FortiGate-VMX:FAQ: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 808: | Zeile 808: | ||
Schritt in dieser Dokumentation nochmals überprüft: | Schritt in dieser Dokumentation nochmals überprüft: | ||
[[ | [[FortiGate-VMX:FAQ#Aktivierung.2FUeberpr.C3.BCfung_der_.22DRS.22_Funktion_innerhalb_des_Clusters_f.C3.BCr_VCenter_Server.3F]]] | ||
[[Datei:fortigate-vmx-install-171.jpg]] | [[Datei:fortigate-vmx-install-171.jpg]] | ||
Version vom 20. November 2015, 10:38 Uhr
FortiGate-VMX:FAQ
24 X 7 PROMOTION bis 31. März 2016 Weitere Informationen finden Sie hier!
Vorwort
Diese FAQ's sind für Fortigate Systeme basierend auf FortiGate-VMX basierend auf FortiOS 5.2 und VMware ESXi 5.5 Update 2 sowie NSX Manager 6.1
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man das Datasheet betreffend Fortigate-VMX:
Fortinet:ProduktInfo
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate-VMX resp. FortiGate:
http://docs.fortinet.com/fortigate/admin-guides
FortiOS 5.2
Datei:FortiGate-VMX V1 Installation Guide.pdf (FortiOS 5.2 Handbook - FortiGate-VMX Installation - v1.0]
Datei:FortiGate-VMX V2 Installation Guide.pdf (FortiOS 5.4 Handbook - FortiGate-VMX Installation - v2.0]
Datei:Deploying FortiGateVMX v1.pdf (Deploying FortiGateVMX v1.0]
Datei:FortiGate VMX Recorded March 2015.pdf (New FortiGate-VMX Firewall for VMware secures the SDDC)
Wie sieht ein Grundsetup vom Ablauf her aus für eine FortiGate-VMX Installation?
In der nachfolgenden Dokumentation wird Schritt für Schritt ein Aufbau einer FortiGate-VMX Installation gezeigt anhand einer VMware Installation ESXi Server, vCenter Server, vShield Manager sowie NSX Manager. Diese Installation geht nicht auf spezifische Konfiguration der einzelnen Komponenten ein sondern zeigt nur die "minimale Konfiguration" die zum Betrieb benötigt wird. Im Grundsatz wird ein NSX Manager sowie FortiGate-VMX im Zusammehang mit einem VMWare Cluster Installation betrieben. Die hier gezeigte Installation ist basierend auf einer Standalone Installation die einen Cluster vorgibt.
NOTE Für die hier gezeigte Installation wurde IE sowie Firefox benutzt. Dabei wurde festgestellt das
FireFox die bessere Wahl ist da es bei einigen Komponenten mit IE zu Problemen gekommen ist. Aus
diesem Grund empfehlen wir für die gesamte Konfiguration den Einsatz von FireFox. Andere Browser
wie zB Opera sollten nicht eingesetzt werden! Desweiteren sollte je nach Kapazität der Festplatten
bei den Konfigurationen (Testinstallation) "Thin Provision" ausgewählt werden anstelle "Thick" dh.
ansonsten reichen 250 GB nicht aus um alle Applikationen zu installieren.
Bei einer Implementation (Stand August 2015) ist es Wichtig zu wissen, dass eine "FortiGate VMX Instance" nur im "Transparent" Modus betrieben werden kann. Dabei stehen im "FortiGate VMX Service Manager" für die VDom "netx" die die "FortiGate VMX Instance" darstellt nur "internal" sowie "external" zur Verfügung. Dies bedeutet: Im heutigen Stand der Implementation können keine "virtuellenPortGruppen" der "DistributedSwitches" konfiguriert werden. Es stehen in der Firewall Policy Rule nur "external" sowie "internal" zur Verfügung. Die Defintion von "external" und "internal" ist aus Sicht der "Virtuellen Instanz" zu sehen. Unter Kommandozeile kann jedoch die Zugehörigkeit für "internal" und "external" durch das aktivieren des "Firewall Service" auf den entsprechenen "DistributedSwitches" aktiviert resp. deaktiviert werden. Die Installation des VShield ist "Optional" und wird für den Betrieb der "FortiGate VMX" nicht benötigt.
Vorbereitung/Bereitstellen der Software und Lizenzen für eine FortiGate-VMX Installation?
Für die hier gezeigte Installation einer FortiGate-VMX Installation standen folgende Komponenten zur Verfügung:
Server:
Datei:Fortigate-vmx-install-1.jpg
NOTE Ausgehend davon das ein Testinstallation durchgeführt wird sind die Minimum Anforderung des Servers
32 GB Memory sowie mind. 250 GB HardDisk.
Software:
ESXi Server: VMware-VMvisor-Installer-201501001-2403361.x86_64.iso (VMware Spezifisch)
VMware-ESXi-5.5.0-Update2-2403361-HP-550.9.2.30.9-Mar2015.iso (Hersteller Spezifisch)
vCenter Server: VMware-vCenter-Server-Appliance-5.5.0.20500-2646489_OVF10.ova
vShield Manager (Optional): VMware-vShield-Manager-5.5.3-2175697.ova
NSX Manager: VMware-NSX-Manager-6.1.4-2691049.ova
FortiGate-VMX-Service-Manager: FGT_VM64_SVM-v5-build8542-FORTINET.out.ovf.zip
FortiGate-VMX-Instance: FGT_VM64_VMX-v5-build8542-FORTINET.out.ovf.zip
NOTE Basierend auf FortiGate-VMX muss aus Kompatibilitätsgründen der ESXi anhand der Version 5.5 Update2
installiert werden. Die Version 6 ist nicht Kompatibel (Stand Augusut 2015) mit der FortiGate-VMX
Version. Für den NSX Manager muss mind. die Version 6.1.2 installiert werden. Wenn ein spezifischer
Server eingesetzt wird dh. wie in unserem Fall ein HP Proliant ist es Sinnvoll über den Download
Bereich von "mywmware.com" zu kontrollieren ob ein Hersteller spezifisches ISO zur Verfügung gestellt
wird für die Installation da diese ISO's speziell Treiber für den Server beinhaltet die zuständig sind
das die Disk's über einen Array Controller korrekt erkannt werden. Das ISO des "NSX Managers" ist nicht
frei erhältlich ohne entsprechende Zertifizierung. Ebenso existiert keine Evaluation License für den
"NSX Manager" sondern die Evaluation License ist im ISO des "NSX Managers" enthalten (Stand 31. August
2014 Version 6.1.4)
Dokumentation:
Datei:Fortios-5.2.4-release-notes.pdf (FortiOS Release Notes 5.2.4)
Datei:Fortios-5.4.0-svm-vmx-release-notes.pdf (FortiOS Release Notes 5.4.0 SVM-VMX)
Datei:Vsphere-esxi-vcenter-server-552-installation-setup-guide.pdf (Installations- und Einrichtungshandbuch für vSphere)
Datei:Vsphere-esxi-vcenter-server-552-host-management-guide.pdf (vCenter Server und Hostverwaltung)
Datei:Vsphere-distributed-switch-best-practices.pdf (VMware vSphere Distributed Switch Best Practices)
Datei:Vshield admin.pdf (VMware vShield Administration Guide)
Datei:Vshield installation.pdf (VMware vShield Installation and Upgrade Guide)
Datei:Vmw-nsx-network-virtualization-design-guide.pdf (VMware NSX for vSphere (NSX-V) Network Virtualization Design Guide)
[VMware NSX Installation und Uebersicht] (VMware NSX Uebersicht und Voraussetzungen)
Lizenzen:
vCenter Server 5 Standard (enthält ESXi sowie vCenter sowie vShield)
NSX Manager (Vorraussetzung vCenter Server sowie vShield Server)
iLO Lizenz Advanced
FortiGate-VMX-Service-Manager
FortiGate-VMX-Instance (Muss nicht eingespielt werden da diese über den den "FortiGate VMX Service Manager" selber deployed wird)
NOTE Da es sich um eine Test Installation handelt anhand eines physischen Servers reicht die
vCenter Server 5 Standard Lizenz aus! Wenn das Setup des ESXi Servers über iLO durchgeführt wird
so benötigt man eine iLO Lizenz. Diese kann über eine Eval angefordert werden. Dazu benötigt man
jedoch einen "HP Passport Account". Um die Eval für iLO anzufordern benütze den nachfolgenden Link:
http://hp.com/go/iloadvanced
Nach der Anforderung der Eval über "HP Passport Account" wird über die Email Adresse die im "HP
Passport Account" definiert ist eine Bestätigung mit dem Eval Key gesendet. Nachfolgend ein Beispiel:
Datei:HP iLO Advanced Evaluation License Z7550-00528.pdf
Netwerk Topologie:
__________
| ISP |
| Router |
| Bridge |
|__________|
|
_________|_________
| |
| FortiGate 300C | NTP Server: 198.18.0.1
| VDom root | DNS Server: 198.18.0.1
|___________________| DHCP Server: 198.18.0.2 - 198.18.06
|
| 198.18.0.1/27 (Secondary Address 198.18.0.57/29)
|
| 198.18.0.24/27 vmnic0 (ESXi)
_________|_______________________________ _________
| | | | CenOS-Linux 10.10.10.2/24
| HP Proliant GL-380 G9 |----------------------- | DMZ | (HTTP Service / FTP Service)
| | vmnic1 |_________|
| vCenter 198.18.0.25/27 | CenOS-Linux-1 10.10.10.3/24
| vShield (Optional) 198.18.0.5/27 | (HTTP Service / FTP Service)
| |
| NSX 198.18.0.6/27 |
| NSX Contoller IP-Pool 198.18.0.56/29 |
| |
| FGT SVMX 198.18.0.4/29 |
| FGT SVMX Sync 198.18.0.65/29 |
| FGT SVMX DHCP 198.18.0.66-78 |
|_________________________________________|
|
| 172.16.1.0/24 vmnic2
_________|__________
| |
| LAN |
|____________________|
Verbinden auf iLO und Setup/Vorbereitung der ESXi Server Installation?
Wie in der Toplogie abgebildet läuft im Segment 198.18.0.0/27 resp. auf dem Interface der FortiGate VDom "root" ein DHCP Server. Verbinde nun das iLO NIC des HP Proliant Servers mit diesem Segment damit das iLO NIC eine DHCP Adresse aus diesem Segment erhält. Schaue kurz über die FortiGate Web Mgmt. Interface welche IP Adresse dem iLO NIC zugewiesen wurde. Dies ist ersichtlich über folgende Position:
System > Monitor > DHCP Monitor
Um sich auf dem iLO einzuloggen muss das Passwort von iLO eruiert werden. Dieses befindet sich als Label auf dem Server und ist ein 8 stelliger Alphanumersicher Code als iLO "Passwort" abgebildet:
https://[DHCP Adresse]
Username: Administrator
Passwort:[Gemäss Aufkleber am Server Standard Passwort zB "P5HD42CS"]
Sofern eine statische IP vergeben werden soll gehe im iLO nach:
Network > iLO Dedicated Network Port - IPv4 Settings
Datei:Fortigate-vmx-install-2.jpg
Deaktiviere die Position "Enable DHCPv4" und vergebe die statischen Informationen. In unserem Fall wäre dies folgende Angaben:
IP Adresse: 198.18.0.24 255.255.255.224
Gateway: 198.18.0.1
Sofern eine Eval für iLO eingespielt werden soll kann dies unter folgender Position durchgeführt werden:
Administration
Starte nun die "Remote Console" und definiere das ISO Image um die Installation vom ESXi auszuführen:
Remote Console > Remote Console
Datei:Fortigate-vmx-install-3.jpg
Danach konfiguriere das ISO image (Bedenke event. spezifisches ISO für spezifischen Hersteller):
Virtual Drives > Image File
Datei:Fortigate-vmx-install-4.jpg
Datei:Fortigate-vmx-install-5.jpg
Führe danach aus der "Remote Console" folgendermassen einen Neustart aus:
Datei:Fortigate-vmx-install-6.jpg
Beim Neustart drücke F11 (nicht F9) und gehe auf die hier gezeigte Position unter der das ISO Image konfiguriert wurde:
iLO Virtual USB 2 : HP iLO Virtual USB CD/DVD ROM
Datei:Fortigate-vmx-install-7.jpg
Datei:Fortigate-vmx-install-8.jpg
Die Installation des ESXi Server wird nun ausgeführt:
Datei:Fortigate-vmx-install-9.jpg
Datei:Fortigate-vmx-install-10.jpg
Datei:Fortigate-vmx-install-11.jpg
Datei:Fortigate-vmx-install-12.jpg
Datei:Fortigate-vmx-install-13.jpg
Datei:Fortigate-vmx-install-14.jpg
Datei:Fortigate-vmx-install-15.jpg
Datei:Fortigate-vmx-install-16.jpg
Datei:Fortigate-vmx-install-17.jpg
Datei:Fortigate-vmx-install-18.jpg
Datei:Fortigate-vmx-install-19.jpg
Datei:Fortigate-vmx-install-20.jpg
Bevor nach der Installation des ESXi ein Neustart ausgeführt wird trenne das ISO File und verbinde NIC-1 des HP Proliant Servers mit dem Netz dh. in dem ein DHCP Server läuft resp. Segment 198.18.0.0/27:
Datei:Fortigate-vmx-install-21.jpg
Datei:Fortigate-vmx-install-21-1.jpg
Durchführen der Grundkonfiguration des ESXi Servers?
Nach dem Neustart gehe auf folgende URL (entsprechende IP wird in der Console nach dem Start des ESXi angezeigt):
http://[DHCP IP]
Datei:Fortigate-vmx-install-22.jpg
Danach lade und installiere den VSphere Client:
Datei:Fortigate-vmx-install-23.jpg
Nach der Installation starte den vSphere Client und verbinde dich auf den ESXi:
IP:[DHCP IP]
Username: root
Passwort: [Vergebenes Passwort bei der Installation ESXi]
Nachdem verbinden auf den ESXi Server und führe die Grundkonfiguration durch für:
Lizenzen DNS und Routing Netzwerk
Datei:Fortigate-vmx-install-24.jpg
Datei:Fortigate-vmx-install-25.jpg
Datei:Fortigate-vmx-install-26.jpg
Datei:Fortigate-vmx-install-27.jpg
Datei:Fortigate-vmx-install-28.jpg
Datei:Fortigate-vmx-install-29.jpg
Datei:Fortigate-vmx-install-30.jpg
Datei:Fortigate-vmx-install-31.jpg
Installation des vCenter Servers anhand des ova Files?
Nun installiere den vCenter Server anhand des ova Files:
VMware-vCenter-Server-Appliance-5.5.0.20500-2646489_OVF10.ova
Datei:Fortigate-vmx-install-32.jpg
Datei:Fortigate-vmx-install-33.jpg
Datei:Fortigate-vmx-install-34.jpg
Datei:Fortigate-vmx-install-35.jpg
Datei:Fortigate-vmx-install-36.jpg
Datei:Fortigate-vmx-install-37.jpg
Datei:Fortigate-vmx-install-38.jpg
Grundkonfiguration des vCenter Servers und hinzufügen des Datacenter und Hosts?
Der vCenter Server bekommt über den DHCP Server des Segments 198.18.0.0/27 eine IP Adresse zugewiesen. Diese wird über die Console des vCenter Servers nach dem Neustart angezeigt mit dem Hinweis der URL:
Datei:Fortigate-vmx-install-39.jpg
Verbinde dich nun auf den vCenter Server anhand der IP die über DHCP zugewiesen wurde:
https://[DHCP Ip]:5480
Username: root
Passwort: vmware
Nach der EULA Meldung die wir bestätigen brechen wir den Vorgang mit Cancel ab um den Hostnamen sowie die statische IP zu konfigurieren:
Datei:Fortigate-vmx-install-40.jpg
Gehe nun für die weitere Konfiguration auf:
Network > Address
Datei:Fortigate-vmx-install-41.jpg
Nach der Konfiguraton verbinde dich erneut auf die konfigurierte IP Adresse in unserem Fall 198.18.0.25:
https://198.18.0.25:5480 Username: root Passwort: vmware Datei:Fortigate-vmx-install-42.jpg
Nun starten wir den Wizard erneut:
Datei:Fortigate-vmx-install-43.jpg
Datei:Fortigate-vmx-install-44.jpg
Datei:Fortigate-vmx-install-45.jpg
Datei:Fortigate-vmx-install-46.jpg
Datei:Fortigate-vmx-install-47.jpg
Datei:Fortigate-vmx-install-48.jpg
Datei:Fortigate-vmx-install-49.jpg
Datei:Fortigate-vmx-install-50.jpg
Datei:Fortigate-vmx-install-51.jpg
Nachdem erfolgreichen Setup des vSphere kann der Web-Client von vSphere benutzt werden anstelle des lokalen Gui. Dies ist insofern wichtig da zukünftig VMware keinen lokales Gui mehr zur Verfügung stelle sowie anhand des lokalen Gui's resp. vSphere Client für NSX keine Konfiguration durchgeführt werden kann da der lokale vSphere Client die NSX Konfiguration nicht unterstützt. Um auf den vSphere Web Client zu verbinden benütze:
https://198.18.0.25:9443/vsphere-client/ Username: root Passwort: [Vergebenes Passwort im vCenter Server] NOTE Es kann ebenfalls mit User "Administrator@vsphere.local" eingeloggt werden denn neben User "root" wird dieser User ebenfalls per Standard erstellt:
Nun spiele die Lizenz ein für den vCenter Server:
Datei:Fortigate-vmx-install-52.jpg
Datei:Fortigate-vmx-install-53.jpg
Datei:Fortigate-vmx-install-54.jpg
Datei:Fortigate-vmx-install-55.jpg
Erstelle nun ein "Datacenter-VMX" für den vCenter Server:
Datei:Fortigate-vmx-install-56.jpg
Datei:Fortigate-vmx-install-57.jpg
Datei:Fortigate-vmx-install-58.jpg
Füge nun dem "Datacenter-vmx" den ESXi Host hinzu:
Datei:Fortigate-vmx-install-59.jpg
Datei:Fortigate-vmx-install-60.jpg
Datei:Fortigate-vmx-install-61.jpg
Datei:Fortigate-vmx-install-62.jpg
Datei:Fortigate-vmx-install-63.jpg
Datei:Fortigate-vmx-install-64.jpg
Datei:Fortigate-vmx-install-65.jpg
Datei:Fortigate-vmx-install-66.jpg
Datei:Fortigate-vmx-install-67.jpg
Datei:Fortigate-vmx-install-68.jpg
Erstellen eines neuen "Virtuellen Netwerkes" für das DMZ Segment im vCenter Server?
Im nächsten Schritt erstellen wir ein neues Virtuelles Netzwerk für das DMZ Segment. In dieses neuen Segment wird ein Linux Server für Testzwecke installiert. Um das neue Virtuelle Netzwerk zu erstellen führe folgendes durch:
Datei:Fortigate-vmx-install-69.jpg
Datei:Fortigate-vmx-install-70.jpg
Datei:Fortigate-vmx-install-71.jpg
Datei:Fortigate-vmx-install-72.jpg
Datei:Fortigate-vmx-install-73.jpg
Datei:Fortigate-vmx-install-74.jpg
Datei:Fortigate-vmx-install-75.jpg
Datei:Fortigate-vmx-install-76.jpg
Installieren der Test Server für das DMZ Segment im vCenter Server?
Nachdem das Virtuelle Netzwerk für das DMZ erstellt wurde installiere einen Testserver zB wie in unserem Fall einen "centos-linux" Server. Dieser sollte einige Service zur Verfügung stellen wie zB FTP und/oder HTTP. Sobald der neue Server installiert wurde resp. Netzwerktechnisch konfiguriert wurde weise dem Server im DMZ dieses neue Virtuelle Netzwerk hinzu:
Datei:Fortigate-vmx-install-77.jpg
Datei:Fortigate-vmx-install-78.jpg
Nach der erfolgreichen Installation der Testservers "clone" diesen und vergebe für diese Instanz eine IP im gleichen Segment wie der ursprüngliche Testserver dh. wir haben schlussendlich Zwei Server im gleichen Segement mit unterschiedlichen IP's. In unserem Fall wären dies:
centos-Linux 10.10.10.2
centos-Linux 10.10.10.3
Es spielt Grundsätzlich keine Rolle was für Test Server installiert werden. Ziel ist es den Traffic dieser zwei Test Server anhand der "FortiGate VMX Instanz" in einem späteren Zeitpunkt - obwohl beide im gleichen Segment sind - als Test zu kontrollieren.
Erstellen eines "Distributed Switches" und Migration "Virtuellen Netzwerke" im vCenter Server?
Wenn mit NSX in einem späteren Zeitpunkt gearbeitet wird ist die Voraussetzung das die Netzwerke auf dem ESXi über Distributed Switches konfiguriert sind dh. NSX unterstützt keine Virtuellen Netzwerke. Aus diesem Grund wird ein neuer Distributed Switch erstellt und die vorhandenen Virtuellen Netzwerke auf den neuen Distributed Switch migriert. Zum jetzigen Zeitpunkt gemäss dieser Dokumentation existieren folgende Virtuellen Netzwerke:
vSwitch0 Management Netzwerk
vSwitch1 DMZ
Logge dich erneut auf dem vSphere Web Client ein:
https://198.18.0.25:9443/vsphere-client/ Username: root Passwort: [Vergebenes Passwort im vCenter Server]
Erstelle den Distributed Switch:
Datei:Fortigate-vmx-install-79.jpg
Datei:Fortigate-vmx-install-80.jpg
Datei:Fortigate-vmx-install-81.jpg
Datei:Fortigate-vmx-install-82.jpg
Datei:Fortigate-vmx-install-83.jpg
Datei:Fortigate-vmx-install-84.jpg
Nun füge dem Distributed Switch den ESXi Host hinzu sowie migriere die Virtuellen Netzwerke "vSwitch0" sowie "vSwitch1". Dazu wähle "Host hinzufügen und vewalten":
Datei:Fortigate-vmx-install-85.jpg
Datei:Fortigate-vmx-install-86.jpg
Füge nun den ESXi Host hinzu dh. in unserem Fall 198.18.0.24:
Datei:Fortigate-vmx-install-87.jpg
Datei:Fortigate-vmx-install-88.jpg
Da wir in diesem Schritt das entsprechende Virtuelle Netzwerk migrierten wähle alle Positionen für die Konfiguration gemäss Abbildung:
Datei:Fortigate-vmx-install-89.jpg
Das Virtuelle Netzwerk "vSwitch0" ist momentan auf "vmnic0" konfiguriert dh. diese Interface kann nicht genommen werden da wir ansonsten die Verbindung verlieren würden zum ESXi Host. Aus diesem Grund weise dem ESXi Host auf dem Distributed Switch "vmnic1" zu und Uplink-1:
Datei:Fortigate-vmx-install-90.jpg
Datei:Fortigate-vmx-install-91.jpg
Datei:Fortigate-vmx-install-92.jpg
Datei:Fortigate-vmx-install-93.jpg
Datei:Fortigate-vmx-install-94.jpg
Datei:Fortigate-vmx-install-95.jpg
Datei:Fortigate-vmx-install-96.jpg
Datei:Fortigate-vmx-install-97.jpg
Benenne den Distributed Switch um in "DSwitch-DMZ":
Datei:Fortigate-vmx-install-98.jpg
Datei:Fortigate-vmx-install-99.jpg
Erstelle nun für das LAN ebenfalls einen Distributed Switch:
Datei:Fortigate-vmx-install-100.jpg
Datei:Fortigate-vmx-install-101.jpg
Datei:Fortigate-vmx-install-102.jpg
Datei:Fortigate-vmx-install-103.jpg
Datei:Fortigate-vmx-install-104.jpg
Weise dem neuen Distributed Switch "DSwitch-LAN" den Host hinzu sowie einen physischen Adapter (NIC) resp. "vmnic2":
Datei:Fortigate-vmx-install-105.jpg
Datei:Fortigate-vmx-install-106.jpg
Datei:Fortigate-vmx-install-107.jpg
Datei:Fortigate-vmx-install-108.jpg
Datei:Fortigate-vmx-install-109.jpg
Datei:Fortigate-vmx-install-110.jpg
Datei:Fortigate-vmx-install-111.jpg
Datei:Fortigate-vmx-install-112.jpg
Datei:Fortigate-vmx-install-113.jpg
Datei:Fortigate-vmx-install-114.jpg
Im Zusammenhang mit den erstellten Distributed Switches ist es "wichtig" für den späteren Einsatz im Zusammenhang mit NSX Manager die MTU Size "Minimum" auf 1600 zu setzen. Führe dies für beide Distributed Switches durch! Dies wird folgendermassen durchgeführt:
Datei:Fortigate-vmx-install-115.jpg
Datei:Fortigate-vmx-install-116.jpg
Installation des vShield Managers anhand des ova Files (Optional)?
Als nächsten Schritt wird nun der vShield Manager anhand des "ova" Files installiert (VMware-vShield-Manager-5.5.3-2175697.ova). Logge dich in den vSphere Web Client ein und Führe folgendes aus:
https://198.18.0.25:9443/vsphere-client/ Username: root Passwort: [Vergebenes Passwort im vCenter Server]
Datei:Fortigate-vmx-install-117.jpg
Damit das "ova" File installiert werden kann, muss ein "Client Integration Plug-In" installiert werden:
Datei:Fortigate-vmx-install-118.jpg
Schliesse alle aktiven Browser Sessions und installiere das Plug-In:
Datei:Fortigate-vmx-install-119.jpg
Datei:Fortigate-vmx-install-120.jpg
Datei:Fortigate-vmx-install-121.jpg
Nach der Installation logge dich erneut auf den vSphere Client ein:
https://198.18.0.25:9443/vsphere-client/ Username: root Passwort: [Vergebenes Passwort im vCenter Server] NOTE Wenn IE benutzt wird muss der "Geschützte Modus" unter "Internet Optionen > Sicherheit" deaktiviert sein.
Installiere nund das "ova" File und akzeptiere die Meldung für "Integration Access Control" mit "Allow":
Datei:Fortigate-vmx-install-122.jpg
Datei:Fortigate-vmx-install-123.jpg
Datei:Fortigate-vmx-install-124.jpg
Datei:Fortigate-vmx-install-125.jpg
Datei:Fortigate-vmx-install-126.jpg
Datei:Fortigate-vmx-install-127.jpg
Datei:Fortigate-vmx-install-128.jpg
Datei:Fortigate-vmx-install-129.jpg
Stelle sicher, dass sich die Netzwerkkarte des vShield Managers im selben Netzwerk befindet wie die vCenter und der ESXi Host (vSwitch0 Management Netzwerk).
Datei:Fortigate-vmx-install-130.jpg
Datei:Fortigate-vmx-install-131.jpg
Datei:Fortigate-vmx-install-132.jpg
Grundkonfiguration des vShield Managers (Optional)
Der vShield Manager wird für dieses Szenario nicht benötigt. Die VMX Installation basiert wahlweise auf vShield oder NSX, wobei NSX definitiv zu bevorzugen ist weil moderner. Diese Schritte können übersprungen werden und sind nicht notwendig, um ein lauffähiges VMX Szenario zum laufen zu bekommen. Nach dem Deployment: Überprüfe im vCenter die IP Adresse des vShield Managers sowie logge dich auf den vShield Manager anhand folgender Informationen ein:
https://198.18.0.6
Datei:Fortigate-vmx-install-133.jpg NOTE Initial wird "nicht" mit dem vergebenen Passwort eingeloggt das bei der Installation des "ova" File gesetzt wurde sondern mit folgenden Angaben Username: admin Passwort: default Um auf den vShield zu zugreifen muss FireFox benutzt werden, denn bei IE (auch Version 11) gibt es Probleme und dieser scheint gemäss Admin Guide zwar Kompatibel scheint jedoch nicht korrekt zu funktionieren.
Im vShield Manager ändern des Passwortes des User admin:
Datei:Fortigate-vmx-install-134.jpg
Datei:Fortigate-vmx-install-135.jpg
Logge nach dem setzen des neuen "admin" Passwortes erneut ein:
Datei:Fortigate-vmx-install-136.jpg
Vergebe dem vShield Manager nun eine "statische IP" dh. in unsere Fall 198.18.0.6. Dies muss über die Console durchgeführt werden. Starte die Console damit die Konfiguration durchgeführt werden kann
Datei:Fortigate-vmx-install-140.jpg Username: admin Passwort: [Vergebenes Passwort bei der installation des vShield] NOTE Achtung in dieser Console gilt US Tastatur Layout!
Um die "statische IP" zu vergeben führe auf der Console folgendes aus::
manager> enable
Passwort: [Vergebenes Passwort bei der installation des vShield]
manager# setup
IP Address (A.B.C.D): 198.18.0.5
Subnet Mask (A.B.C.D): 255.255.255.224
Default gateway (A.B.C.D): 198.18.0.1
Secondary DNS IP (A.B.C.D): 0.0.0.0
DNS domain search list (space seperted): local.intra
Old configuration will be lost
Do you want to save new configurtion (y/[n]):y
Do you want to reboot now (y/[n]):y
Nach dem Neustart logge dich zur Kontrolle auf die neu "statisch gesetzte IP" ein wobei zu berücksichtigen ist, dass der Service nach dem Neustart einige Zeit benötigt bis eingeloggt werden kann (1 - 2 Minuten):
https://198.18.0.5/ Username: admin Passwort: [Neu gesetztes Passwort im vShield Manager]
Nun muss der vShield anhand Username und Passwort mit dem vCenter IP 198.18.0.25 verbunden werden. Dafür wähle:
Settings & Reports > configuration > vCenter > Edit
Datei:Fortigate-vmx-install-137.jpg
Datei:Fortigate-vmx-install-138.jpg
Datei:Fortigate-vmx-install-139.jpg
Konfiguriere nun im vShield Manager einen NTP Server:
Datei:Fortigate-vmx-install-141.jpg
Datei:Fortigate-vmx-install-142.jpg
Installation des NSX Managers anhand des ova Files sowie Grundkonfiguration
Installiere nun den NSX Manager anhand des "ova" Files "VMware-NSX-Manager-6.1.4-2691049.ova". Führe folgendes durch:
Datei:Fortigate-vmx-install-143.jpg
Datei:Fortigate-vmx-install-144.jpg
Datei:Fortigate-vmx-install-145.jpg
Datei:Fortigate-vmx-install-146.jpg
Datei:Fortigate-vmx-install-147.jpg
Datei:Fortigate-vmx-install-148.jpg
Datei:Fortigate-vmx-install-149.jpg
Datei:Fortigate-vmx-install-150.jpg
Bei der Definition des Netzwerks achte darauf das "VM Network" definiert wird das unser "vSwicht0" darstellt resp. das VMware Management Netzwerk:
Datei:Fortigate-vmx-install-151.jpg
Definiere nun die Passwörter des NXS Managers sowie Statische IP, Default Gateway, DNS sowie NTP Server. Aktiviere ebenfalls den SSH Service:
Datei:Fortigate-vmx-install-152.jpg Datei:Fortigate-vmx-install-153.jpg
Datei:Fortigate-vmx-install-154.jpg
Nach der Installation kontrolliere den Zugriff des NSX Mgmt. Interface übers Web:
https://198.18.0.6/ Username: admin Passwort: [Vergebenes Passwort bei der installation des NSX Managers]
Datei:Fortigate-vmx-install-155.jpg
Gehe auf "Summary" und kontrolliere die Angaben:
Datei:Fortigate-vmx-install-156.jpg
Datei:Fortigate-vmx-install-157.jpg
Als Nächstes integrieren wir das vCenter Server zum NSX Manager dh. als Erstes SSO:
Datei:Fortigate-vmx-install-158.jpg
Datei:Fortigate-vmx-install-159.jpg NOTE Das Passwort das für den SSO Dienst angegeben werden muss wurde definiert im Setup "Wizard" des vCenter Servers: Datei:Fortigate-vmx-install-47.jpg
Datei:Fortigate-vmx-install-160.jpg
Datei:Fortigate-vmx-install-161.jpg
Danach integriere den vCenter Server zum NSX Manager:
Datei:Fortigate-vmx-install-162.jpg
Datei:Fortigate-vmx-install-163.jpg NOTE Das Passwort des User "root" wurde beim Setup des vCenter Server über dessen Web Gui definiert: https://198.18.0.25:5480
Datei:Fortigate-vmx-install-42.jpg
Datei:Fortigate-vmx-install-164.jpg
Datei:Fortigate-vmx-install-165.jpg
Nach der erfologreichen Integration von "SSO" und dem "vCenter Server in den "NSX Manager" schliesse den Browser des "NSX Manager" Session sowie die Browser Session des "vSphere Web Client". Nach 2 - 3 Minuten logge dich erneut ein in in den "vSphere Web Client" und nach erfolgreicher Installation steht ein neuer Menüpunkt im "vSphere Web Client" zur Verfügung "Networking & Security". Dieser Menüpunkt erscheint nicht wenn das lokale "vSphere Client" benutzt wird das es keine Integration des "NSX Managers" im lokalen "vSphere Client" existiert dh. es muss für die weitere Konfiguration zwingend der "vSphere Web Client" benutzt werden:
https://198.18.0.25:9443/vsphere-client/ Username: root Passwort: [Vergebenes Passwort im vCenter Server]
Datei:Fortigate-vmx-install-166.jpg
Datei:Fortigate-vmx-install-167.jpg
Erstellen/Konfigurieren eines Clusters im vCenter Server?
Wie schon zu Beginn erwähnt basiert diese Testinstallation auf einer Standalone Maschine. Um jedoch das Testscenario zu erreichen muss ein Cluster konfiguriert werden. Logge dich auf dem "vSphere Web Clietn" ein und führe für die Konfiguration eines Clusters folgendes durch:
https://198.18.0.25:9443/vsphere-client/ Username: root Passwort: [Vergebenes Passwort im vCenter Server]
Datei:Fortigate-vmx-install-168.jpg
Datei:Fortigate-vmx-install-169.jpg
Datei:Fortigate-vmx-install-170.jpg NOTE Die Aktivierung der "DRS" Funktion (Distributed Resource Scheduler) gilt als Voraussetzung damit später die "FortiGate VMX Instanz" über den "FortiGate VMX Service Manager" deployed werden kann. Wird "DRS" nicht aktiiviert und man versucht ein "ova" File über die übliche Funktion "bereitzustellen" erscheint ein Warnhinweis "ova kann nicht bereitgestellt werden da kein Resourcenpool vorhanden". Da dieser Konfigurationspunkt eine Voraussetzung ist für "FortiGate VMX" Installation wird dies in einem späteren Schritt in dieser Dokumentation nochmals überprüft: FortiGate-VMX:FAQ#Aktivierung.2FUeberpr.C3.BCfung_der_.22DRS.22_Funktion_innerhalb_des_Clusters_f.C3.BCr_VCenter_Server.3F]
Datei:Fortigate-vmx-install-171.jpg
Verschiebe nun den ESXi Server in den neu erstellten "Cluster-1":
Datei:Fortigate-vmx-install-172.jpg
Datei:Fortigate-vmx-install-173.jpg
Danach ergiebt sich folgender Status:
Datei:Fortigate-vmx-install-174.jpg
Installation des "NSX Service" des "NSX Managers" auf den "Cluster-1"?
Nun installiere den "NSX Service" auf den "Cluster-1":
Datei:Fortigate-vmx-install-232.jpg
Datei:Fortigate-vmx-install-233.jpg
Datei:Fortigate-vmx-install-234.jpg
Datei:Fortigate-vmx-install-235.jpg
Konfigurieren eines "NSX Controller" im vCenter für den NSX Manager?
Nun muss ein "NSX Controller" Konfiguriert werden. Dazu benötigt wird ein "Controller IP Pool" anhand des IP Ranges in unserem Beispiel 198.18.0.56/29. Dieser wird benutzt um die Kommunikation zwischen verschiedenen "NSX-Controllern" zu gewährleisten ähnlich eines "Hearbeat Links". Logge dich auf dem "vSphere Web Client" ein und führe folgende Konfiguration durch:
https://198.18.0.25:9443/vsphere-client/ Username: root Passwort: [Vergebenes Passwort im vCenter Server]
Datei:Fortigate-vmx-install-175.jpg
Datei:Fortigate-vmx-install-176.jpg
Datei:Fortigate-vmx-install-177.jpg
Datei:Fortigate-vmx-install-178.jpg
Datei:Fortigate-vmx-install-179.jpg
Datei:Fortigate-vmx-install-180.jpg
Datei:Fortigate-vmx-install-181.jpg
Datei:Fortigate-vmx-install-182.jpg NOTE Bei der Definition des Passwortes muss folgendes berücksichtigt werden: Zeichen 12-255 mind. Alphanumerisch, mind ein Grossbuchstabe/Kleinbuchstabe, Kein Teilpassowort sowie ein Sonderzeichen Ein Beispiel eines Passwortes wäre zB: Dasist1nScheiss! Desweiteren ist zu berücksichtigen, dass dieser "Controller IP-Pool" mit der "NSX Manager IP" in unserem Beispiel 198.18.0.6 kommunizieren kann dh. wenn diese zwei Segmente über eine Firewall geroutet/verbunden sind, muss eine entsprechende Firewall Policy Rule konfiguriert werden die diesen Traffic erlaubt!
Nach der Bestätigung der Konfiguration wird die Komunikation zwischen dem "Controller" (Controller IP Pool) sowie dem "NSX Manager" überprüft und danach abgeschlossen. Dieser Vorgang kann durchaus einige Minuten in Anspruch nehmen:
Datei:Fortigate-vmx-install-183.jpg
Aktivierung/Ueberprüfung der "DRS" Funktion innerhalb des Clusters für VCenter Server?
Als der "Cluster-1" erstellt wurde, wurde die "DRS" (Data Resource Scheduler) nicht aktiviert! Dies bedeutet: Wenn ein "ova" File bereitgestellt wird ohne Aktivierung der "DRS" Funkion innerhalb des Clusters erscheint ein Warninhweis, dass kein Resourcepool vorhanden ist um das "ova" File bereitzustellen. Kontrolliere deshalb die "DRS" Einstellung des "Cluster-1" und aktiviere die Funktion sowie setze diese auf "vollautomatisiert". Das DRS aktiviert wird auf "vollautomatisiert" ist eine Voraussetzung damit "FortiGate VMX Instance" später "deployed" werden kann:
Datei:Fortigate-vmx-install-204.jpg
Datei:Fortigate-vmx-install-205.jpg
Datei:Fortigate-vmx-install-206.jpg
Erstellen eines "Distributed Switches" für "Agent VM Network" (FortiGate VMS Service Manager Sync)?
Das "Agent VM Network" stellt das "sync" Interface/Segement auf der "FortiGate VMX Service Manager" dar. Dieses wird dezidiert für die Komunikation zwischen dem FortiGate VMX Service Manager und jeder FortiGate VMX Instanz benutzt sowie für den Datastore auf dem die FortiGate VMX Instanz "deployed" wird. Dieses "Agent VM Network" muss/wird nicht geroutet. Um einen neuen "Distributed Switch" zu erstellen für das "Agent VM Network" führe folgendes durch:
Datei:Fortigate-vmx-install-212.jpg
Datei:Fortigate-vmx-install-213.jpg
Datei:Fortigate-vmx-install-214.jpg
Datei:Fortigate-vmx-install-215.jpg
Datei:Fortigate-vmx-install-216.jpg
Datei:Fortigate-vmx-install-217.jpg
Dem "Distributed Switch" muss nun der vCenter Host hinzugefügt werden:
Datei:Fortigate-vmx-install-218.jpg
Datei:Fortigate-vmx-install-219.jpg
Datei:Fortigate-vmx-install-220.jpg
Datei:Fortigate-vmx-install-221.jpg
Datei:Fortigate-vmx-install-222.jpg
Datei:Fortigate-vmx-install-223.jpg
Datei:Fortigate-vmx-install-224.jpg
Datei:Fortigate-vmx-install-225.jpg
Datei:Fortigate-vmx-install-226.jpg
Datei:Fortigate-vmx-install-227.jpg
Datei:Fortigate-vmx-install-228.jpg
Konfigurieren des "Agent VM Network" auf dem ESXi Host für die "FortiGate VMX Sync Network"?
Nachdem das "sync" Netzwerk (Distributed Switch) für die "FortiGate VMX Service Manager" konfiguriert wurde, muss das entsprechende "Agent VM settings" auf dem "ESXi Server" erfasst werden. Dieses "Agent VM Network" wird dezidiert für die Komunikation zwischen dem "FortiGate VMX Service Manager" und jeder "FortiGate VMX Instanz" benutzt sowie für den "Datastore" auf dem die "FortiGate VMX Instanz" "deployed" wird. Dieses "Agent VM Netzwerk" muss nicht geroutet werden da die Komunikation exklusiv für "FortiGate VMX Service Manager", "FortiGate VMX Instanz" sowie "Datastore" der VMX Instanzen benutzt wird. Jedoch muss auf dem "sync" Interface des "FortiGate VMX Service Manager" in einem späteren Schritt ein "DHCP Server" aktiviert werden. Führe folgendes aus:
Datei:Fortigate-vmx-install-229.jpg
Datei:Fortigate-vmx-install-230.jpg
Datei:Fortigate-vmx-install-231.jpg
Installation des "FortiGate VMX Service Manager" anhand ova File sowie Grundkonfiguration?
Der FortiGate VMX Service Manager wird anhand eines "zip" Files installiert. Im "zip" File enthalten ist das entsprechende "ova" File für die Installation des FortiGate VMX Service Manager. Vor den nächste Schritten entpacke lokal auf dem Client das "zip" File "FGT_VM64_SVM-v5-build8542-FORTINET.out.ovf.zip" danach führe folgendes aus:
Datei:Fortigate-vmx-install-184.jpg
Datei:Fortigate-vmx-install-185.jpg
Datei:Fortigate-vmx-install-186.jpg
Datei:Fortigate-vmx-install-187.jpg
Datei:Fortigate-vmx-install-188.jpg
Datei:Fortigate-vmx-install-189.jpg
Datei:Fortigate-vmx-install-190.jpg
Datei:Fortigate-vmx-install-191.jpg
Beim nächsten Schritt muss das Netzwerk definiert werden. Dabei benötigt der FortiGate VMX Service Manager ein "Agent Sync" Netzwerk das dazu benutzt wird mit den FortiGate VMX Instanzen zu kommunizieren. Dabei definiere wir für beide Netzwerke "VM Network" dh. "vSwitch0" was wiederum unser "Management Netzwerk" darstellt:
Datei:Fortigate-vmx-install-192.jpg
Datei:Fortigate-vmx-install-193.jpg
Die Instance des FortiGate Service Managers wurde nicht automatisch aktiviert dh. da "DRS" in unserem Beispiel auf "manuell" steht holen wir dies nun nach:
Datei:Fortigate-vmx-install-194.jpg
Der FortiGate VMX Manager besitzt zwei NIC's. Diese sind nicht konfiguriert sprich keine IP Adresse ist gesetzt. Um die Grundkonfiguration durchzuführen benützen wir die Console resp. die CLI des FortiGate VMX Managers. Führe folgendes aus:
Datei:Fortigate-vmx-install-196.jpg NOTE Logge dich auf der Console ein mit folgenden Angaben: Username: admin Passwort: [Kein Passwort]
Für den Management Zugriff benutzen wir das Interface "mgmt". Setze eine statische IP in unserem Beispiel 198.18.0.4:
# config global
# config system interface
# edit mgmt
# set ip 198.18.0.4/27
# set allowaccess https ssh ping
# end
# end
Der FortiGate VMX Service Manager muss über das Interface "mgmt" für die Registrierung der Linzenz und Updates Zugriff auf das Internet erlangen. Setze die entsprechende Route für das Interface "mgmt" in der "VDom root" in das Interface "mgmt" Mietglied ist (Per Standard):
# config vdom
# edit root
# config router static
# edit 1
# set gateway 198.18.0.1
# set device mgmt
# end
# end
Das logging ist für "Vdom root" (NAT Firewall) sowie "VDOM netx" (Transparent Firewall) per Standard auf "disk" gesetzt. Aktiviere zusätzliche Logs für beide Instanzen:
# config vdom
# edit root
# config log setting
# set resolve-ip enable
# set fwpolicy-implicit-log enable
# set local-in-allow enable
# set local-out enable
# end
# config vdom
# edit netx
# config log setting
# set resolve-ip enable
# set fwpolicy-implicit-log enable
# set local-in-allow enable
# set local-out enable
# end
Nun kann anhand der gesetzten "statischen IP" auf den FGT Service Manager eingeloggt werden:
https://198.18.0.4 Username: admin Passwort: [Kein Passwort]
Nachdem einloggen erscheitn ein "Lizenz Hinweis". Gebe das entsprechende "License File" (Beispiel: FGTVMX0000000127.lic) an damit der "FGT Service Manager" korrekt lizensiert wird. Nachdem einspielen des "License File" wird ein Neustart ausgeführt! Nach dem Neustart kann es einige Minuten dauern bis der Zugriff auf das Web Mgmt. Interface erlaubt wird. Dies geschieht erst dann wenn die Lizenz in FortiGuard verifiziert wurde! Achte ebenfalls darauf das bevor auf das Web Mgmt. Interface zu gegriffen wird der Cache des Browsers gelöscht wird da die Zertifikats Informationen sich durch die Einspielung der Lizenz verändern!
NOTE Es ist "fundamental" Wichtig das der "FortiGate VMX Service Manager" Zugriff erlangt auf das Internet um das
"License File" zu verifizieren sowie bei Fortinet zu registrieren. Dabei spielt DNS Auflösung eine entscheidende
Rolle dh. per Standard sind auf dem "FortiGate VMX Service Manager" DNS Server von FortiGuard definiert die Ihren
Zweck erfüllen um FortiGuard für die Registrierung der Lizenz zu erreichen. Kommt es zu Problemen mit der DNS
Resolution sollte diese überprüft werden und zwar folgendermassen:
# config vdom
# edit root
# execute ping update.fortiguard.net
# end
Ist der Server nicht erreichbar da dieser nicht aufgelöst werden kann überprüfe die DNS Einstellungen:
# config global
# diagnose test app dnsproxy -1
# end
Soll manuell ein DNS Server gesetzt werden kann dies folgendermassen durchgeführt werden:
# config global
# config System dns
# set primary 198.18.0.1
# end
# end
# end
Um nach der Konfiguration ein Update zu erzwingen führe folgendes aus:
# config global
# execute update-now
# end
Sobald die Lizenz verifiziert wurde und der Zugriff zum Web Mgmt. Interface gewährleistet ist konfiguriere auf dem "FGT VMX Service Manager" eine korrekten NTP sowie die Zeitzone:
Datei:Fortigate-vmx-install-197.jpg
Datei:Fortigate-vmx-install-198.jpg
Setze danach ein Passwort für den User "admin":
Datei:Fortigate-vmx-install-199.jpg
Datei:Fortigate-vmx-install-200.jpg
Aender den FortiGuard Port von "53" auf "8888":
Datei:Fortigate-vmx-install-236.jpg
Konfiguriere den entsprechenden DNS Server in unserem Fall 198.18.0.1:
Datei:Fortigate-vmx-install-237.jpg
Danach setze in der "Global Zone" innerhalb der Interfaces für das Interfac "sync" eine IP sowie aktiviere in diesem Interface den DHCP Server. In unserem Fall benützen wir den IP Range 198.18.0.65/29. Dieses "sync" gewährleistet die Komunikation zwischen dem "FortiGate VMX Service Manager" sowie den "FortiGate VMX Instanz" dh. es ist zu vergleichen mit einem "Heartbeat Link":
NOTE Im Grundsatz muss dieses "sync" Netzwerk nicht geroutet werden. Je nach Einsatz ist es jedoch zu
empfehlen dieser IP Range zu routen!
Datei:Fortigate-vmx-install-201.jpg
Datei:Fortigate-vmx-install-202.jpg
Vorbereitung und Deployment der "FortiGate VMX Instanz" anhand ova File?
Nun muss der "FortiGate VMX Service Manager" mit dem vCenter sowie mit dem "NSX Manager" verbunden werden. Dazu muss folgende Seite konfiguriert werden:
Datei:Fortigate-vmx-install-240.jpg
Damit das "ovf" File der "FortiGate VMX Instanz" deployed werden kann muss das entsprechende "zip" File "FGT_VM64_VMX-v5-build8542-FORTINET.out.ovf.zip" entpackt werden und der Inhalt auf einen WebServer gespielt werden. In unserem Beispiel wäre dies:
http://alsochlu-web.also-solutions.local.intra/vmx/FortiGate-VMX.ovf
Sobald der "FortiGate VMX Service Manager" Kontakt aufgenommen hat werden zusäztliche Informationen vom vCenter zum "FortiGgate VMX Service Manager" gespielt. Die zuständigen Befehle auf Kommandozeile betreffend der Verbindung wären folgende:
# config global
# config netx setting
# set status disable
# set rest-sport 9443
# set rest-interface mgmt
# set vcenter-hostname "198.18.0.25"
# set vcenter-username "root"
# set vcenter-password "only4also"
# set netx-manager-hostname "198.18.0.6"
# set netx-manager-username "admin"
# set netx-manager-password "only4also"
# set vmx-image-url "http://alsochlu-web.also-solutions.local.intra/vmx/FortiGate-VMX.ovf"
# end
# end
Per Standard wird für "config netx setting" der Status auf "disable" gesetzt. Nun müssen die einzelnen Status Informationen überprüft werden sowie der Firewall Service in den entsprechenden "vDSwitches" aktiviert werden. Dies wird folgendermasse durchgeführt:
NOTE Die einzelnen Informationen in der Konfiguration sollten nicht manuell manpuliert werden da diese
vom vCenter stammen! Aktiviere/Deaktiviere nur in den einzelnen Konfigurationen den "Firewall"
Service!
# config global
# config netx
cluster List of NetX Clusters.
datacenter List of datacenters.
dvportgroup List of NetX dvPortGroups.
dvswitch List of NetX dvSwitch.
setting Configure system NetX information.
# config netx cluster
# get
== [ domain-c61 ]
id: domain-c61 firewall-service: disable status: present
# edit domain-c61
# set firewall enable
# end
# config netx datacenter
# get
== [ datacenter-2 ]
id: datacenter-2 status: present
# end
# config netx dvportgroup
# get
== [ dvportgroup-54 ]
id: dvportgroup-54 firewall-service: disable status: present
== [ dvportgroup-58 ]
id: dvportgroup-58 firewall-service: disable status: present
== [ dvportgroup-83 ]
id: dvportgroup-83 firewall-service: disable status: present
# edit dvportgroup-54
# set firewall-service enable
# next
# edit dvportgroup-58
# set firewall-service enable
# next
# edit dvportgroup-83
# set firewall-service enable
# next
# end
# config netx dvswitch
# get
== [ dvs-52 ]
id: dvs-52 status: present
== [ dvs-56 ]
id: dvs-56 status: present
== [ dvs-81 ]
id: dvs-81 status: present
# end
Die Status Informationen sowie der Firewall Status ist in der Konfiguration nun gesetzt. Damit das Ganze mitverfolgt werden kann sprich das Deployment, Erstelle anhand des "local" vSphere Client eine Verbindung zum vCenter. Die Informationen resp. Logging des Deployment werden im vSphere Web Client nicht abgebildet. Zusätzlich erstelle eine SSH Verbindung zum "FortiGate Service Manager" und aktiviere den Debug Modus:
# config global
# diagnose debug application netx -1
# diagnose debug enable
Mit geöffnetem "local" vSphere Client sowie SSH mit aktivieren Debug Mode führe folgendes Kommando aus der das Deployment aktiviert:
# config global
# config netx setting
# set status enable
# end
Danach wird in der SSH Console mit aktivierten Debug folgendes angezeigt:
netx_main.c[71] netx_diag_test: diagnose command 1 received
netx_rest_client.c[1283] netx_update_service: Updating NetX Service
netx_rest_client.c[1308] netx_update_service: cluster num:1 dvpg num:3
netx_rest_client.c[779] netx_rest_send_request: send request content:3 tag:36
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <serviceManager> - cmplx
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <description> - string
netx_rest_compose.c[970] __compose_tag: </description> - string
netx_rest_compose.c[974] __compose_tag: <objectTypeName> - parent
netx_rest_compose.c[974] __compose_tag: </objectTypeName> - parent
netx_rest_compose.c[970] __compose_tag: <thumbprint> - string
netx_rest_compose.c[970] __compose_tag: </thumbprint> - string
netx_rest_compose.c[970] __compose_tag: <login> - string
netx_rest_compose.c[970] __compose_tag: </login> - string
netx_rest_compose.c[970] __compose_tag: <password> - string
netx_rest_compose.c[970] __compose_tag: </password> - string
netx_rest_compose.c[970] __compose_tag: <verifyPassword> - string
netx_rest_compose.c[970] __compose_tag: </verifyPassword> - string
netx_rest_compose.c[970] __compose_tag: <url> - string
netx_rest_compose.c[970] __compose_tag: </url> - string
netx_rest_compose.c[970] __compose_tag: <restUrl> - string
netx_rest_compose.c[970] __compose_tag: </restUrl> - string
netx_rest_compose.c[966] __compose_tag: <status> - option
netx_rest_compose.c[966] __compose_tag: </status> - option
netx_rest_compose.c[952] __compose_tag: </serviceManager> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[515] sock_func: Socket bound to vdom 0
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[1311] netx_update_service: service manager:6
netx_rest_client.c[779] netx_rest_send_request: send request content:8 tag:0
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <serviceManagerStatus> - cmplx
netx_rest_compose.c[966] __compose_tag: <status> - option
netx_rest_compose.c[966] __compose_tag: </status> - option
netx_rest_compose.c[952] __compose_tag: </serviceManagerStatus> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[779] netx_rest_send_request: send request content:9 tag:32
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <service> - cmplx
netx_rest_compose.c[952] __compose_tag: <type> - cmplx
netx_rest_compose.c[974] __compose_tag: <typeName> - parent
netx_rest_compose.c[974] __compose_tag: </typeName> - parent
netx_rest_compose.c[952] __compose_tag: </type> - cmplx
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[962] __compose_tag: <revision> - integer
netx_rest_compose.c[962] __compose_tag: </revision> - integer
netx_rest_compose.c[974] __compose_tag: <objectTypeName> - parent
netx_rest_compose.c[974] __compose_tag: </objectTypeName> - parent
netx_rest_compose.c[970] __compose_tag: <category> - string
netx_rest_compose.c[970] __compose_tag: </category> - string
netx_rest_compose.c[952] __compose_tag: <serviceManager> - cmplx
netx_rest_compose.c[974] __compose_tag: <objectId> - parent
netx_rest_compose.c[974] __compose_tag: </objectId> - parent
netx_rest_compose.c[952] __compose_tag: <type> - cmplx
netx_rest_compose.c[974] __compose_tag: <typeName> - parent
netx_rest_compose.c[974] __compose_tag: </typeName> - parent
netx_rest_compose.c[952] __compose_tag: </type> - cmplx
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <description> - string
netx_rest_compose.c[970] __compose_tag: </description> - string
netx_rest_compose.c[962] __compose_tag: <revision> - integer
netx_rest_compose.c[962] __compose_tag: </revision> - integer
netx_rest_compose.c[974] __compose_tag: <objectTypeName> - parent
netx_rest_compose.c[974] __compose_tag: </objectTypeName> - parent
netx_rest_compose.c[952] __compose_tag: </serviceManager> - cmplx
netx_rest_compose.c[966] __compose_tag: <state> - option
netx_rest_compose.c[966] __compose_tag: </state> - option
netx_rest_compose.c[966] __compose_tag: <status> - option
netx_rest_compose.c[966] __compose_tag: </status> - option
netx_rest_compose.c[952] __compose_tag: <serviceAttributes> - cmplx
netx_rest_compose.c[962] __compose_tag: <revision> - integer
netx_rest_compose.c[962] __compose_tag: </revision> - integer
netx_rest_compose.c[952] __compose_tag: <attribute> - cmplx
netx_rest_compose.c[970] __compose_tag: <key> - string
netx_rest_compose.c[970] __compose_tag: </key> - string
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <value> - string
netx_rest_compose.c[970] __compose_tag: </value> - string
netx_rest_compose.c[952] __compose_tag: </attribute> - cmplx
netx_rest_compose.c[952] __compose_tag: <attribute> - cmplx
netx_rest_compose.c[970] __compose_tag: <key> - string
netx_rest_compose.c[970] __compose_tag: </key> - string
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <value> - string
netx_rest_compose.c[970] __compose_tag: </value> - string
netx_rest_compose.c[952] __compose_tag: </attribute> - cmplx
netx_rest_compose.c[952] __compose_tag: <attribute> - cmplx
netx_rest_compose.c[970] __compose_tag: <key> - string
netx_rest_compose.c[970] __compose_tag: </key> - string
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <value> - string
netx_rest_compose.c[970] __compose_tag: </value> - string
netx_rest_compose.c[952] __compose_tag: </attribute> - cmplx
netx_rest_compose.c[952] __compose_tag: </serviceAttributes> - cmplx
netx_rest_compose.c[952] __compose_tag: <vendorTemplates> - cmplx
netx_rest_compose.c[952] __compose_tag: <usedBy> - cmplx
netx_rest_compose.c[952] __compose_tag: </service> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[1322] netx_update_service: service:8
netx_rest_client.c[779] netx_rest_send_request: send request content:47 tag:0
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <serviceStatus> - cmplx
netx_rest_compose.c[966] __compose_tag: <status> - option
netx_rest_compose.c[966] __compose_tag: </status> - option
netx_rest_compose.c[952] __compose_tag: </serviceStatus> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[779] netx_rest_send_request: send request content:25 tag:58
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <vendorTemplate> - cmplx
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <description> - string
netx_rest_compose.c[970] __compose_tag: </description> - string
netx_rest_compose.c[970] __compose_tag: <idFromVendor> - string
netx_rest_compose.c[970] __compose_tag: </idFromVendor> - string
netx_rest_compose.c[952] __compose_tag: <vendorAttributes> - cmplx
netx_rest_compose.c[952] __compose_tag: <attribute> - cmplx
netx_rest_compose.c[970] __compose_tag: <key> - string
netx_rest_compose.c[970] __compose_tag: </key> - string
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <value> - string
netx_rest_compose.c[970] __compose_tag: </value> - string
netx_rest_compose.c[952] __compose_tag: </attribute> - cmplx
netx_rest_compose.c[952] __compose_tag: </vendorAttributes> - cmplx
netx_rest_compose.c[952] __compose_tag: </vendorTemplate> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[1334] netx_update_service: template:316
netx_rest_client.c[779] netx_rest_send_request: send request content:17 tag:58
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <versionedDeploymentSpec> - cmplx
netx_rest_compose.c[970] __compose_tag: <hostVersion> - string
netx_rest_compose.c[970] __compose_tag: </hostVersion> - string
netx_rest_compose.c[970] __compose_tag: <ovfUrl> - string
netx_rest_compose.c[970] __compose_tag: </ovfUrl> - string
netx_rest_compose.c[966] __compose_tag: <vmciEnabled> - option
netx_rest_compose.c[966] __compose_tag: </vmciEnabled> - option
netx_rest_compose.c[952] __compose_tag: </versionedDeploymentSpec> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[1343] netx_update_service: spec1:319
netx_rest_client.c[779] netx_rest_send_request: send request content:17 tag:58
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <versionedDeploymentSpec> - cmplx
netx_rest_compose.c[970] __compose_tag: <hostVersion> - string
netx_rest_compose.c[970] __compose_tag: </hostVersion> - string
netx_rest_compose.c[970] __compose_tag: <ovfUrl> - string
netx_rest_compose.c[970] __compose_tag: </ovfUrl> - string
netx_rest_compose.c[966] __compose_tag: <vmciEnabled> - option
netx_rest_compose.c[966] __compose_tag: </vmciEnabled> - option
netx_rest_compose.c[952] __compose_tag: </versionedDeploymentSpec> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[1352] netx_update_service: spec2:320
netx_rest_client.c[1033] netx_set_svc_deploy_scope: set deploy scope:8 cluster num:1
netx_rest_client.c[779] netx_rest_send_request: send request content:15 tag:0
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <set> - cmplx
netx_rest_compose.c[974] __compose_tag: <string> - parent
netx_rest_compose.c[974] __compose_tag: </string> - parent
netx_rest_compose.c[952] __compose_tag: </set> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[1033] netx_set_svc_deploy_scope: set deploy scope:1 cluster num:1
netx_rest_client.c[779] netx_rest_send_request: send request content:15 tag:0
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <set> - cmplx
netx_rest_compose.c[974] __compose_tag: <string> - parent
netx_rest_compose.c[974] __compose_tag: </string> - parent
netx_rest_compose.c[952] __compose_tag: </set> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[779] netx_rest_send_request: send request content:11 tag:0
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <?xml version="1.0" encoding="UTF-8"?>
netx_rest_parse.c[1169] __parse_tag: <service> - complex
netx_rest_parse.c[1191] __parse_tag: <objectId> - parent
netx_rest_parse.c[1191] __parse_tag: </objectId> - parent
netx_rest_parse.c[1124] search_match_tag: reordering tag <objectTypeName>
netx_rest_parse.c[1191] __parse_tag: <objectTypeName> - parent
netx_rest_parse.c[1191] __parse_tag: </objectTypeName> - parent
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <vsmUuid>
netx_rest_parse.c[1124] search_match_tag: reordering tag <revision>
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1124] search_match_tag: reordering tag <type>
netx_rest_parse.c[1169] __parse_tag: <type> - complex
netx_rest_parse.c[1191] __parse_tag: <typeName> - parent
netx_rest_parse.c[1191] __parse_tag: </typeName> - parent
netx_rest_parse.c[1169] __parse_tag: </type> - complex
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <clientHandle>
netx_rest_parse.c[1169] __parse_tag: <extendedAttributes> - complex
netx_rest_parse.c[1187] __parse_tag: <category> - string
netx_rest_parse.c[1187] __parse_tag: </category> - string
netx_rest_parse.c[1169] __parse_tag: <serviceManager> - complex
netx_rest_parse.c[1191] __parse_tag: <objectId> - parent
netx_rest_parse.c[1191] __parse_tag: </objectId> - parent
netx_rest_parse.c[1124] search_match_tag: reordering tag <objectTypeName>
netx_rest_parse.c[1191] __parse_tag: <objectTypeName> - parent
netx_rest_parse.c[1191] __parse_tag: </objectTypeName> - parent
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <vsmUuid>
netx_rest_parse.c[1124] search_match_tag: reordering tag <revision>
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1124] search_match_tag: reordering tag <type>
netx_rest_parse.c[1169] __parse_tag: <type> - complex
netx_rest_parse.c[1191] __parse_tag: <typeName> - parent
netx_rest_parse.c[1191] __parse_tag: </typeName> - parent
netx_rest_parse.c[1169] __parse_tag: </type> - complex
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <description> - string
netx_rest_parse.c[1187] __parse_tag: </description> - string
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <clientHandle>
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <extendedAttributes/>
netx_rest_parse.c[1169] __parse_tag: </serviceManager> - complex
netx_rest_parse.c[1183] __parse_tag: <state> - option
netx_rest_parse.c[1183] __parse_tag: </state> - option
netx_rest_parse.c[1183] __parse_tag: <status> - option
netx_rest_parse.c[1183] __parse_tag: </status> - option
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <precedence>
netx_rest_parse.c[1169] __parse_tag: <serviceAttributes> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <key> - string
netx_rest_parse.c[1187] __parse_tag: </key> - string
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <value> - string
netx_rest_parse.c[1187] __parse_tag: </value> - string
netx_rest_parse.c[1169] __parse_tag: </attribute> - complex
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <key> - string
netx_rest_parse.c[1187] __parse_tag: </key> - string
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <value> - string
netx_rest_parse.c[1187] __parse_tag: </value> - string
netx_rest_parse.c[1169] __parse_tag: </attribute> - complex
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <key> - string
netx_rest_parse.c[1187] __parse_tag: </key> - string
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <value> - string
netx_rest_parse.c[1187] __parse_tag: </value> - string
netx_rest_parse.c[1169] __parse_tag: </attribute> - complex
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[348] __match_tag: tag not match
netx_rest_parse.c[372] __match_tag: tag mismatch at /serviceAttributes><vendo
netx_rest_parse.c[1169] __parse_tag: </serviceAttributes> - complex
netx_rest_parse.c[1169] __parse_tag: <vendorTemplates> - complex
netx_rest_parse.c[1169] __parse_tag: <usedBy> - complex
netx_rest_parse.c[1079] __skip_tag: skippnetx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[779] netx_rest_send_request: send request content:11 tag:0
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <?xml version="1.0" encoding="UTF-8"?>
netx_rest_parse.c[1169] __parse_tag: <service> - complex
netx_rest_parse.c[1191] __parse_tag: <objectId> - parent
netx_rest_parse.c[1191] __parse_tag: </objectId> - parent
netx_rest_parse.c[1124] search_match_tag: reordering tag <objectTypeName>
netx_rest_parse.c[1191] __parse_tag: <objectTypeName> - parent
netx_rest_parse.c[1191] __parse_tag: </objectTypeName> - parent
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <vsmUuid>
netx_rest_parse.c[1124] search_match_tag: reordering tag <revision>
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1124] search_match_tag: reordering tag <type>
netx_rest_parse.c[1169] __parse_tag: <type> - complex
netx_rest_parse.c[1191] __parse_tag: <typeName> - parent
netx_rest_parse.c[1191] __parse_tag: </typeName> - parent
netx_rest_parse.c[1169] __parse_tag: </type> - complex
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <clientHandle>
netx_rest_parse.c[1169] __parse_tag: <extendedAttributes> - complex
netx_rest_parse.c[1187] __parse_tag: <category> - string
netx_rest_parse.c[1187] __parse_tag: </category> - string
netx_rest_parse.c[1169] __parse_tag: <serviceManager> - complex
netx_rest_parse.c[1191] __parse_tag: <objectId> - parent
netx_rest_parse.c[1191] __parse_tag: </objectId> - parent
netx_rest_parse.c[1124] search_match_tag: reordering tag <objectTypeName>
netx_rest_parse.c[1191] __parse_tag: <objectTypeName> - parent
netx_rest_parse.c[1191] __parse_tag: </objectTypeName> - parent
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <vsmUuid>
netx_rest_parse.c[1124] search_match_tag: reordering tag <revision>
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1124] search_match_tag: reordering tag <type>
netx_rest_parse.c[1169] __parse_tag: <type> - complex
netx_rest_parse.c[1191] __parse_tag: <typeName> - parent
netx_rest_parse.c[1191] __parse_tag: </typeName> - parent
netx_rest_parse.c[1169] __parse_tag: </type> - complex
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <description> - string
netx_rest_parse.c[1187] __parse_tag: </description> - string
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <clientHandle>
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <extendedAttributes/>
netx_rest_parse.c[1169] __parse_tag: </serviceManager> - complex
netx_rest_parse.c[1183] __parse_tag: <state> - option
netx_rest_parse.c[1183] __parse_tag: </state> - option
netx_rest_parse.c[1183] __parse_tag: <status> - option
netx_rest_parse.c[1183] __parse_tag: </status> - option
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <precedence>
netx_rest_parse.c[1169] __parse_tag: <serviceAttributes> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <key> - string
netx_rest_parse.c[1187] __parse_tag: </key> - string
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <value> - string
netx_rest_parse.c[1187] __parse_tag: </value> - string
netx_rest_parse.c[1169] __parse_tag: </attribute> - complex
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <key> - string
netx_rest_parse.c[1187] __parse_tag: </key> - string
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <value> - string
netx_rest_parse.c[1187] __parse_tag: </value> - string
netx_rest_parse.c[1169] __parse_tag: </attribute> - complex
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <key> - string
netx_rest_parse.c[1187] __parse_tag: </key> - string
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <value> - string
netx_rest_parse.c[1187] __parse_tag: </value> - string
netx_rest_parse.c[1169] __parse_tag: </attribute> - complex
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <key> - string
netx_rest_parse.c[1187] __parse_tag: </key> - string
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <value> - string
netx_rest_parse.c[1187] __parse_tag: </value> - string
netx_rest_parse.c[1169] __parse_tag: </attribute> - complex
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[348] __match_tag: tag not match
netx_rest_parse.c[372] __match_tag: tag mismatch at /serviceAttributes><vendo
netx_rest_parse.c[1169] __parse_tag: </serviceAttributes> - complex
netx_rest_parse.c[1169] __parse_tag: <vendorTemplates> - complex
netx_rest_parse.c[356] __match_tag: tag not match
netx_rest_parse.c[372] __match_tag: tag mismatch at ><vendorTemplate><id>316<
netx_rest_parse.c[1169] __parse_tag: <vendorTemplate> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <description> - string
netx_rest_parse.c[1187] __parse_tag: </description> - string
netx_rest_parse.c[1187] __parse_tag: <idFromVendor> - string
netx_rest_parse.c[1187] __parse_tag: </idFromVendor> - string
netx_rest_parse.c[1169] __parse_tag: <vendorAttributes> - complex
netx_rest_parse.c[356] __match_tag: tag not match
netx_rest_parse.c[372] __match_tag: tag mismatch at ><id>317</id><revision>0<
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[1179] __parse_tag: <id> - integer
netx_rest_parse.c[1179] __parse_tag: </id> - integer
netx_rest_parse.c[1179] __parse_tag: <revision> - integer
netx_rest_parse.c[1179] __parse_tag: </revision> - integer
netx_rest_parse.c[1187] __parse_tag: <key> - string
netx_rest_parse.c[1187] __parse_tag: </key> - string
netx_rest_parse.c[1187] __parse_tag: <name> - string
netx_rest_parse.c[1187] __parse_tag: </name> - string
netx_rest_parse.c[1187] __parse_tag: <value> - string
netx_rest_parse.c[1187] __parse_tag: </value> - string
netx_rest_parse.c[1169] __parse_tag: </attribute> - complex
netx_rest_parse.c[1169] __parse_tag: <attribute> - complex
netx_rest_parse.c[348] __match_tag: tag not match
netx_rest_parse.c[372] __match_tag: tag mismatch at /vendorAttributes></vendo
netx_rest_parse.c[1169] __parse_tag: </vendorAttributes> - complex
netx_rest_parse.c[1169] __parse_tag: </vendorTemplate> - complex
netx_rest_parse.c[1169] __parse_tag: <vendorTemplate> - complex
netx_rest_parse.c[348] __match_tag: tag not match
netx_rest_parse.c[372] __match_tag: tag mismatch at /vendorTemplates><usedBy/
netx_rest_parse.c[1169] __parse_tag: </vendorTemplates> - complex
netx_rest_parse.c[1169] __parse_tag: <usedBy> - complex
netx_rest_parse.c[1079] __skip_tag: skipped unknown tag <internalService>
netx_rest_parse.c[1169] __parse_tag: </service> - complex
netx_rest_parse.c[1155] __parse_tag: last tag done: 0
netx_rest_client.c[1056] netx_install_svc: install service:8
netx_rest_client.c[779] netx_rest_send_request: send request content:18 tag:0
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[779] netx_rest_send_request: send request content:30 tag:39
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <serviceProfile> - cmplx
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <description> - string
netx_rest_compose.c[970] __compose_tag: </description> - string
netx_rest_compose.c[952] __compose_tag: <service> - cmplx
netx_rest_compose.c[974] __compose_tag: <objectId> - parent
netx_rest_compose.c[974] __compose_tag: </objectId> - parent
netx_rest_compose.c[952] __compose_tag: </service> - cmplx
netx_rest_compose.c[952] __compose_tag: <vendorTemplate> - cmplx
netx_rest_compose.c[962] __compose_tag: <id> - integer
netx_rest_compose.c[962] __compose_tag: </id> - integer
netx_rest_compose.c[970] __compose_tag: <name> - string
netx_rest_compose.c[970] __compose_tag: </name> - string
netx_rest_compose.c[970] __compose_tag: <description> - string
netx_rest_compose.c[970] __compose_tag: </description> - string
netx_rest_compose.c[970] __compose_tag: <idFromVendor> - string
netx_rest_compose.c[970] __compose_tag: </idFromVendor> - string
netx_rest_compose.c[952] __compose_tag: </vendorTemplate> - cmplx
netx_rest_compose.c[952] __compose_tag: <profileAttributes> - cmplx
netx_rest_compose.c[952] __compose_tag: </profileAttributes> - cmplx
netx_rest_compose.c[952] __compose_tag: <vendorAttributes> - cmplx
netx_rest_compose.c[952] __compose_tag: </vendorAttributes> - cmplx
netx_rest_compose.c[952] __compose_tag: </serviceProfile> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
netx_rest_client.c[1400] netx_update_service: profile:2
netx_rest_client.c[1407] netx_update_service: bind profile:2 dvpg num:3
netx_rest_client.c[779] netx_rest_send_request: send request content:37 tag:0
netx_rest_compose.c[1011] netx_rest_compose_object: start composing REST API request
netx_rest_compose.c[952] __compose_tag: <serviceProfileBinding> - cmplx
netx_rest_compose.c[952] __compose_tag: <excludedVnics> - cmplx
netx_rest_compose.c[952] __compose_tag: </excludedVnics> - cmplx
netx_rest_compose.c[952] __compose_tag: <virtualWires> - cmplx
netx_rest_compose.c[952] __compose_tag: <distributedVirtualPortGroups> - cmplx
netx_rest_compose.c[974] __compose_tag: <string> - parent
netx_rest_compose.c[974] __compose_tag: </string> - parent
netx_rest_compose.c[974] __compose_tag: <string> - parent
netx_rest_compose.c[974] __compose_tag: </string> - parent
netx_rest_compose.c[974] __compose_tag: <string> - parent
netx_rest_compose.c[974] __compose_tag: </string> - parent
netx_rest_compose.c[952] __compose_tag: </distributedVirtualPortGroups> - cmplx
netx_rest_compose.c[952] __compose_tag: </serviceProfileBinding> - cmplx
netx_rest_client.c[716] netx_rest_request_push: curl start
netx_rest_client.c[718] netx_rest_request_push: curl finished
Auf dem "local" vSphere Client wird folgendes Protokolliert:
Datei:Fortigate-vmx-install-238.jpg
Unter dem vCenter Web Client ist nun das erfolgreiche Deployment der "FortiGate VMX Instanz" ersichtlich:
Datei:Fortigate-vmx-install-239.jpg
Konfigurieren eine Firewall Policy Rule für "vDSwitch-DMZ" "external" sowie "internal"?
Im "vDSwtich-DMZ" existieren unsere zwei Testserver "centos-Linux" (10.10.10.2) sowie "centos-Linux-1" (10.10.10.3). Anhand von einer Firewall Policy Rule wird nachfolgend der Traffic innerhalb des "vDSwitch-DMZ" zwischen den zwei Testservern erlaubt oder geblockt. Dabei ist zu berücksichtigen, dass zu diesem Zeitpunkt auf der Transparent Firewall (FortiGate VMX Instanz) resp. VDom "netx" auf dem "FortiGate VMX Service Manager" nur anhand "internal" und "external" konfiguriert werden kann und nicht anhand den Interface's resp. "vDswitch-DMZ Uplinks". Eine spätere Implementierung der "FortiGate VMX" wird dies ermöglichen. Ebenso ist zu berücksichtigen, dass das "sync" Interface technisch gesehen auf einem HA Implementierung funktioniert. Dies bedeutet: Die Debug Befehle für HA stehen zur verfügung jedoch nicht die HA Konfigurtions-Befehle. Wenn eine Firewall Policy Rule auf einem "FortiGate VMX Service Manager" konfiguriert wird kann auf der "FortiGate VMX Instanz" der "sync" anhand eine SSH Verbindung kontrolliert werden. Damit dies durchgeführt werden kann muss zuerst eruiert werden welche IP der "FortiGate VMX Instanz" zugewiesen wurden. Führe auf dem "FortiGate VMX Service Manager" folgendes durch:
# config vdom
# edit root
# execute dhcp lease-list
sync
IP MAC-Address Hostname VCI Expiry
198.18.0.66 00:50:56:ad:5a:83 FortiGate-VMX FortiGate-VMX Thu Sep 10 15:02:53 2015
Nun kann eine SSH Verbindung erstellt werden sofern auf der "FortiGate VMX Instanz" SSH aktiviert wurde. Ist dies nicht der Fall öffne im vCenter für die "fortiGate VMX Instanz" die Console und konfiguriere folgendes:
# config vdom
# edit root
# config System Interface
# edit sync
# set allowaccess ssh ping
# end
# end
Setze auf der "FortiGate VMX Instanz" ein Passwort für User "admin" damit mit SSH eingeloggt werden kann da "kein" Passwort nicht akzeptiert wird:
# config vdom
# edit root
# config system admin
# edit admin
# set password "Password"
# end
# end
Nun kann über den "FortiGate VMX Service Manager" eingeloggt werden:
# execute ssh admin@198.18.0.66
admin@198.18.0.66's password:
Es ist zu berücksichtigen das der Sync Prozess automatisch nur über Console angzeigt wird dh. nicht in der SSH Session. Möchte man in der SSH Session den Sync Prozess einsehen kann der folgende Debug Befehl benutzt werden:
# config system global
# diagnose test application hasync -1
# diagnose debug enable
NOTE Zu diesem Befehl stehen weitere Optionen zur Verfügung. Weitere Informationen siehe Artikel:
FortiGate-5.0-5.2:FAQ#Kann_ich_anhand_eines_Befehls_den_HA_Sync_Prozess_einsehen.3F
Eine weitere Möglichkeit zu sehen ob die "FortiGate VMX Service Manager" sowie die "FortiGate VMX Instanz" in "sync" ist wäre der Befehl:
# config global
# diagnose sys ha showcsum
NOTE Die Checksum muss gleich sein wobei zu berücksichtigen ist das dies nur für die "FortiGate VMX
Instanz" netx gilt resp. für die VDOM "netx". Alle anderen sowie die "all" Checksum sind
unterschiedlich. Wenn es zu Problemen kommt mit der "Checksum" dann kann mit nachfolgenden
Befehl herausgefunden werden welches Objekt für diese Probleme verantwortlich ist:
# diagnose sys ha showcsum 2
Nun kann ein Firewall Policy erstellt werden. Sobald eine Firewall Policy erstellt wurde wird in der Console der "FortiGate VMX Instanz" der "sny" angzeigt oder unter den entsprechenden Debug Befehlen in der SSH Verbindung! Nachfolgend ein Beispiel für die "vDSwitch-DMZ" Testserfer (vDSwitch-DMZ/ centos-linux-1) der den Traffic betreffen PING erlaubt vom "10.10.10.2" zu "10.10.10.3" jedoch nicht von "10.10.10.3" zu "10.10.10.2":
Datei:Fortigate-vmx-install-241.jpg
Deinstallieren/Entfernen der "FortiGate VMX" Komponenten und löschen der "NSX Manager Database"?
Um die "FortiGate VMX Instanz" zu entfernen muss auf dem "FortiGate VMX Service Manager" die "firewall" Option in den verschiedenen Position deaktiviert werden sowie der Status von "present" auf "obsolete" gesetzt werden:
# confi global
# config netx cluster
# get
== [ domain-c61 ]
id: domain-c61 firewall-service: enable status: present
# edit domain-c61
# set firewall disable
# end
# confi netx datacenter
# get
== [ datacenter-2 ]
id: datacenter-2 status: present
# edit datacenter-2
# set status obsolete
# end
# config netx dvportgroup
# get
== [ dvportgroup-54 ]
id: dvportgroup-54 firewall-service: enable status: present
== [ dvportgroup-58 ]
id: dvportgroup-58 firewall-service: enable status: present
== [ dvportgroup-68 ]
id: dvportgroup-68 firewall-service: disable status: present
# edit dvportgroup-54
# set firewall-service disable
# next
# edit dvportgroup-58
# set firewall-service disable
# next
# edit dvportgroup-68
# set firewall-service disable
# end
# config netx dvswitch
# get
== [ dvs-52 ]
id: dvs-52 status: present
== [ dvs-56 ]
id: dvs-56 status: present
# edit dvs-52
# set status obsolete
# next
# edit dvs-56
# set status obsolete
# end
# config netx setting
# get
status : enable
rest-sport : 9443
rest-interface : mgmt
vcenter-hostname : 198.18.0.25
vcenter-username : root
vcenter-password : *
netx-manager-hostname: 198.18.0.6
netx-manager-username: admin
netx-manager-password: *
vmx-image-url : http://alsochlu-web.also-solutions.local.intra/vmx/FortiGate-VMX.ovf
# set status disable
# end
# end
Entferne nun im vCenter die "FortiGate VMX Service Manager" Instanz dh. zuerst muss dieser "heruntergefahren" werden:
Datei:Fortigate-vmx-install-207.jpg
Danach entferne/lösche die Instanz des "FortiGate VMX Service Manager":
Datei:Fortigate-vmx-install-208.jpg
Datei:Fortigate-vmx-install-209.jpg
Nun wir die Datenbank des "NSX Managers" gelöscht (erase). Dies muss über Konsole durchgeführt werden:
Datei:Fortigate-vmx-install-210.jpg Username: admin Passwort: [Vergebenes Passwort bei der installation des NSX Managers]
Danach gebe auf der Console folgendes ein:
# database erase
This commadn will erase all the configured data from the database
Do you wish to contineu [y/n] y
Danach wird die Datenbank gelöscht sowie neu erstellt! Dies kann einige Minuten in Anspruch nehmen. Sobald der "NSX Manager" wieder aktiv ist entferne nun noch den "ESX Agent" der den "Resourcen Pool" darstellt:
Datei:Fortigate-vmx-install-211.jpg
Da im vCenter angzeigt wird das der ESXi Host ein "Neustart" erforderlich ist fahre sämtliche Instanzen runter und führe auf dem ESXi Host ein Neustart durch. Damit dies durchgeführt werden kann muss mit dem "local" vSphere Client auf den EsXi Host verbunden werden und sobald alle Instanzen heruntergefahren sind führe für den ESXi Host ein Neustart durch dh. der Server wird neu gestartet! Nach dem Neustart ist die Entfernung der "FortiGate VMX" Instanz dann entfern.