدخول إلى إعداد Nutanix | 312 إضافة صورة جدار الحماية الافتراضي vSRX | 314 إنشاء الشبكة | 314 إنشاء ونشر vSRX Virtual Firewall VM | 315 قم بتشغيل أجهزة VMs الخاصة بجدار الحماية الظاهري vSRX | 322 إطلاق vSRX Virtual Firewall VM Console | 323

ترقية نظام التشغيل Junos لإصدار برنامج جدار الحماية الافتراضي vSRX | 324

6

نشر جدار الحماية الافتراضي vSRX لـ AWS

زيادةview | 326

فهم جدار الحماية الافتراضي vSRX مع AWS | 326

متطلبات جدار الحماية الافتراضي vSRX على AWS | 332

تكوين جدار الحماية الظاهري وإدارته في AWS | 337 قم بتكوين Amazon Virtual Private Cloud لجدار الحماية الافتراضي vSRX | 337
الخطوة 1: إنشاء Amazon VPC وبوابة الإنترنت | 338 الخطوة 2: إضافة شبكات فرعية لجدار الحماية الافتراضي vSRX | 340 الخطوة 3: قم بإرفاق واجهة بشبكة فرعية | 341 الخطوة 4: إضافة جداول التوجيه لجدار الحماية الافتراضي vSRX | 344 الخطوة 5: إضافة مجموعات الأمان لجدار الحماية الظاهري vSRX | 345

إطلاق مثيل جدار الحماية الافتراضي vSRX على سحابة Amazon الافتراضية الخاصة | 348
الخطوة 1: إنشاء زوج مفاتيح SSH | 348 الخطوة 2: إطلاق مثيل جدار الحماية الافتراضي vSRX | 350 الخطوة 3: View سجلات نظام AWS | 354 الخطوة 4: إضافة واجهات الشبكة لجدار الحماية الظاهري vSRX | 354 الخطوة 5: تخصيص عناوين IP المرنة | 356

x
الخطوة 6: قم بإضافة الواجهات الخاصة لجدار الحماية الظاهري vSRX إلى جداول التوجيه | 356 الخطوة 7: إعادة تشغيل مثيل جدار الحماية الظاهري vSRX | 357 الخطوة 8: قم بتسجيل الدخول إلى مثيل جدار الحماية الظاهري vSRX | 357
قم بتسجيل جدار حماية افتراضي vSRX على AWS باستخدام Juniper ATP Cloud | 359
استخدام Cloud-Init لأتمتة تهيئة مثيلات جدار الحماية الظاهري vSRX في AWS | 364
AWS Elastic Load Balancing ومحول الشبكة المرن | 366 انتهىview موازنة التحميل المرنة من AWS | 367 انتهىview موازن تحميل التطبيق | 369 نشر موازن تحميل تطبيق AWS | 370 استدعاء إنشاء مكدس قالب تشكيل السحابة (CFT) لجدار الحماية الافتراضي vSRX خلف نشر موازن تحميل تطبيق AWS | 374 انتهىview محول شبكة AWS المرنة (ENA) لمثيلات جدار الحماية الظاهري vSRX | 383
دعم التوسع متعدد النواة على AWS مع SWRSS وENA | 384
المراقبة المركزية واستكشاف الأخطاء وإصلاحها باستخدام ميزات AWS | 385 فهم المراقبة المركزية باستخدام Cloudwatch | 385 تكامل جدار الحماية الظاهري vSRX مع ميزات مراقبة AWS واستكشاف الأخطاء وإصلاحها | 393 منح الإذن لجدار الحماية الظاهري vSRX للوصول إلى AWS CloudWatch وSecurity Hub | 393 تمكين مراقبة مثيلات جدار الحماية الافتراضي vSRX باستخدام AWS CloudWatch Metric | 395 جمع وتخزين و View يسجل جدار الحماية الظاهري vSRX إلى AWS CloudWatch | 396 تمكين وتكوين Security Hub على جدار الحماية الظاهري vSRX | 397
نشر vSRX Virtual Firewall 3.0 لتأمين البيانات باستخدام AWS KMS | 398 دمج AWS KMS مع vSRX Virtual Firewall 3.0 | 398 قوالب تشكيل سحابة AWS | 402
قم بتكوين جدار الحماية الظاهري vSRX باستخدام CLI | 406 فهم جدار الحماية الافتراضي vSRX على التكوين المسبق لـ AWS وافتراضيات المصنع | 406 إضافة تكوين جدار الحماية الافتراضي vSRX الأساسي | 407 إضافة خوادم DNS | 410 إضافة تراخيص ميزة جدار الحماية الافتراضي vSRX | 410
تكوين جدار الحماية الظاهري vSRX باستخدام J-Web الواجهة | 411 الوصول إلى J-Web واجهة وتكوين جدار الحماية الظاهري vSRX | 411 تطبيق إعدادات التكوين لجدار الحماية الظاهري vSRX | 413 إضافة تراخيص ميزة جدار الحماية الافتراضي vSRX | 414

xi

ترقية برنامج Junos OS على مثيل جدار الحماية الظاهري vSRX | 414 قم بترقية نظام التشغيل Junos لإصدار برنامج جدار الحماية الافتراضي vSRX | 414 استبدل مثيل جدار الحماية الظاهري vSRX على AWS | 415

قم بإزالة مثيل جدار الحماية الظاهري vSRX على AWS | 416

البنية التحتية لتدفق جنيف على vSRX Virtual Firewall 3.0 | 416
زيادةview | 417 تمكين السياسات الأمنية لفحص نفق تدفق حزم Geneve | 418
المتطلبات | 419 انتهىview | 419 التكوين (vSRX Virtual Firewall 3.0 كنقطة نهاية النفق) | 419 التكوين (vSRX Virtual Firewall 3.0 كموجه عبور) | 426

موازنة تحميل بوابة AWS مع Geneve | 433 انتهىview موازن تحميل بوابة AWS | 433 AWS GWLB مع نشر جدار الحماية الافتراضي Geneve vSRX 3.0 | 435

جدار الحماية الافتراضي في حالات استخدام AWS | 437 تحويلةample: تكوين NAT لجدار الحماية الظاهري vSRX | 437
قبل أن تبدأ | 437 انتهىview | 437 التكوين | 438 تكوين NAT | 438

Example: تكوين VPN على جدار الحماية الافتراضي vSRX بين Amazon VPCs | 439 قبل أن تبدأ | 440 أكثرview | 440 vSRX1 تكوين VPN | 440 التحقق | 444

Example: تكوين Juniper ATP Cloud لجدار الحماية الظاهري vSRX | 445 قبل أن تبدأ | 445 انتهىview | 445 تكوين سحابة Juniper ATP | 445

7

نشر جدار الحماية الظاهري vSRX لـ Microsoft Azure

زيادةview | 449

فهم جدار الحماية الظاهري vSRX مع Microsoft Azure Cloud | 449

الثاني عشر
متطلبات جدار الحماية الظاهري vSRX على Microsoft Azure | 453 نشر جدار الحماية الظاهري vSRX من بوابة Azure | 461 قبل نشر جدار الحماية الظاهري vSRX من بوابة Azure | 461 إنشاء مجموعة موارد | 462 إنشاء حساب تخزين | 466 إنشاء شبكة افتراضية | 471 نشر صورة جدار الحماية الظاهري vSRX من Azure Marketplace | 476
نشر صورة جدار الحماية الظاهري vSRX | 476 التحقق من نشر جدار الحماية الظاهري vSRX إلى Microsoft Azure | 489 قم بتسجيل الدخول إلى vSRX Virtual Firewall VM | 490 نشر جدار الحماية الظاهري vSRX من Azure CLI | 493 قبل نشر جدار الحماية الظاهري vSRX باستخدام Azure CLI | 493 نشر جدار الحماية الظاهري vSRX من Azure CLI | 495 قم بتثبيت Microsoft Azure CLI | 496 قم بتنزيل أدوات نشر جدار الحماية الافتراضي vSRX | 497 تغيير قيم المعلمات في vSRX Virtual Firewall.parameter.json File | 498 نشر جدار الحماية الظاهري vSRX باستخدام Shell Script | 502 التحقق من نشر جدار الحماية الظاهري vSRX إلى Microsoft Azure | 504 قم بتسجيل الدخول إلى مثيل جدار الحماية الظاهري vSRX | 507 تكوين وإدارة جدار الحماية الظاهري vSRX لـ Microsoft Azure | 509 قم بتكوين جدار الحماية الظاهري vSRX باستخدام CLI | 509 تكوين جدار الحماية الظاهري vSRX باستخدام J-Web الواجهة | 511 الوصول إلى J-Web الواجهة وتكوين جدار الحماية الظاهري vSRX | 512 تطبيق التكوين | 514 إضافة تراخيص ميزات جدار الحماية الظاهري vSRX | 515 قم بإزالة مثيل جدار الحماية الظاهري vSRX من Microsoft Azure | 515 ترقية برنامج Junos OS على مثيل جدار الحماية الظاهري vSRX | 515 ترقية نظام التشغيل Junos لإصدار برنامج جدار الحماية الظاهري vSRX | 516 استبدل مثيل جدار الحماية الظاهري vSRX على Azure | 516 تكوين ميزات Azure على جدار الحماية الظاهري vSRX وحالات الاستخدام | 518

الثالث عشر

نشر وحدة أمان الأجهزة Microsoft Azure على vSRX Virtual Firewall 3.0 | 518
انتهى تكامل وحدة أمان أجهزة Microsoft Azure Key Vaultview | 519 قم بتكوين Microsoft Azure Key Vault HSM على vSRX Virtual Firewall 3.0 | 520 تغيير كلمة مرور التشفير الرئيسية | 524 التحقق من حالة HSM | 524 طلب أمان كلمة مرور تشفير رئيسية HSM | 525 إظهار حالة الأمان HSM | 526 فهم وظائف VPN مع خدمة Microsoft Azure Key Vault HSM | 529 سلوك CLI مع وبدون HSM | 533 طلب شهادة الأمان pki المحلية تسجيل scep | 534

Example: قم بتكوين IPsec VPN بين مثيلين لجدار الحماية الظاهري vSRX | 538 قبل أن تبدأ | 538 انتهىview | 538 vSRX تكوين جدار الحماية الظاهري IPsec VPN | 539 التحقق | 542

Example: تكوين IPsec VPN بين جدار الحماية الظاهري vSRX وبوابة الشبكة الافتراضية في Microsoft Azure | 543
قبل أن تبدأ | 544 انتهىview | 544 vSRX تكوين جدار الحماية الظاهري IPsec VPN | 544 تكوين بوابة الشبكة الافتراضية لـ Microsoft Azure | 546

Example: تكوين Juniper ATP Cloud لجدار الحماية الظاهري vSRX | 548 قبل أن تبدأ | 548 انتهىview | 548 تكوين سحابة Juniper ATP | 548

8

نشر جدار الحماية الافتراضي vSRX لـ Google Cloud Platform

زيادةview | 552

فهم نشر جدار الحماية الافتراضي vSRX باستخدام Google Cloud | 552

فهم نشر جدار الحماية الافتراضي vSRX باستخدام Google Cloud Platform | 552

متطلبات جدار الحماية الافتراضي vSRX على Google Cloud Platform | 555 أنواع مثيلات Google Compute Engine | 555 دعم جدار الحماية الافتراضي vSRX لـ Google Cloud | 556 مواصفات جدار الحماية الافتراضي vSRX لـ GCP | 557

الرابع عشر

قم بتثبيت جدار الحماية الافتراضي vSRX في Google Cloud | 560 الاستعداد لإعداد نشر جدار الحماية الظاهري vSRX على GCP | 560
الخطوة 1: تخطيط حساب Google Cloud Platform | 562 الخطوة 2: تحديد سمات الشبكة وإنشاء زوج مفاتيح SSH للمصادقة | 563 الخطوة 3: تخطيط شبكة Google Virtual Private Cloud (VPC) | 565

نشر جدار الحماية الافتراضي vSRX في Google Cloud Platform | 566
قم بنشر جدار الحماية الافتراضي vSRX من Marketplace Launcher | 566 قم بنشر مثيل جدار الحماية الظاهري vSRX من بوابة GCP باستخدام صورة خاصة مخصصة | 574
تحميل صورة جدار الحماية الافتراضي vSRX إلى Google Cloud Storage | 574 إنشاء صورة جدار الحماية الظاهري vSRX | 576 نشر جدار الحماية الافتراضي vSRX من بوابة GCP | 578 نشر جدار الحماية الظاهري vSRX باستخدام Cloud-init | 580

ترقية نظام التشغيل Junos لإصدار برنامج جدار الحماية الافتراضي vSRX | 583

تأمين البيانات باستخدام vSRX Virtual Firewall 3.0 باستخدام GCP KMS (HSM) | 584 انتهىview | 584 دمج GCP KMS مع vSRX Virtual Firewall 3.0 | 586 التحقق من حالة HSM | 589 إظهار حالة الأمان HSM | 590 | 592 طلب أمان كلمة مرور تشفير رئيسية HSM | 592

9

نشر جدار الحماية الافتراضي vSRX لـ IBM Cloud

زيادةview | 595

انتهى جدار الحماية الافتراضي vSRXview | 595

البدء باستخدام Juniper vSRX Virtual Firewall على IBM Cloud | 598 انتهىview جدار الحماية الافتراضي vSRX في IBM Cloud | 598 اختيار ترخيص جدار الحماية الافتراضي vSRX | 600 طلب جدار حماية افتراضي vSRX | 602

ميزات نظام التشغيل Junos المدعومة على جدار الحماية الافتراضي vSRX | 604

تركيب وتكوين جدار الحماية الظاهري vSRX في IBM | 618 تنفيذ أساسيات جدار الحماية الظاهري vSRX في IBM Cloud | 618
Viewجميع أجهزة البوابة | 619

xv
Viewتفاصيل جهاز البوابة | 619 إعادة تسمية جهاز البوابة | 619 إلغاء جهاز البوابة | 620 أداء مهام إضافية لجدار الحماية الظاهري vSRX | 620
اختبارات جاهزية جدار الحماية الظاهري vSRX في IBM Cloud | 623 التحقق من جاهزية جدار الحماية الافتراضي vSRX | 623 حالة الاستعداد | 624 تصحيح أخطاء الاستعداد | 624
إدارة شبكات VLAN باستخدام جهاز بوابة | 626 ربط شبكة VLAN بجهاز بوابة | 626 توجيه شبكة VLAN مرتبطة | 626 تجاوز توجيه جهاز البوابة لشبكة VLAN | 627 فصل شبكة VLAN عن جهاز البوابة | 627
العمل مع التكوينات الافتراضية لجدار الحماية الظاهري vSRX | 628 فهم التكوين الافتراضي لجدار الحماية الظاهري vSRX | 628 استيراد وتصدير تكوين جدار الحماية الظاهري vSRX | 629 تصدير جزء من تكوين جدار الحماية الظاهري vSRX | 630 استيراد تكوين جدار الحماية الظاهري vSRX بالكامل | 631 استيراد جزء من تكوين جدار الحماية الظاهري vSRX | 631
ترحيل التكوينات القديمة إلى بنية جدار الحماية الظاهري vSRX الحالي | 633 ترحيل التكوينات المستقلة لجدار الحماية الافتراضي 1G vSRX | 633 ترحيل تكوينات جدار الحماية الافتراضي 1G vSRX ذات التوفر العالي | 641
السماح لـ SSH وPing بالوصول إلى شبكة فرعية عامة | 642 السماح لـ SSH وPing بالوصول إلى شبكة فرعية عامة | 642
تنفيذ المهام المتقدمة لجدار الحماية الظاهري vSRX في IBM Cloud | 643 العمل مع جدران الحماية | 643 سياسات المنطقة | 644 مرشحات جدار الحماية | 645 العمل مع sNAT | 645 العمل مع تجاوز الفشل | 645 العمل مع التوجيه | 647 العمل مع VPN | 648

السادس عشر

تأمين نظام التشغيل المضيف | 654 تكوين واجهات الإدارة | 656

ترقية جدار الحماية الظاهري vSRX في IBM Cloud | 657 الترقية | 657 اعتبارات الترقية العامة | 660 ترقية باستخدام تحديث نظام التشغيل | 663 خيارات التراجع | 664 ترقيات غير مدعومة | 664

ادارة جدار الحماية الظاهري vSRX في IBM Cloud | 666 أدوات تكوين وإدارة جدار الحماية الافتراضي vSRX | 666

إدارة السياسات الأمنية للأجهزة الافتراضية باستخدام Junos Space Security Director | 667

المراقبة واستكشاف الأخطاء وإصلاحها | 669

الدعم الفني | 669

10

نشر جدار الحماية الافتراضي vSRX لـ OCI

زيادةview | 671

فهم نشر جدار الحماية الظاهري vSRX في Oracle Cloud Infrastructure | 671

زيادةview بنية Oracle VM | 671 جدار الحماية الافتراضي vSRX مع Oracle Cloud Infrastructure | 672 مسرد OCI | 672

متطلبات جدار الحماية الظاهري vSRX على Oracle Cloud Infrastructure | 673 الحد الأدنى لمتطلبات النظام لـ OCI | 674 الإعدادات الافتراضية لجدار الحماية الظاهري vSRX مع OCI | 675 أفضل الممارسات لنشر جدار الحماية الافتراضي vSRX | 675

تثبيت جدار الحماية الظاهري vSRX في OCI | 676 نشر جدار الحماية الافتراضي vSRX في Oracle Cloud Infrastructure | 676
زيادةview | 676 قم بتشغيل مثيلات جدار الحماية الظاهري vSRX في OCI | 678

ترقية نظام التشغيل Junos لإصدار برنامج جدار الحماية الافتراضي vSRX | 692

ترخيص جدار الحماية الافتراضي vSRX | 693 تراخيص لجدار الحماية الافتراضي vSRX | 693

السابع عشر
حول هذا الدليل
يعد vSRX Virtual Firewall هو الشكل الافتراضي لجدار الحماية من الجيل التالي من Juniper Networks. تم وضعه للاستخدام في بيئة افتراضية أو سحابية حيث يمكنه حماية وتأمين حركة المرور بين الشرق والغرب والشمال والجنوب. يوفر لك هذا الدليل تفاصيل حول نشر vSRX Virtual Firewall على العديد من الأنظمة الأساسية السحابية الخاصة والعامة.

1 الجزء
نشر جدار الحماية الافتراضي vSRX لـ KVM
زيادةview | 2 قم بتثبيت جدار الحماية الافتراضي vSRX في KVM | 19 vSRX Virtual Firewall VM Management with KVM | 62 قم بتكوين مجموعات هيكل جدار الحماية الظاهري vSRX على KVM | 89

2
الفصل الثاني
زيادةview
في هذا الفصل، تعرف على جدار الحماية الافتراضي vSRX باستخدام KVM | 2 متطلبات جدار الحماية الافتراضي vSRX على KVM | 7
فهم جدار الحماية الافتراضي vSRX مع KVM
في هذا القسم، جدار الحماية الافتراضي vSRX على KVM | 2 جدار الحماية الافتراضي vSRX يرفع مستوى الأداء | 3
يقدم هذا القسم أكثر منview جدار الحماية الافتراضي vSRX على KVM.
جدار الحماية الافتراضي vSRX على KVM
يستخدم Linux kernel الجهاز الظاهري القائم على kernel (KVM) كبنية تحتية للمحاكاة الافتراضية. KVM هو برنامج مفتوح المصدر يمكنك استخدامه لإنشاء أجهزة افتراضية متعددة (VMs) ولتثبيت أجهزة الأمان والشبكات. تتضمن المكونات الأساسية لـ KVM ما يلي: · وحدة نواة قابلة للتحميل مضمنة في نواة Linux والتي توفر المحاكاة الافتراضية الأساسية
البنية التحتية · وحدة نمطية خاصة بالمعالج عند تحميله في Linux kernel، يعمل برنامج KVM بمثابة برنامج Hypervisor. يدعم KVM تعدد الإيجارات ويسمح لك بتشغيل أجهزة افتراضية متعددة لجدار الحماية الظاهري vSRX على نظام التشغيل المضيف. تقوم KVM بإدارة ومشاركة موارد النظام بين نظام التشغيل المضيف وأجهزة vSRX Virtual Firewall المتعددة.

3
ملاحظة: يتطلب vSRX Virtual Firewall منك تمكين المحاكاة الافتراضية المستندة إلى الأجهزة على نظام تشغيل مضيف يحتوي على معالج قادر على تقنية Intel Virtualization Technology (VT). يوضح الشكل 1 في الصفحة 3 البنية الأساسية لجهاز vSRX Virtual Firewall VM على خادم Ubuntu. الشكل 1: VSRX Virtual Firewall VM على Ubuntu

جدار الحماية الافتراضي vSRX يرفع مستوى الأداء

يوضح الجدول 1 في الصفحة 3 أداء توسيع نطاق جدار الحماية الافتراضي vSRX عند نشره على KVM، بناءً على عدد وحدات المعالجة المركزية الافتراضية وذاكرة الوصول العشوائي الافتراضية المطبقة على جهاز vSRX Virtual Firewall VM بالإضافة إلى إصدار Junos OS الذي تم فيه تقديم مواصفات برنامج vSRX Virtual Firewall معينة .
الجدول 1: رفع مستوى أداء جدار الحماية الظاهري vSRX

وحدات المعالجة المركزية الافتراضية

ذاكرة الوصول العشوائي الافتراضية

بطاقات NIC

تم تقديم الإصدار

2 وحدة معالجة مركزية افتراضية

4 جيجا بايت

· الفضيلة
· SR-IOV (إنتل 82599، X520/540)

إصدار نظام التشغيل Junos 15.1X49-D15 وإصدار نظام التشغيل Junos 17.3R1

4

الجدول 1: تحسين أداء جدار الحماية الافتراضي vSRX (يتبع)

وحدات المعالجة المركزية الافتراضية

ذاكرة الوصول العشوائي الافتراضية

بطاقات NIC

تم تقديم الإصدار

5 وحدة معالجة مركزية افتراضية

8 جيجا بايت

· الفضيلة
· SR-IOV (إنتل 82599، X520/540)

إصدار نظام التشغيل Junos 15.1X49-D70 وإصدار نظام التشغيل Junos 17.3R1

5 وحدة معالجة مركزية افتراضية

8 جيجا بايت

· SR-IOV (إنتل X710/ XL710)

إصدار نظام التشغيل Junos 15.1X49-D90 وإصدار نظام التشغيل Junos 17.3R1

1 وحدة معالجة مركزية افتراضية 4 وحدات معالجة مركزية افتراضية

4 جيجا بايت 8 جيجا بايت

SR-IOV على محولات عائلة Mellanox ConnectX-4 وConnectX-5.

إصدار نظام التشغيل جونوس 21.2R1

SR-IOV على محولات عائلة Mellanox ConnectX-4 وConnectX-5.

إصدار نظام التشغيل جونوس 21.2R1

8 وحدة معالجة مركزية افتراضية

16 جيجا بايت

SR-IOV على محولات عائلة Mellanox ConnectX-4 وConnectX-5.

إصدار نظام التشغيل جونوس 21.2R1

16 وحدة معالجة مركزية افتراضية

32 جيجا بايت

SR-IOV على محولات عائلة Mellanox ConnectX-4 وConnectX-5.

إصدار نظام التشغيل جونوس 21.2R1

You can scale the performance and capacity of a vSRX Virtual Firewall instance by increasing the number of vCPUs and the amount of vRAM allocated to the vSRX Virtual Firewall. The multi-core vSRX Virtual Firewall automatically selects the appropriate vCPUs and vRAM values at boot time, as well as the number of Receive Side Scaling (RSS) queues in the NIC. If the vCPU and vRAM settings allocated to a vSRX Virtual Firewall VM do not match what is currently available, the vSRX Virtual Firewall scales down to the closest supported value for the instance. For exampإذا كان جهاز vSRX Virtual Firewall VM يحتوي على 3 وحدات معالجة مركزية افتراضية و8 جيجابايت من ذاكرة vRAM، فإن جدار الحماية الظاهري vSRX يقوم بالتمهيد إلى حجم وحدة معالجة مركزية افتراضية أصغر، وهو ما يتطلب وحدتي vCPU على الأقل. يمكنك رفع مستوى مثيل vSRX Virtual Firewall إلى عدد أكبر من وحدات المعالجة المركزية الافتراضية (vCPUs).

5
وكمية vRAM، لكن لا يمكنك تقليص مثيل vSRX Virtual Firewall الموجود إلى إعداد أصغر.
ملاحظة: عادةً ما يتطابق عدد قوائم انتظار RSS مع عدد وحدات المعالجة المركزية الافتراضية لمستوى البيانات لمثيل جدار الحماية الظاهري vSRX. على سبيل المثالample، يجب أن يحتوي جدار الحماية الظاهري vSRX الذي يحتوي على 4 وحدات معالجة مركزية افتراضية لمستوى البيانات على 4 قوائم انتظار RSS.

زيادة سعة جلسة جدار الحماية الافتراضي vSRX
vSRX Virtual Firewall solution is optimized to increase the session numbers by increasing الذاكرة.
With the ability to increase the session numbers by increasing the memory, you can enable vSRX Virtual Firewall to:
· توفير أمان عالي المرونة وقابل للتطوير وعالي الأداء في المواقع الإستراتيجية في شبكة الهاتف المحمول.
· تقديم الأداء الذي يحتاجه مقدمو الخدمة لتوسيع نطاق شبكاتهم وحمايتها. قم بتشغيل ملخص جلسة تدفق الأمان للعرض | الأمر الأقصى لـ grep view الحد الأقصى لعدد الجلسات.
بدءًا من إصدار Junos OS الإصدار 18.4R1، يتم زيادة عدد جلسات التدفق المدعومة على مثيل vSRX Virtual Firewall بناءً على حجم vRAM المستخدم.
بدءًا من إصدار Junos OS الإصدار 19.2R1، يتم زيادة عدد جلسات التدفق المدعومة على مثيل vSRX Virtual Firewall 3.0 بناءً على حجم vRAM المستخدم.

ملاحظة: يتم دعم 28 مليون جلسة بحد أقصى على vSRX Virtual Firewall 3.0. يمكنك نشر vSRX Virtual Firewall 3.0 بذاكرة تزيد سعتها عن 64 جيجا بايت، ولكن يمكن أن يصل الحد الأقصى لجلسات التدفق إلى 28 ميجا بايت فقط.

يسرد الجدول 2 في الصفحة 5 سعة جلسة التدفق. الجدول 2: تفاصيل سعة جلسة التدفق لجدار الحماية الافتراضي vSRX وجدار الحماية الافتراضي vSRX 3.0

وحدات المعالجة المركزية الافتراضية

ذاكرة

سعة جلسة التدفق

2

4 جيجا بايت

0.5 مليون

6

الجدول 2: تفاصيل سعة جلسة التدفق لجدار الحماية الافتراضي vSRX وجدار الحماية الافتراضي vSRX 3.0 (يتبع)

وحدات المعالجة المركزية الافتراضية

ذاكرة

سعة جلسة التدفق

2

6 جيجا بايت

1 مليون

2/5

8 جيجا بايت

2 مليون

2/5

10 جيجا بايت

2 مليون

2/5

12 جيجا بايت

2.5 مليون

2/5

14 جيجا بايت

3 مليون

2/5/9

16 جيجا بايت

4 مليون

2/5/9

20 جيجا بايت

6 مليون

2/5/9

24 جيجا بايت

8 مليون

2/5/9

28 جيجا بايت

10 مليون

2/5/9/17

32 جيجا بايت

12 مليون

2/5/9/17

40 جيجا بايت

16 مليون

2/5/9/17

48 جيجا بايت

20 مليون

2/5/9/17

56 جيجا بايت

24 مليون

2/5/9/17

64 جيجا بايت

28 مليون

7

وصف إصدار جدول محفوظات الإصدار

19.2R1

بدءًا من إصدار Junos OS الإصدار 19.2R1، يتم زيادة عدد جلسات التدفق المدعومة على مثيل vSRX Virtual Firewall 3.0 بناءً على حجم vRAM المستخدم.

18.4R1

بدءًا من إصدار Junos OS الإصدار 18.4R1، يتم زيادة عدد جلسات التدفق المدعومة على مثيل vSRX Virtual Firewall بناءً على حجم vRAM المستخدم.

الوثائق ذات الصلة متطلبات جدار الحماية الظاهري vSRX على KVM | 7 ترقية جدار الحماية الظاهري vSRX متعدد النواة | 78 قم بتثبيت جدار الحماية الافتراضي vSRX باستخدام KVM | 21
متطلبات جدار الحماية الافتراضي vSRX على KVM
في هذا القسم مواصفات البرامج | 7 مواصفات الأجهزة | 13 أفضل الممارسات لتحسين أداء جدار الحماية الافتراضي vSRX | 14 تعيين الواجهة لجدار الحماية الافتراضي vSRX على KVM | 16 الإعدادات الافتراضية لجدار الحماية الافتراضي vSRX على KVM | 18

يقدم هذا القسم أكثر منview متطلبات نشر مثيل vSRX Virtual Firewall على KVM؛
مواصفات البرنامج
لا يوجد عنوان رابط يسرد مواصفات متطلبات برنامج النظام عند نشر vSRX Virtual Firewall في بيئة KVM. يوضح الجدول إصدار Junos OS الذي تم فيه تقديم مواصفات برنامج معينة لنشر جدار الحماية الظاهري vSRX على KVM. ستحتاج إلى تنزيل إصدار محدد من نظام التشغيل Junos للاستفادة من التقدمtagه من ميزات معينة.

8

تنبيه: قد تؤدي مشكلة تسجيل تعديل الصفحة (PML) المتعلقة بنواة مضيف KVM إلى منع جدار الحماية الظاهري vSRX من التشغيل بنجاح. إذا واجهت هذا السلوك مع vSRX Virtual Firewall، نوصي بتعطيل PML على مستوى kernel المضيف. راجع إعداد الخادم الخاص بك لتثبيت vSRX للحصول على تفاصيل حول تعطيل PML كجزء من تمكين المحاكاة الافتراضية المتداخلة.

الجدول 3: دعم الميزات على جدار الحماية الظاهري vSRX

سمات

مواصفة

تم تقديم إصدار نظام التشغيل Junos

وحدات المعالجة المركزية الافتراضية/الذاكرة

2 وحدة المعالجة المركزية الافتراضية / 4 جيجابايت من ذاكرة الوصول العشوائي

إصدار نظام التشغيل Junos 15.1X49-D15 وإصدار نظام التشغيل Junos 17.3R1 (جدار الحماية الافتراضي vSRX)

5 وحدة المعالجة المركزية الافتراضية / 8 جيجابايت من ذاكرة الوصول العشوائي

إصدار نظام التشغيل Junos 15.1X49-D70 وإصدار نظام التشغيل Junos 17.3R1 (جدار الحماية الافتراضي vSRX)

9 وحدة المعالجة المركزية الافتراضية / 16 جيجابايت من ذاكرة الوصول العشوائي

إصدار نظام التشغيل Junos 18.4R1 (جدار الحماية الافتراضي vSRX)
إصدار نظام التشغيل Junos 19.1R1 (vSRX Virtual Firewall 3.0)

17 وحدة المعالجة المركزية الافتراضية / 32 جيجابايت من ذاكرة الوصول العشوائي

إصدار نظام التشغيل Junos 18.4R1 (جدار الحماية الافتراضي vSRX)
إصدار نظام التشغيل Junos 19.1R1 (vSRX Virtual Firewall 3.0)

سعة جلسة التدفق المرنة

NA

التحجيم بواسطة vRAM إضافية

إصدار نظام التشغيل Junos 19.1R1 (جدار الحماية الافتراضي vSRX)
إصدار نظام التشغيل Junos 19.2R1 (vSRX Virtual Firewall 3.0)

دعم التوسع متعدد النواة (برنامج NA RSS)

الإصدار 19.3R1 من نظام التشغيل Junos (vSRX Virtual Firewall 3.0 فقط)

9

الجدول 3: دعم الميزات على جدار الحماية الظاهري vSRX (يتبع)

سمات

مواصفة

حجز مراكز vCPU إضافية لـ NA the Routing Engine (vSRX Virtual Firewall وvSRX Virtual Firewall 3.0)

تم تقديم إصدار نظام التشغيل Junos

Virtio (virtio-net، vhost-net) (vSRX NA Virtual Firewall وvSRX Virtual Firewall 3.0)

دعم Hypervisor Linux KVM Hypervisor

Ubuntu 14.04.5 و16.04 و16.10 Junos OS الإصدار 18.4R1

ميزات أخرى Cloud-init

أوبونتو 18.04 و20.04

إصدار نظام التشغيل جونوس 20.4R1

Red Hat Enterprise Linux (RHEL) 7.3

إصدار نظام التشغيل جونوس 18.4R1

ريد هات إنتربرايز لينكس (RHEL) 7.6 و7.7

إصدار نظام التشغيل جونوس 19.2R1

Red Hat Enterprise Linux (RHEL) 8.2

إصدار نظام التشغيل جونوس 20.4R1

CentOS 7.1 و7.2 و7.6 و7.7

إصدار نظام التشغيل جونوس 19.2R1

NA

Powermode IPSec (PMI)

NA

مجموعة الهيكل

NA

10

الجدول 3: دعم الميزات على جدار الحماية الظاهري vSRX (يتبع)

سمات

مواصفة

جلسة تعتمد على GTP TEID

NA

التوزيع باستخدام برامج RSS

تم تقديم إصدار نظام التشغيل Junos
نعم (إصدار نظام التشغيل Junos 19.3R1 وما بعده)

محرك فحص مكافحة الفيروسات على الجهاز

NA

(أفيرا)

نعم (إصدار نظام التشغيل Junos 19.4R1 وما بعده)

مشروع تطوير الموانئ البحرية

NA

واجهة القياس عن بعد لجونوس

NA

متطلبات النظام

تسريع الأجهزة/تمكين

NA

علامة VMX CPU في برنامج Hypervisor

نعم (إصدار نظام التشغيل Junos 21.1R1 وما بعده)
نعم (إصدار نظام التشغيل Junos 20.3R1 وما بعده)

مساحة القرص

16 جيجابايت (محركات أقراص IDE أو SCSI) (جدار الحماية الظاهري vSRX)

إصدار نظام التشغيل Junos 15.1X49-D15 وإصدار نظام التشغيل Junos 17.3R1

18 جيجابايت (vSRX Virtual Firewall 3.0)

الجدول 4: دعم vNIC على جدار الحماية الظاهري vSRX

بطاقات الشبكة الافتراضية

تم تقديم الإصدار

فيرتيو سا وها

SR-IOV SA وHA عبر سلسلة Intel 82599/X520

إصدار نظام التشغيل Junos 15.1X49-D90 وإصدار نظام التشغيل Junos 17.3R1

SR-IOV SA وHA عبر سلسلة Intel X710/XL710/XXV710

إصدار نظام التشغيل Junos 15.1X49-D90

SR-IOV SA عبر سلسلة Intel E810

إصدار نظام التشغيل جونوس 18.1R1

11

الجدول 4: دعم vNIC على جدار الحماية الظاهري vSRX (يتبع)

بطاقات الشبكة الافتراضية

تم تقديم الإصدار

SR-IOV HA عبر سلسلة Intel E810

إصدار نظام التشغيل unos 18.1R1

SR-IOV SA وHA عبر Mellanox ConnectX-3

غير مدعوم

SR-IOV SA وHA عبر Mellanox ConnectX-4/5/6 (برنامج تشغيل MLX5 فقط)

إصدار نظام التشغيل Junos 18.1R1 (جدار الحماية الافتراضي vSRX)
إصدار Junos OS الإصدار 21.2R1 وما بعده على vSRX Virtual Firewall 3.0

ممر PCI عبر سلسلة Intel 82599/X520 ممر PCI عبر مجموعة تطوير مستوى البيانات من سلسلة Intel X710/XL710 (DPDK) الإصدار 17.05

غير مدعوم غير مدعوم إصدار Junos OS الإصدار 18.2R1

مجموعة أدوات تطوير مستوى البيانات (DPDK) الإصدار 18.11

إصدار نظام التشغيل جونوس 19.4R1

بدءًا من إصدار Junos OS الإصدار 19.4R1، يتم دعم الإصدار 18.11 من DPDK على vSRX Virtual Firewall. باستخدام هذه الميزة، تدعم بطاقة واجهة الشبكة (NIC) Mellanox Connect الموجودة على جدار الحماية الظاهري vSRX الآن OSPF Multicast وVLAN.

مجموعة أدوات تطوير مستوى البيانات (DPDK) الإصدار 20.11

إصدار نظام التشغيل جونوس 21.2R1

بدءًا من إصدار Junos OS الإصدار 21.2R1، قمنا بترقية مجموعة أدوات تطوير مستوى البيانات (DPDK) من الإصدار 18.11 إلى الإصدار 20.11. يدعم الإصدار الجديد برنامج تشغيل وضع استطلاع ICE (PMD)، الذي يتيح دعم Intel E810 Series 100G NIC الفعلي على vSRX Virtual Firewall 3.0.

ملاحظة: يتطلب جدار الحماية الظاهري vSRX عند نشر KVM منك تمكين المحاكاة الافتراضية المستندة إلى الأجهزة على نظام تشغيل مضيف يحتوي على معالج قادر على تقنية المحاكاة الافتراضية من Intel (VT). يمكنك التحقق من توافق وحدة المعالجة المركزية هنا: http://www.linux-kvm.org/page/ Processor_support

12

لا يوجد عنوان ارتباط يسرد المواصفات الموجودة على جهاز vSRX Virtual Firewall VM.
بدءًا من إصدار Junos OS الإصدار 19.1R1، يدعم مثيل vSRX Virtual Firewall نظام التشغيل الضيف الذي يستخدم 9 أو 17 وحدة معالجة مركزية افتراضية مع ظاهرية إدخال/إخراج أحادية الجذر عبر Intel X710/XL710 على برنامج Hypervisor Linux KVM لتحسين قابلية التوسع والأداء.

توصيات KVM Kernel لجدار الحماية الافتراضي vSRX
يسرد الجدول 5 في الصفحة 12 إصدار Linux kernel الموصى به لنظام التشغيل Linux المضيف لديك عند نشر vSRX Virtual Firewall على KVM. يوضح الجدول إصدار Junos OS الذي تم فيه تقديم الدعم لإصدار معين من Linux kernel.
الجدول 5: توصيات Kernel لـ KVM

توزيعات لينكس على

نسخة نواة لينكس

إصدار نظام تشغيل Junos المدعوم

سينت أو إس

3.10.0.229
قم بترقية نواة Linux لالتقاط الإصدار الموصى به.

إصدار Junos OS الإصدار 15.1X49-D15 وإصدار Junos OS الإصدار 17.3R1 أو إصدار أحدث

أوبونتو

3.16

إصدار Junos OS الإصدار 15.1X49-D15 وإصدار Junos OS الإصدار 17.3R1 أو إصدار أحدث

4.4

إصدار نظام التشغيل Junos 15.1X49-D15 ونظام التشغيل Junos

الإصدار 17.3R1 أو الإصدار الأحدث

18.04

إصدار Junos OS 20.4R1 أو إصدار أحدث

20.04

إصدار Junos OS 20.4R1 أو إصدار أحدث

ريل

3.10

إصدار Junos OS الإصدار 15.1X49-D15 وإصدار Junos OS الإصدار 17.3R1 أو إصدار أحدث

13

حزم Linux الإضافية لجدار الحماية الافتراضي vSRX على KVM
يسرد الجدول 6 في الصفحة 13 الحزم الإضافية التي تحتاجها على نظام التشغيل Linux المضيف الخاص بك لتشغيل vSRX Virtual Firewall على KVM. راجع وثائق نظام التشغيل المضيف الخاص بك لمعرفة كيفية تثبيت هذه الحزم إذا لم تكن موجودة على الخادم الخاص بك.
الجدول 6: حزم Linux الإضافية لـ KVM

طَرد

إصدار

رابط التحميل

ليبفيرت

0.10.0

تحميل ليبفيرت

مدير Virt (مستحسن)

0.10.0

تنزيل مدير Virt

مواصفات الأجهزة

يسرد الجدول 7 في الصفحة 13 مواصفات الأجهزة للجهاز المضيف الذي يقوم بتشغيل vSRX Virtual Firewall VM.
الجدول 7: مواصفات الأجهزة للجهاز المضيف

عنصر

مواصفة

نوع المعالج المضيف

وحدة المعالجة المركزية Intel x86_64 متعددة النواة
ملاحظة: يتطلب DPDK دعم Intel Virtualization VT-x/VT-d في وحدة المعالجة المركزية. انظر حول تقنية المحاكاة الافتراضية من Intel.

14

الجدول 7: مواصفات الأجهزة للجهاز المضيف (تابع)

عنصر

مواصفة

دعم NIC الفعلي لجدار الحماية الظاهري vSRX وجدار الحماية الظاهري vSRX 3.0

· Virtio · SR-IOV (Intel X710/XL710، X520/540، 82599)

· SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro وMellanox ConnectX-4 EN/ ConnectX-4 Lx EN)

ملاحظة: في حالة استخدام SR-IOV مع محولات Mellanox ConnectX-3 أو ConnectX-4 Family، على مضيف Linux، إذا لزم الأمر، قم بتثبيت أحدث برنامج تشغيل Linux MLNX_OFED. راجع توزيع Mellanox OpenFabrics Enterprise لنظام التشغيل Linux (MLNX_OFED).

ملاحظة: يجب عليك تمكين ملحقات Intel VT-d لتوفير دعم الأجهزة لتعيين الأجهزة الفعلية مباشرةً لكل ضيف. راجع تكوين SR-IOV وPCI على KVM.

دعم NIC الفعلي لجدار الحماية الظاهري vSRX 3.0

دعم SR-IOV على Intel X710/XL710/XXV710 وIntel E810.

أفضل الممارسات لتحسين أداء جدار الحماية الافتراضي vSRX
Review الممارسات التالية لتحسين أداء جدار الحماية الظاهري vSRX.
عقدة NUMA
تتكون بنية خادم x86 من مآخذ توصيل متعددة ونوى متعددة داخل المقبس. يحتوي كل مأخذ توصيل على ذاكرة تُستخدم لتخزين الحزم أثناء عمليات نقل الإدخال/الإخراج من بطاقة واجهة الشبكة (NIC) إلى المضيف. لقراءة الحزم من الذاكرة بكفاءة، يجب أن تتواجد تطبيقات الضيف والأجهزة الطرفية المرتبطة بها (مثل بطاقة واجهة الشبكة) داخل مقبس واحد. ترتبط العقوبة بمآخذ توصيل وحدة المعالجة المركزية الممتدة للوصول إلى الذاكرة، مما قد يؤدي إلى أداء غير محدد. بالنسبة لجدار الحماية الظاهري vSRX، نوصي بأن تكون جميع وحدات vCPU الخاصة بـ vSRX Virtual Firewall VM في نفس عقدة الوصول إلى الذاكرة الفعلية غير المنتظمة (NUMA) للحصول على الأداء الأمثل.
تنبيه: سيصبح محرك إعادة توجيه الحزم (PFE) الموجود على جدار الحماية الظاهري vSRX غير مستجيب إذا تم تكوين هيكل عقد NUMA في برنامج Hypervisor لنشر وحدات vCPU الخاصة بالمثيل عبر عقد NUMA المضيفة المتعددة. يتطلب vSRX Virtual Firewall التأكد من أن جميع وحدات المعالجة المركزية الافتراضية موجودة على نفس عقدة NUMA.

15

نوصي بربط مثيل vSRX Virtual Firewall بعقدة NUMA محددة عن طريق تعيين تقارب عقدة NUMA. يقيد تقارب عقدة NUMA جدولة موارد vSRX Virtual Firewall VM على عقدة NUMA المحددة فقط.
تعيين الواجهات الافتراضية إلى vSRX Virtual Firewall VM لتحديد الواجهات الافتراضية الموجودة على نظام التشغيل Linux المضيف الخاص بك والتي يتم تعيينها إلى vSRX Virtual Firewall VM: 1. استخدم أمر virsh list على نظام التشغيل Linux المضيف الخاص بك لسرد الأجهزة الافتراضية قيد التشغيل.
قائمة virsh لنظام التشغيل hostOS#

اسم الهوية

ولاية

—————————————————-

9 سنت 1

جري

15 سنت 2

جري

16 سنت 3

جري

48 vsrx

جري

50 1117-2

جري

51 1117-3

جري

2. استخدم الأمر virsh domiflist vsrx-name لسرد الواجهات الافتراضية الموجودة على جهاز vSRX Virtual Firewall VM.

hostOS # virsh domiflist vsrx

نوع الواجهة

نموذج المصدر

ماك

——————————————————-

vnet1

جسر بريم2

فيرتيو

52:54:00:8f:75:a5

vnet2

جسر br1

فيرتيو

52:54:00:12:37:62

vnet3

جسر بركونكت فيرتيو

52:54:00:b2:cd:f4

ملاحظة: يتم تعيين الواجهة الافتراضية الأولى إلى واجهة fxp0 في نظام التشغيل Junos.

16

تعيين الواجهة لجدار الحماية الافتراضي vSRX على KVM

يتم تعيين كل محول شبكة محدد لجدار الحماية الظاهري vSRX إلى واجهة محددة، اعتمادًا على ما إذا كان مثيل vSRX Virtual Firewall عبارة عن جهاز افتراضي مستقل أو واحد من زوج مجموعة لتوفير عالي. تظهر أسماء الواجهة وتعييناتها في vSRX Virtual Firewall في الجدول 8 في الصفحة 16 والجدول 9 في الصفحة 17.
لاحظ ما يلي:
· في الوضع المستقل:
· fxp0 هي واجهة الإدارة خارج النطاق.
· ge-0/0/0 هي أول واجهة مرورية (إيرادات).
· في الوضع العنقودي:
· fxp0 هي واجهة الإدارة خارج النطاق.
· em0 هو رابط التحكم العنقودي لكلا العقدتين.
· يمكن تحديد أي من واجهات حركة المرور كروابط نسيجية، مثل ge-0/0/0 لـ fab0 على العقدة 0 وge-7/0/0 لـ fab1 على العقدة 1.
يعرض الجدول 8 في الصفحة 16 أسماء الواجهات وتعييناتها لجهاز vSRX Virtual Firewall VM المستقل. الجدول 8: أسماء الواجهات لجهاز VM المستقل لجدار الحماية الظاهري vSRX

محول الشبكة

اسم الواجهة في نظام التشغيل Junos لجدار الحماية الظاهري vSRX

1

fxp0

2

جنرال الكتريك-0/0/0

3

جنرال الكتريك-0/0/1

4

جنرال الكتريك-0/0/2

5

جنرال الكتريك-0/0/3

17

الجدول 8: أسماء الواجهات لجهاز VM المستقل لجدار الحماية الافتراضي vSRX (يتبع)

محول الشبكة

اسم الواجهة في نظام التشغيل Junos لجدار الحماية الظاهري vSRX

6

جنرال الكتريك-0/0/4

7

جنرال الكتريك-0/0/5

8

جنرال الكتريك-0/0/6

يعرض الجدول 9 في الصفحة 17 أسماء الواجهة وتعييناتها لزوج من الأجهزة الظاهرية لجدار الحماية الظاهري vSRX في مجموعة (العقدة 0 والعقدة 1).
الجدول 9: أسماء الواجهات لزوج مجموعة جدار الحماية الظاهري vSRX

محول الشبكة

اسم الواجهة في نظام التشغيل Junos لجدار الحماية الظاهري vSRX

1

fxp0 (العقدة 0 و1)

2

em0 (العقدة 0 و 1)

3

جنرال الكتريك-0/0/0 (العقدة 0)

جنرال الكتريك-7/0/0 (العقدة 1)

4

جنرال الكتريك-0/0/1 (العقدة 0)

جنرال الكتريك-7/0/1 (العقدة 1)

5

جنرال الكتريك-0/0/2 (العقدة 0)

جنرال الكتريك-7/0/2 (العقدة 1)

6

جنرال الكتريك-0/0/3 (العقدة 0)

جنرال الكتريك-7/0/3 (العقدة 1)

7

جنرال الكتريك-0/0/4 (العقدة 0)

جنرال الكتريك-7/0/4 (العقدة 1)

18

الجدول 9: أسماء الواجهات لزوج مجموعة جدار الحماية الظاهري vSRX (يتبع)

محول الشبكة

اسم الواجهة في نظام التشغيل Junos لجدار الحماية الظاهري vSRX

8

جنرال الكتريك-0/0/5 (العقدة 0)

جنرال الكتريك-7/0/5 (العقدة 1)

الإعدادات الافتراضية لجدار الحماية الظاهري vSRX على KVM

يتطلب vSRX Virtual Firewall إعدادات التكوين الأساسية التالية: · يجب تعيين عناوين IP للواجهات. · يجب أن تكون الواجهات مرتبطة بالمناطق. · يجب تكوين السياسات بين المناطق للسماح بحركة المرور أو رفضها. يسرد الجدول 10 في الصفحة 18 إعدادات المصنع الافتراضية لسياسات الأمان على vSRX Virtual Firewall. الجدول 10: إعدادات المصنع الافتراضية لسياسات الأمان

منطقة المصدر

منطقة الوجهة

إجراءات السياسة

يثق

عدم الثقة

يسمح

يثق

يثق

يسمح

عدم الثقة

يثق

ينكر

الوثائق ذات الصلة حول ملاحظات إصدار Intel Virtualization Technology DPDK

19
الفصل الثاني
قم بتثبيت جدار الحماية الظاهري vSRX في KVM
في هذا الفصل قم بإعداد الخادم الخاص بك لتثبيت جدار الحماية الظاهري vSRX | 19 قم بتثبيت جدار الحماية الافتراضي vSRX باستخدام KVM | 21 تحويلةample: تثبيت وتشغيل جدار الحماية الافتراضي vSRX على Ubuntu | 27 قم بتحميل التكوين الأولي على جدار الحماية الظاهري vSRX باستخدام KVM | 45 استخدم Cloud-Init في بيئة OpenStack لأتمتة تهيئة مثيلات جدار الحماية الظاهري vSRX | 48
قم بإعداد الخادم الخاص بك لتثبيت جدار الحماية الظاهري vSRX
في هذا القسم قم بتمكين المحاكاة الافتراضية المتداخلة | 19 ترقية Linux Kernel على Ubuntu | 21
تمكين المحاكاة الافتراضية المتداخلة
نوصي بتمكين المحاكاة الافتراضية المتداخلة على نظام التشغيل المضيف أو عقدة حساب OpenStack. يتم تمكين المحاكاة الافتراضية المتداخلة افتراضيًا على Ubuntu ولكن يتم تعطيلها افتراضيًا على CentOS. استخدم الأمر التالي لتحديد ما إذا تم تمكين المحاكاة الافتراضية المتداخلة على نظام التشغيل المضيف لديك. يجب أن تكون النتيجة Y.hostOS# cat /sys/module/kvm_intel/parameters/nested hostOS# Y

20
ملاحظة: لا تعمل المحاكاة الافتراضية لـ APIC (APICv) بشكل جيد مع الأجهزة الافتراضية المتداخلة مثل تلك المستخدمة مع KVM. على وحدات المعالجة المركزية Intel التي تدعم APICv (نماذج v2 عادةً، على سبيل المثالampإذا كان E5 v2 وE7 v2)، فيجب عليك تعطيل APICv على الخادم المضيف قبل نشر vSRX Virtual Firewall.
لتمكين المحاكاة الافتراضية المتداخلة على نظام التشغيل المضيف: 1. وفقًا لنظام التشغيل المضيف لديك، قم بتنفيذ ما يلي:
· في نظام CentOS، افتح الملف /etc/modprobe.d/dist.conf file في محررك الافتراضي.
hostOS# vi /etc/modprobe.d/dist.conf · على Ubuntu، افتح /etc/modprobe.d/qemu-system-x86.conf file في محررك الافتراضي.
hostOS# vi /etc/modprobe.d/qemu-system-x86.conf 2. أضف السطر التالي إلى file:
خيارات نظام التشغيل # kvm-intelnested=yenable_apicv=n
ملاحظة: قد تمنع مشكلة تسجيل تعديل الصفحة (PML) المتعلقة بنواة مضيف KVM جدار الحماية الظاهري vSRX من التشغيل بنجاح. نوصي بإضافة السطر التالي إلى file بدلاً من السطر المذكور أعلاه في الخطوة 2: خيارات hostOS# kvm-intelnested=yenable_apicv=n pml=n
3. احفظ ملف file وأعد تشغيل نظام التشغيل المضيف. 4. (اختياري) بعد إعادة التشغيل، تأكد من تمكين المحاكاة الافتراضية المتداخلة.
hostOS# cat /sys/module/kvm_intel/parameters/nested
نظام التشغيل المضيف # Y

21
5. على وحدات المعالجة المركزية Intel التي تدعم APICv (على سبيل المثالample وE5 v2 وE7 v2)، قم بتعطيل APICv على نظام التشغيل المضيف.
root@host# sudo rmmod kvm-intel root@host# sudo sh -c "echo 'options kvm-intel Enable_apicv=n' >> /etc/modprobe.d/dist.conf" root@host# sudo modprobe kvm-intel 6. اختياريًا، تأكد من تعطيل APICv الآن.
root@host# cat /sys/module/kvm_intel/parameters/enable_apicv
N
ترقية Linux Kernel على Ubuntu
للترقية إلى أحدث إصدار مستقر من Linux kernel على Ubuntu: 1. احصل على النواة المحدثة المتوفرة وقم بتثبيتها.
hostOS:$ Sudo apt-get install linux-image-generic-lts-utopic 2. أعد تشغيل نظام التشغيل المضيف.
hostOS:$ reboot 3. اختياريًا، اكتب uname -a في الوحدة الطرفية على نظام التشغيل المضيف الخاص بك للتحقق من أن نظام التشغيل المضيف يستخدم أحدث إصدار
إصدار النواة. نظام التشغيل المضيف:$ uname -a
3.16.0-48-عام
قم بتثبيت جدار الحماية الافتراضي vSRX باستخدام KVM
في هذا القسم، قم بتثبيت vSRX Virtual Firewall باستخدام Virt-manager | 22 قم بتثبيت جدار الحماية الظاهري vSRX باستخدام برنامج virt-install | 24

22 يمكنك استخدام virt-manager أو virt-install لتثبيت الأجهزة الظاهرية لجدار الحماية الظاهري vSRX. راجع وثائق نظام التشغيل المضيف للحصول على التفاصيل الكاملة حول هذه الحزم.
ملاحظة: لترقية مثيل vSRX Virtual Firewall الموجود، راجع الترحيل والترقية والرجوع إلى إصدار أقدم في ملاحظات إصدار vSRX Virtual Firewall.
قم بتثبيت جدار الحماية الافتراضي vSRX باستخدام برنامج Virt-manager
تأكد من أنك قمت بالفعل بتثبيت KVM وqemu وvirt-manager وlibvirt على نظام التشغيل المضيف لديك. يجب عليك أيضًا تكوين الشبكات الافتراضية وتجمع التخزين المطلوب في نظام التشغيل المضيف لجهاز vSRX Virtual Firewall VM. راجع وثائق نظام التشغيل المضيف للحصول على التفاصيل. يمكنك تثبيت وتشغيل vSRX Virtual Firewall باستخدام حزمة واجهة المستخدم الرسومية KVM virt-manager. لتثبيت vSRX Virtual Firewall مع virt-manager: 1. قم بتنزيل صورة vSRX Virtual Firewall QCOW2 من موقع تنزيل برنامج Juniper. 2. في نظام التشغيل المضيف لديك، اكتب Virt-manager. يظهر مدير الجهاز الظاهري. انظر الشكل 2 في الصفحة
22. ملاحظة: يجب أن يكون لديك حقوق المسؤول على نظام التشغيل المضيف لاستخدام Virt-manager.
الشكل 2: مدير الفاضلة
3. انقر فوق إنشاء جهاز ظاهري جديد كما هو موضح في الشكل 3 في الصفحة 23. يظهر معالج VM الجديد.

23
الشكل 3: إنشاء جهاز افتراضي جديد
4. حدد استيراد صورة القرص الموجودة، ثم انقر فوق إعادة توجيه. 5. استعرض للوصول إلى موقع صورة vSRX Virtual Firewall QCOW2 التي تم تنزيلها وحدد ملف
صورة جدار الحماية الافتراضي vSRX. 6. حدد Linux من قائمة أنواع نظام التشغيل وحدد إظهار كافة خيارات نظام التشغيل من قائمة الإصدارات. 7. حدد Red Hat Enterprise Linux 7 من قائمة الإصدارات الموسعة وانقر فوق "إعادة توجيه". 8. اضبط ذاكرة الوصول العشوائي (RAM) على 4096 ميجابايت واضبط وحدات المعالجة المركزية (CPUs) على 2. انقر فوق "إعادة توجيه". 9. اضبط حجم صورة القرص على 16 جيجابايت وانقر فوق "إعادة توجيه". 10. قم بتسمية vSRX Virtual Firewall VM، وحدد تخصيص هذا التكوين قبل التثبيت
قم بتغيير المعلمات قبل إنشاء VM وتشغيله. انقر فوق إنهاء. يظهر مربع الحوار التكوين. 11. حدد المعالج وقم بتوسيع قائمة التكوين. 12. حدد نسخ تكوين وحدة المعالجة المركزية المضيفة. 13. قم بتعيين ميزة وحدة المعالجة المركزية invtsc على تعطيل على وحدات المعالجة المركزية التي تدعم هذه الميزة. قم بتعيين vmx للمطالبة بالإنتاجية المثلى. يمكنك اختياريًا تعيين AES للمطالبة بتحسين إنتاجية التشفير
ملاحظة: إذا لم يكن خيار ميزة وحدة المعالجة المركزية موجودًا في إصدار virt-manager لديك، فستحتاج إلى تشغيل VM وإيقافه مرة واحدة، ثم تحرير vSRX Virtual Firewall VM XML file، يوجد عادةً في الدليل /etc/libvirt/qemu على نظام التشغيل المضيف لديك. استخدم التحرير virsh لتحرير VM XML file لتكوين تحت عنصر. أضف أيضا إذا كان نظام التشغيل المضيف لديك يدعم علامة وحدة المعالجة المركزية هذه. استخدم الأمر virsh القدرات على نظام التشغيل المضيف الخاص بك لسرد إمكانات المحاكاة الافتراضية لنظام التشغيل المضيف ووحدة المعالجة المركزية. السابق التاليampيعرض le الجزء ذي الصلة من vSRX Virtual Firewall XML file على مضيف CentOS:
ساندي بريدج شركة انتل

24

14. حدد القرص وقم بتوسيع الخيارات المتقدمة. 15. حدد IDE من قائمة ناقل القرص. 16. حدد بطاقة NIC، ثم حدد virtio من حقل طراز الجهاز. بطاقة NIC الأولى هذه هي fpx0
واجهة (إدارة) لجدار الحماية الافتراضي vSRX. 17. انقر فوق "إضافة أجهزة" لإضافة المزيد من الشبكات الافتراضية، وحدد "virtio" من قائمة طراز الجهاز. 18. انقر فوق "تطبيق"، وانقر فوق "x" لإغلاق مربع الحوار. 19. انقر فوق بدء التثبيت. يقوم مدير VM بإنشاء وتشغيل vSRX Virtual Firewall VM.
ملاحظة: معرف تسجيل الدخول الافتراضي لـ vSRX Virtual Firewall VM هو الجذر بدون كلمة مرور. افتراضيًا، إذا كان خادم DHCP موجودًا على الشبكة، فإنه يقوم بتعيين عنوان IP لجهاز vSRX Virtual Firewall VM.
قم بتثبيت جدار الحماية الافتراضي vSRX باستخدام برنامج التثبيت الظاهري
تأكد من أنك قمت بالفعل بتثبيت KVM وqemu وvirt-install وlibvirt على نظام التشغيل المضيف لديك. يجب عليك أيضًا تكوين الشبكات الافتراضية وتجمع التخزين المطلوب في نظام التشغيل المضيف لجهاز vSRX Virtual Firewall VM. راجع وثائق نظام التشغيل المضيف للحصول على التفاصيل.

25

ملاحظة: يجب أن يكون لديك حق الوصول إلى الجذر على نظام التشغيل المضيف لاستخدام أمر virt-install.

أدوات virt-install وvirsh هي بدائل واجهة سطر الأوامر (CLI) لتثبيت وإدارة vSRX Virtual Firewall VMs على مضيف Linux. لتثبيت vSRX Virtual Firewall مع التثبيت الظاهري: 1. قم بتنزيل صورة vSRX Virtual Firewall QCOW2 من موقع تنزيل برنامج Juniper. 2. على نظام التشغيل المضيف لديك، استخدم الأمر virt-install مع الخيارات الإلزامية المدرجة في الجدول 11 في الصفحة
25.
ملاحظة: راجع وثائق التثبيت الظاهري الرسمية للحصول على وصف كامل للخيارات المتاحة.

الجدول 11: خيارات التثبيت الظاهري

خيار الأمر

وصف

-اسم اسم

قم بتسمية vSRX Virtual Firewall VM.

– رام ميجا بايت

تخصيص ذاكرة الوصول العشوائي (RAM) لجهاز VM بالميجابايت.

– نموذج وحدة المعالجة المركزية، علامات وحدة المعالجة المركزية قم بتمكين ميزة vmx للحصول على إنتاجية مثالية. يمكنك أيضًا تمكين AES لتحسين إنتاجية التشفير.
ملاحظة: يعتمد دعم علامة وحدة المعالجة المركزية (CPU) على نظام التشغيل المضيف ووحدة المعالجة المركزية (CPU).
استخدم إمكانات virsh لسرد إمكانيات المحاكاة الافتراضية لنظام التشغيل المضيف ووحدة المعالجة المركزية لديك.

– رقم vcpus

قم بتخصيص عدد وحدات المعالجة المركزية الافتراضية لـ vSRX Virtual Firewall VM.

26

الجدول 11: خيارات التثبيت الظاهري (تابع)

خيار الأمر

وصف

- مسار القرص

حدد وسائط تخزين القرص وحجمها لجهاز VM. قم بتضمين الخيارات التالية:
· الحجم = غيغابايت · الجهاز = القرص · الناقل = بيئة تطوير متكاملة · التنسيق = qcow2

- نوع نظام التشغيل - نوع نظام التشغيل - نوع نظام التشغيل المتغير

قم بتكوين نوع نظام التشغيل الضيف ومتغيره.

-يستورد

قم بإنشاء وتشغيل vSRX Virtual Firewall VM من صورة موجودة.

المثال التاليampيقوم le بإنشاء جهاز VM لجدار الحماية الظاهري vSRX مزود بذاكرة وصول عشوائي (RAM) تبلغ سعتها 4096 ميجابايت ووحدتي vCPU وتخزين قرص يصل إلى 2 جيجابايت:
hostOS# virt-install –name vSRXVM –ram 4096 –cpu SandyBridge,+vmx,-invtsc –vcpus=2 -arch=x86_64 –disk path=/mnt/vsrx.qcow2,size=16,device=disk,bus=ide التنسيق = qcow2 -نظام التشغيل من نوع Linux -نظام التشغيل-متغير rhel7 -استيراد
المثال التاليampيعرض le الجزء ذي الصلة من vSRX Virtual Firewall XML file على مضيف CentOS:
ساندي بريدج شركة انتل

27

ملاحظة: معرف تسجيل الدخول الافتراضي لـ vSRX Virtual Firewall VM هو الجذر بدون كلمة مرور. افتراضيًا، إذا كان خادم DHCP موجودًا على الشبكة، فإنه يقوم بتعيين عنوان IP لجهاز vSRX Virtual Firewall VM.
الوثائق ذات الصلة تثبيت جهاز ظاهري باستخدام إشارات virt-install Migration وUpgrade وDowngrade Linux CPU Flags
Example: تثبيت وتشغيل vSRX Virtual Firewall على Ubuntu
في هذا القسم المتطلبات | 28 انتهىview | 28 التكوين السريع – تثبيت وتشغيل جهاز افتراضي لجدار الحماية الافتراضي vSRX على Ubuntu | 29 | 32 التكوين خطوة بخطوة | 32

28 هذا السابقampيوضح le كيفية تثبيت مثيل vSRX Virtual Firewall وتشغيله على خادم Ubuntu باستخدام KVM.
متطلبات
هذا السابقampيستخدم le مكونات الأجهزة والبرامج التالية: · خادم x86 عام · إصدار Junos OS الإصدار 15.1X49-D20 لجدار الحماية الافتراضي vSRX · إصدار Ubuntu 14.04.2 قبل أن تبدأ: · هذا المثالampيفترض le تثبيتًا جديدًا لبرنامج خادم Ubuntu. · تأكد من أن نظام التشغيل المضيف لديك يلبي المتطلبات المحددة في متطلبات vSRX على KVM.
زيادةview
هذا السابقampيوضح كيفية إعداد خادم Ubuntu المضيف وتثبيت وتشغيل vSRX Virtual Firewall VM. يوضح الشكل 4 في الصفحة 28 البنية الأساسية لجهاز vSRX Virtual Firewall VM على خادم Ubuntu.
الشكل 4: vSRX Virtual Firewall VM على Ubuntu
ملاحظة: هذا مثالampيستخدم le عناوين IP ثابتة. إذا كنت تقوم بتكوين مثيل vSRX Virtual Firewall في بيئة NFV، فيجب عليك استخدام DHCP.

29
التكوين السريع – تثبيت وتشغيل vSRX Virtual Firewall VM على Ubuntu
في هذا القسم
التكوين السريع لـ CLI | 29 الإجراء | 29
التكوين السريع لـ CLI
لتكوين هذا السابق بسرعةampلو، انسخ الأوامر التالية، والصقها في نص file، وقم بإزالة أي فواصل أسطر، وقم بتغيير أي تفاصيل ضرورية لمطابقة تكوين الشبكة لديك، وانسخ الأوامر والصقها في محطة خادم Ubuntu أو وحدة تحكم vSRX Virtual Firewall كما هو محدد.
إجراء
الإجراء خطوة بخطوة
1. إذا لم تكن الشبكة الافتراضية الافتراضية موجودة بالفعل، فانسخ الأوامر التالية والصقها في محطة خادم Ubuntu لإنشاء الشبكة الافتراضية الافتراضية.
القط < /etc/libvirt/qemu/networks/default.xml تقصير
EOF virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start default

30
virsh net-autostart الافتراضي
2. قم بإنشاء الشبكة الافتراضية اليسرى أو الموثوقة على خادم Ubuntu.
القط < /etc/libvirt/qemu/networks/testleftnetwork.xml TestLeft
EOF virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
3. قم بإنشاء الشبكة الافتراضية الصحيحة أو غير الموثوقة على خادم Ubuntu.
القط < /etc/libvirt/qemu/networks/testrightnetwork.xml
TestRight
EOF virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight

31
virsh net-autostart TestRight
4. قم بتنزيل صورة vSRX Virtual Firewall KVM من Juniper Networks webالموقع https://www.juniper.net/support/downloads/?p=vsrx#sw.
5. انسخ الأوامر التالية وقم بتعديل معلمة وحدة المعالجة المركزية والإشارات لتتوافق مع وحدة المعالجة المركزية لخادم Ubuntu. الصق الأوامر الناتجة في محطة خادم Ubuntu لنسخ الصورة إلى نقطة التثبيت وإنشاء vSRX Virtual Firewall VM.
cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2 virt-install –name vSRX20One –ram 4096 –cpu SandyBridge,+vmx,-invtsc, –vcpus=2 -arch=x86_64 –disk المسار=/mnt/vsrx20one.qcow2,الحجم=16,device=disk,bus=ide,format=qcow2 –ostype linux –os-variant rhel7 –import –network=network:default,model=virtio -network=network:TestLeft ,model=virtio –network=network:TestRight,model=virtio
ملاحظة: قد يختلف طراز وحدة المعالجة المركزية والعلامات الموجودة في أمر virt-install بناءً على وحدة المعالجة المركزية والميزات الموجودة في خادم Ubuntu.
6. لتعيين كلمة مرور الجذر على vSRX Virtual Firewall VM، انسخ الأمر والصقه في vSRX Virtual Firewall CLI على مستوى التسلسل الهرمي [تحرير].
قم بتعيين كلمة مرور النص العادي لمصادقة جذر النظام
7. لإنشاء تكوين أساسي على جهاز vSRX Virtual Firewall VM، انسخ الأوامر التالية، والصقها في النص file، قم بإزالة أي فواصل أسطر، وقم بتغيير أي تفاصيل ضرورية لمطابقة تكوين الشبكة لديك، وانسخ الأوامر التالية والصقها في vSRX Virtual Firewall CLI على مستوى التسلسل الهرمي [تحرير]، ثم أدخل الالتزام من وضع التكوين.
مجموعة واجهات fxp0 وحدة 0 عائلة inet dhcp-client مجموعة واجهات ge-0/0/0 وحدة 0 عنوان inet العائلي 192.168.123.254/24 مجموعة واجهات ge-0/0/1 وحدة 0 عائلة inet dhcp-client مجموعة مناطق الأمان Security- واجهات ثقة المنطقة ge-0/0/0.0 خدمات نظام حركة المرور الواردة للمضيف جميع مناطق الأمان واجهات عدم الثقة لمنطقة الأمان ge-0/0/1.0 خدمات نظام حركة المرور الواردة للمضيف dhcp تعيين مثيلات التوجيه CUSTOMER-VR من نوع المثيل الظاهري -جهاز التوجيه تعيين مثيلات التوجيه CUSTOMER-VR واجهة ge-0/0/0.0

32
تعيين مثيلات التوجيه واجهة CUSTOMER-VR ge-0/0/1.0 تعيين مصدر قاعدة مصدر nat للأمان مصدر nat من ثقة المنطقة تعيين مصدر قاعدة مصدر nat للأمان مجموعة مصدر nat إلى منطقة عدم الثقة تعيين مصدر مجموعة قاعدة مصدر nat للأمان- قاعدة nat nat1 مطابقة عنوان المصدر 0.0.0.0/0 تعيين قاعدة مصدر الأمان مجموعة قواعد مصدر nat قاعدة nat1 ثم واجهة مصدر nat
في هذا القسم | 32
الإجراء خطوة بخطوة
التكوين خطوة بخطوة
في هذا القسم أضف الشبكات الافتراضية | 33 التحقق من الشبكات الافتراضية | 36 تنزيل وتثبيت صورة جدار الحماية الافتراضي vSRX | 37 تحقق من تثبيت جدار الحماية الظاهري vSRX | 37 قم بإنشاء تكوين أساسي على مثيل جدار الحماية الظاهري vSRX | 40 تحقق من التكوين الأساسي على مثيل جدار الحماية الظاهري vSRX | 43
استخدم الأقسام التالية للحصول على مجموعة أكثر تفصيلاً من الإجراءات لتثبيت جهاز vSRX Virtual Firewall VM وتشغيله.

33
إضافة الشبكات الافتراضية
إجراء خطوة بخطوة تحتاج إلى إنشاء شبكات افتراضية على خادم Ubuntu لتوفير اتصال الشبكة بالواجهات الموجودة على vSRX Virtual Firewall VM. انسخ هذا الأمر والصقه في المحطة الطرفية على خادم Ubuntu. هذا السابقampيستخدم le ثلاث شبكات افتراضية: · افتراضي – يربط واجهة إدارة fxp0.
ملاحظة: يجب أن تكون الشبكة الافتراضية الافتراضية موجودة بالفعل على خادم Ubuntu. استخدم الأمر virsh net-list للتحقق من أن الشبكة الافتراضية موجودة ونشطة.
· TestLeft – يربط واجهة ge-0/0/0 بالمنطقة الموثوقة. · TestRight – يربط واجهة ge-0/0/1 بالمنطقة غير الموثوق بها. 1. في حالة عدم وجود الشبكة الافتراضية، اتبع الخطوات التالية:
الإجراء خطوة بخطوة
أ. افتح محرر نصوص على خادم Ubuntu وقم بإنشاء شبكة XML الافتراضية (default.xml) file.
emacs /etc/libvirt/qemu/networks/default.xml
ب. اضبط الوضع الأمامي على nat، وقم بتكوين عنوان IP وقناع الشبكة الفرعية وواجهة الجسر، وقم بتكوين DHCP لتعيين عناوين IP للواجهات الموجودة على هذه الشبكة الافتراضية.
ملاحظة: استخدم تنسيق XML المحدد بواسطة libvirt.
تقصير

34


ج. قم بتعريف الشبكة الافتراضية الافتراضية وبدء تشغيلها، استنادًا إلى ملف default.xml file لقد قمت بإنشائها.
virsh net-define /etc/libvirt/qemu/networks/default.xml virsh net-start default virsh net-autostart default
2. قم بإزالة أي شبكة افتراضية TestLeft تم تكوينها مسبقًا.
virsh net-destroy TestLeft virsh net-undefine TestLeft
3. قم بإزالة أي شبكة افتراضية تم تكوينها مسبقًا لـ TestRight.
virsh net-destroy TestRight virsh net-undefine TestRight
4. افتح محرر نصوص على خادم Ubuntu وقم بإنشاء شبكة TestLeft XML (testleftnetwork.xml) file.
إيماكس /etc/libvirt/qemu/networks/testleftnetwork.xml
5. قم بتعيين الوضع الأمامي للتوجيه، وقم بتكوين عنوان IP وقناع الشبكة الفرعية وواجهة الجسر، وقم بتكوين DHCP لتعيين عناوين IP للواجهات الموجودة على هذه الشبكة الافتراضية.

35
ملاحظة: استخدم تنسيق XML المحدد بواسطة libvirt.
TestLeft

6. افتح محرر نصوص على خادم Ubuntu وقم بإنشاء XML لشبكة TestRight (testrightnetwork.xml) file.
emacs /etc/libvirt/qemu/networks/testrightnetwork.xml
7. اضبط الوضع الأمامي على nat، وقم بتكوين عنوان IP وقناع الشبكة الفرعية وواجهة الجسر، وقم بتكوين DHCP لتعيين عناوين IP للواجهات الموجودة على هذه الشبكة الافتراضية.
ملاحظة: استخدم تنسيق XML المحدد بواسطة libvirt.
TestRight

36
8. قم بتعريف وبدء تشغيل شبكة TestLeft الافتراضية، استنادًا إلى ملف testleftnetwork.xml file لقد قمت بإنشائها.
virsh net-define /etc/libvirt/qemu/networks/testleftnetwork.xml virsh net-start TestLeft virsh net-autostart TestLeft
9. قم بتعريف وبدء تشغيل شبكة TestRight الافتراضية، استنادًا إلى ملف testrightnetwork.xml file لقد قمت بإنشائها.
virsh net-define /etc/libvirt/qemu/networks/testrightnetwork.xml virsh net-start TestRight virsh net-autostart TestRight

تحقق من غرض الشبكات الافتراضية تحقق من تكوين الشبكة الافتراضية الجديد على خادم Ubuntu. الإجراء استخدم الأمر virsh net-list على خادم Ubuntu للتحقق من أن الواجهات الافتراضية الجديدة نشطة وتم ضبطها على التشغيل التلقائي عند إعادة التشغيل.
قائمة شبكة virsh

اسم

ولاية

التشغيل التلقائي المستمر

———————————————————-

تقصير

نشيط

نعم

نعم

TestLeft

نشيط

نعم

نعم

اختبار الحق

نشيط

نعم

نعم

37
قم بتنزيل وتثبيت صورة جدار الحماية الظاهري vSRX
إجراء خطوة بخطوة لتنزيل صورة vSRX Virtual Firewall وتثبيتها على خادم Ubuntu: 1. قم بتنزيل صورة vSRX Virtual Firewall KVM من Juniper Networks webالموقع: https: //
www.juniper.net/support/downloads/?p=vsrx#sw 2. انسخ صورة vSRX Virtual Firewall إلى نقطة التثبيت المناسبة.
hostOS# cp junos-vsrx-vmdisk-15.1X49-D20.2.qcow2 /mnt/vsrx20one.qcow2
3. استخدم الأمر virt-install لإنشاء vSRX Virtual Firewall VM. قم بتعديل معلمة وحدة المعالجة المركزية والإشارات لتتوافق مع وحدة المعالجة المركزية لخادم Ubuntu.
hostOS# virt-install –name vSRX20One –ram 4096 –cpu SandyBridge,+vmx,-invtsc, –vcpus=2 -arch=x86_64 –disk path=/mnt/vsrx20one.qcow2,size=16,device=disk,bus= بيئة تطوير متكاملة، التنسيق = qcow2 –ostype linux –os-variant rhel7 –import –network=network:default،model=virtio -network=network:TestLeft،model=virtio –network=network:TestRight،model=virtio
ملاحظة: قد يختلف طراز وحدة المعالجة المركزية والعلامات الموجودة في أمر virt-install بناءً على وحدة المعالجة المركزية والميزات الموجودة في خادم Ubuntu.
تحقق من تثبيت جدار الحماية الظاهري vSRX
الغرض التحقق من تثبيت جدار الحماية الظاهري vSRX.

38
فعل
1. استخدم أمر virsh console على خادم Ubuntu للوصول إلى وحدة تحكم vSRX Virtual Firewall ومشاهدة تقدم التثبيت. يمكن أن يستغرق التثبيت عدة دقائق حتى يكتمل.
hostOS # virsh console vSRx200ne
بدء التثبيت... خطأ داخلي: تم الخروج من العملية أثناء الاتصال بالشاشة: libust[11994/11994]: تحذير: لم يتم تعيين متغير البيئة HOME. تعطيل تتبع LTTng-UST لكل مستخدم. (في setup_local_apps() في lttng-ust-comm.c:305) libust[11994/11995]: خطأ: خطأ في فتح shm /lttng-ust-wait-5 (في get_wait_shm() في lttngust-comm.c:886) libust[11994/11995]: خطأ: خطأ في فتح shm /lttng-ust-wait-5 (في get_wait_shm() في lttngust-comm.c:886)
تمهيد "جونيبر لينكس"
تحميل Linux ... وحدات التحكم: المنفذ التسلسلي BIOS محرك الأقراص C: هو محرك الأقراص BIOS disk0 D: محرك الأقراص BIOS disk1 E: محرك الأقراص BIOS disk2 F: هو محرك الأقراص BIOS disk3 639 كيلو بايت/999416 كيلو بايت متاح
محمل التمهيد FreeBSD/i386، المراجعة 1.2 (builder@example.com, Thu Jul 30 23:20:10 UTC 2015) Loading /boot/defaults/loader.conf /kernel text=0xa3a2c0 data=0x6219c+0x11f8e0 syms=[0x4+0xb2ed0+0x4+0x1061bb] /boot/modules/libmbpool.ko text=0xce8 data=0x114 /boot/modules/if_em_vsrx.ko text=0x184c4 data=0x7fc+0x20 /boot/modules/virtio.ko text=0x2168 data=0x208 syms=[0x4+0x7e0+0x4+0x972] /boot/modules/virtio_pci.ko text=0x2de8 data=0x200+0x8 syms=[0x4+0x8f0+0x4+0xb22] /boot/modules/virtio_blk.ko text=0x299c data=0x1dc+0xc syms=[0x4+0x960+0x4+0xa0f] /boot/modules/if_vtnet.ko text=0x5ff0 data=0x360+0x10 syms=[0x4+0xdf0+0x4+0xf19] /boot/modules/pci_hgcomm.ko text=0x12fc data=0x1a4+0x44 syms=[0x4+0x560+0x4+0x61d] /boot/modules/chassis.ko text=0x9bc data=0x1d0+0x10 syms=[0x4+0x390+0x4+0x399] Hit [Enter] to boot immediately, or space bar for command prompt.

39
التمهيد [/ kernel]... platform_early_bootinit: تهيئة التمهيد المبكر GDB: منافذ تصحيح الأخطاء: sio GDB: المنفذ الحالي: sio KDB: واجهات مصحح الأخطاء: ddb gdb KDB: الواجهة الخلفية الحالية: ddb Copyright (c) 1996-2015، Juniper Networks, Inc. الكل الحقوق محفوظة. حقوق الطبع والنشر (ج) 1992-2007 لمشروع FreeBSD. حقوق الطبع والنشر (ج) 1979، 1980، 1983، 1986، 1988، 1989، 1991، 1992، 1993، 1994
حكام جامعة كاليفورنيا. كل الحقوق محفوظة. FreeBSD هي علامة تجارية مسجلة لمؤسسة FreeBSD. جونوس 15.1X49-D15.4 #0: 2015-07-31 02:20:21 بالتوقيت العالمي

معرف الجهاز فارغ. التنظيف ... الخميس 27 أغسطس 12:06:22 UTC 2015 أغسطس 27 12:06:22 init: exec_command: /usr/sbin/dhcpd (PID 1422) بدأ 27 أغسطس 12:06:22 init: dhcp (PID 1422) بدأ 27 أغسطس 12:06:23 بدأ init: exec_command: /usr/sbin/pppd (PID 1428)
فاقد الذاكرة (ttyd0)
تسجيل الدخول:

40
2. في وحدة تحكم vSRX Virtual Firewall، قم بتسجيل الدخول وتحقق من تثبيت إصدار vSRX Virtual Firewall. تسجيل الدخول: الجذر
— JUNOS 15.1X49-D15.4 تم إنشاؤه بتاريخ 2015/07/31 02:20:21 بالتوقيت العالمي root@%
الجذر @٪ cli
الجذر>
الجذر> عرض الإصدار
الطراز: vSRX Junos: 15.1X49-D15.4 إصدار برنامج JUNOS [15.1X49-D15.4] إنشاء تكوين أساسي على مثيل جدار الحماية الظاهري vSRX إجراء خطوة بخطوة لتكوين إعداد أساسي على مثيل جدار الحماية الظاهري vSRX، أدخل الخطوات التالية في وضع التحرير: 1. قم بإنشاء كلمة مرور الجذر.
[تحرير] تعيين كلمة مرور النص العادي لمصادقة جذر النظام

41
2. قم بتعيين عائلة عنوان IP لواجهة الإدارة، وقم بتمكين عميل DHCP لهذه الواجهة.
تعيين واجهات fxp0 وحدة 0 عائلة إنت dhcp العميل
3. قم بتعيين عنوان IP لواجهة ge-0/0/0.0.
تعيين واجهات ge-0/0/0 وحدة 0 عنوان إنيت العائلي 192.168.123.254/24
4. قم بتعيين عائلة عنوان IP للواجهة ge-0/0/1.0، وقم بتمكين عميل DHCP لهذه الواجهة.
تعيين واجهات ge-0/0/1 وحدة 0 عائلة inet dhcp-client
5. قم بإضافة واجهة ge-0/0/0.0 إلى منطقة أمان الثقة والسماح لجميع خدمات النظام من حركة المرور الواردة على تلك الواجهة.
تعيين واجهات ثقة منطقة الأمان لمناطق الأمان ge-0/0/0.0 خدمات نظام حركة المرور الواردة والمضيف الكل
6. أضف واجهة ge-0/0/1.0 إلى منطقة الأمان غير الموثوق بها واسمح فقط بخدمات نظام DHCP من حركة المرور الواردة على تلك الواجهة.
تعيين مناطق الأمان، واجهات عدم الثقة بمنطقة الأمان، ge-0/0/1.0، خدمات نظام حركة المرور الواردة، dhcp
7. قم بإنشاء مثيل توجيه افتراضي وقم بإضافة الواجهتين إلى مثيل التوجيه هذا.
تعيين مثيلات التوجيه CUSTOMER-VR من نوع جهاز التوجيه الظاهري تعيين مثيلات التوجيه واجهة CUSTOMER-VR ge-0/0/0.0 تعيين مثيلات التوجيه واجهة CUSTOMER-VR ge-0/0/1.0
8. قم بإنشاء مجموعة قواعد NAT المصدر.
تعيين قاعدة مصدر nat للأمان - مجموعة مصدر nat من ثقة المنطقة - تعيين قاعدة مصدر nat للأمان - مجموعة مصدر nat إلى عدم الثقة في المنطقة

42
9. قم بتكوين قاعدة تطابق الحزم وتترجم عنوان المصدر إلى عنوان واجهة الخروج.
تعيين قاعدة مصدر nat للأمان - مجموعة قاعدة مصدر nat nat1 تطابق عنوان المصدر 0.0.0.0/0 تعيين قاعدة مصدر nat للأمان - مجموعة قاعدة مصدر nat nat1 ثم واجهة مصدر nat
نتائج
من وضع التكوين، قم بتأكيد التكوين الخاص بك عن طريق إدخال أمر show Interfaces. إذا لم يعرض الإخراج التكوين المقصود، كرر التعليمات الواردة في هذا المثالampلو لتصحيح التكوين.
إظهار الواجهات
من وضع التكوين، قم بتأكيد سياسات الأمان الخاصة بك عن طريق إدخال أمر إظهار سياسات الأمان. إذا لم يعرض الإخراج التكوين المقصود، كرر التعليمات الواردة في هذا المثالampلو لتصحيح التكوين.
إظهار السياسات الأمنية
الثقة من المنطقة إلى الثقة في المنطقة {السياسة الافتراضية السماح {مطابقة {عنوان المصدر أي؛ عنوان الوجهة أي؛ تطبيق أي؛ } ثم { تصريح؛ } }
} الثقة من المنطقة إلى عدم الثقة في المنطقة {
السياسة الافتراضية - التصريح { match { عنوان المصدر أي؛ عنوان الوجهة أي؛ تطبيق أي؛

43
} ثم {
يسمح؛ } } } عدم الثقة من المنطقة إلى الثقة في المنطقة {الرفض الافتراضي للسياسة {مطابقة {
عنوان المصدر أي؛ عنوان الوجهة أي؛ تطبيق أي؛ } ثم { رفض؛ } } }
إذا انتهيت من تكوين الجهاز، فأدخل الالتزام من وضع التكوين.
ملاحظة: كخطوة أخيرة، قم بالخروج من وضع التكوين واستخدم أمر إعادة تشغيل نظام الطلب لإعادة تشغيل vSRX Virtual Firewall VM. يمكنك استخدام أمر virsh console على خادم Ubuntu لإعادة الاتصال بجدار الحماية الظاهري vSRX بعد إعادة التشغيل.
تحقق من التكوين الأساسي على مثيل جدار الحماية الظاهري vSRX
غاية
تحقق من التكوين الأساسي على مثيل vSRX Virtual Firewall.

44
الإجراء تحقق من أن واجهة ge-0/0/0.0 لها عنوان IP معين من نطاق عناوين DHCP لشبكة TestLeft، وأن ge-0/0/1.0 لها عنوان IP معين من نطاق عناوين DHCP لشبكة TestRight.
الجذر> إظهار الواجهات مقتضبة

Interface ge-0/0/0 ge-0/0/0.0 gr-0/0/0 ip-0/0/0 lsq-0/0/0 lt-0/0/0 mt-0/0/0 sp-0/0/0 sp-0/0/0.0
sp-0/0/0.16383 ge-0/0/1 ge-0/0/1.0 dsc em0 em0.0 em1 em1.32768 em2 fxp0 fxp0.0 ipip irb lo0 lo0.16384 lo0.16385
لو0.32768 إل إس آي

Admin Link Proto up up up inet up up up up up up up up up up inet
inet6 يصل يصل يصل يصل يصل إنت يصل يصل يصل يصل إنت يصل يصل يصل يصل يصل إنت يصل يصل يصل يصل إنت يصل يصل يصل يصل يصل إنت يصل يصل يصل يصل يصل يصل إنت يصل يصل إنت
يصل لأعلى

محلي

بعيد

192.168.123.254/24

192.168.124.238/24 128.0.0.1/2 192.168.1.2/24 192.168.2.1/24

127.0.0.1 10.0.0.1 10.0.0.16 128.0.0.1 128.0.0.4 128.0.1.16

-> 0/0 -> 0/0 -> 0/0 -> 0/0 -> 0/0 -> 0/0

45

mtun

اعلى اعلى

بيمد

اعلى اعلى

بيم

اعلى اعلى

ص0

اعلى اعلى

ب ب د 0

اعلى اعلى

ب بى بى 0

اعلى اعلى

اس تي 0

اعلى اعلى

مقبض

اعلى اعلى

شبكة محلية ظاهرية

أعلى إلى أسفل

الوثائق ذات الصلة بتنسيق libvirt Network XML مرجع أمر libvirt
قم بتحميل التكوين الأولي على جدار الحماية الظاهري vSRX باستخدام KVM
في هذا القسم قم بإنشاء صورة ISO لجدار الحماية الظاهري vSRX Bootstrap ISO | 46 توفير جدار حماية افتراضي vSRX مع صورة ISO Bootstrap على KVM | 47

بدءًا من إصدار Junos OS الإصدار 15.1X49-D40 وإصدار Junos OS الإصدار 17.3R1، يمكنك استخدام صورة ISO مثبتة لتمرير تكوين Junos OS الأولي لبدء التشغيل إلى vSRX Virtual Firewall VM. تحتوي صورة ISO هذه على ملف file في الدليل الجذر المسمى juniper.conf. هذا file يستخدم بناء جملة أمر Junos OS القياسي لتحديد تفاصيل التكوين، مثل كلمة مرور الجذر وعنوان IP للإدارة والبوابة الافتراضية وبيانات التكوين الأخرى. تكون عملية تمهيد جهاز vSRX Virtual Firewall VM باستخدام صورة تكوين ISO كما يلي:
ملاحظة: لا يتم دعم تكوين SNMPv3 عند توفير أنظمة جدار الحماية الافتراضية vSRX بصورة تمهيد ISO.
1. قم بإنشاء تكوين juniper.conf file مع تكوين Junos OS الخاص بك.

46
2. قم بإنشاء صورة ISO تتضمن ملف juniper.conf file. 3. قم بتحميل صورة ISO على جهاز vSRX Virtual Firewall VM. 4. قم بتشغيل أو إعادة تشغيل جهاز vSRX Virtual Firewall VM. سيتم تشغيل جدار الحماية الظاهري vSRX باستخدام juniper.conf
file المدرجة في صورة ISO المثبتة. 5. قم بإلغاء تحميل صورة ISO من جهاز vSRX Virtual Firewall VM.
ملاحظة: إذا لم تقم بإلغاء تحميل صورة ISO بعد التمهيد الأولي أو إعادة التشغيل، فسيتم استبدال كافة تغييرات التكوين اللاحقة التي تم إجراؤها على جدار الحماية الظاهري vSRX بواسطة صورة ISO عند إعادة التشغيل التالية.
قم بإنشاء صورة ISO لجدار الحماية الافتراضي vSRX Bootstrap
تستخدم هذه المهمة نظام Linux لإنشاء صورة ISO. لإنشاء صورة ISO لجدار الحماية الظاهري vSRX: 1. قم بإنشاء تكوين file في نص عادي باستخدام بناء جملة أمر Junos OS وحفظه في ملف file مُسَمًّى
juniper.conf. 2. إنشاء دليل جديد.
hostOS $ mkdir iso_dir
3. انسخ juniper.conf إلى دليل ISO الجديد.
hostOS$ cp juniper.conf iso_dir
ملاحظة: ملف juniper.conf file يجب أن يحتوي على التكوين الكامل لجدار الحماية الظاهري vSRX. تقوم عملية تمهيد ISO بالكتابة فوق أي تكوين موجود لجدار الحماية الظاهري vSRX.

47
4. استخدم أمر Linux mkisofs لإنشاء صورة ISO.
hostOS$ mkisofs -l -o test.iso iso_dir
I: -input-charset غير محدد، باستخدام utf-8 (تم اكتشافه في الإعدادات المحلية) إجمالي حجم جدول الترجمة: 0 إجمالي بايت سمات rockridge: 0 إجمالي بايت الدليل: 0 حجم جدول المسار (بايت): 10 الحد الأقصى لمساحة brk المستخدمة 0 175 النطاقات المكتوبة (0 ميجابايت)
ملاحظة: يسمح الخيار -l لفترة طويلة fileاسم.
توفير جدار حماية افتراضي vSRX مع صورة ISO Bootstrap على KVM
لتوفير vSRX Virtual Firewall VM من صورة تمهيد ISO: 1. استخدم أمر التحرير virsh على خادم مضيف KVM حيث يوجد vSRX Virtual Firewall VM
أضف صورة bootstrap ISO كجهاز قرص.
<disk type=’file'جهاز='قرص مدمج'> file='/home/test.iso'/>

2. قم بتشغيل أو إعادة تشغيل جهاز vSRX Virtual Firewall VM.
user@host# virsh start ixvSRX
متصلا بالمجال ixvSRX

48
3. اختياريًا، استخدم أمر virsh domblklist Linux للتحقق من أن صورة bootstrap ISO جزء من VM.
hostOS# virsh domblklist ixvSRX

المصدر الهدف

————————————————

هدا

/home/test/vsrx209.qcow2

مركز البيانات عالي الدقة

/home/test/test.iso

4. تحقق من التكوين، ثم قم بإيقاف تشغيل vSRX Virtual Firewall VM لإزالة صورة ISO. 5. استخدم أمر التحرير virsh على خادم مضيف KVM لإزالة بيانات ISO image xml المضافة
في الخطوة 1، ثم أعد تشغيل جهاز vSRX Virtual Firewall VM.

جدول تاريخ الإصدار

يطلق

وصف

15.1X49-D80

بدءًا من إصدار Junos OS الإصدار 15.1X49-D40 وإصدار Junos OS الإصدار 17.3R1، يمكنك استخدام صورة ISO مثبتة لتمرير تكوين Junos OS الأولي لبدء التشغيل إلى vSRX Virtual Firewall VM. تحتوي صورة ISO هذه على ملف file في الدليل الجذر المسمى juniper.conf. هذا file يستخدم بناء جملة أمر Junos OS القياسي لتحديد تفاصيل التكوين، مثل كلمة مرور الجذر وعنوان IP للإدارة والبوابة الافتراضية وبيانات التكوين الأخرى.

الوثائق ذات الصلة بأمر Linux mkisofs
استخدم Cloud-Init في بيئة OpenStack لأتمتة تهيئة مثيلات جدار الحماية الظاهري vSRX
في هذا القسم إجراء الإعداد التلقائي لمثيل جدار الحماية الظاهري vSRX باستخدام واجهة سطر أوامر OpenStack | 52

49
إجراء الإعداد التلقائي لمثيل جدار الحماية الظاهري vSRX من لوحة معلومات OpenStack (Horizon) | 54
بدءًا من إصدار Junos OS الإصدار 15.1X49-D100 وإصدار Junos OS الإصدار 17.4R1، تأتي حزمة cloud-init (الإصدار 0.7x) مثبتة مسبقًا في صورة vSRX Virtual Firewall للمساعدة في تبسيط تكوين مثيلات vSRX Virtual Firewall الجديدة التي تعمل في بيئة OpenStack وفقا لبيانات المستخدم المحددة file. يتم تنفيذ Cloud-init أثناء التشغيل لأول مرة لمثيل vSRX Virtual Firewall.
Cloud-init عبارة عن حزمة برامج OpenStack لأتمتة عملية تهيئة مثيل السحابة عند بدء التشغيل. وهو متوفر في Ubuntu ومعظم أنظمة التشغيل Linux وFreeBSD الرئيسية. تم تصميم Cloud-init لدعم العديد من موفري الخدمات السحابية المختلفين بحيث يمكن استخدام نفس صورة الجهاز الظاهري (VM) مباشرة في العديد من برامج Hypervisor والمثيلات السحابية دون أي تعديل. يتم تشغيل دعم Cloud-init في مثيل VM في وقت التمهيد (التمهيد لأول مرة) ويقوم بتهيئة مثيل VM وفقًا لبيانات المستخدم المحددة file.
بيانات المستخدم file هو مفتاح خاص في خدمة بيانات التعريف يحتوي على ملف file التي يمكن للتطبيقات السحابية في مثيل VM الوصول إليها عند التشغيل لأول مرة. في هذه الحالة، هذا هو تكوين Junos OS الذي تم التحقق منه file التي تنوي تحميلها إلى مثيل vSRX Virtual Firewall كتكوين نشط. هذا file يستخدم بناء جملة أمر Junos OS القياسي لتحديد تفاصيل التكوين، مثل كلمة مرور الجذر وعنوان IP للإدارة والبوابة الافتراضية وبيانات التكوين الأخرى.
عندما تقوم بإنشاء مثيل vSRX Virtual Firewall، يمكنك استخدام cloud-init مع تكوين Junos OS الذي تم التحقق منه file (juniper.conf) لأتمتة عملية تهيئة مثيلات vSRX Virtual Firewall الجديدة. بيانات المستخدم file يستخدم بناء جملة Junos OS القياسي لتحديد كافة تفاصيل التكوين لمثيل vSRX Virtual Firewall الخاص بك. يتم استبدال تكوين Junos OS الافتراضي أثناء تشغيل مثيل vSRX Virtual Firewall بتكوين Junos OS الذي تم التحقق منه والذي تقدمه في شكل بيانات مستخدم file.
ملاحظة: إذا كنت تستخدم إصدارًا أقدم من إصدار Junos OS الإصدار 15.1X49-D130 وJunos OS الإصدار 18.4R1، فسيتم تكوين بيانات المستخدم file لا يمكن أن يتجاوز 16 كيلو بايت. إذا كانت بيانات المستخدم الخاصة بك file يتجاوز هذا الحد، يجب عليك ضغط file باستخدام gzip واستخدام المضغوطة file. على سبيل المثالample، يؤدي الأمر gzip junos.conf إلى ظهور ملف junos.conf.gz file. بدءًا من إصدار Junos OS الإصدار 15.1X49-D130 وإصدار Junos OS الإصدار 18.4R1، في حالة استخدام مصدر بيانات محرك التكوين في بيئة OpenStack، سيتم تكوين بيانات المستخدم file يمكن أن يصل الحجم إلى 64 ميجابايت.
يجب التحقق من صحة التكوين ويتضمن تفاصيل واجهة fxp0 وتسجيل الدخول والمصادقة. ويجب أن يكون له أيضًا مسار افتراضي لحركة المرور على fxp0. إذا كانت أي من هذه المعلومات مفقودة أو غير صحيحة، فلن يكون من الممكن الوصول إلى المثيل ويجب عليك تشغيل مثيل جديد.

50
تحذير: تأكد من تكوين بيانات المستخدم file لم يتم تكوينه لإجراء التثبيت التلقائي على الواجهات التي تستخدم بروتوكول التكوين الديناميكي للمضيف (DHCP) لتعيين عنوان IP لجدار الحماية الظاهري vSRX. سيؤدي التثبيت التلقائي باستخدام DHCP إلى "فشل الالتزام" لتكوين بيانات المستخدم file.
بدءًا من إصدار Junos OS الإصدار 15.1X49-D130 وإصدار Junos OS الإصدار 18.4R1، تم توسيع وظيفة cloud-init في vSRX Virtual Firewall لدعم استخدام مصدر بيانات محرك التكوين في بيئة OpenStack. يستخدم محرك التكوين سمة بيانات المستخدم لتمرير تكوين Junos OS الذي تم التحقق منه file إلى مثيل جدار الحماية الظاهري vSRX. يمكن أن تكون بيانات المستخدم نصًا عاديًا أو MIME file اكتب نص/عادي. عادةً ما يتم استخدام محرك التكوين مع خدمة Compute، وهو موجود للمثيل كقسم قرص يسمى config-2. الحد الأقصى لحجم محرك التكوين هو 64 ميجابايت، ويجب تهيئته إما باستخدام vfat أو ISO 9660 fileنظام.
يوفر مصدر بيانات محرك التكوين أيضًا المرونة اللازمة لإضافة أكثر من واحد file التي يمكن استخدامها للتكوين. ستكون حالة الاستخدام النموذجية هي إضافة تكوين Day0 file وترخيص file. في هذه الحالة، هناك طريقتان يمكن استخدامهما لاستخدام مصدر بيانات محرك التكوين مع مثيل vSRX Virtual Firewall:
· بيانات المستخدم (تكوين نظام التشغيل Junos File) وحده - يستخدم هذا الأسلوب سمة بيانات المستخدم لتمرير تكوين نظام التشغيل Junos file لكل مثيل لجدار الحماية الظاهري vSRX. يمكن أن تكون بيانات المستخدم نصًا عاديًا أو MIME file اكتب نص/عادي.
· تكوين نظام التشغيل جونوس file والترخيص file– يستخدم هذا الأسلوب مصدر بيانات محرك التكوين لإرسال تكوين نظام التشغيل Junos وترخيصه file(ق) لكل مثيل vSRX Virtual Firewall.
ملحوظة: إذا كان الترخيص file ليتم تكوينه في vSRX Virtual Firewall، فمن المستحسن استخدامfile الخيار بدلاً من خيار بيانات المستخدم لتوفير المرونة في التهيئة fileأكبر من الحد الأقصى لبيانات المستخدم وهو 16 كيلو بايت.
لاستخدام مصدر بيانات محرك التكوين لإرسال تكوين نظام التشغيل Junos وترخيصه file(ق) إلى مثيل جدار الحماية الظاهري vSRX، fileيجب إرسال s في بنية مجلد محددة. في هذا التطبيق، تكون بنية المجلد لمصدر بيانات محرك التكوين في vSRX Virtual Firewall كما يلي:
– OpenStack – الأحدث – junos-config –configuration.txt – ترخيص junos

51
- رخصة_file_name.lic – الترخيص_file_name.lic
//OpenStack//latest/junos-config/configuration.txt //OpenStack//latest/junos-license/license.lic قبل أن تبدأ: · أنشئ تكوينًا file باستخدام بناء جملة أمر Junos OS وحفظه. التكوين file يستطيع
يكون نصًا عاديًا أو MIME file اكتب نص/عادي. يجب أن تكون السلسلة #junos-config هي السطر الأول من تكوين بيانات المستخدم file قبل تكوين نظام التشغيل Junos.
ملاحظة: سلسلة #junos-config إلزامية في تكوين بيانات المستخدم file; إذا لم يتم تضمينه، فلن يتم تطبيق التكوين على مثيل vSRX Virtual Firewall باعتباره التكوين النشط.
· حدد اسم مثيل vSRX Virtual Firewall الذي تريد تهيئته باستخدام تكوين Junos OS الذي تم التحقق منه file.
· تحديد نكهة مثيل vSRX Virtual Firewall الخاص بك، والذي يحدد الحوسبة والذاكرة وسعة التخزين لمثيل vSRX Virtual Firewall.
· بدءًا من إصدار Junos OS الإصدار 15.1X49-D130 وإصدار Junos OS الإصدار 18.4R1، في حالة استخدام محرك أقراص التكوين، تأكد من استيفاء المعايير التالية لتمكين دعم cloud-init لمحرك أقراص التكوين في OpenStack: · يجب تهيئة محرك أقراص التكوين باستخدام إما vfat أو iso9660 fileنظام.
ملاحظة: التنسيق الافتراضي لمحرك التكوين هو ISO 9660 file نظام. لتحديد تنسيق ISO 9660/vfat بشكل صريح، أضف السطر config_drive_format=iso9660/vfat إلى nova.conf file.
· يجب أن يحتوي محرك التكوين على fileتسمية النظام للتكوين 2. · يجب ألا يزيد حجم المجلد عن 64 ميجابايت.
اعتمادًا على بيئة OpenStack لديك، يمكنك استخدام إما واجهة سطر أوامر OpenStack (مثل nova boot أو إنشاء خادم openstack) أو OpenStack Dashboard ("Horizon") لبدء تشغيل مثيل vSRX Virtual Firewall وتهيئته.

52
إجراء الإعداد التلقائي لمثيل جدار الحماية الظاهري vSRX باستخدام واجهة سطر أوامر OpenStack
يمكنك تشغيل مثيل vSRX Virtual Firewall وإدارته باستخدام أوامر إنشاء خادم nova boot أو openstack، والتي تتضمن استخدام بيانات مستخدم تكوين Junos OS التي تم التحقق منها file من الدليل المحلي الخاص بك لتهيئة التكوين النشط لمثيل vSRX Virtual Firewall المستهدف.
لبدء الإعداد التلقائي لمثيل vSRX Virtual Firewall من عميل سطر أوامر OpenStack:
1. إذا لم تكن قد قمت بذلك بالفعل، فقم بإنشاء تكوين file باستخدام صيغة أمر Junos OS واحفظ ملف file. التكوين file يمكن أن يكون نصًا عاديًا أو MIME file اكتب نص/عادي. تكوين بيانات المستخدم file يجب أن يحتوي على تكوين vSRX Virtual Firewall الكامل الذي سيتم استخدامه كتكوين نشط على كل مثيل vSRX Virtual Firewall، ويجب أن تكون السلسلة #junos-config السطر الأول من تكوين بيانات المستخدم file قبل تكوين نظام التشغيل Junos.
ملاحظة: سلسلة #junos-config إلزامية في تكوين بيانات المستخدم file; إذا لم يتم تضمينه، فلن يتم تطبيق التكوين على مثيل vSRX Virtual Firewall باعتباره التكوين النشط.
2. انسخ تكوين نظام التشغيل Junos file إلى موقع يمكن الوصول إليه حيث يمكن استرجاعه لتشغيل مثيل vSRX Virtual Firewall.
3. اعتمادًا على بيئة OpenStack لديك، استخدم أمر إنشاء خادم nova boot أو openstack لتشغيل مثيل vSRX Virtual Firewall مع تكوين Junos OS المعتمد file كبيانات المستخدم المحددة.
ملاحظة: يمكنك أيضًا استخدام ما يعادل تمهيد nova في خدمة Orchestration مثل HEAT.
على سبيل المثالampلو: · نوفا التمهيد - بيانات المستخدم -صورة vSRX_image -flavor vSRX_flavor_instance · إنشاء خادم openstack -بيانات المستخدم -صورة vSRX_image -نكهة
vSRX_flavor_instance حيث: -بيانات المستخدم يحدد موقع تكوين Junos OS file. تكوين بيانات المستخدم file يقتصر الحجم على 16,384 بايت تقريبًا. -image vSRX_image يحدد اسم صورة vSRX Virtual Firewall الفريدة. –flavor vSRX_flavor_instance يحدد نكهة جدار الحماية الافتراضي vSRX (المعرف أو الاسم).

53
بدءًا من إصدار Junos OS الإصدار 15.1X49-D130 وإصدار Junos OS الإصدار 18.4R1، لتمكين استخدام محرك تكوين لطلب محدد في بيئة حوسبة OpenStack، قم بتضمين المعلمة -configdrive true في أمر إنشاء خادم nova boot أو openstack.
ملاحظة: من الممكن تمكين محرك التكوين تلقائيًا في جميع المثيلات عن طريق تكوين خدمة OpenStack Compute لإنشاء محرك تكوين دائمًا. للقيام بذلك، حدد الخيار force_config_drive=True في ملف nova.conf file.
على سبيل المثالample، لاستخدام سمة بيانات المستخدم لتمرير تكوين نظام التشغيل Junos إلى كل مثيل لجدار الحماية الظاهري vSRX: nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image -user-data حيث: -بيانات المستخدم يحدد موقع تكوين Junos OS file. تكوين بيانات المستخدم file يقتصر الحجم على حوالي 64 ميغابايت. -image vSRX_image يحدد اسم صورة vSRX Virtual Firewall الفريدة. -flavor vSRX_flavor_instance يحدد نكهة جدار الحماية الظاهري vSRX (المعرف أو الاسم).
على سبيل المثالample، لتحديد محرك التكوين مع عدة files (تكوين نظام التشغيل Junos file والترخيص file): nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image [-file /config/junos-config/config.txt=/path/to/file] [-file /junos-license/license.lic=path/to/license] حيث: [-file /config/junos-config/configuration.txt=/path/to/file] يحدد موقع تكوين نظام التشغيل Junos file. [-file /config/junos-license/license.lic=path/to/license] يحدد موقع تكوين Junos OS file. -image vSRX_image يحدد اسم صورة vSRX Virtual Firewall الفريدة. -flavor vSRX_flavor_instance يحدد نكهة جدار الحماية الظاهري vSRX (المعرف أو الاسم). 4. قم بتشغيل أو إعادة تشغيل مثيل جدار الحماية الظاهري vSRX. أثناء تسلسل التمهيد الأولي، يقوم مثيل vSRX Virtual Firewall بمعالجة طلب cloud-init.

54
ملاحظة: قد يزيد وقت التمهيد لمثيل vSRX Virtual Firewall مع استخدام حزمة cloud-init. يرجع هذا الوقت الإضافي في تسلسل التمهيد الأولي إلى العمليات التي تقوم بها حزمة cloud-init. أثناء هذه العملية، تقوم حزمة cloud-init بإيقاف تسلسل التمهيد وإجراء بحث عن بيانات التكوين في كل مصدر بيانات محدد في cloud.cfg. يتناسب الوقت المطلوب للبحث عن البيانات السحابية وتعبئتها بشكل مباشر مع عدد مصادر البيانات المحددة. في حالة عدم وجود مصدر بيانات، تستمر عملية البحث حتى تصل إلى مهلة محددة مسبقًا تبلغ 30 ثانية لكل مصدر بيانات.
5. عند استئناف تسلسل التمهيد الأولي، تظهر بيانات المستخدم file يستبدل تكوين Junos OS الأصلي الافتراضي في المصنع والذي تم تحميله على مثيل vSRX Virtual Firewall. إذا نجح الالتزام، فسيتم استبدال التكوين الافتراضي للمصنع بشكل دائم. إذا كان التكوين غير مدعوم أو لا يمكن تطبيقه على مثيل vSRX Virtual Firewall، فسيتم تشغيل vSRX Virtual Firewall باستخدام تكوين Junos OS الافتراضي.
انظر أيضا
وثائق Cloud-Init عملاء سطر أوامر OpenStack عميل سطر أوامر خدمة الحوسبة (nova) إنشاء Openstack Server تمكين مثيلات محرك التكوين (configdrive)
إجراء الإعداد التلقائي لمثيل جدار الحماية الظاهري vSRX من لوحة معلومات OpenStack (Horizon)
Horizon هو التطبيق الأساسي للوحة معلومات OpenStack. يوفر أ Webواجهة المستخدم المستندة إلى خدمات OpenStack بما في ذلك Nova وSwift وKeystone وما إلى ذلك. يمكنك تشغيل وإدارة مثيل vSRX Virtual Firewall من لوحة معلومات OpenStack، والتي تتضمن استخدام بيانات مستخدم تكوين Junos OS التي تم التحقق منها file من الدليل المحلي الخاص بك لتهيئة التكوين النشط لمثيل vSRX Virtual Firewall المستهدف.
لبدء الإعداد التلقائي لمثيل vSRX Virtual Firewall من لوحة معلومات OpenStack:
1. إذا لم تكن قد قمت بذلك بالفعل، فقم بإنشاء تكوين file باستخدام صيغة أمر Junos OS واحفظ ملف file. التكوين file يمكن أن يكون نصًا عاديًا أو MIME file اكتب نص/عادي. تكوين بيانات المستخدم file يجب أن يحتوي على التكوين الكامل لجدار الحماية الظاهري vSRX الذي سيتم استخدامه كتكوين نشط على كل مثيل لجدار الحماية الظاهري vSRX، ويجب أن تكون السلسلة #junosconfig السطر الأول من تكوين بيانات المستخدم file قبل تكوين نظام التشغيل Junos.

55
ملاحظة: سلسلة #junos-config إلزامية في تكوين بيانات المستخدم file; إذا لم يتم تضمينه، فلن يتم تطبيق التكوين على مثيل vSRX Virtual Firewall باعتباره التكوين النشط.
2. انسخ تكوين نظام التشغيل Junos file إلى موقع يمكن الوصول إليه حيث يمكن استرجاعه لتشغيل مثيل vSRX Virtual Firewall.
3. قم بتسجيل الدخول إلى OpenStack Dashboard باستخدام بيانات اعتماد تسجيل الدخول الخاصة بك ثم حدد المشروع المناسب من القائمة المنسدلة في الجزء العلوي الأيسر.
4. في علامة التبويب المشروع، انقر فوق علامة التبويب حساب وحدد المثيلات. تعرض لوحة المعلومات المثيلات المختلفة مع اسم الصورة الخاص بها وعناوين IP الخاصة والعائمة وحجمها وحالتها ومنطقة التوفر والمهمة وحالة الطاقة وما إلى ذلك.
5. انقر فوق إطلاق المثيل. يظهر مربع الحوار تشغيل المثيل. 6. من علامة التبويب "التفاصيل" (انظر الشكل 5 في الصفحة 55)، أدخل اسم مثيل لـ vSRX Virtual
جدار الحماية الظاهري مع منطقة التوفر المرتبطة (على سبيل المثالample، Nova) ثم انقر فوق التالي. نوصي بالاحتفاظ بهذا الاسم بنفس اسم المضيف الذي تم تعيينه لجهاز vSRX Virtual Firewall VM.
الشكل 5: إطلاق علامة تبويب تفاصيل المثيل

56 7. من علامة التبويب المصدر (انظر الشكل 6 في الصفحة 56)، حدد مصدر صورة vSRX Virtual Firewall VM file
من القائمة المتوفرة، ثم انقر فوق +(زائد). تظهر صورة vSRX Virtual Firewall المحددة ضمن "مخصص". انقر فوق {التالي. الشكل 6: إطلاق علامة تبويب مصدر المثيل
8. من علامة التبويب Flavor (انظر الشكل 7 في الصفحة 57)، حدد مثيل vSRX Virtual Firewall بحساب وذاكرة وسعة تخزين محددة من القائمة المتوفرة ثم انقر فوق + (علامة الزائد). تظهر نكهة vSRX Virtual Firewall المحددة ضمن "مخصص". انقر فوق {التالي.

57 الشكل 7: إطلاق علامة تبويب نكهة المثيل
9. من علامة التبويب "الشبكات" (انظر الشكل 8 في الصفحة 58)، حدد الشبكة المحددة لمثيل vSRX Virtual Firewall من القائمة المتاحة ثم انقر فوق + (علامة الزائد). تظهر الشبكة المحددة ضمن "مخصص". انقر فوق {التالي. ملاحظة: لا تقم بتحديث أية معلمات في علامات التبويب "منافذ الشبكة" أو "مجموعات الأمان" أو "زوج المفاتيح" في مربع الحوار "مثيل التشغيل".

58 الشكل 8: إطلاق علامة تبويب شبكات المثيلات
10. من علامة التبويب التكوين (انظر الشكل 9 في الصفحة 59)، انقر فوق استعراض وانتقل إلى موقع تكوين Junos OS الذي تم التحقق منه file من الدليل المحلي الذي تريد استخدامه كبيانات المستخدم file. انقر فوق التالي.

59 الشكل 9: إطلاق علامة تبويب تكوين المثيل
11. تأكد من أن تكوين Junos OS الذي تم تحميله يحتوي على سلسلة #junos-config في السطر الأول من تكوين بيانات المستخدم file (انظر الشكل 10 في الصفحة 60) ثم انقر فوق التالي. ملاحظة: لا تقم بتحديث أية معلمات في علامة التبويب بيانات التعريف في مربع الحوار Launch Instance.

60 الشكل 10: إطلاق علامة تبويب تكوين المثيل مع تكوين نظام التشغيل Junos المحمل
12. انقر فوق إطلاق المثيل. أثناء تسلسل التمهيد الأولي، يقوم مثيل vSRX Virtual Firewall بمعالجة طلب cloud-init. ملاحظة: قد يزيد وقت التمهيد لمثيل vSRX Virtual Firewall مع استخدام حزمة cloud-init. يرجع هذا الوقت الإضافي في تسلسل التمهيد الأولي إلى العمليات التي تقوم بها حزمة cloud-init. أثناء هذه العملية، تقوم حزمة cloud-init بإيقاف تسلسل التمهيد وإجراء بحث عن بيانات التكوين في كل مصدر بيانات محدد في cloud.cfg. يتناسب الوقت المطلوب للبحث عن البيانات السحابية وتعبئتها بشكل مباشر مع عدد مصادر البيانات المحددة. في حالة عدم وجود مصدر بيانات، تستمر عملية البحث حتى تصل إلى مهلة محددة مسبقًا تبلغ 30 ثانية لكل مصدر بيانات.
13. عند استئناف تسلسل التمهيد الأولي، تظهر بيانات المستخدم file يستبدل تكوين Junos OS الأصلي الافتراضي في المصنع والذي تم تحميله على مثيل vSRX Virtual Firewall. إذا نجح الالتزام، فسيتم استبدال التكوين الافتراضي للمصنع بشكل دائم. إذا كان التكوين غير مدعوم أو لا يمكن تطبيقه على مثيل vSRX Virtual Firewall، فسيتم تشغيل vSRX Virtual Firewall باستخدام تكوين Junos OS الافتراضي.

61

انظر أيضا

وثائق Cloud-Init إطلاق لوحة معلومات OpenStack وإدارة المثيلات Horizon: مشروع لوحة معلومات OpenStack

جدول تاريخ الإصدار

يطلق

وصف

15.1 × 49 د 130

بدءًا من إصدار Junos OS الإصدار 15.1X49-D130 وإصدار Junos OS الإصدار 18.4R1، تم توسيع وظيفة cloud-init في vSRX Virtual Firewall لدعم استخدام مصدر بيانات محرك التكوين في بيئة OpenStack. يستخدم محرك التكوين سمة بيانات المستخدم لتمرير تكوين Junos OS الذي تم التحقق منه file إلى مثيل جدار الحماية الظاهري vSRX.

15.1 × 49 د 100

بدءًا من إصدار Junos OS الإصدار 15.1X49-D100 وإصدار Junos OS الإصدار 17.4R1، تأتي حزمة cloud-init (الإصدار 0.7x) مثبتة مسبقًا في صورة vSRX Virtual Firewall للمساعدة في تبسيط تكوين مثيلات vSRX Virtual Firewall الجديدة التي تعمل في بيئة OpenStack وفقا لبيانات المستخدم المحددة file. يتم تنفيذ Cloud-init أثناء التشغيل لأول مرة لمثيل vSRX Virtual Firewall.

62
الفصل الثاني
vSRX إدارة جدار الحماية الظاهري VM مع KVM
في هذا الفصل قم بتكوين جدار الحماية الظاهري vSRX باستخدام CLI | 62 اتصل بوحدة تحكم إدارة جدار الحماية الظاهري vSRX على KVM | 64 أضف شبكة افتراضية إلى جهاز VM لجدار الحماية الظاهري vSRX باستخدام KVM | 65 أضف واجهة Virtio الافتراضية إلى جهاز افتراضي لجدار الحماية الظاهري vSRX مع KVM | 67 SR-IOV وPCI | 69 ترقية جدار الحماية الظاهري vSRX متعدد النواة | 78 مراقبة VSRX Virtual Firewall VM في KVM | 81 إدارة مثيل جدار الحماية الظاهري vSRX على KVM | 82 استرداد كلمة مرور الجذر لجدار الحماية الظاهري vSRX في بيئة KVM | 87
قم بتكوين جدار الحماية الظاهري vSRX باستخدام واجهة سطر الأوامر (CLI).
لتكوين مثيل vSRX Virtual Firewall باستخدام واجهة سطر الأوامر: 1. تأكد من تشغيل vSRX Virtual Firewall. 2. قم بتسجيل الدخول كمستخدم جذري. لا توجد كلمة مرور. 3. ابدأ سطر الأوامر.
root#cli root@> 4. أدخل وضع التكوين.
تكوين [تحرير] الجذر @ #

63
5. قم بتعيين كلمة مرور مصادقة الجذر عن طريق إدخال كلمة مرور النص الواضح أو كلمة المرور المشفرة أو سلسلة مفاتيح SSH العامة (DSA أو RSA).
[تحرير] root@# قم بتعيين مصادقة جذر النظام وكلمة المرور والنص العادي كلمة المرور الجديدة: كلمة المرور أعد كتابة كلمة المرور الجديدة: كلمة المرور 6. قم بتكوين اسم المضيف.
[تحرير] root@# قم بتعيين اسم مضيف النظام اسم المضيف 7. قم بتكوين واجهة الإدارة.
[تحرير] root@# تعيين واجهات fxp0 وحدة 0 عائلة inet dhcp-client 8. تكوين واجهات حركة المرور.
[تحرير] root@# تعيين واجهات ge-0/0/0 وحدة 0 عائلة inet dhcp-client 9. تكوين مناطق الأمان الأساسية وربطها بواجهات حركة المرور.
[عدل] root@# قم بتعيين واجهات ثقة منطقة الأمان لمناطق الأمان ge-0/0/0.0 10. تحقق من التكوين.
[تحرير] نجاح التحقق من تكوين التحقق من الالتزام root@#

64
11. قم بإجراء التكوين لتنشيطه على مثيل vSRX Virtual Firewall.
[عدل] root@# الالتزام التزام كامل 12. اختياريًا، استخدم الأمر show لعرض التكوين للتحقق من صحته.
ملاحظة: تتطلب بعض ميزات برنامج Junos OS ترخيصًا لتنشيط الميزة. لتمكين ميزة مرخصة، يتعين عليك شراء مفتاح ترخيص يتوافق مع كل ميزة مرخصة وتثبيته وإدارته والتحقق منه. للتوافق مع متطلبات ترخيص ميزات البرنامج، يجب عليك شراء ترخيص واحد لكل ميزة في كل مثيل. يتيح لك وجود مفتاح إلغاء قفل البرنامج المناسب على المثيل الظاهري الخاص بك تكوين الميزة المرخصة واستخدامها. راجع إدارة تراخيص vSRX للحصول على التفاصيل.
الوثائق ذات الصلة دليل مستخدم CLI
اتصل بوحدة تحكم إدارة جدار الحماية الظاهري vSRX على KVM
تأكد من تثبيت حزمة Virt-manager أو virsh على نظام التشغيل المضيف لديك. للاتصال بوحدة تحكم إدارة جدار الحماية الظاهري vSRX باستخدام virt-manager: 1. قم بتشغيل virt-manager. 2. قم بتمييز جهاز vSRX Virtual Firewall VM الذي تريد الاتصال به من قائمة الأجهزة الافتراضية المعروضة. 3. انقر فوق فتح. 4. اختر View> وحدات التحكم النصية > المسلسل 1. تظهر وحدة تحكم جدار الحماية الظاهري vSRX. للاتصال بـ vSRX Virtual Firewall VM باستخدام virsh:

65
1. استخدم أمر virsh console على نظام التشغيل Linux المضيف.
user@host# virsh console vSRX-kvm-2
متصل بالمجال vSRX-kvm-2
2. تظهر وحدة تحكم جدار الحماية الظاهري vSRX.
أضف شبكة افتراضية إلى جهاز افتراضي لجدار الحماية الظاهري vSRX مع KVM
يمكنك توسيع جهاز vSRX Virtual Firewall VM الحالي لاستخدام شبكات افتراضية إضافية. لإنشاء شبكة افتراضية باستخدام virt-manager: 1. قم بتشغيل virt-manager وحدد تحرير>تفاصيل الاتصال. يظهر مربع الحوار تفاصيل الاتصال. 2. حدد الشبكات الافتراضية. تظهر قائمة الشبكات الافتراضية الموجودة. 3. انقر فوق + لإنشاء شبكة افتراضية جديدة لرابط التحكم. معالج إنشاء شبكة افتراضية جديدة
يبدو. 4. قم بتعيين الشبكة الفرعية لهذه الشبكة الافتراضية وانقر فوق "إعادة توجيه". 5. اختياريًا، حدد Enable DHCP وانقر فوق Forward. 6. حدد نوع الشبكة من القائمة وانقر فوق "إعادة توجيه". 7. تحقق من الإعدادات وانقر فوق "إنهاء" لإنشاء الشبكة الافتراضية. لإنشاء شبكة افتراضية باستخدام virsh: 1. استخدم الأمر virsh net-define على نظام التشغيل المضيف لإنشاء ملف XML file الذي يحدد الظاهري الجديد
شبكة. قم بتضمين حقول XML الموضحة في الجدول 12 في الصفحة 66 لتعريف هذه الشبكة.
ملاحظة: راجع وثائق virsh الرسمية للحصول على وصف كامل للخيارات المتاحة، بما في ذلك كيفية تكوين شبكات IPv6.

66

الجدول 12: حقول XML virsh net-define

مجال

وصف

…

استخدم عنصر غلاف XML هذا لتعريف شبكة افتراضية.

اسم الشبكة

حدد اسم الشبكة الافتراضية.

حدد اسم الجسر المضيف المستخدم لهذه الشبكة الافتراضية.

تحديد توجيه أو نات. لا تستخدم عنصر للوضع المعزول.

<ip address=”ip-address” netmask=”netmask”

حدد عنوان IP وقناع الشبكة الفرعية الذي تستخدمه هذه الشبكة الافتراضية، بالإضافة إلى نطاق عناوين DHCP.

المثال التاليampيظهر لو كماampلو XML file الذي يحدد شبكة افتراضية جديدة.
mgmt
2. استخدم الأمر virsh net-start في نظام التشغيل المضيف لبدء الشبكة الافتراضية الجديدة.
hostOS# virsh net-start mgmt
3. استخدم الأمر virsh net-autostart في نظام التشغيل المضيف لبدء تشغيل الشبكة الافتراضية الجديدة تلقائيًا عند تشغيل نظام التشغيل المضيف.
hostOS# virsh net-autostart mgmt

67

4. اختياريًا، استخدم الأمر virsh net-list all في نظام التشغيل المضيف للتحقق من الشبكة الافتراضية الجديدة.

HostOS# # virsh net-list –all

اسم

ولاية

التشغيل التلقائي المستمر

———————————————————-

إدارة

نشط نعم

نعم

تقصير

نشط نعم

نعم

الوثائق ذات الصلة أدوات الفضيلة
قم بإضافة واجهة Virtio الافتراضية إلى جهاز افتراضي لجدار الحماية الافتراضي vSRX مع KVM
يمكنك إضافة واجهات افتراضية إضافية إلى جهاز vSRX Virtual Firewall VM الموجود مع KVM. لإضافة واجهات افتراضية إضافية لـ vSRX Virtual Firewall VM باستخدام virt-manager: 1. في virt-manager، انقر نقرًا مزدوجًا فوق vSRX Virtual Firewall VM وحدد View> التفاصيل. vSRX الظاهري
يظهر مربع حوار تفاصيل الجهاز الظاهري لجدار الحماية. 2. انقر فوق إضافة أجهزة. يظهر مربع الحوار إضافة أجهزة. 3. حدد الشبكة من لوحة التنقل اليمنى. 4. حدد الجهاز المضيف أو الشبكة الافتراضية التي تريد هذه الواجهة الافتراضية الجديدة عليها
قائمة مصادر الشبكة 5. حدد virtio من قائمة طراز الجهاز وانقر فوق "إنهاء". 6. من وحدة تحكم vSRX Virtual Firewall، أعد تشغيل مثيل vSRX Virtual Firewall.
vsrx# طلب إعادة تشغيل النظام. يقوم vSRX Virtual Firewall بإعادة تشغيل كل من نظام التشغيل Junos وvSRX Virtual Firewall الضيف VM.
ملاحظة: يضع DPDK حدًا يبلغ 64 عنوان MAC على نوع Virtio NIC. عند نشر بروتوكول يقوم بإنشاء عنوان MAC إضافي، على سبيل المثالampإذا VRRP، يجب عليك التأكد من عدم تكوين أكثر من 64 واجهة فرعية لكل Virtio NIC لتجنب فقدان حركة المرور.
لإضافة واجهات افتراضية إضافية لـ vSRX Virtual Firewall VM باستخدام virsh:

68

1. استخدم الأمر virsh Attach-interface على نظام التشغيل المضيف مع الخيارات الإلزامية المدرجة في الجدول 13 في الصفحة 68.
ملاحظة: راجع وثائق virsh الرسمية للحصول على وصف كامل للخيارات المتاحة.

الجدول 13: virsh Attach-interface خيارات الأمر الخيار الوصف

-اسم النطاق

حدد اسم الضيف VM.

-يكتب

حدد نوع اتصال نظام التشغيل المضيف كجسر أو شبكة.

-الواجهة المصدر حدد الواجهة المادية أو المنطقية على نظام التشغيل المضيف لربطها بـ vNIC هذا.

– الهدف فنك

حدد اسم vNIC الجديد.

-نموذج

حدد نموذج vNIC.

المثال التاليampيقوم le بإنشاء virtio vNIC جديد من جسر OS virbr0 المضيف.
واجهة المستخدم@المضيف# virsh Attach-interface –domain vsrxVM –type Bridge –source virbr0 –target vsrxmgmt –model virtio

تم إرفاق الواجهة بنجاح

user@host# virsh dumpxml vsrxVM

69

2. من وحدة تحكم vSRX Virtual Firewall، أعد تشغيل مثيل vSRX Virtual Firewall. vsrx# طلب إعادة تشغيل النظام. يقوم vSRX Virtual Firewall بإعادة تشغيل كل من نظام التشغيل Junos وvSRX Virtual Firewall الضيف VM.
الوثائق ذات الصلة أدوات الفضيلة
SR-IOV وPCI
في هذا القسم SR-IOV انتهىview | 69 دعم SR-IOV HA مع تعطيل وضع الثقة (KVM فقط) | 70 قم بتكوين واجهة SR-IOV على KVM | 74
يتضمن هذا القسم المواضيع التالية حول SR-IOV لمثيل vSRX Virtual Firewall الذي تم نشره على KVM:
SR-IOV انتهىview
يدعم جدار الحماية الظاهري vSRX الموجود على KVM أنواع واجهات الإدخال/الإخراج الافتراضية (SR-IOV) ذات الجذر الواحد. SR-IOV هو معيار يسمح لبطاقة NIC فعلية واحدة بتقديم نفسها على هيئة vNICs متعددة، أو وظائف افتراضية (VFs)، يمكن أن يتصل بها جهاز ظاهري (VM). يتم دمج SR-IOV مع تقنيات المحاكاة الافتراضية الأخرى، مثل Intel VT-d، لتحسين أداء الإدخال/الإخراج للجهاز الظاهري. يسمح SR-IOV لكل جهاز افتراضي بالوصول المباشر إلى الحزم الموضوعة في قائمة الانتظار لـ VFs المرفقة بالجهاز الظاهري. يمكنك استخدام SR-IOV عندما تحتاج إلى أداء إدخال/إخراج يقترب من أداء الواجهات المعدنية المادية.

70
في عمليات النشر التي تستخدم واجهات SR-IOV، يتم إسقاط الحزم عند تعيين عنوان MAC لواجهة vSRX Virtual Firewall Junos OS. تحدث هذه المشكلة لأن SR-IOV لا يسمح بتغيير عنوان MAC في PF أو VF.
ملاحظة: لا يقوم SR-IOV في KVM بإعادة تعيين أرقام الواجهة. تسلسل الواجهة في vSRX Virtual Firewall VM XML file يتطابق مع تسلسل الواجهة الموضح في Junos OS CLI على مثيل vSRX Virtual Firewall.
يستخدم SR-IOV وظيفتين PCI: · الوظائف الفيزيائية (PFs) – أجهزة PCIe كاملة تتضمن قدرات SR-IOV. الوظائف الجسدية هي
تم اكتشافها وإدارتها وتكوينها كأجهزة PCI عادية. تقوم الوظائف المادية بتكوين وظيفة SR-IOV وإدارتها من خلال تعيين الوظائف الافتراضية. عند تعطيل SR-IOV، يقوم المضيف بإنشاء PF واحد على بطاقة NIC فعلية واحدة. · الوظائف الافتراضية (VFs) – وظائف PCIe البسيطة التي تقوم بمعالجة الإدخال/الإخراج فقط. كل وظيفة افتراضية مشتقة من وظيفة مادية. عدد الوظائف الافتراضية التي قد يمتلكها الجهاز محدود بمكونات الجهاز. يمكن لمنفذ Ethernet واحد، وهو الجهاز الفعلي، تعيين العديد من الوظائف الافتراضية التي يمكن مشاركتها مع الضيوف. عند تمكين SR-IOV، يقوم المضيف بإنشاء PF واحد وVFs متعددة على بطاقة واجهة شبكة (NIC) فعلية واحدة. يعتمد عدد VFs على التكوين ودعم برنامج التشغيل.
دعم SR-IOV HA مع تعطيل وضع الثقة (KVM فقط)
في هذا القسم فهم دعم SR-IOV HA مع تعطيل وضع الثقة (KVM فقط) | 70 قم بتكوين دعم SR-IOV مع تعطيل وضع الثقة (KVM فقط) | 72 القيود | 73
فهم دعم SR-IOV HA مع تعطيل وضع الثقة (KVM فقط)
واجهة Ethernet المتكررة (RETH) هي واجهة افتراضية تتكون من عدد متساوٍ من واجهات الأعضاء من كل عقدة مشاركة في مجموعة SRX. ترتبط جميع التكوينات المنطقية مثل عنوان IP وجودة الخدمة والمناطق وشبكات VPN بهذه الواجهة. يتم تطبيق الخصائص الفيزيائية على واجهات العضو أو الطفل. تحتوي واجهة RETH على عنوان MAC افتراضي يتم حسابه باستخدام معرف المجموعة. تم تنفيذ RETH كواجهة مجمعة/LAG في نظام التشغيل Junos. بالنسبة إلى LAG، يتم نسخ عنوان IFDs MAC الأصلي (المنطقي) إلى كل واجهة من الواجهات الفرعية. عندما تقوم بتكوين الواجهة الفرعية ضمن واجهة RETH، تتم الكتابة فوق عنوان MAC الظاهري لواجهة RETH في حقل عنوان MAC الحالي الخاص

71
الواجهة المادية للطفل ويتطلب هذا أيضًا برمجة عنوان MAC الظاهري على بطاقة NIC المقابلة.
يعمل Junos OS كجهاز افتراضي على vSRX Virtual Firewall. لا يتمتع نظام Junos OS بوصول مباشر إلى بطاقة NIC ولديه فقط وصول افتراضي لبطاقة NIC يوفره برنامج Hypervisor والذي يمكن مشاركته مع أجهزة افتراضية أخرى تعمل على نفس الجهاز المضيف. يأتي هذا الوصول الظاهري مع بعض القيود مثل وضع خاص يسمى وضع الثقة، وهو مطلوب لبرمجة عنوان MAC افتراضي على بطاقة واجهة الشبكة (NIC). أثناء عمليات النشر، قد لا يكون توفير الوصول إلى وضع الثقة ممكنًا بسبب مشكلات أمنية محتملة. لتمكين نموذج RETH من العمل في مثل هذه البيئات، تم تعديل سلوك إعادة كتابة MAC. بدلاً من نسخ عنوان MAC الظاهري الأصلي إلى الأطفال، نحتفظ بعنوان MAC الفعلي للأطفال كما هو وننسخ عنوان MAC الفعلي للطفل الذي ينتمي إلى العقدة النشطة للمجموعة إلى MAC الحالي لواجهة reth. بهذه الطريقة، لا يلزم الوصول إلى إعادة كتابة MAC عند تعطيل وضع الثقة.
في حالة vSRX Virtual Firewall، يقرأ DPDK عنوان MAC الفعلي الذي يوفره برنامج Hypervisor ويشاركه مع مستوى التحكم Junos OS. في الوضع المستقل، تتم برمجة عنوان MAC الفعلي هذا على IFDs الفعلية. لكن الدعم لنفسه غير متوفر في وضع المجموعة، ولهذا السبب يتم أخذ عنوان MAC الخاص بالواجهة الفعلية من تجمع MAC المحجوز لشركة Juniper. في بيئة لا يكون فيها وضع الثقة ممكنًا، يتعذر على برنامج Hypervisor توفير عنوان MAC الفعلي.
للتغلب على هذه المشكلة، أضفنا دعمًا لاستخدام عنوان MAC الفعلي الذي يوفره برنامج Hypervisor بدلاً من تخصيصه من تجمع MAC المحجوز. راجع "تكوين دعم SR-IOV مع تعطيل وضع الثقة (KVM فقط)" في الصفحة 72.

72 تكوين دعم SR-IOV مع تعطيل وضع الثقة (KVM فقط) الشكل 11: نسخ عنوان MAC من واجهة الطفل النشطة إلى RETH الأصل
بدءًا من إصدار Junos OS الإصدار 19.4R1، يتم دعم SR-IOV HA مع تعطيل وضع الثقة. يمكنك تمكين هذا الوضع عن طريق تكوين بيانات التكوين use-active-child-mac-on-reth وuse-actual-mac-on-physical-interfaces على مستوى التسلسل الهرمي [تحرير مجموعة الهيكل]. إذا قمت بتكوين الأوامر في مجموعة، فسيقوم برنامج Hypervisor بتعيين عنوان MAC الخاص بالواجهة الفعلية التابعة ويتم استبدال عنوان MAC الخاص بواجهة RETH الأصلية بواسطة عنوان MAC الخاص بالواجهة الفعلية التابعة النشطة
ملاحظة: يمكنك تكوين SR-IOV مع تعطيل وضع الثقة، فقط إذا كانت واجهات الإيرادات هي SRIOV. لا يمكن للواجهات أو الروابط النسيجية استخدام SR-IOV مع تعطيل وضع الثقة عند تكوين واجهات MAC الفعلية. يتم دعم استخدام SRIOV مع تعطيل وضع الثقة إذا كانت واجهات الإيرادات هي SR-IOV فقط. تحتاج إلى إعادة تشغيل مثيل vSRX Virtual Firewall لتمكين هذا الوضع. يجب إعادة تشغيل كلا العقدتين الموجودتين في المجموعة حتى تدخل الأوامر حيز التنفيذ. تحتاج إلى تكوين الأمرين use-active-child-mac-on-reth وuse-actual-mac-on-physical-interfaces معًا لتمكين هذه الميزة.

73
راجع أيضًا استخدام واجهات الاستخدام النشط للطفل Mac-on-reth الفعلية-mac-on-physical
القيود
دعم SR-IOV HA مع تعطيل وضع الثقة على KVM له القيود التالية:
· يتم دعم دعم SR-IOV HA مع تعطيل وضع الثقة فقط على الأنظمة المعتمدة على KVM.
· يمكن أن تحتوي واجهة reth على منفذ واحد كحد أقصى كعضو في كل عقدة عنقودية لجدار الحماية الظاهري vSRX.
· لا يمكنك استخدام ميزة nat proxy-arp الأمنية لتجمعات NAT لأنه لا يتم إرسال G-ARP عند تجاوز الفشل لعناوين IP في تجمعات NAT. بدلاً من ذلك، يمكن للمرء تعيين المسارات إلى نطاق تجمع NAT في جهاز التوجيه الرئيسي للإشارة إلى عنوان IP الخاص بواجهة vSRX Virtual Firewall باعتباره الخطوة التالية. أو، إذا كان المضيفون المتصلون مباشرة بحاجة إلى الوصول إلى عناوين تجمع NAT، فيمكن تكوين عناوين تجمع NAT هذه للوكيل ARP ضمن واجهة reth.
· إذا تم تكوين واجهة reth مع العديد من شبكات VLAN، فقد يستغرق الأمر بعض الوقت لإرسال جميع G-ARPs عند تجاوز الفشل. وقد يؤدي ذلك إلى انقطاع ملحوظ في حركة المرور.
· سيؤدي تجاوز فشل طائرة البيانات إلى تغيير عنوان MAC الخاص بواجهة الاتصال. ولذلك فإن تجاوز الفشل لا يكون شفافًا بالنسبة لأجهزة الطبقة الثالثة المجاورة المتصلة مباشرة (أجهزة التوجيه أو الخوادم). يجب تعيين عنوان IP لجدار الحماية الظاهري vSRX إلى عنوان MAC جديد في جدول ARP على الأجهزة المجاورة. سوف يقوم vSRX Virtual Firewall بإرسال G-ARP الذي سيساعد هذه الأجهزة. في حالة عدم عمل هذه الأجهزة المجاورة على G-ARP المستلم من جدار الحماية الظاهري vSRX أو إظهار استجابة بطيئة، فقد تتم مقاطعة حركة المرور حتى يقوم هذا الجهاز بتحديث جدول ARP الخاص به بشكل صحيح.
· ميزات vSRX Virtual Firewall التالية غير مدعومة في عمليات النشر التي تستخدم واجهات SR-IOV:
تنطبق هذه القيود في عمليات النشر حيث لا يمكن تحديث برامج تشغيل PF أو التحكم فيها. لا تنطبق القيود عند نشر vSRX Virtual Firewall على أجهزة Juniper Networks المدعومة.
· التوفر العالي (HA)
· واجهات IRB
· معالجة IPv6
· إطارات جامبو
· دعم الطبقة الثانية

74
· البث المتعدد مع ميزات أخرى مثل OSPF وIPv6
· وضع الحزمة
قم بتكوين واجهة SR-IOV على KVM
إذا كان لديك بطاقة NIC فعلية تدعم SR-IOV، فيمكنك إرفاق vNICs التي تدعم SR-IOV أو الوظائف الافتراضية (VFs) بمثيل vSRX Virtual Firewall لتحسين الأداء. نوصي أنه إذا كنت تستخدم SR-IOV، فسيتم تكوين جميع منافذ الإيرادات على أنها SR-IOV.
لاحظ ما يلي حول دعم SR-IOV لجدار الحماية الظاهري vSRX على KVM:
· بدءًا من الإصدار 15.1X49-D90 من نظام التشغيل Junos والإصدار 17.3R1 من نظام التشغيل Junos، يدعم مثيل جدار الحماية الافتراضي vSRX المنتشر على KVM SR-IOV على Intel X710/XL710 NIC بالإضافة إلى Intel 82599 أو X520/540.
· بدءًا من إصدار Junos OS الإصدار 18.1R1، يدعم مثيل vSRX Virtual Firewall الذي تم نشره على KVM SR-IOV على محولات عائلة Mellanox ConnectX-3 وConnectX-4.
ملاحظة: راجع مناقشة رفع مستوى أداء جدار الحماية الظاهري vSRX في فهم vSRX مع KVM لجدار الحماية الظاهري vSRX، قم بتوسيع الأداء عند نشره على KVM، استنادًا إلى vNIC وعدد وحدات vCPU وvRAM المطبقة على vSRX Virtual Firewall VM.
قبل أن تتمكن من إرفاق VF ممكّن لـ SR-IOV بمثيل vSRX Virtual Firewall، يجب عليك إكمال المهام التالية:
· قم بإدخال محول شبكة فعلي قادر على SR-IOV في الخادم المضيف.
· تمكين ملحقات المحاكاة الافتراضية لوحدة المعالجة المركزية Intel VT-d في BIOS على الخادم المضيف. توفر ملحقات Intel VT-d دعمًا للأجهزة لتعيين الأجهزة الفعلية مباشرةً للضيف. تحقق من العملية مع البائع لأن الأنظمة المختلفة لها طرق مختلفة لتمكين VT-d.
· تأكد من تمكين SR-IOV على مستوى BIOS للنظام/الخادم عن طريق الدخول إلى إعدادات BIOS أثناء تسلسل تمهيد الخادم المضيف لتأكيد إعداد SR-IOV. لدى الشركات المصنعة للخوادم المختلفة اصطلاحات تسمية مختلفة لمعلمة BIOS المستخدمة لتمكين SR-IOV على مستوى BIOS. على سبيل المثالample، بالنسبة لخادم Dell، تأكد من تعيين خيار SR-IOV Global Enable على Enabled (ممكّن).
ملاحظة: نوصي باستخدام virt-manager لتكوين واجهات SR-IOV. راجع وثائق أمر virsh Attach-device إذا كنت تريد معرفة كيفية إضافة جهاز مضيف PCI إلى جهاز افتراضي باستخدام أوامر virsh CLI. ويجب عليك أيضًا تكوين الواجهات بالترتيب 1G و10G و40G و100G. إذا لم يتم اتباع هذا الأمر، فأنت بحاجة إلى إعادة ضبط محولات الشبكة.

75
لإضافة SR-IOV VF إلى vSRX Virtual Firewall VM باستخدام الواجهة الرسومية virt-manager: 1. في Junos OS CLI، قم بإيقاف تشغيل vSRX Virtual Firewall VM إذا كان قيد التشغيل.
vsrx> طلب إيقاف تشغيل النظام
2. في برنامج virt-manager، انقر نقرًا مزدوجًا فوق vSRX Virtual Firewall VM ثم حدد View> التفاصيل. يظهر مربع حوار تفاصيل الجهاز الظاهري لجدار الحماية الظاهري vSRX.
3. حدد علامة التبويب "الأجهزة"، ثم انقر فوق "إضافة أجهزة". يظهر مربع الحوار إضافة أجهزة. 4. حدد جهاز مضيف PCI من قائمة الأجهزة الموجودة على اليسار. 5. حدد SR-IOV VF لهذه الواجهة الافتراضية الجديدة من قائمة الأجهزة المضيفة. 6. انقر فوق "إنهاء" لإضافة الجهاز الجديد. اكتمل الإعداد وأصبح vSRX Virtual Firewall VM موجودًا الآن
الوصول المباشر إلى الجهاز. 7. من شريط أيقونات virt-manager الموجود في الجانب العلوي الأيسر من النافذة، انقر فوق سهم التشغيل. ال
يبدأ تشغيل VSRX Virtual Firewall VM. بمجرد تشغيل جدار الحماية الظاهري vSRX، سيتم عرض حالة التشغيل في النافذة. يمكنك الاتصال بوحدة التحكم الإدارية لمشاهدة تسلسل التمهيد.
ملاحظة: بعد بدء التمهيد، تحتاج إلى تحديد View> وحدات التحكم النصية > Serial 1 في virt-manager للاتصال بوحدة تحكم جدار الحماية الظاهري vSRX.
لإضافة SR-IOV VF إلى vSRX Virtual Firewall VM باستخدام أوامر virsh CLI: 1. حدد أربع وظائف افتراضية لواجهة eno2، وقم بتحديث sriov_numvfs file مع رقم 4.
root@LabHost:~# echo 4 > /sys/class/net/eno2/device/sriov_numvfs root@LabHost:~# المزيد /sys/class/net/eno2/device/sriov_numvfs
2. التعرف على الجهاز. حدد جهاز PCI المخصص لتعيين الجهاز للجهاز الظاهري. استخدم الأمر lspci لسرد أجهزة PCI المتوفرة. يمكنك تحسين إخراج lspci باستخدام grep.

76
استخدم الأمر lspci للتحقق من رقم VF وفقًا لمعرف VF.
root@ kvmsrv:~# lspci | جريب الأثير
…… 83:00.0 وحدة تحكم Ethernet: وحدة تحكم Intel Corporation Ethernet XL710 لـ 40GbE QSFP+ (rev 02) - الوظيفة الفعلية 83:00.1 وحدة تحكم Ethernet: وحدة تحكم Intel Corporation Ethernet XL710 لـ 40GbE QSFP+ (rev 02) - الوظيفة المادية 83:02.0 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.1 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.2 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.3 وحدة تحكم Ethernet : Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.4 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.5 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.6 Ethernet وحدة التحكم: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:02.7 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.0 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83 :0أ.1 وحدة تحكم إيثرنت: سلسلة Intel Corporation Ethernet Virtual Function 700 (rev 02) 83:0a.2 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.3 وحدة تحكم Ethernet: وظيفة Intel Corporation Ethernet الافتراضية 700 Series (rev 02) 83:0a.4 وحدة تحكم Ethernet: وظيفة Intel Corporation Ethernet الافتراضية سلسلة 700 (rev 02) 83:0a.5 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.6 Ethernet وحدة التحكم: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) 83:0a.7 وحدة تحكم Ethernet: Intel Corporation Ethernet Virtual Function 700 Series (rev 02) ………
3. أضف تعيين جهاز SR-IOV من برنامج vSRX Virtual Firewall XML profile على KVM وإعادةview معلومات الجهاز.
يمكن لبرنامج التشغيل استخدام vfio أو kvm، ويعتمد على إصدار نظام التشغيل/kernel لخادم KVM وبرامج التشغيل لدعم المحاكاة الافتراضية. يشير نوع العنوان إلى رقم فتحة PCI الفريد لكل SR-IOV VF (وظيفة افتراضية).
تتوفر معلومات حول المجال والناقل والوظيفة من خلال إخراج الأمر virshNodedev-dumpxml.

77

4. أضف جهاز PCI في إعداد التحرير وحدد VF وفقًا لرقم VF.

ملاحظة: يجب إجراء هذه العملية عند إيقاف تشغيل الجهاز الظاهري. أيضًا، لا تقم باستنساخ الأجهزة الافتراضية باستخدام أجهزة PCI مما قد يؤدي إلى تعارض VF أو MAC.

5. قم بتشغيل VM باستخدام # virsh start name لأمر الجهاز الظاهري.

جدول تاريخ الإصدار

يطلق

وصف

18.1R1

بدءًا من إصدار Junos OS الإصدار 18.1R1، يدعم مثيل vSRX Virtual Firewall الذي تم نشره على KVM SR-IOV على محولات عائلة Mellanox ConnectX-3 وConnectX-4.

15.1X49-D90

بدءًا من إصدار Junos OS الإصدار 15.1X49-D90 وإصدار Junos OS الإصدار 17.3R1، يدعم مثيل vSRX Virtual Firewall الذي تم نشره على KVM SR-IOV على Intel X710/XL710 NIC بالإضافة إلى Intel 82599 أو X520/540.

الوثائق ذات الصلة
متطلبات جدار الحماية الافتراضي vSRX على KVM | 7 شرح Intel SR-IOV PCI-SIG SR-IOV Primer SR-IOV دليل تكوين Intel – SR-IOV Red Hat – SRIOV – أجهزة PCI

78
ترقية جدار الحماية الظاهري vSRX متعدد النواة
في هذا القسم قم بتكوين قيمة قائمة الانتظار لـ vSRX Virtual Firewall VM باستخدام KVM | 78 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virt-manager | 79 قم بترقية جدار الحماية الافتراضي vSRX باستخدام Virt-manager | 79
Starting in Junos OS Release 15.1X49-D70 and Junos OS Release 17.3R1, you can use virt-manager to scale the performance and capacity of a vSRX Virtual Firewall instance by increasing the number of vCPUs or the amount of vRAM allocated to the vSRX Virtual Firewall. See Requirements for vSRX on KVM for the software requirement specifications for a vSRX Virtual Firewall VM. See your host OS documentation for complete details on the virt-manager package
ملاحظة: لا يمكنك تقليص عدد وحدات المعالجة المركزية الافتراضية (vCPUs) أو تقليل مقدار vRAM لجهاز vSRX Virtual Firewall VM الموجود.
قم بتكوين قيمة قائمة الانتظار لـ vSRX Virtual Firewall VM باستخدام KVM
قبل أن تخطط لرفع مستوى أداء vSRX Virtual Firewall، قم بتعديل vSRX Virtual Firewall VM XML file لتكوين قائمة الانتظار المتعددة للشبكة كوسيلة لدعم عدد متزايد من وحدات المعالجة المركزية الافتراضية لسطح البيانات لجهاز vSRX Virtual Firewall VM. يقوم هذا الإعداد بتحديث برنامج تشغيل libvirt لتمكين virtio-net متعدد قوائم الانتظار بحيث يمكن تحسين أداء الشبكة مع زيادة عدد وحدات المعالجة المركزية الافتراضية لسطح البيانات. Multiqueue Virtio هو أسلوب يتيح إمكانية توسيع نطاق معالجة إرسال واستقبال الحزم إلى عدد وحدات المعالجة المركزية الافتراضية (vCPUs) المتاحة للضيف، من خلال استخدام قوائم انتظار متعددة. ومع ذلك، لا يمكن تنفيذ تكوين Virtio-net متعدد قوائم الانتظار إلا في ملف XML file. لا يدعم OpenStack قوائم الانتظار المتعددة. لتحديث قائمة الانتظار، في سطر في vSRX Virtual Firewall VM XML file، قم بمطابقة عدد قوائم الانتظار مع عدد وحدات المعالجة المركزية الافتراضية لسطح البيانات التي تخطط لتكوينها لجهاز vSRX Virtual Firewall VM. الافتراضي هو 4 وحدات معالجة مركزية افتراضية لمستوى البيانات، ولكن يمكنك توسيع هذا العدد إلى 4 أو 8 أو 16 وحدة معالجة مركزية افتراضية.

79
XML التالي file exampيقوم le بتكوين 8 قوائم انتظار لـ vSRX Virtual Firewall VM مع 8 وحدات معالجة مركزية افتراضية لسطح البيانات:



قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager
في المواقف التي تريد فيها تحرير وتعديل vSRX Virtual Firewall VM XML file، فأنت بحاجة إلى إيقاف تشغيل vSRX Virtual Firewall وVM المرتبط به بشكل كامل. لإيقاف تشغيل مثيل vSRX Virtual Firewall بأمان باستخدام Virt-manager: 1. قم بتشغيل Virt-manager. 2. تحقق من مثيل vSRX Virtual Firewall الذي تريد إيقاف تشغيله. 3. حدد فتح لفتح نافذة وحدة التحكم لمثيل vSRX Virtual Firewall. 4. من وحدة تحكم vSRX Virtual Firewall، أعد تشغيل مثيل vSRX Virtual Firewall.
vsrx# طلب إيقاف تشغيل النظام. 5. من virt-manager، حدد Shut Down لإيقاف تشغيل الجهاز الافتراضي بالكامل حتى تتمكن من تحرير XML file.
ملاحظة: لا تستخدم Force Reset أو Force Off على أي جهاز افتراضي نشط لأنه قد ينشأ file الفساد.
قم بترقية جدار الحماية الافتراضي vSRX باستخدام برنامج Virt-manager
يجب عليك إيقاف تشغيل vSRX Virtual Firewall VM قبل أن تتمكن من تحديث قيم vCPU أو vRAM للجهاز الظاهري. يمكنك ترقية جدار الحماية الظاهري vSRX وتشغيله باستخدام حزمة واجهة المستخدم الرسومية KVM virt-manager. لتوسيع نطاق vSRX Virtual Firewall VM مع virt-manager إلى عدد أكبر من وحدات vCPU أو إلى كمية متزايدة من vRAM: 1. في نظام التشغيل المضيف لديك، اكتب Virt-manager. يظهر مدير الجهاز الظاهري. انظر الشكل 12 في الصفحة
80.

80 ملاحظة: يجب أن يكون لديك حقوق المسؤول على نظام التشغيل المضيف لاستخدام Virt-manager. الشكل 12: المدير الفاضل

2. حدد فتح لفتح جهاز vSRX Virtual Firewall VM الذي تم إيقاف تشغيله وحدد تحرير تفاصيل الأجهزة لفتح نافذة تفاصيل الجهاز الظاهري.
3. حدد المعالج وقم بتعيين عدد وحدات المعالجة المركزية الافتراضية (vCPUs). انقر فوق تطبيق. 4. حدد الذاكرة واضبط vRAM على الحجم المطلوب. انقر فوق تطبيق. 5. انقر فوق التشغيل. يقوم مدير VM بتشغيل vSRX Virtual Firewall VM مع vCPU الجديد و
إعدادات vRAM.

ملاحظة: يتغير حجم vSRX Virtual Firewall إلى أقرب قيمة مدعومة إذا كانت إعدادات vCPU أو vRAM لا تتطابق مع ما هو متاح حاليًا.

جدول تاريخ الإصدار

يطلق

وصف

15.1X49-D70

Starting in Junos OS Release 15.1X49-D70 and Junos OS Release 17.3R1, you can use virt-manager to scale the performance and capacity of a vSRX Virtual Firewall instance by increasing the number of vCPUs or the amount of vRAM allocated to the vSRX Virtual Firewall

الوثائق ذات الصلة فهم جدار الحماية الافتراضي vSRX باستخدام KVM | 2

81
متطلبات جدار الحماية الافتراضي vSRX على KVM | 7 تثبيت جهاز افتراضي باستخدام Virt-Install

مراقبة vSRX Virtual Firewall VM في KVM

يمكنك مراقبة الحالة العامة لجهاز vSRX Virtual Firewall VM باستخدام virt-manager أو virsh. لمراقبة جهاز vSRX Virtual Firewall VM باستخدام Virt-manager:
1. من واجهة المستخدم الرسومية للمدير الظاهري، حدد vSRX Virtual Firewall VM الذي تريد مراقبته. 2. اختر View> قم بالرسم البياني وحدد الإحصائيات التي تريد مراقبتها. تشمل الخيارات وحدة المعالجة المركزية والذاكرة والقرص
الإدخال/الإخراج وإحصائيات واجهة الشبكة. يتم تحديث النافذة برسوم بيانية مصغرة للإحصائيات التي حددتها. 3. اختياريًا، انقر نقرًا مزدوجًا فوق الرسم البياني المصغر لتوسيع view.
لمراقبة جهاز vSRX Virtual Firewall VM باستخدام virsh، استخدم الأوامر المدرجة في الجدول 14 في الصفحة 81. الجدول 14: أوامر مراقبة virsh

يأمر

وصف

virsh cpu-stats vm-name

يسرد إحصائيات وحدة المعالجة المركزية للجهاز الظاهري.

virsh domifstat vm-name اسم الواجهة

يعرض إحصائيات vNIC للجهاز الظاهري.

virsh dommemstat vm-name

يعرض إحصائيات الذاكرة لجهاز VM.

virsh vcpuinfo vm-name

يعرض تفاصيل vCPU للجهاز الظاهري.

nodecpustats virsh

يعرض إحصائيات وحدة المعالجة المركزية لنظام التشغيل المضيف.

الوثائق ذات الصلة أدوات الفضيلة

82
إدارة مثيل جدار الحماية الظاهري vSRX على KVM
في هذا القسم، قم بتشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virt-manager | 82 قم بتشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 82 قم بإيقاف مثيل جدار الحماية الظاهري vSRX مؤقتًا باستخدام Virt-manager | 83 قم بإيقاف مثيل جدار الحماية الظاهري vSRX مؤقتًا باستخدام virsh | 83 إعادة تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virt-manager | 83 أعد تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 83 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager | 84 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 84 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virt-manager | 85 قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 85 قم بإزالة مثيل جدار الحماية الظاهري vSRX باستخدام virsh | 86
كل مثيل لجدار الحماية الظاهري vSRX عبارة عن جهاز افتراضي مستقل يمكنك تشغيله أو إيقافه مؤقتًا أو إيقاف تشغيله. يمكنك إدارة vSRX Virtual Firewall VM باستخدام أدوات متعددة، بما في ذلك virt-manager وvirsh.
قم بتشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager
لتشغيل مثيل vSRX Virtual Firewall باستخدام Virt-manager: 1. قم بتشغيل Virt-manager. 2. تحقق من مثيل vSRX Virtual Firewall الذي تريد تشغيله. 3. من شريط الرموز، حدد سهم التشغيل. يبدأ تشغيل VSRX Virtual Firewall VM. يمكنك الاتصال
إلى وحدة التحكم الإدارية لمشاهدة تسلسل التمهيد.
ملاحظة: بعد بدء التمهيد، تحتاج إلى تحديد View> وحدات التحكم النصية > Serial 1 في virt-manager للاتصال بوحدة تحكم جدار الحماية الظاهري vSRX.
قم بتشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh
لتشغيل مثيل vSRX Virtual Firewall باستخدام virsh:

83
استخدم أمر virsh start على نظام التشغيل المضيف لبدء تشغيل vSRX Virtual Firewall VM.
user@host# virsh start vSRX-kvm-2
بدأ المجال vSRX-kvm-2
قم بإيقاف مثيل جدار الحماية الظاهري vSRX مؤقتًا باستخدام Virt-manager
لإيقاف مثيل vSRX Virtual Firewall مؤقتًا باستخدام Virt-manager: 1. قم بتشغيل Virt-manager. 2. تحقق من مثيل vSRX Virtual Firewall الذي تريد إيقافه مؤقتًا. 3. من شريط الرموز، حدد رمز إيقاف التشغيل مؤقتًا. يتوقف VM لجدار الحماية الظاهري vSRX مؤقتًا.
قم بإيقاف مثيل جدار الحماية الظاهري vSRX مؤقتًا باستخدام virsh
لإيقاف مثيل vSRX Virtual Firewall مؤقتًا مع virsh: استخدم أمر virsh المرحلي على نظام التشغيل المضيف لإيقاف vSRX Virtual Firewall VM مؤقتًا.
user@host# virsh تعليق vSRX-kvm-2
تم تعليق المجال vSRX-kvm-2
إعادة تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager
لإعادة تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager: 1. قم بتشغيل Virt-manager. 2. تحقق من مثيل vSRX Virtual Firewall الذي تريد إعادة تشغيله. 3. حدد فتح لفتح نافذة وحدة التحكم لمثيل vSRX Virtual Firewall. 4. من وحدة تحكم vSRX Virtual Firewall، أعد تشغيل مثيل vSRX Virtual Firewall.
vsrx# طلب إعادة تشغيل النظام. يقوم vSRX Virtual Firewall بإعادة تشغيل كل من نظام التشغيل Junos وvSRX Virtual Firewall الضيف VM.
أعد تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh
لإعادة تشغيل vSRX Virtual Firewall VM باستخدام virsh:

84
1. استخدم أمر virsh console على نظام التشغيل المضيف للاتصال بجهاز vSRX Virtual Firewall VM. 2. في وحدة التحكم vSRX Virtual Firewall، استخدم أمر إعادة تشغيل نظام الطلب لإعادة تشغيل Junos OS و
جدار الحماية الافتراضي vSRX.
user@host# virsh console vSRX-kvm-2
متصل بالمجال vSRX-kvm-2
vsrx# طلب إعادة تشغيل النظام
قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager
لإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager: 1. قم بتشغيل Virt-manager. 2. تحقق من مثيل vSRX Virtual Firewall الذي تريد إيقاف تشغيله. 3. حدد فتح لفتح نافذة وحدة التحكم لمثيل vSRX Virtual Firewall. 4. من وحدة تحكم vSRX Virtual Firewall، قم بإيقاف تشغيل مثيل vSRX Virtual Firewall.
vsrx> طلب إيقاف تشغيل النظام
يقوم جدار الحماية الظاهري vSRX بإيقاف تشغيل كل من نظام التشغيل Junos والجهاز الظاهري الضيف.
قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام virsh
لإيقاف تشغيل مثيل vSRX Virtual Firewall مع virsh: 1. استخدم أمر virsh console على نظام التشغيل المضيف للاتصال بـ vSRX Virtual Firewall VM.

85
2. في وحدة تحكم vSRX Virtual Firewall، استخدم أمر طلب إيقاف تشغيل النظام لإيقاف تشغيل Junos OS وvSRX Virtual Firewall VM.
user@host# virsh console vSRX-kvm-2
متصل بالمجال vSRX-kvm-2
vsrx# طلب إيقاف تشغيل النظام
قم بإيقاف تشغيل مثيل جدار الحماية الظاهري vSRX باستخدام Virt-manager
في المواقف التي تريد فيها تحرير وتعديل vSRX Virtual Firewall VM XML file، فأنت بحاجة إلى إيقاف تشغيل vSRX Virtual Firewall وVM المرتبط به بشكل كامل. لإيقاف تشغيل مثيل vSRX Virtual Firewall بأمان باستخدام Virt-manager: 1. قم بتشغيل Virt-manager. 2. تحقق من مثيل vSRX Virtual Firewall الذي تريد إيقاف تشغيله. 3. حدد فتح لفتح نافذة وحدة التحكم لمثيل vSRX Virtual Firewall. 4. من وحدة تحكم vSRX Virtual Firewall، أعد تشغيل مثيل vSRX Virtual Firewall.
vsrx# طلب إيقاف تشغيل النظام. 5. من الفضيلة-

المستندات / الموارد

نشر جدار الحماية الافتراضي Juniper vSRX [بي دي اف] دليل التعليمات vSRX نشر جدار الحماية الافتراضي، vSRX، نشر جدار الحماية الافتراضي، نشر جدار الحماية، النشر

مراجع

• دليل المستخدم