Konfigurieren Sie XenServer 6.2 als Host für eine virtuelle Firewall - Wie Man

Konfigurieren Sie XenServer 6.2 als Host für eine virtuelle Firewall

Es gibt zwei Hauptmethoden zum Installieren einer virtuellen Firewall auf einem XenServer-Host. Eine verwendet mehrere NICs auf dem Host, die andere nutzt VLANs und einen verwalteten Ethernet-Switch.

2 Schritte insgesamt

Schritt 1: Verwenden dedizierter physischer Host-Ports

Auf dem XenServer-Host müssen mehrere NIC-Ports verfügbar sein, und zwei davon können für zwei verschiedene Zwecke reserviert werden (vertrauenswürdiges Netzwerk, nicht vertrauenswürdiges Netzwerk).

Wechseln Sie in XenCenter mit ausgewähltem XenServer-Host zur Registerkarte "Netzwerke". Erstellen Sie zwei externe Netzwerke, eines für Ihr vertrauenswürdiges (privates) Netzwerk und das andere für das nicht vertrauenswürdige (öffentliche / Internet-) Netzwerk. Stellen Sie sicher, dass Sie zwei unterschiedliche Host-NIC-Ports speziell für diese beiden Netzwerke zuweisen.

Stecken Sie Ihre Internetverbindung und Ihr LAN in die entsprechenden neuen Host-Ports.

Erstellen Sie eine neue VM für die virtuelle Firewall-Appliance (z. B. pfSense), und fügen Sie während der Erstellung speziell beide neuen externen Netzwerke zur VM hinzu (sowohl die nicht vertrauenswürdigen als auch die vertrauenswürdigen).
Starten Sie die virtuelle Firewall-Appliance und konfigurieren Sie die Netzwerkschnittstellen entsprechend.

Setzen Sie die XenServer-Verwaltungsschnittstelle nicht dem Internet oder einem nicht vertrauenswürdigen Netzwerk aus.Es sollte sich auf einem eigenen dedizierten NIC-Port befinden.

Schritt 2: Verwenden von VLAN mit einem externen Switch

Wenn der XenServer-Host über einen Ethernet-Port verfügt, der VLAN-fähig ist und an einen VLAN-fähigen physischen Switch angeschlossen ist, können Sie auch zwei neue externe Netzwerke für denselben Host-Port (wie üblich) auf dem Host erstellen, jedoch unterschiedliche spezifische VLAN-IDs aktivieren die Sie auf dem VLAN-Switch eingerichtet haben.

Auf dem Switch haben Sie einen VLAN-Trunk-Port, an den der XenServer-Host angeschlossen ist, und andere Ports, die als Zugriffsports konfiguriert sind, wobei sich ein Port in einem anderen VLAN befindet, das für die nicht vertrauenswürdige Internetverbindung reserviert ist.

Erstellen Sie eine neue VM für die virtuelle Firewall-Appliance (z. B. pfSense), und fügen Sie während der Erstellung speziell beide neuen externen Netzwerke zur VM hinzu (sowohl die nicht vertrauenswürdigen als auch die vertrauenswürdigen).
Starten Sie die virtuelle Firewall-Appliance und konfigurieren Sie die Netzwerkschnittstellen entsprechend.

Setzen Sie die XenServer-Verwaltungsschnittstelle nicht dem Internet oder einem nicht vertrauenswürdigen Netzwerk aus. Es sollte sich auf einem eigenen dedizierten NIC-Port befinden.

Bei der Verbindung eines Hypervisor-Hosts mit dem Internet müssen möglicherweise Vor- und Nachteile berücksichtigt werden. Die Verwendung einer virtuellen Umgebung für die Firewall bietet jedoch einige interessante Vorteile. Behalten Sie die XenServer-Verwaltung auf einer dedizierten NIC für das Internet nicht zur Verfügung.