vshield-administratorhandbuch
|
|
|
- Kathrin Reuter
- vor 8 Jahren
- Abrufe
Transkript
1 vshield Manager 5.1 vshield App 5.1 vshield Edge 5.1 vshield Endpoint 5.1 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage ersetzt wird. Die neuesten Versionen dieses Dokuments finden Sie unter DE
2 Die neueste technische Dokumentation finden Sie auf der VMware-Website unter: Auf der VMware-Website finden Sie auch die aktuellen Produkt-Updates. Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie Ihre Kommentare und Vorschläge an: Copyright VMware, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch Urheberrechtsgesetze, internationale Verträge und mindestens eines der unter aufgeführten Patente geschützt. VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument erwähnten Bezeichnungen und Namen sind unter Umständen markenrechtlich geschützt. VMware, Inc Hillview Ave. Palo Alto, CA VMware Global, Inc. Zweigniederlassung Deutschland Freisinger Str Unterschleißheim/Lohhof Germany Tel.: +49 (0) Fax: +49 (0) VMware, Inc.
3 Inhalt vshield-administratorhandbuch 7 1 Überblick über vshield 9 Grundlegendes zu vshield-komponenten 9 Migration von vshield-komponenten 12 Grundlegendes zu VMware Tools auf vshield-komponenten 12 Erforderliche Ports für die vshield-kommunikation 12 2 Grundlegendes zur vshield Manager-Benutzeroberfläche 13 Anmelden bei der vshield Manager-Benutzeroberfläche 13 Grundlegendes zur vshield Manager-Benutzeroberfläche 14 3 Einstellungen für das Managementsystem 17 Bearbeiten von DNS-Servern 17 Bearbeiten des Datums und der Uhrzeit von vshield Manager 18 Bearbeiten von Lookup Service-Details 18 Bearbeiten von vcenter Server 18 Angeben des Syslog-Servers 19 Herunterladen der Protokolle des technischen Supports für vshield 19 Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vshield Manager-Webdiensts 20 Hinzufügen eines Cisco-Switches zu vshield Manager 21 Arbeiten mit Diensten und Dienstgruppen 22 Gruppieren von Objekten 25 4 Benutzer-Management 33 Konfigurieren von Single Sign On 33 Verwalten von Benutzerrechten 34 Verwalten des Standardbenutzerkontos 35 Hinzufügen eines Benutzerkontos 35 Bearbeiten eines Benutzerkontos 38 Ändern einer Benutzerrolle 38 Deaktivieren oder Aktivieren eines Benutzerkontos 38 Löschen eines Benutzerkontos 39 5 Aktualisieren von Systemsoftware 41 Anzeigen der aktuellen Systemsoftware 41 Hochladen eines Updates 41 6 Sichern von vshield Manager-Daten 43 Sichern von vshield Manager-Daten bei Bedarf 43 Planen einer Sicherung von vshield Manager-Daten 44 VMware, Inc. 3
4 Wiederherstellen einer Sicherung 45 7 Systemereignisse und Überwachungsprotokolle 47 Anzeigen des Systemereignisberichts 47 Ereignisse für virtuelle vshield Manager-Appliance 47 vshield App-Ereignisse 48 Grundlegendes zum Syslog-Format 49 Anzeigen des Überwachungsprotokolls 49 8 Verwalten von virtuellen VXLAN-Leitungen 51 Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen 52 Erstellen einer virtuellen VXLAN-Leitung 53 Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung 56 Testen der Konnektivität einer virtuellen VXLAN-Leitung 56 Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung 58 Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen 58 Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung 58 Bearbeiten von Netzwerkbereichen 58 Bearbeiten einer virtuellen VXLAN-Leitung 60 Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen 60 9 vshield Edge-Management 67 Anzeigen des Status einer vshield Edge-Instanz 68 Konfigurieren der vshield Edge-Einstellungen 68 Verwalten von Appliances 68 Arbeiten mit Schnittstellen 70 Arbeiten mit Zertifikaten 73 Verwalten der vshield Edge-Firewall 76 Verwalten von NAT-Regeln 82 Arbeiten mit statischen Routen 84 Verwalten des DHCP-Diensts 85 Verwalten von VPN-Diensten 88 Verwalten des Lastverteilerdiensts 145 Grundlegendes zu High Availability 150 Konfigurieren von DNS-Servern 152 Konfigurieren von Remote-Syslog-Servern 152 Ändern der CLI-Anmeldedaten 153 Durchführen eines Upgrades von vshield Edge auf Large oder X-Large 153 Herunterladen von Tech Support-Protokollen für vshield Edge 154 Synchronisieren von vshield Edge mit vshield Manager 154 Erneutes Bereitstellen von vshield Edge Verwalten des Einfügens von Diensten 157 Einfügen von Netzwerkdiensten 157 Ändern der Prioritäten von Diensten 160 Bearbeiten eines Service Manager 160 Löschen eines Service Manager 161 Bearbeiten eines Diensts VMware, Inc.
5 Inhalt Löschen eines Diensts 161 Bearbeiten eines Dienstprofils 161 Löschen eines Dienstprofils vshield App-Management 163 Senden von vshield App-Systemereignissen an einen Syslog-Server 163 Anzeigen des aktuellen Systemstatus einer vshield App 164 Neustarten einer vshield App-Instanz 164 Erzwingen der Synchronisierung einer vshield App mit vshield Manager 164 Anzeigen der Datenverkehrsstatistiken in der vshield App-Benutzeroberfläche 165 Herunterladen der Protokolle des technischen Supports für vshield App 165 Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vshield App Firewall 165 Ausschließen virtueller Maschinen vom Schutz durch die vshield App vshield App Flow Monitoring 167 Anzeigen der Flow Monitoring-Daten 168 Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow Monitoring-Bericht aus 171 Ändern des Datumsbereichs der Flow Monitoring-Diagramme vshield App Firewall-Management 175 Verwenden der App Firewall 175 Arbeiten mit Firewallregeln 178 Verwenden von SpoofGuard vshield Endpoint-Ereignisse und -Alarme 189 Anzeigen des vshield Endpoint-Status 189 vshield Endpoint-Alarme 190 vshield Endpoint-Ereignisse 191 Überwachungsmeldungen für vshield Endpoint vshield Data Security Management 193 vshield Data Security-Benutzerrollen 194 Definieren einer Datensicherheitsrichtlinie 194 Bearbeiten einer Datensicherheitsrichtlinie 196 Ausführen einer Datensicherheitsprüfung 197 Anzeigen und Herunterladen von Berichten 198 Erstellen von regulären Ausdrücken 198 Verfügbare Bestimmungen 199 Verfügbare Content Blades 216 Unterstützte Dateiformate Fehlerbehebung 243 Fehlerbehebung für die vshield Manager-Installation 243 Fehlerbehebung für Probleme bei der Ausführung 244 Beheben von vshield Edge-Problemen 246 Fehlerbehebung für vshield Endpoint 247 Fehlerbehebung für vshield Data Security 249 VMware, Inc. 5
6 Index VMware, Inc.
7 Im vshield-administratorhandbuch wird beschrieben, wie das VMware vshield -System unter Verwendung der vshield Manager-Benutzeroberfläche und des vsphere-client-plug-ins installiert, konfiguriert, überwacht und verwaltet wird. Zudem enthält das Handbuch detaillierte Konfigurationsanweisungen und vorgeschlagene Best Practices. Zielgruppe Dieses Handbuch ist für alle Benutzer gedacht, die vshield in einer VMware vcenter-umgebung installieren oder verwenden möchten. Die Informationen in diesem Handbuch sind für erfahrene Systemadministratoren bestimmt, die mit der Technologie virtueller Maschinen und dem Betrieb virtueller Datencenter vertraut sind. In diesem Dokument wird vorausgesetzt, dass Sie bereits mit VMware Infrastructure 5.x, einschließlich VMware ESX, vcenter Server und vsphere Client, vertraut sind. VMware, Inc. 7
8 8 VMware, Inc.
9 Überblick über vshield 1 VMware vshield ist eine Suite aus virtuellen Sicherheits-Appliances, die für die Integration von VMware vcenter Server und VMware ESX entwickelt wurden. vshield stellt eine wichtige Sicherheitskomponente für den Schutz virtualisierter Datencenter vor Angriffen dar und unterstützt Sie dabei, die gesteckten Compliance- Zielsetzungen zu erreichen. In diesem Handbuch wird vorausgesetzt, dass Sie über Administratorzugriff für das gesamte vshield-system verfügen. Die anzeigbaren Ressourcen in der vshield Manager-Benutzeroberfläche können basierend auf der zugewiesenen Rolle eines Benutzers, den gewährten Rechten und der Lizenzierung variieren. Wenn Sie auf einen Bildschirm nicht zugreifen oder eine bestimmte Aufgabe nicht ausführen können, wenden Sie sich an Ihren vshield-administrator. Grundlegendes zu vshield-komponenten auf Seite 9 vshield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich sind. vshield kann über eine webbasierte Benutzeroberfläche, ein vsphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden. Migration von vshield-komponenten auf Seite 12 Virtuelle vshield Manager- und vshield Edge-Appliances können basierend auf DRS- und HA-Richtlinien automatisch oder manuell migriert werden. vshield Manager muss immer ausgeführt werden, daher müssen Sie vshield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen werden muss. Grundlegendes zu VMware Tools auf vshield-komponenten auf Seite 12 Die virtuellen vshield-appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen vshield-appliance darf weder aktualisiert noch deinstalliert werden. Erforderliche Ports für die vshield-kommunikation auf Seite 12 Grundlegendes zu vshield-komponenten vshield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich sind. vshield kann über eine webbasierte Benutzeroberfläche, ein vsphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden. Zur Ausführung von vshield benötigen Sie eine virtuelle vshield Manager-Maschine und mindestens ein vshield App- oder vshield Edge-Modul. VMware, Inc. 9
10 vshield Manager vshield Manager ist die zentrale vshield-komponente für das Netzwerkmanagement. Diese Komponente wird mithilfe einer OVA-Datei und unter Verwendung von vsphere Client als virtuelle Maschine installiert. Mit der vshield Manager-Benutzeroberfläche können Sie vshield-komponenten installieren, konfigurieren und warten. vshield Manager kann auf einem anderen ESX-Host als die vshield App- und vshield Edge-Module ausgeführt werden. vshield Manager nutzt das VMware Infrastructure-SDK, um eine Kopie der vsphere Client-Bestandsliste anzuzeigen. Weitere Informationen zur Verwendung der vshield Manager-Benutzeroberfläche finden Sie unter Kapitel 2, Grundlegendes zur vshield Manager-Benutzeroberfläche, auf Seite 13. vshield Edge vshield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Maschinen in einer Portgruppe, vds-portgruppe oder einem Cisco Nexus 1000V-Switch. vshield Edge verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vshield Edge umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vshield Edge Perimeter- Sicherheit für virtuelle Datencenter (VDCs) bietet. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vshield Edge nutzen zu können. vshield Edge-Standarddienste (einschließlich vcloud Director) Firewall: Die unterstützten Regeln umfassen die IP 5-tuple-Konfiguration mit IP- und Port-Bereichen für die statusbehaftete Inspektion für TCP, UDP und ICMP. Netzwerkadressübersetzung (NAT): Separate Steuerelemente für Quellund Ziel-IP-Adressen sowie TCP- und UDP-Portübersetzung. Dynamic Host Configuration Protocol (DHCP): Konfiguration von IP- Pools, Gateways, DNS-Servern und Suchdomänen. Konfiguration von DNS-Servern für Anforderungen zum Auflösen von Relay-Namen von Clients und Syslog-Servern. Statische Route für Datenpakete. Erweiterte vshield Edge- Dienste Virtuelles privates Site-to-Site-Netzwerk (VPN): Verwendet standardisierte IPsec-Protokolleinstellungen für die Interoperabilität mit allen großen Firewall-Anbietern. Lastausgleich: Einfach und dynamisch konfigurierbare IP-Adressen und Servergruppen. High Availability: Stellt sicher, dass in Ihrem virtuellen Netzwerk immer eine vshield Edge-Appliance verfügbar ist. SSL VPN-Plus: Ermöglicht Remotebenutzern die sichere Verbindung mit privaten Netzwerken hinter einem vshield Edge-Gateway. vshield Edge unterstützt den Syslog-Export an Remoteserver für alle Dienste. 10 VMware, Inc.
11 Kapitel 1 Überblick über vshield vshield App vshield App ist eine interne Layer 2-Firewall auf vnic-ebene, mit der Sie Richtlinien für die Zugriffssteuerung unabhängig von der Netzwerktopologie erstellen und Netzwerkisolierung im selben VLAN erzielen können. Eine vshield App-Instanz überwacht den gesamten eingehenden und ausgehenden Datenverkehr für einen ESX-Host, einschließlich von Datenverkehr zwischen virtuellen Maschinen in derselben Portgruppe. vshield App umfasst die Datenverkehrsanalyse sowie die Erstellung von containerbasierten Richtlinien. Container können dynamisch oder statisch sowie vcenter-konstrukte, z. B. Datencenter, oder in vshield Manager definierte Objekte, z. B. eine Sicherheitsgruppe, IPset oder MACset sein. vshield App unterstützt die Multi-Tenant- Funktion. vshield App wird als Hypervisor-Modul und virtuelle Appliance für Firewall-Dienste installiert. vshield App wird mit ESX-Hosts über VMsafe-APIs integriert und arbeitet mit VMware vsphere-plattformfunktionen wie DRS, vmotion, DPM und dem Wartungsmodus. vshield App bietet Firewall-Funktionen zwischen virtuellen Maschinen, indem ein Firewall-Filter auf jedem virtuellen Netzwerkadapter platziert wird. Die Regeln können mehrere Quellen, Ziele und Anwendungen umfassen. Der Firewall-Filter arbeitet transparent und erfordert keine Änderungen am Netzwerk oder an IP- Adressen, um Sicherheitszonen zu erstellen. Sie können Zugriffsregeln mithilfe von vcenter-containern wie Datencentern, Clustern, Ressourcenpools und vapps sowie mithilfe von Netzwerkobjekten wie Portgruppen und VLANs erstellen, um die Anzahl von Firewallregeln zu reduzieren und eine einfachere Nachverfolgung der Regeln zu ermöglichen. Sie sollten vshield App-Instanzen auf allen ESX-Hosts innerhalb eines Clusters installieren, damit VMware vmotion -Vorgänge ausgeführt werden können und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert werden. Standardmäßig kann eine virtuelle vshield App-Appliance nicht mit vmotion verschoben werden. Die Flow Monitoring-Funktion zeigt zugelassene und blockierte Netzwerk-Flows auf der Anwendungsprotokollebene an. Sie können diese Informationen verwenden, um den Datenverkehr im Netzwerk zu überwachen und Fehler in den operativen Vorgängen zu beheben. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vshield App nutzen zu können. vshield Endpoint vshield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance (im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien Schutz bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden. vshield Endpoint wird als Hypervisor-Modul und virtuelle Sicherheits-Appliance von einem Drittanbieter- Virenschutzanbieter (VMware-Partner) auf einem ESX-Host installiert. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vshield Endpoint nutzen zu können. vshield Data Security vshield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vshield Data Security gemeldeten Verstöße können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden Bestimmungen eingehalten werden. VMware, Inc. 11
12 Migration von vshield-komponenten Virtuelle vshield Manager- und vshield Edge-Appliances können basierend auf DRS- und HA-Richtlinien automatisch oder manuell migriert werden. vshield Manager muss immer ausgeführt werden, daher müssen Sie vshield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen werden muss. Jede vshield Edge-Instanz sollte mit dem dazugehörigen Datencenter verschoben werden, um Sicherheitseinstellungen und Dienste beibehalten zu können. vshield App, vshield Endpoint-Partner-Appliance und vshield Data Security können nicht auf einen anderen ESX-Host verschoben werden. Wenn der ESX-Host, auf dem sich diese Komponenten befinden, einer manuellen Wartung unterzogen werden muss, müssen Sie das Kontrollkästchen [Move powered off and suspended virtual machines to other hosts in the cluster] deaktivieren, damit diese virtuellen Appliances nicht migriert werden. Diese Dienste werden neu gestartet, wenn der ESX-Host wieder online ist. Grundlegendes zu VMware Tools auf vshield-komponenten Die virtuellen vshield-appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen vshield-appliance darf weder aktualisiert noch deinstalliert werden. Erforderliche Ports für die vshield-kommunikation Für vshield müssen folgende Ports offen sein: vshield Manager-Port 443, vom ESX-Host, von vcenter Server und den bereitzustellenden vshield Appliances aus erreichbar UDP123 zwischen vshield Manager und vshield App für die Uhrzeitsynchronisierung 902/TCP und 903/TCP zu und von dem vcenter-client und den ESX-Hosts 443/TCP vom REST-Client zum vshield Manager für REST API-Aufrufe 80/TCP bis 443/TCP für die Verwendung der vshield Manager-Benutzeroberfläche und die Initiierung der Verbindung zum vsphere SDK 22/TCP für die Fehlersuche der CLI 12 VMware, Inc.
13 Grundlegendes zur vshield Manager- 2 Benutzeroberfläche Die vshield Manager-Benutzeroberfläche bietet Konfigurations- und Datenanzeigeoptionen speziell zur vshield-verwendung. Durch Verwendung des VMware Infrastructure-SDK zeigt vshield Manager Ihre vsphere Client-Bestandsliste an, damit Sie eine vollständige Sicht auf Ihre vcenter-umgebung erhalten. HINWEIS Sie können vshield Manager als vsphere Client-Plug-In registrieren. Auf diese Weise können Sie vshield-komponenten über vsphere Client konfigurieren. Weitere Informationen hierzu finden Sie im Abschnitt über das Einrichten von vshield Manager im Installations- und Upgrade-Handbuch für vshield. Anmelden bei der vshield Manager-Benutzeroberfläche auf Seite 13 Sie greifen über einen Webbrowser auf die vshield Manager-Verwaltungsoberfläche zu. Grundlegendes zur vshield Manager-Benutzeroberfläche auf Seite 14 Die vshield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen. Anmelden bei der vshield Manager-Benutzeroberfläche Sie greifen über einen Webbrowser auf die vshield Manager-Verwaltungsoberfläche zu. 1 Öffnen Sie ein Webbrowser-Fenster und geben Sie die IP-Adresse an, die dem vshield Manager zugewiesen ist. Die vshield Manager-Benutzeroberfläche wird in einer SSL/HTTPS-Sitzung geöffnet (bzw. öffnet eine sichere SSL-Sitzung). 2 Akzeptieren Sie das Sicherheitszertifikat. HINWEIS Es wird empfohlen, ein SSL-Zertifikat zum Verifizieren von vshield Manager zu verwenden. Weitere Informationen hierzu finden Sie unter Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vshield Manager-Webdiensts, auf Seite 20. Der Anmeldebildschirm von vshield Manager wird angezeigt. 3 Melden Sie sich bei der vshield Manager-Benutzeroberfläche mit dem Benutzernamen admin und dem Kennwort default an. Sie sollten das Standardkennwort baldmöglichst ändern, um dessen unbefugtem Gebrauch vorzubeugen. Siehe Bearbeiten eines Benutzerkontos, auf Seite Klicken Sie auf [Log In]. VMware, Inc. 13
14 Grundlegendes zur vshield Manager-Benutzeroberfläche Die vshield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen. Wenn Sie auf ein Bestandslistenobjekt klicken, werden im Konfigurationsfenster spezifische Registerkarten für das Objekt angezeigt. vshield Manager-Bestandsliste auf Seite 14 Die Hierarchie der vshield Manager-Bestandsliste bildet die vsphere Client-Bestandslistenhierarchie ab. vshield Manager-Konfigurationsfenster auf Seite 15 Das vshield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vshield-operation konfiguriert werden können. Für jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen. vshield Manager-Bestandsliste Die Hierarchie der vshield Manager-Bestandsliste bildet die vsphere Client-Bestandslistenhierarchie ab. Zu den Ressourcen gehören der Root-Ordner, die Datencenter, Cluster, Portgruppen, ESX-Hosts und virtuellen Maschinen. Als Ergebnis bietet vshield Manager in Kombination mit der vcenter Server-Bestandsliste eine vollständige Ansicht Ihrer virtuellen Bereitstellung. Die virtuelle Maschinen für vshield Manager und vshield App werden nicht im vshield Manager-Bestandslistenbereich angezeigt. vshield Manager-Einstellungen werden über die Ressource [Settings & Reports] oberhalb des Bestandslistenbereichs konfiguriert. Die Bestandsliste bietet mehrere Ansichten: Hosts & Cluster, Netzwerke und Edges. Die Ansicht Hosts & Clusters enthält die Datencenter, Cluster, Ressourcenpools und ESX-Hosts Ihrer Bestandsliste. Die Ansicht Networks zeigt die VLAN-Netzwerke und Portgruppen in Ihrer Bestandsliste. In der Ansicht Edges werden die durch vshield Edge-Instanzen geschützten Portgruppen angezeigt. Die Ansichten Hosts & Clusters und Networks sind mit den gleichnamigen Ansichten im vsphere-client konsistent. In den Bestandslisten von vshield Manager und vsphere Client werden für virtuelle Maschinen und vshield- Komponenten unterschiedliche Symbole verwendet. Zur Anzeige des Unterschieds zwischen vshield-komponenten und virtuellen Maschinen sowie zwischen geschützten und nicht geschützten virtuellen Maschinen werden benutzerdefinierte Symbole verwendet. Tabelle 2-1. Symbole für virtuelle vshield-maschinen in der vshield Manager-Bestandsliste Symbol Beschreibung Eine eingeschaltete virtuelle Maschine, die über vshield App geschützt wird. Eine ausgeschaltete virtuelle Maschine, die nicht über vshield App geschützt wird. Eine ausgeschaltete virtuelle Maschine. Eine geschützte virtuelle Maschine, die getrennt ist. 14 VMware, Inc.
15 Kapitel 2 Grundlegendes zur vshield Manager-Benutzeroberfläche Aktualisieren der Bestandsliste Zum Aktualisieren der Ressourcenliste in der Bestandslistenansicht klicken Sie auf. Bei einer Aktualisierung werden aktuelle Ressourceninformationen von vcenter Server angefordert. Standardmäßig fordert vshield Manager alle fünf Minuten Ressourceninformationen von vcenter Server an. Durchsuchen der Bestandsliste Zum Durchsuchen einer Bestandsliste nach einer spezifischen Ressource geben Sie eine Suchzeichenfolge in das Feld über der vshield Manager-Bestandsliste ein und klicken Sie auf. vshield Manager-Konfigurationsfenster Das vshield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vshield-operation konfiguriert werden können. Für jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen. Da jede Ressource einem anderen Zweck dient, gelten einige Registerkarte nur für bestimmte Ressourcen. Darüber hinaus weisen einige Registerkarten eine zweite Optionenebene auf. VMware, Inc. 15
16 16 VMware, Inc.
17 Einstellungen für das 3 Managementsystem Sie können die bei der ersten Anmeldung angegebenen Definitionen für vcenter Server, für den DNS- und NTP-Server sowie für den Lookup-Server bearbeiten. vshield Manager muss mit vcenter Server und Diensten wie beispielsweise DNS und NTP kommunizieren können, um Details zur VMware Infrastructure-Bestandsliste bereitzustellen. Dieses Kapitel behandelt die folgenden Themen: Bearbeiten von DNS-Servern, auf Seite 17 Bearbeiten des Datums und der Uhrzeit von vshield Manager, auf Seite 18 Bearbeiten von Lookup Service-Details, auf Seite 18 Bearbeiten von vcenter Server, auf Seite 18 Angeben des Syslog-Servers, auf Seite 19 Herunterladen der Protokolle des technischen Supports für vshield, auf Seite 19 Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vshield Manager-Webdiensts, auf Seite 20 Hinzufügen eines Cisco-Switches zu vshield Manager, auf Seite 21 Arbeiten mit Diensten und Dienstgruppen, auf Seite 22 Gruppieren von Objekten, auf Seite 25 Bearbeiten von DNS-Servern Sie können die während der anfänglichen Anmeldung angegebenen DNS-Server ändern. Der primäre DNS- Server wird in der vshield Manager-Benutzeroberfläche angezeigt. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Konfiguration]. 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [DNS Servers]. 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [OK]. VMware, Inc. 17
18 Bearbeiten des Datums und der Uhrzeit von vshield Manager Sie können den während der anfänglichen Anmeldung angegebenen NTP-Server ändern. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Konfiguration]. 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [NTP Server]. 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [OK]. 7 Starten Sie vshield Manager neu. Bearbeiten von Lookup Service-Details Sie können die während der anfänglichen Anmeldung angegebenen Lookup Service-Details ändern. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Konfiguration]. 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [Lookup Service]. 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [OK]. Bearbeiten von vcenter Server Sie können den vcenter Server ändern, bei dem Sie bei der anfänglichen Anmeldung vshield Manager registriert haben. Sie sollten dies nur dann tun, wenn Sie die IP-Adresse Ihres aktuellen vcenter Servers ändern. 1 Wenn Sie beim vsphere-client angemeldet sind, melden Sie sich ab. 2 Melden Sie sich beim vshield Manager an. 3 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 4 Klicken Sie auf die Registerkarte [Configuration]. 5 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 6 Klicken Sie auf [Edit] neben [vcenter Server]. 7 Nehmen Sie die entsprechenden Änderungen vor. 8 Klicken Sie auf [OK]. 9 Melden Sie sich beim vsphere-client an. 10 Wählen Sie einen ESX-Host aus. 11 Stellen Sie sicher, dass [vshield] als Registerkarte angezeigt wird. 18 VMware, Inc.
![3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [NTP Server]. 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [OK].](/docs-images/58/4867157/images/page_18.jpg "7 Starten Sie vshield Manager neu. Bearbeiten von Lookup Service-Details Sie können die während der anfänglichen Anmeldung angegebenen Lookup Service-Details ändern.")
19 Kapitel 3 Einstellungen für das Managementsystem Weiter Sie können jetzt mit dem vsphere-client vshield-komponenten installieren und konfigurieren. Angeben des Syslog-Servers Wenn Sie einen Syslog-Server angeben, sendet vshield Manager alle Audit-Protokolle und Systemereignisse von vshield Manager an den Syslog-Server. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Konfiguration]. 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [Syslog Server]. 5 Geben Sie die IP-Adresse des Syslog-Servers ein. 6 (Optional) Geben Sie den Port für den Syslog-Server ein. Wenn Sie keinen Port angeben, wird der Standard-UDP-Port für die IP-Adresse bzw. den Hostnamen des Syslog-Servers verwendet. 7 Klicken Sie auf [OK]. Herunterladen der Protokolle des technischen Supports für vshield Sie können vshield Manager-Auditprotokolle und Systemereignisse von einer vshield-komponente auf Ihren PC herunterladen. Auditprotokolle beziehen sich auf Konfigurationsänderungsprotokolle (z. B. Firewall-Konfigurationsänderungen), während sich Systemereignisse auf Ereignisse beziehen, die im Hintergrund eintreten, während vshield Manager ausgeführt wird. Wenn beispielsweise die Verbindung zwischen vshield Manager und einer der vshield App- oder vshield Edge-Appliances ausfällt, wird ein Systemereignis protokolliert. Sowohl Auditprotokolle als auch Systemereignisse werden mit dem Syslog-Server auf Info-Ebene protokolliert. Systemereignisse weisen jedoch einen internen Schweregrad auf, der zur Syslog-Nachricht hinzugefügt wird, die für das Systemereignis gesendet wird. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Configuration]. 3 Klicken Sie auf [Support]. 4 Klicken Sie unter [Tech Support Log Download] neben der gewünschten Komponente auf [Initiate]. Das Protokoll wird generiert und in vshield Manager heruntergeladen. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 5 Klicken Sie nach der Protokollerstellung auf den Link [Download], um das Protokoll auf Ihren PC herunterzuladen. Weiter Das Protokoll ist komprimiert und hat die Dateierweiterung.gz. Sie können das Protokoll mit einem Dienstprogramm für die Dekomprimierung öffnen, indem Sie das Speicherverzeichnis für die Datei mit der Option [All Files] durchsuchen. VMware, Inc. 19
![1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Konfiguration].](/docs-images/58/4867157/images/page_19.jpg "3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [Syslog Server]. 5 Geben Sie die IP-Adresse des Syslog-Servers ein.")
20 Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vshield Manager-Webdiensts Sie können eine Anforderung zur Zertifikatssignierung generieren, sie von einer Zertifizierungsstelle signieren lassen und das signierte SSL-Zertifikat in vshield Manager importieren, um die Identität des vshield Manager- Webservices zu authentifizieren und Informationen zu verschlüsseln, die an den vshield Manager-Webserver gesendet werden. Als empfohlene zur Gewährleistung der Sicherheit sollten Sie mit der Option zum Generieren eines Zertifikats einen privaten und einen öffentlichen Schlüssel generieren. Der private Schlüssel wird in vshield Manager gespeichert. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Konfiguration]. 3 Klicken Sie auf [SSL Certificate]. 4 Füllen Sie unter [Generate Certificate Signing Request] die folgenden Felder des Formulars aus: Option [Common Name] [Organization Unit] [Organization Name] [City Name] [State Name] [Country Code] [Key Algorithm] [Key Size] Aktion Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) von vshield Manager ein. Es wird empfohlen, den FQDN einzugeben. Geben Sie die Abteilung innerhalb des Unternehmens ein, die das Zertifikat anfordert. Geben Sie den vollständigen eingetragenen Namen des Unternehmens ein. Geben Sie den vollständigen Namen der Stadt ein, in der Ihr Unternehmen ansässig ist. Geben Sie den vollständigen Namen des Bundeslands/Kantons ein, in dem Ihr Unternehmen ansässig ist. Geben Sie den zweistelligen Ländercode ein. Der Code für die Vereinigten Staaten lautet beispielsweise US. Wählen Sie als Kryptografiealgorithmus entweder DSA oder RSA aus. Zwecks Abwärtskompatibilität wird RSA empfohlen. Wählen Sie die Anzahl von Bits im ausgewählten Algorithmus. 5 Klicken Sie auf [Generate]. Importieren eines SSL-Zertifikats Sie können ein bereits vorhandenes, von einer Zertifizierungsstelle signiertes SSL-Zertifikat für die Verwendung durch vshield Manager importieren. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Konfiguration]. 3 Klicken Sie auf [SSL Certificate]. 4 Klicken Sie unter Import Signed Certificate im Abschnitt Certificate File auf [Browse], um nach der Datei zu suchen. 20 VMware, Inc.
21 Kapitel 3 Einstellungen für das Managementsystem 5 Wählen Sie in der Dropdown-Liste [Certificate Type] den Zertifikattyp aus. Sofern zutreffend, importieren Sie die Root- und Zwischenzertifikate, bevor Sie das von einer Zertifizierungsstelle signierte Zertifikat importieren. Falls es mehrere Zwischenzertifikate gibt, fassen Sie sie in einer einzigen Datei zusammen und importieren Sie anschließend die Datei. 6 Klicken Sie auf [Übernehmen]. Eine gelbe Leiste mit der Meldung [Successfully imported certificate] wird im oberen Bereich des Bildschirms angezeigt. 7 Klicken Sie auf [Apply Certificate]. vshield Manager wird neu gestartet, damit das Zertifikat angewendet werden kann. Das Zertifikat wird in vshield Manager gespeichert. Hinzufügen eines Cisco-Switches zu vshield Manager Sie können einen Cisco-Switch zu vshield Manager hinzufügen und dessen Implementierung verwalten. Voraussetzungen Der N1K-Switch muss auf vcenter Server installiert worden sein. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Configuration] befinden. 3 Klicken Sie auf die Registerkarte [Networking]. 4 Klicken Sie auf [Add Switch Provider]. 5 Geben Sie einen Namen für den Switch ein. 6 Geben Sie die API-Schnittstelle, mit der der Switch kommunizieren kann, im folgenden Format ein: 7 Geben Sie Ihren N1K-Benutzernamen und das Kennwort ein. 8 Klicken Sie auf [OK]. Der Switch wird in die Switch-Provider-Tabelle aufgenommen. VMware, Inc. 21
22 Arbeiten mit Diensten und Dienstgruppen Bei einem Dienst handelt es sich um die Kombination von Protokoll und Port und eine Dienstgruppe ist eine Gruppe von Diensten. Erstellen eines Diensts Sie können einen Dienst erstellen und anschließend Regeln für diesen Dienst definieren. 1 Führen Sie einen der folgenden Schritte aus: Option So wird ein Dienst auf globaler Ebene erstellt So wird ein Dienst auf Datencenterebene erstellt So wird eine Dienstgruppe auf Portgruppenebene erstellt So wird ein Dienst auf vshield Edge- Ebene erstellt Beschreibung a Melden Sie sich bei der vshield Manager-Benutzeroberfläche an. b Klicken Sie auf [Settings & Reports]. c Klicken Sie auf [Object Library]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich ein Datencenter aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. b Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Services]. 3 Wählen Sie [Add] > [Service]. 4 Geben Sie im Feld [Name] einen Namen ein, um den Dienst zu identifizieren. 5 Geben Sie im Feld [Description] eine Beschreibung für den Dienst ein. 6 Wählen Sie im Feld [Protocol] ein Protokoll aus, dem Sie einen Nicht-Standard-Port hinzufügen möchten. 7 Geben Sie im Feld [Ports] die Portnummer(n) ein. 8 (Optional) Wählen Sie beim Erstellen eines Diensts auf globaler oder Datencenterebene [Enable inheritance to allow visibility at underlying scopes], damit dieser Dienst darunter liegenden Ebenen zur Verfügung steht. 9 Klicken Sie auf [OK]. Der Dienst wird in der Tabelle Services angezeigt. 22 VMware, Inc.
23 Kapitel 3 Einstellungen für das Managementsystem Erstellen einer Dienstgruppe Sie können eine Dienstgruppe auf globaler, Datencenter- oder vshield Edge-Ebene erstellen und anschließend Regeln für diese Dienstgruppe definieren. 1 Führen Sie einen der folgenden Schritte aus: Option So wird eine Dienstgruppe auf globaler Ebene erstellt So wird eine Dienstgruppe auf Datencenterebene erstellt So wird eine Dienstgruppe auf Portgruppenebene erstellt So wird eine Dienstgruppe auf vshield Edge-Ebene erstellt Beschreibung a Melden Sie sich bei der vshield Manager-Benutzeroberfläche an. b Klicken Sie auf [Settings & Reports]. c Klicken Sie auf [Object Library]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. b Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Services]. 3 Wählen Sie [Add] > [Service Group]. 4 Geben Sie im Feld [Name] einen Namen ein, um die Dienstgruppe zu identifizieren. 5 Geben Sie im Feld [Description] eine Beschreibung für den Dienst ein. 6 Wählen Sie unter Members die Dienste oder Dienstgruppen aus, die Sie der Gruppe hinzufügen möchten. 7 (Optional) Wählen Sie beim Erstellen einer Dienstgruppe auf globaler oder Datencenterebene [Enable inheritance to allow visibility at underlying scopes], damit diese Dienstgruppe darunter liegenden Ebenen zur Verfügung steht. 8 Klicken Sie auf [OK]. Die benutzerdefinierte Dienstgruppe wird in der Tabelle Services angezeigt. Bearbeiten eines Diensts oder einer Dienstgruppe Sie können Dienste und Dienstgruppen bearbeiten. Ein Dienst oder eine Dienstgruppe kann auf der Ebene bearbeitet werden, auf der er bzw. sie definiert wurde. Wenn beispielsweise ein Dienst auf globaler Ebene definiert wurde, kann er nicht auf vshield Edge-Ebene bearbeitet werden. VMware, Inc. 23
24 1 Führen Sie einen der folgenden Schritte aus: Option So wird ein Dienst auf globaler Ebene bearbeitet So wird ein Dienst auf Datencenterebene bearbeitet So wird ein Dienst auf Portgruppenebene bearbeitet So wird ein Dienst auf vshield Edge- Ebene bearbeitet Beschreibung a Melden Sie sich bei der vshield Manager-Benutzeroberfläche an. b Klicken Sie auf [Settings & Reports]. c Klicken Sie auf [Object Library]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. b Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Services]. 3 Wählen Sie einen benutzerdefinierten Dienst oder eine benutzerdefinierte Dienstgruppe aus und klicken Sie auf [Edit] ( ). 4 Nehmen Sie die entsprechenden Änderungen vor. 5 Klicken Sie auf [OK]. Löschen eines Diensts oder einer Dienstgruppe Sie können Dienste und Dienstgruppen löschen. Ein Dienst oder eine Dienstgruppe kann auf der Ebene gelöscht werden, auf der er bzw. sie definiert wurde. Wenn beispielsweise ein Dienst auf globaler Ebene definiert wurde, kann er nicht auf vshield Edge-Ebene gelöscht werden. 1 Führen Sie einen der folgenden Schritte aus: Option So wird ein Dienst auf globaler Ebene gelöscht So wird ein Dienst auf Datencenterebene gelöscht Beschreibung a Melden Sie sich bei der vshield Manager-Benutzeroberfläche an. b Klicken Sie auf [Settings & Reports]. c Klicken Sie auf [Object Library]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. 24 VMware, Inc.
25 Kapitel 3 Einstellungen für das Managementsystem Option So wird ein Dienst auf Portgruppenebene gelöscht So wird ein Dienst auf vshield Edge- Ebene gelöscht Beschreibung a Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. b Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Services]. 3 Wählen Sie einen benutzerdefinierten Dienst oder eine benutzerdefinierte Dienstgruppe aus und klicken Sie auf [Löschen] ( ). 4 Klicken Sie auf [Ja]. Der Dienst bzw. die Dienstgruppe wird gelöscht. Gruppieren von Objekten Mit der Gruppierungsfunktion können Sie benutzerdefinierte Container erstellen, denen Sie zum Schutz durch die App Firewall Ressourcen wie virtuelle Maschinen und Netzwerkadapter hinzufügen können. Nach dem Definieren einer Gruppe können Sie diese zum Schutz als Quelle oder Ziel zu einer Firewallregel hinzufügen. Arbeiten mit IP-Adressgruppen Erstellen einer IP-Adressgruppe Sie können eine IP-Adressgruppe auf globaler, Datencenter- oder vshield Edge-Ebene erstellen und anschließend diese Gruppe als Quelle oder Ziel zu einer vshield App Firewall-Regel hinzufügen. Eine solche Regel kann physische Maschinen vor virtuelle Maschinen schützen oder umgekehrt. 1 Führen Sie einen der folgenden Schritte aus: Option So wird eine IP-Adressgruppe auf globaler Ebene erstellt So wird eine IP-Adressgruppe auf Datencenterebene erstellt Beschreibung a b a b Klicken Sie vom vshield Manager-Bestandslistenbereich der vshield Manager-Benutzeroberfläche aus auf [Object Library]. Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. VMware, Inc. 25
26 Option So wird eine IP-Adressgruppe auf Portgruppenebene erstellt So wird eine IP-Adressgruppe auf vshield Edge-Ebene erstellt Beschreibung a Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. b Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Grouping Objects]. 3 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [IP Addresses] aus. Das Fenster zum Hinzufügen von IP-Adressen wird geöffnet. 4 Geben Sie einen Namen für die Adressgruppe ein. 5 (Optional) Geben Sie eine Beschreibung für die Adressgruppe ein. 6 Geben Sie die IP-Adressen ein, die zur Gruppe hinzugefügt werden sollen. 7 (Optional) Wählen Sie beim Erstellen einer IP-Adressgruppe auf globaler oder Datencenterebene [Enable inheritance to allow visibility at underlying scopes], damit diese IP-Adressgruppe darunter liegenden Ebenen zur Verfügung steht. 8 Klicken Sie auf [OK]. Bearbeiten einer IP-Adressgruppe Eine IP-Adressgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine IP-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vshield Edge-Ebene bearbeitet werden. Voraussetzungen 1 Führen Sie einen der folgenden Schritte aus: Option So bearbeiten Sie eine IP-Adressgruppe auf globaler Ebene So bearbeiten Sie eine IP-Adressgruppe auf Datencenterebene Beschreibung a b a b Klicken Sie vom vshield Manager-Bestandslistenbereich der vshield Manager-Benutzeroberfläche aus auf [Object Library]. Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. 26 VMware, Inc.
27 Kapitel 3 Einstellungen für das Managementsystem Option So bearbeiten Sie eine IP-Adressgruppe auf Portgruppenebene So bearbeiten Sie eine IP-Adressgruppe auf vshield Edge-Ebene Beschreibung a Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. b Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. b Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Grouping Objects]. 3 Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Edit] ( ). 4 Nehmen Sie im Dialogfeld Edit IP Addresses die entsprechenden Änderungen vor. 5 Klicken Sie auf [OK]. Löschen einer IP-Adressgruppe Eine IP-Adressgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine IP-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vshield Edge-Ebene gelöscht werden. 1 Führen Sie einen der folgenden Schritte aus: Option So löschen Sie eine IP-Adressgruppe auf globaler Ebene So löschen Sie eine IP-Adressgruppe auf Datencenterebene So löschen Sie eine IP-Adressgruppe auf Portgruppenebene So löschen Sie eine IP-Adressgruppe auf vshield Edge-Ebene Beschreibung a b a b Klicken Sie vom vshield Manager-Bestandslistenbereich der vshield Manager-Benutzeroberfläche aus auf [Object Library]. Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d a b Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a b Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Grouping Objects]. 3 Wählen Sie die Gruppe aus, die Sie löschen möchten, und klicken Sie auf das Symbol [Delete] ( ). VMware, Inc. 27
28 Arbeiten mit MAC-Adressgruppen Erstellen einer MAC-Adressgruppe Sie können eine MAC-Adressgruppe mit einem Bereich von MAC-Adressen erstellen und diese Gruppe als Quelle oder Ziel in einer vshield App Firewall-Regel hinzufügen. Eine solche Regel kann physische Maschinen vor virtuelle Maschinen schützen oder umgekehrt. 1 Führen Sie einen der folgenden Schritte aus: Option So wird eine MAC-Adressgruppe auf globaler Ebene erstellt So wird eine MAC-Adressgruppe auf Datencenterebene erstellt So wird eine MAC-Adressgruppe auf Portgruppenebene erstellt Beschreibung a b a b Klicken Sie im vshield Manager-Bestandslistenbereich der vshield Manager-Benutzeroberfläche auf Object Library. Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d a b Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. 2 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [MAC Addresses] aus. Das Fenster Add MAC Addresses wird geöffnet. 3 Geben Sie einen Namen für die Adressgruppe ein. 4 (Optional) Geben Sie eine Beschreibung für die Adressgruppe ein. 5 Geben Sie die MAC-Adressen ein, die zur Gruppe hinzugefügt werden sollen. 6 Wählen Sie [Enable inheritance to allow visibility at underlying scopes], wenn Sie möchten, dass die MAC-Adressgruppe von den Objekten im ausgewählten Datencenter übernommen wird. 7 Klicken Sie auf [OK]. 28 VMware, Inc.
29 Kapitel 3 Einstellungen für das Managementsystem Bearbeiten einer MAC-Adressgruppe Eine MAC-Adressgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine MAC-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vshield Edge-Ebene bearbeitet werden. 1 Führen Sie einen der folgenden Schritte aus: Option So bearbeiten Sie eine MAC-Adressgruppe auf globaler Ebene So bearbeiten Sie eine MAC-Adressgruppe auf Datencenterebene So bearbeiten Sie eine MAC-Adressgruppe auf Portgruppenebene So bearbeiten Sie eine MAC-Adressgruppe auf vshield Edge-Ebene Beschreibung a b a b Klicken Sie vom vshield Manager-Bestandslistenbereich der vshield Manager-Benutzeroberfläche aus auf [Object Library]. Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d a b Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a b Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Grouping Objects]. 3 Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Edit] ( ). 4 Nehmen Sie im Dialogfeld Edit MAC Addresses die entsprechenden Änderungen vor. 5 Klicken Sie auf [OK]. VMware, Inc. 29
30 Löschen einer MAC-Adressgruppe Eine MAC-Adressgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine MAC-Adressgruppe auf globaler Ebene definiert wurde, kann sie nicht auf vshield Edge-Ebene gelöscht werden. 1 Führen Sie einen der folgenden Schritte aus: Option So löschen Sie eine MAC-Adressgruppe auf globaler Ebene So löschen Sie eine MAC-Adressgruppe auf Datencenterebene So löschen Sie eine MAC-Adressgruppe auf Portgruppenebene So löschen Sie eine MAC-Adressgruppe auf vshield Edge-Ebene Beschreibung a b a b Klicken Sie vom vshield Manager-Bestandslistenbereich der vshield Manager-Benutzeroberfläche aus auf [Object Library]. Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Grouping] befinden. Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d a b Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. a b Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [Network Virtualization]. d Klicken Sie auf die Registerkarte [Edges]. e Doppelklicken Sie auf eine vshield Edge-Instanz. f Klicken Sie auf die Registerkarte [Configure]. 2 Klicken Sie auf die Registerkarte [Grouping Objects]. 3 Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Delete] ( ). Arbeiten mit Sicherheitsgruppen Erstellen einer Sicherheitsgruppe Im vsphere-client können Sie eine Sicherheitsgruppe auf der Portgruppenebene hinzufügen. Der Geltungsbereich der Sicherheitsgruppe ist auf die Ressourcenebene beschränkt, auf der sie erstellt wurde. Wenn Sie beispielsweise eine Sicherheitsgruppe auf Datencenterebene erstellen, kann die Sicherheitsgruppe nur dann als Quelle oder Ziel hinzugefügt werden, wenn Sie eine Firewallregel auf Datencenterebene erstellen. Wenn Sie eine Regel für eine Portgruppe innerhalb dieses Datencenters erstellen, ist die Sicherheitsgruppe nicht verfügbar. 30 VMware, Inc.
31 Kapitel 3 Einstellungen für das Managementsystem 1 Führen Sie einen der folgenden Schritte aus: Option So wird eine Sicherheitsgruppe auf Datencenterebene erstellt So wird eine Sicherheitsgruppe auf der Portgruppenebene erstellt Beschreibung a b Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d a b Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. d Wählen Sie die Registerkarte [Grouping] aus. 2 Klicken Sie auf [Add] und wählen Sie [Security Group]. Das Fenster Add Security Group wird mit dem ausgewählten Datencenter geöffnet, das als [Scope] (Geltungsbereich) angezeigt wird. 3 Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein. 4 Klicken Sie in das Feld neben der Schaltfläche Add und wählen Sie die Ressource aus, die Sie in die Sicherheitsgruppe aufnehmen möchten. 5 Wählen Sie unter [Members] eine oder mehrere Ressourcen aus, die zur Sicherheitsgruppe hinzugefügt werden sollen. Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die zugewiesene vnic automatisch zur Sicherheitsgruppe hinzugefügt. 6 Klicken Sie auf [OK]. Bearbeiten einer Sicherheitsgruppe Eine Sicherheitsgruppe kann auf der Ebene bearbeitet werden, auf der sie definiert wurde. Wenn beispielsweise eine Sicherheitsgruppe auf Datencenterebene definiert wurde, kann sie nicht auf Portgruppenebene bearbeitet werden. 1 Führen Sie einen der folgenden Schritte aus: Option So bearbeiten Sie eine Sicherheitsgruppe auf Datencenterebene So bearbeiten Sie eine Sicherheitsgruppe auf Portgruppenebene Beschreibung a b Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d a b Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. d Wählen Sie die Registerkarte [Grouping] aus. 2 Wählen Sie die Gruppe aus, die Sie bearbeiten möchten, und klicken Sie auf das Symbol [Edit] ( ). 3 Nehmen Sie im Dialogfeld Edit Security Group die entsprechenden Änderungen vor. 4 Klicken Sie auf [OK]. VMware, Inc. 31
32 Löschen einer Sicherheitsgruppe Eine Sicherheitsgruppe kann auf der Ebene gelöscht werden, auf der sie definiert wurde. Wenn beispielsweise eine Sicherheitsgruppe auf Datencenterebene definiert wurde, kann sie nicht auf vshield-portgruppenebene gelöscht werden. 1 Führen Sie einen der folgenden Schritte aus: Option So löschen Sie eine Sicherheitsgruppe auf Datencenterebene So löschen Sie eine Sicherheitsgruppe auf Portgruppenebene Beschreibung a b Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. c Klicken Sie auf die Registerkarte [vshield]. d a b Wählen Sie auf der Registerkarte General die Registerkarte [Grouping] aus. Wählen Sie im vsphere-client [Bestandsliste] > [Netzwerk] aus. Wählen Sie im Bestandslistenbereich ein Netzwerk aus. c Klicken Sie auf die Registerkarte [vshield]. d Wählen Sie die Registerkarte [Grouping] aus. 2 Wählen Sie die Gruppe aus, die Sie löschen möchten, und klicken Sie auf das Symbol [Delete] ( ). 32 VMware, Inc.
33 Benutzer-Management 4 Sicherheitsvorgänge werden häufig von mehreren Benutzern verwaltet. Das Management des gesamten Systems wird basierend auf logischen Kategorien an verschiedene Mitarbeiter delegiert. Zum Ausführen der Aufgaben sind jedoch nur diejenigen Benutzer berechtigt, die über die erforderlichen Rechte für bestimmte Ressourcen verfügen. Im Benutzerabschnitt können Sie die Aufgaben für das Ressourcen-Management an Benutzer delegieren, indem Sie die erforderlichen Rechte erteilen. vshield unterstützt Single Sign On (SSO), sodass vshield Benutzer von anderen Identitätsdiensten, wie z. B. AD, NIS und LDAP, authentifizieren kann. Das Benutzer-Management über die vshield Manager-Benutzeroberfläche und das Benutzer-Management über die Befehlszeilenschnittstelle einer vshield-komponente sind separat implementiert. Dieses Kapitel behandelt die folgenden Themen: Konfigurieren von Single Sign On, auf Seite 33 Verwalten von Benutzerrechten, auf Seite 34 Verwalten des Standardbenutzerkontos, auf Seite 35 Hinzufügen eines Benutzerkontos, auf Seite 35 Bearbeiten eines Benutzerkontos, auf Seite 38 Ändern einer Benutzerrolle, auf Seite 38 Deaktivieren oder Aktivieren eines Benutzerkontos, auf Seite 38 Löschen eines Benutzerkontos, auf Seite 39 Konfigurieren von Single Sign On Durch das Integrieren des Single Sign On-Diensts in vshield wird die Sicherheit der Benutzerauthentifizierung für vcenter-benutzer erhöht und vshield ermöglicht, Benutzer aus anderen Identitätsdiensten, wie z. B. AD, NIS und LDAP, zu authentifizieren. Mit Single Sign On unterstützt vshield die Authentifizierung mithilfe authentifizierter SAML-Token einer vertrauenswürdigen Quelle über REST-API-Aufrufe. vshield Manager kann auch Authentifizierungs-SAML- Token für die Verwendung mit anderen VMware-Lösungen erwerben. Voraussetzungen Der Single Sign On-Dienst muss auf vcenter Server installiert sein. Der NTP-Server muss angegeben werden, um sicherzugehen, dass die Zeit des Single Sign On-Servers und von vshield Manager synchron sind. Weitere Informationen hierzu finden Sie im Abschnitt über das Einrichten von vshield Manager im Installations- und Upgrade-Handbuch für vshield. VMware, Inc. 33
34 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Konfiguration]. 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [General] befinden. 4 Klicken Sie auf [Edit] neben [Lookup Service]. 5 Geben Sie die IP-Adresse oder den Namen des Hosts mit dem Lookup Service ein. 6 Ändern Sie die Portnummer, falls erforderlich. Die URL des Lookup Service wird basierend auf dem angegebenen Host und Port angezeigt. 7 Geben Sie den SSO-Benutzernamen und das Kennwort ein. Damit kann vshield Manager sich selbst mit dem Security Token Service-Server registrieren. 8 Klicken Sie auf [OK]. Weiter Weisen Sie dem SSO-Benutzer eine Rolle zu. Verwalten von Benutzerrechten Auf der vshield Manager-Benutzeroberfläche definiert die Rolle eines Benutzers, welche Aktionen der Benutzer für eine bestimmte Ressource ausführen kann. Die Rolle legt fest, welche Rechte der Benutzer an der Ressource hat, wodurch sichergestellt wird, dass ein Benutzer nur auf die Funktionen Zugriff hat, die zum Ausführen notwendiger Vorgänge erforderlich sind. So kann der Zugriff auf bestimmte Ressourcen auf Domänenebene oder systemweit gesteuert werden, wenn Ihre Rechte nicht eingeschränkt sind. Die folgenden Regeln werden erzwungen: Ein Benutzer kann nur über ein Rolle verfügen. Sie können einem Benutzer eine Rolle hinzufügen oder eine dem Benutzer zugewiesene Rolle entfernen. Sie können allerdings auch die einem Benutzer zugewiesene Rolle ändern. Tabelle 4-1. vshield Manager-Benutzerrollen Recht Enterprise Administrator vshield Administrator Security Administrator Auditor Berechtigungen vshield-vorgänge und -Sicherheit. Nur vshield-vorgänge: Zum Beispiel: Installieren von virtuellen Appliances, Konfigurieren von Portgruppen. Nur vshield-sicherheit: Zum Beispiel: Definieren von Datensicherheitsrichtlinien, Erstellen von Portgruppen, Erstellen von Berichten für vshield-module. Nur Lesen. Der Geltungsbereich einer Rolle legt fest, welche Ressourcen ein bestimmter Benutzer anzeigen kann. Für vshield-benutzer stehen folgende Geltungsbereiche zur Verfügung. 34 VMware, Inc.
35 Kapitel 4 Benutzer-Management Tabelle 4-2. Geltungsbereich für vshield Manager-Benutzer Geltungsbereich Keine Beschränkung Begrenzt den Zugriff auf die unten ausgewählten Portgruppen Beschreibung Zugriff auf das gesamte vshield-system Zugriff auf ein angegebenes Datencenter oder eine angegebene Portgruppe Die Rollen Enterprise Administrator und vshield Administrator können nur vcenter-benutzern zugewiesen werden und ihr Geltungsbereich ist global (keine Beschränkung). Verwalten des Standardbenutzerkontos Zur vshield Manager-Benutzeroberfläche gehört auch ein lokales Benutzerkonto, das Zugriffsrechte auf alle Ressourcen hat. Die Rechte dieses Benutzers können nicht bearbeitet und der Benutzer kann nicht gelöscht werden. Der Standardbenutzername lautet admin und das Standardkennwort lautet default. Ändern Sie das Kennwort für dieses Konto, wenn Sie sich erstmalig bei vshield Manager anmelden. Weitere Informationen hierzu finden Sie unter Bearbeiten eines Benutzerkontos, auf Seite 38. Hinzufügen eines Benutzerkontos Sie können entweder einen neuen lokalen vshield-benutzer erstellen oder einem vcenter-benutzer eine Rolle zuweisen. Erstellen eines neuen lokalen Benutzers 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Users]. 3 Klicken Sie auf [Hinzufügen]. Das Fenster Assign Role wird geöffnet. 4 Klicken Sie auf [Create a new user local to vshield]. 5 Geben Sie eine [ ] -Adresse ein. 6 Geben Sie eine [Login ID] ein. Dieser Name wird für die Anmeldung bei der vshield Manager-Benutzeroberfläche verwendet. Dieser Benutzername und das zugehörige Kennwort können nicht für den Zugriff auf die vshield App- oder die vshield Manager-Befehlszeilenschnittstelle verwendet werden. 7 Geben Sie zu Identifikationszwecken unter [Full Name] den vollständigen Namen des Benutzers ein. 8 Geben Sie in [Password] ein Kennwort für die Anmeldung ein. 9 Geben Sie das Kennwort im Feld [Retype Password] erneut ein. 10 Klicken Sie auf [Weiter]. 11 Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next]. Weitere Informationen zu den verfügbaren Rollen finden Sie unter Verwalten von Benutzerrechten, auf Seite Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish]. Das Benutzerkonto wird in der Benutzertabelle angezeigt. VMware, Inc. 35
36 Zuweisen einer Rolle zu einem vcenter-benutzer Wenn Sie einem SSO-Benutzer eine Rolle zuweisen, authentifiziert vcenter den Benutzer anhand des Identitätsdiensts, der auf dem SSO-Server konfiguriert ist. Wenn die SSO-Server nicht konfiguriert oder nicht verfügbar ist, wird der Benutzer basierend auf der vcenter-konfiguration entweder lokal oder mit Active Directory authentifiziert. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Users]. 3 Klicken Sie auf [Hinzufügen]. Das Fenster Assign Role wird geöffnet. 4 Klicken Sie auf [Select vcenter user]. 5 Geben Sie den vcenter-benutzernamen unter [User] ein. HINWEIS Wenn der vcenter-benutzer aus einer Domäne stammt (z. B. ein SSO-Benutzer), müssen Sie den vollqualifizierten Pfad einer Windows-Domäne eingeben. Damit können sich der standardmäßige vshield Manager-Benutzer (admin) und der standardmäßige SSO-Benutzer (admin) bei vshield Manager anmelden. Dieser Benutzername dient der Anmeldung bei der vshield Manager-Benutzerschnittstelle und kann nicht für den Zugriff auf die vshield App- oder die vshield Manager-Befehlszeilenschnittstelle verwendet werden. 6 Klicken Sie auf [Weiter]. 7 Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next]. Weitere Informationen zu den verfügbaren Rollen finden Sie unter Verwalten von Benutzerrechten, auf Seite Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish]. Das Benutzerkonto wird in der Benutzertabelle angezeigt. Grundlegendes zu gruppenbasierten Rollenzuweisungen Organisationen erstellen Benutzergruppen, um Benutzer ordnungsgemäß zu verwalten. Nach der Integration mit Single Sign On (SSO) kann vshield Manager Details zu den Gruppen abrufen, denen ein Benutzer angehört. Statt einzelnen derselben Gruppe angehörenden Benutzern Rollen zuzuweisen, weist vshield Manager Rollen zu Gruppen zu. Lassen Sie uns einige Szenarien durchspielen, um zu verdeutlichen, wie vshield Manager Rollen zuweist. Beispiel: Szenario 1 Gruppenoption Name Zugewiesene Rolle Ressourcen Wert G1 Prüfer (nur Lesen) Global Root Benutzeroption Name Gehört zur Gruppe Zugewiesene Rolle Wert Peter G1 Keine Peter gehört der Gruppe G1 an, der die Rolle Prüfer zugewiesen wurde. Peter übernimmt die Gruppenrolle und die Ressourcenberechtigungen. 36 VMware, Inc.
37 Kapitel 4 Benutzer-Management Beispiel: Szenario 2 Gruppenoption Name Zugewiesene Rolle Ressourcen Wert G1 Prüfer (nur Lesen) Global Root Gruppenoption Name Zugewiesene Rolle Ressourcen Wert G2 Sicherheitsadministrator (Lesen und Schreiben) Datacenter1 Benutzeroption Name Gehört zur Gruppe Zugewiesene Rolle Wert Paul G1, G2 Keine Paul gehört den Gruppen G1 und G2 an und übernimmt eine Kombination von Rechten und Berechtigungen der Rollen Prüfer und Sicherheitsadministrator. Peter verfügt beispielsweise über folgende Berechtigungen: Lesen, Schreiben (Rolle Sicherheitsadministrator ) für Datacenter1 Nur Lesen (Auditor) für Global Root Beispiel: Szenario 3 Gruppenoption Name Zugewiesene Rolle Ressourcen Wert G1 Enterprise-Administrator Global Root Benutzeroption Name Gehört zur Gruppe Zugewiesene Rolle Ressourcen Wert Florian G1 Sicherheitsadministrator (Lesen und Schreiben) Datacenter1 Florian wurde die Rolle Sicherheitsadministrator zugewiesen, sodass er die Rollenberechtigungen der Gruppe nicht übernimmt. Florian verfügt über folgende Berechtigungen Lesen, Schreiben (Rolle Sicherheitsadministrator ) für Datacenter1 und dessen untergeordnete Ressourcen Die Rolle Enterprise-Administrator für Datacenter1 VMware, Inc. 37
38 Bearbeiten eines Benutzerkontos Sie können ein Benutzerkonto bearbeiten, um das Kennwort oder den Gültigkeitsbereich zu ändern. Das admin-konto kann nicht bearbeitet werden. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Users]. 3 Wählen Sie den Benutzer aus, den Sie bearbeiten möchten. 4 Klicken Sie auf [Bearbeiten]. 5 Nehmen Sie die gewünschten Änderungen vor. 6 Klicken Sie auf [Beenden], um Ihre Änderungen zu speichern. Ändern einer Benutzerrolle Sie können die Rollenzuweisung für alle Benutzer ändern mit Ausnahme des admin-benutzers. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Users]. 3 Wählen Sie den Benutzer aus, für den Sie die Rolle ändern möchten. 4 Klicken Sie auf [Change Role]. 5 Nehmen Sie die gewünschten Änderungen vor. 6 Klicken Sie auf [Finish], um Ihre Änderungen zu speichern. Deaktivieren oder Aktivieren eines Benutzerkontos Sie können ein Benutzerkonto deaktivieren, um den entsprechenden Benutzer daran zu hindern, sich bei vshield Manager anzumelden. Sie können den Benutzer admin nicht deaktivieren. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Users]. 3 Wählen Sie ein Benutzerkonto aus. 4 Führen Sie einen der folgenden Schritte aus: Klicken Sie auf [Actions] > [Disable selected user(s)], um ein Benutzerkonto zu deaktivieren. Klicken Sie auf [Actions] > [Enable selected user(s)], um ein Benutzerkonto zu aktivieren. 38 VMware, Inc.
39 Kapitel 4 Benutzer-Management Löschen eines Benutzerkontos Sie können jedes erstellte Benutzerkonto löschen. Das admin-konto kann nicht gelöscht werden. Überwachungsdatensätze für gelöschte Benutzer werden in der Datenbank verwaltet und können in einem Überwachungsprotokollbericht referenziert werden. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Users]. 3 Wählen Sie den Benutzer aus, den Sie löschen möchten. 4 Klicken Sie auf [Delete]. 5 Klicken Sie auf [OK], um den Löschvorgang zu bestätigen. Wenn Sie ein vcenter-benutzerkonto löschen, wird nur die Rollenzuweisung für vshield Manager gelöscht. Das Benutzerkonto auf vcenter wird nicht gelöscht. VMware, Inc. 39
40 40 VMware, Inc.
41 Aktualisieren von Systemsoftware 5 Für die vshield-software sind regelmäßige Updates erforderlich, um die System-Performance aufrechtzuerhalten. Mithilfe der Optionen auf der Registerkarte [Updates] können Sie System-Updates installieren und nachverfolgen. Anzeigen der aktuellen Systemsoftware auf Seite 41 Sie können die aktuell installierten Versionen der vshield-komponentensoftware anzeigen oder überprüfen, ob gerade ein Update ausgeführt wird. Hochladen eines Updates auf Seite 41 vshield-updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird, können Sie es auf Ihren PC herunterladen und das Update anschließend über die vshield Manager- Benutzeroberfläche hochladen. Anzeigen der aktuellen Systemsoftware Sie können die aktuell installierten Versionen der vshield-komponentensoftware anzeigen oder überprüfen, ob gerade ein Update ausgeführt wird. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Updates]. 3 Klicken Sie auf [Update Status]. Hochladen eines Updates vshield-updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird, können Sie es auf Ihren PC herunterladen und das Update anschließend über die vshield Manager-Benutzeroberfläche hochladen. Beim Hochladen des Updates werden zunächst vshield Manager und anschließend alle vshield Zones- bzw. vshield App-Instanzen aktualisiert. Wenn ein Neustart von vshield Manager oder einer vshield Zones- oder vshield App-Instanz erforderlich ist, werden Sie im Bildschirm [Update Status] zum Neustarten der Komponente aufgefordert. Wenn sowohl vshield Manager als auch alle vshield Zones- bzw. vshield App-Instanzen neu gestartet werden müssen, muss zunächst vshield Manager und anschließend jede vshield Zones- bzw. jede vshield App-Instanz neu gestartet werden. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Updates]. VMware, Inc. 41
42 3 Klicken Sie auf [Upload Upgrade Bundle]. 4 Klicken Sie auf [Browse], um nach dem Update zu suchen. 5 Wenn Sie die Datei ausgewählt haben, klicken Sie auf [Upload File]. 6 Klicken Sie auf [Update Status] und anschließend auf [Install]. 7 Klicken Sie auf [Confirm Install], um die Installation des Updates zu bestätigen. Der angezeigte Bildschirm umfasst zwei Tabellen. Während der Installation wird in der oberen Tabelle die Beschreibung, die Startzeit sowie der Erfolgs- und der Prozessstatus des aktuellen Updates angezeigt. Die untere Tabelle zeigt den Update-Status der einzelnen vshield App-Instanzen. Wenn als Status der letzten vshield App-Instanz [Finished] angezeigt wird, wurden alle vshield App-Instanzen aktualisiert. 8 Klicken Sie nach dem Neustart von vshield Manager auf die Registerkarte [Update Status]. 9 Klicken Sie bei Aufforderung auf [Reboot Manager]. 10 Klicken Sie auf [Finish Install], um das System-Update abzuschließen. 11 Klicken Sie auf [Confirm]. 42 VMware, Inc.
43 Sichern von vshield Manager-Daten 6 Sie können Ihre vshield Manager-Daten ggf. einschließlich von Systemkonfiguration, Ereignissen und Überwachungsprotokolltabellen sichern und wiederherstellen. Konfigurationstabellen sind in jeder Sicherung enthalten. System- und Überwachungsprotokollereignisse können Sie jedoch ausschließen. Sicherungen werden an einem Remote-Speicherort abgelegt, der über vshield Manager zugänglich sein muss. Sicherungen können nach einem Zeitplan oder bei Bedarf ausgeführt werden. Sichern von vshield Manager-Daten bei Bedarf auf Seite 43 Sie können vshield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen. Planen einer Sicherung von vshield Manager-Daten auf Seite 44 Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden. Wiederherstellen einer Sicherung auf Seite 45 Sie können eine Sicherung nur auf einer neu bereitgestellten vshield Manager-Appliance wiederherstellen. Sichern von vshield Manager-Daten bei Bedarf Sie können vshield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Configuration]. 3 Klicken Sie auf [Backups]. 4 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events], wenn Sie die Systemereignistabellen nicht sichern möchten. 5 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Logs], wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten. 6 Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert wird. 7 Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein. 8 Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem ein. VMware, Inc. 43
44 9 Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort ein. 10 Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen. 11 Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge ein. Dieser Text wird dem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbhh_mm_ss_tagttmonjjjj. 12 Geben Sie zum Sichern der Sicherungsdatei eine [Pass Phrase] ein. 13 Wählen Sie im Dropdown-Menü [Transfer Protocol] entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus. 14 Klicken Sie auf [Backup]. Nach Abschluss der Sicherung wird diese in einer Tabelle unterhalb dieses Formulars angezeigt. 15 Klicken Sie auf [Save Settings], um die Konfiguration zu speichern. Planen einer Sicherung von vshield Manager-Daten Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Configuration]. 3 Klicken Sie auf [Backups]. 4 Wählen Sie im Dropdown-Menü [Scheduled Backups] die Option [On]. 5 Wählen Sie im Dropdown-Menü [Backup Frequency] die Option [Hourly], [Daily] oder [Weekly]. Je nach ausgewählter Häufigkeit werden die Dropdown-Menüs [Day of Week], [Hour of Day] und [Minute] deaktiviert. Wenn Sie beispielsweise [Daily] auswählen, wird das Dropdown-Menü [Day of Week] deaktiviert, da dieses Feld bei einer täglichen Sicherung nicht zum Tragen kommt. 6 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events], wenn Sie die Systemereignistabellen nicht sichern möchten. 7 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Log], wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten. 8 Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert wird. 9 (Optional) Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein. 10 Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem ein. 11 Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort ein. 12 Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen. 44 VMware, Inc.
45 Kapitel 6 Sichern von vshield Manager-Daten 13 Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge ein. Dieser Text wird jedem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbhh_mm_ss_tagttmonjjjj. 14 Wählen Sie im Dropdown-Menü [Transfer Protocol] basierend auf der Unterstützung durch das Zielsystem entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus. 15 Klicken Sie auf [Save Settings]. Wiederherstellen einer Sicherung Sie können eine Sicherung nur auf einer neu bereitgestellten vshield Manager-Appliance wiederherstellen. Zum Wiederherstellen einer verfügbaren Sicherung müssen die Felder [Host IP Address], [User Name], [Password] und [Backup Directory] auf dem Bildschirm [Backups] über Werte verfügen, die den Speicherort der wiederherzustellenden Sicherung angeben. Wenn die Sicherungsdatei Systemereignisse und Überwachungsprotokolldaten enthält, werden diese Daten ebenfalls wiederhergestellt. WICHTIG Sichern Sie Ihre aktuellen Daten, bevor Sie eine Sicherungsdatei wiederherstellen. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Configuration]. 3 Klicken Sie auf [Backups]. 4 Klicken Sie auf [View Backups], um alle verfügbaren Sicherungen anzuzeigen, die auf dem Sicherungsserver gespeichert wurden. 5 Aktivieren Sie das Kontrollkästchen für die Sicherung, die Sie wiederherstellen möchten. 6 Klicken Sie auf [Restore]. 7 Klicken Sie zur Bestätigung auf [OK]. VMware, Inc. 45
46 46 VMware, Inc.
47 Systemereignisse und 7 Überwachungsprotokolle Systemereignisse sind Ereignisse, die sich auf den Betrieb von vshield beziehen. Sie werden generiert, um Detailinformationen zu Ereignissen bereitzustellen, die während des Betriebs auftreten beispielsweise ein Neustart von vshield App oder eine Kommunikationsunterbrechung zwischen vshield App und vshield Manager. Ereignisse können sich auf den allgemeinen Betrieb (Informational) oder auf einen kritischen Fehler (Critical) beziehen. Dieses Kapitel behandelt die folgenden Themen: Anzeigen des Systemereignisberichts, auf Seite 47 Ereignisse für virtuelle vshield Manager-Appliance, auf Seite 47 vshield App-Ereignisse, auf Seite 48 Grundlegendes zum Syslog-Format, auf Seite 49 Anzeigen des Überwachungsprotokolls, auf Seite 49 Anzeigen des Systemereignisberichts Der vshield Manager sammelt Systemereignisse in einem Bericht. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [System Events]. 3 Um die Ereignisse zu sortieren, klicken Sie auf oder neben der entsprechenden Spaltenüberschrift auf. Ereignisse für virtuelle vshield Manager-Appliance Die folgenden Ereignisse sind spezifisch für die virtuelle vshield Manager-Appliance. Tabelle 7-1. Ereignisse für virtuelle vshield Manager-Appliance Ausschalten Einschalten Schnittstelle nicht verfügbar Schnittstelle verfügbar Lokale CLI Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. GUI VMware, Inc. 47
48 Tabelle 7-2. Ereignisse für virtuelle vshield Manager-Appliance CPU Arbeitsspeicher Speicher Lokale CLI Führen Sie den Befehl show process monitor aus. Führen Sie den Befehl show system memory aus. Führen Sie den Befehl show filesystem aus. GUI vshield App-Ereignisse Die folgenden Ereignisse sind spezifisch für die virtuellen vshield App-Appliances. Tabelle 7-3. vshield App-Ereignisse Ausschalten Einschalten Schnittstelle nicht verfügbar Schnittstelle verfügbar Lokale CLI Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Syslog Siehe Grundlegendes zum Syslog-Format, auf Seite 49. e1000: mgmt: e1000_watchdog_task: NIC Link is Up/Down 100 Mbps Full Duplex. Für ein Skripting auf dem Syslog-Server suchen Sie nach NIC Link is. e1000: mgmt: e1000_watchdog_task: NIC Link is Up/Down 100 Mbps Full Duplex. Für ein Skripting auf dem Syslog-Server suchen Sie nach NIC Link is. GUI Fehler vom Typ Heartbeat failure im Systemereignisprotokoll. Siehe Anzeigen des Systemereignisberichts, auf Seite 47. Siehe Anzeigen des aktuellen Systemstatus einer vshield App, auf Seite 164. Siehe Anzeigen des aktuellen Systemstatus einer vshield App, auf Seite 164. Siehe Anzeigen des aktuellen Systemstatus einer vshield App, auf Seite 164. Tabelle 7-4. vshield App Appliance-Statusereignisse CPU Arbeitsspeicher Speicher Zurücksetzung der Sitzung aufgrund von DoS, Inaktivität oder Daten-Timeouts Lokale CLI Führen Sie den Befehl show process monitor aus. Führen Sie den Befehl show system memory aus. Führen Sie den Befehl show filesystem aus. Führen Sie den Befehl show log follow aus. Syslog Siehe Grundlegendes zum Syslog-Format, auf Seite 49. GUI 1 Wählen Sie im Bestandslistenbereich von vshield Manager den Host aus, auf dem vshield App installiert ist. 2 Klicken Sie unter [Service Virtual Machines] auf neben der virtuellen vshield App- Maschine. 1 Wählen Sie im Bestandslistenbereich von vshield Manager den Host aus, auf dem vshield App installiert ist. 2 Klicken Sie unter [Service Virtual Machines] auf neben der virtuellen vshield App- Maschine. 1 Wählen Sie im Bestandslistenbereich von vshield Manager den Host aus, auf dem vshield App installiert ist. 2 Klicken Sie unter [Service Virtual Machines] auf neben der virtuellen vshield App- Maschine. 1 Wählen Sie im Bestandslistenbereich von vshield Manager den Host aus, auf dem vshield App installiert ist. 2 Klicken Sie unter [Service Virtual Machines] auf neben der virtuellen vshield App-Maschine. 48 VMware, Inc.
49 Kapitel 7 Systemereignisse und Überwachungsprotokolle Grundlegendes zum Syslog-Format Gilt dies genau so für SPOCK? Im Syslog-Protokoll aufgezeichnete Systemereignisse weisen das folgende Format auf. syslog header (timestamp + hostname + sysmgr/) Timestamp (from the service) Name/value pairs Name and value separated by delimiter '::' (double colons) Each name/value pair separated by delimiter ';;' (double semi-colons) Die Felder und Typen des Systemereignisses enthalten die folgenden Informationen. Event ID :: 32 bit unsigned integer Timestamp :: 32 bit unsigned integer Application Name :: string Application Submodule :: string Application Profile :: string Event Code :: integer (possible values: ) Severity :: string (possible values: INFORMATION LOW MEDIUM HIGH CRITICAL) Message :: Anzeigen des Überwachungsprotokolls Auf der Registerkarte [Audit Logs] wird eine Ansicht der von allen vshield Manager-Benutzern durchgeführten Aktionen bereitgestellt. vshield Manager speichert Überwachungsprotokolldaten für ein Jahr, anschließend werden die Daten verworfen. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf die Registerkarte [Audit Logs]. 3 Klicken Sie auf den Text in der Spalte [Operation], um die Details des Überwachungsprotokolls anzuzeigen. Sobald Details des Überwachungsprotokolls zur Verfügung stehen, ist der Text in der Spalte [Operation] anklickbar. 4 Wählen Sie in [Audit Log Change Details] den Eintrag [Changed Rows], wenn nur Eigenschaften angezeigt werden sollen, deren Werte sich geändert haben, nachdem der Vorgang durchgeführt wurde. VMware, Inc. 49
50 50 VMware, Inc.
51 Verwalten von virtuellen VXLAN- 8 Leitungen Bei großen Cloud-Bereitstellungen müssen Anwendungen innerhalb von virtuellen Netzwerken möglicherweise logisch isoliert werden. Eine 3-Tier-Anwendung kann beispielsweise mehrere virtuellen Maschinen haben, die logisch isolierte Netzwerke zwischen den virtuellen Maschinen erfordern. Herkömmliche Netzwerkisolierungstechniken, wie z. B. VLAN (4096 LAN-Segmente über einen 12-Bit-VLAN-Bezeichner), stellen möglicherweise nicht genügend Segmente für solche Bereitstellungen zur Verfügung. Darüber hinaus sind VLAN-basierte Netzwerke am physischen Fabric gebunden und ihre Mobilität ist eingeschränkt. Die virtuelle VXLAN-Leitung von vshield ist ein skalierbares, flaches Layer 2-Netzwerksegment. Diese Funktion bietet Ihnen Netzwerkagilität, indem sie es Ihnen ermöglicht, eine Anwendung auf jedem verfügbaren Cluster bereitzustellen und virtuelle Maschinen im breiteren Rahmen verschieben zu können. Die zugrunde liegende Technologie, als Virtual extensible LAN (oder VXLAN) bezeichnet, definiert einen 24-Bit-LAN-Segmentbezeichner, um Segmentierungen im Ausmaß einer Cloud-Bereitstellung zu bieten. Mithilfe virtueller VXLAN-Leitungen können Sie Ihre Cloud-Bereitstellungen mit wiederholbaren Pods in unterschiedlichen Subnetzen vergrößern. Das Platzieren von virtuellen Maschinen über verschiedene Cluster hinweg hilft Ihnen, Ihre Netzwerkressourcen voll auszunutzen, ohne dass Sie Kabel neu verlegen müssen. Folglich bieten virtuelle VXLAN-Leitungen Isolierungen auf Anwendungsebene. Abbildung 8-1. Virtuelle VXLAN-Leitungen - Überblick Virtuelles Netzwerk VM VM VM Virtuelle Leitung VM VM Distributed Switches VXLAN Sie müssen einen Sicherheitsadministrator sein, um virtuelle VXLAN-Leitungen erstellen zu können. Dieses Kapitel behandelt die folgenden Themen: Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen, auf Seite 52 Erstellen einer virtuellen VXLAN-Leitung, auf Seite 53 VMware, Inc. 51
52 Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung, auf Seite 56 Testen der Konnektivität einer virtuellen VXLAN-Leitung, auf Seite 56 Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung, auf Seite 58 Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen, auf Seite 58 Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung, auf Seite 58 Bearbeiten von Netzwerkbereichen, auf Seite 58 Bearbeiten einer virtuellen VXLAN-Leitung, auf Seite 60 Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen, auf Seite 60 Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen Sie müssen Ihr Netzwerk für virtuelle VXLAN-Leitungen vorbereiten, indem Sie ein Transport-VLAN angeben und IP-Multicast aktivieren. Diese vorbereitenden Schritte müssen nur einmal durchgeführt werden. Anschließend können Sie mehrere virtuelle VXLAN-Leitungen erstellen. Voraussetzungen Gehen Sie die folgende Checkliste durch, um das Erstellen von virtuellen VXLAN-Leitungen in Ihrem Netzwerk vorzubereiten: Stellen Sie sicher, dass Sie über folgende Softwareversionen verfügen: VMware vcenter Server 5.1 oder höher VMware ESX 5.1 oder höher auf jedem Server vsphere Distributed Switch 5.1 oder höher Für die MTU der physischen Infrastruktur müssen mindestens 50 Bytes mehr als für die MTU der vnic der virtuellen Maschine angegeben werden Sie erhalten den Multicast-Adressbereich von Ihrem Netzwerkadministrator und dem Segment-ID-Pool Legen Sie in den vcenter Server Runtime Settings die verwaltete IP-Adresse für jeden vcenter Server fest. Weitere Informationen hierzu finden Sie in der Dokumentation vcenter Server und Hostverwaltung. Vergewissern Sie sich, dass DHCP auf VXLAN-Transport-VLANs verfügbar ist 5-Tuple Hash Distribution muss für das LACP (Link Aggregation Control Protocol) aktiviert werden Zuordnen von Clustern mit Distributed Switches Sie müssen jeden Cluster, der Teil eines virtualisierten Netzwerks werden soll, einem vds zuordnen. Wenn Sie einem Switch einen Cluster zuordnen, wird jeder Host in diesem Cluster für virtuelle VXLAN-Leitungen aktiviert. Voraussetzungen Es wird empfohlen, einen konsistenten Switch-Typ (Anbieter usw.) und eine konsistente Version über einen Netzwerkbereich hinweg zu verwenden. Inkonsistente Switch-Typen können ein nicht definiertes Verhalten in Ihrer virtuellen VXLAN-Leitung verursachen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 52 VMware, Inc.
53 Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden. 5 Klicken Sie unter Connectivity auf [Edit.] Das Dialogfeld [Prepare Infrastructure for VXLAN networking] wird angezeigt. 6 Wählen Sie die Cluster aus, die in das virtuelle Netzwerk aufgenommen werden sollen. 7 Geben Sie für jeden ausgewählten Cluster das VLAN ein, das für den VXLAN-Transport verwendet wird. Informationen über das Abrufen der VLAN-ID des VXLAN-VLAN finden Sie in der Dokumentation zum vsphere-netzwerk. 8 Klicken Sie auf [Weiter]. 9 Geben Sie unter Specify Transport Attributes für jeden virtuellen Distributed Switch die MTU (Maximum Transmission Units) ein. Unter MTU versteht man die maximale Menge der Daten, die in einem Paket übertragen werden kann, bevor es in kleinere Pakete aufgeteilt wird. VXLAN-Datenverkehrs-Frames sind aufgrund der Verkapselung etwas größer, sodass die MTU für jeden Switch auf mindestens 1550 festgelegt werden muss. 10 Klicken Sie auf [Beenden]. Sie haben jetzt Ihre Rechenressourcen in einem Pool zusammengefasst und können nunmehr bei Bedarf virtuelle VXLAN-Leitungen erstellen. Zuweisen des Segment-ID-Pools und des Multicast-Adressbereichs zu vshield Manager Sie müssen einen Segment-ID-Pool angeben, um Ihren Netzwerkdatenverkehr zu isolieren, und einen Multicast-Adressbereich, um den Datenverkehr im Netzwerk zu verteilen, um zu verhindern, dass eine einzelne Multicast-Adresse überladen wird. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden. 5 Klicken Sie auf die Registerkarte [Segment ID]. 6 Klicken Sie auf [Bearbeiten]. Das Dialogfeld Edit Settings wird geöffnet. 7 Geben Sie einen Bereich für Segment-IDs ein. Beispiel: Geben Sie einen Adressbereich ein. Beispiel: Klicken Sie auf [OK]. Erstellen einer virtuellen VXLAN-Leitung Voraussetzungen Ihr Netzwerk ist jetzt für das Hinzufügen von virtuellen VXLAN-Leitungen vorbereitet. VMware, Inc. 53
54 Hinzufügen eines Netzwerkbereichs Bei einem Netzwerkbereich handelt es sich um den Computing-Wirkungsbereich, der von Ihrem virtualisierten Netzwerk überbrückt wird und möglicherweise mehrere virtuelle VXLAN-Leitungen enthält. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Network Scopes]. 5 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add Network Scope wird angezeigt. 6 Geben Sie einen Namen für den Netzwerkbereich ein. 7 Geben Sie eine Beschreibung für den Netzwerkbereich ein. 8 Wählen Sie die Cluster aus, die Sie dem Netzwerkbereich hinzufügen möchten. 9 Klicken Sie auf [OK]. Hinzufügen einer virtuellen VXLAN-Leitung Nachdem Sie das VXLAN-Fabric vorbereitet haben, können Sie eine virtuelle VXLAN-Leitung hinzufügen. Eine virtuelle VXLAN-Leitung sorgt für die erforderliche Netzwerkabstraktion, sodass die vnics einer virtuellen Maschine stets eine virtuelle VXLAN-Leitung für die Konnektivität zur Außenwelt verwenden. Voraussetzungen 1 Ihr Netzwerk ist jetzt für das Hinzufügen von virtuellen VXLAN-Leitungen vorbereitet. 2 Sie haben einen Netzwerkbereich hinzugefügt. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Networks]. 5 Klicken Sie auf das Symbol [Add]. 6 Geben Sie einen Namen für die virtuelle VXLAN-Leitung ein. 7 Geben Sie eine Beschreibung für die virtuelle VXLAN-Leitung ein. 8 Wählen Sie den Netzwerkbereich aus, in dem Sie das virtualisierte Netzwerk erstellen möchten. Im Bereich Scope Details werden die Cluster, die Teil des ausgewählten Netzwerkbereichs sind, und die Dienste, die in dem Netzwerkbereich zu Bereitstellung zur Verfügung stehen, angezeigt. 9 Klicken Sie auf [OK]. Weiter Klicken Sie in der Spalte Name auf die virtuelle VXLAN-Leitung, um Details zur virtuellen Leitung anzuzeigen. 54 VMware, Inc.
55 Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen Verbinden einer virtuellen VXLAN-Leitung mit vshield Edge Durch das Verbinden einer virtuellen VXLAN-Leitung mit einer vshield Edge-Schnittstelle wird die virtuelle VXLAN-Leitung isoliert und die Netzwerk-Edge-Sicherheit erhöht. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Networks]. 5 Wählen Sie die virtuelle VXLAN-Leitung aus, mit der Sie vshield Edge verbinden möchten. 6 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Connect to Edge]. 7 Wählen Sie die vshield Edge-Instanz aus, mit der Sie die virtuelle VXLAN-Leitung verbinden möchten. 8 Klicken Sie auf [Auswählen]. 9 Klicken Sie im Dialogfeld Redirect to Selected Edge auf [Continue]. 10 Geben Sie im Dialogfeld Edit Edge Interface einen Namen für die vshield Edge-Schnittstelle ein. 11 Wählen Sie [Internal] bzw. [Uplink], um anzugeben, ob es sich um eine interne oder eine Uplink- Schnittstelle handelt. Eine virtuelle VXLAN-Leitung wird in der Regel mit einer internen Schnittstelle verbunden. 12 Der Name der virtuelle VXLAN-Leitung wird im Bereich [Connected To] angezeigt. 13 Wählen Sie den Konnektivitätsstatus für die Schnittstelle aus. 14 Wenn bei der vshield Edge-Instanz, mit der Sie die virtuelle VXLAN-Leitung verbinden, Manual HA Configuration ausgewählt ist, geben Sie zwei Verwaltungs-IP-Adressen im CIDR-Format ein. 15 Bearbeiten Sie die standardmäßige MTU, falls erforderlich. 16 Klicken Sie auf [OK]. Bereitstellen von Diensten auf einer virtuellen VXLAN-Leitung Sie können Dienste von Drittanbietern auf einer virtuellen VXLAN-Leitung bereitstellen. Voraussetzungen Informationen zum Hinzufügen von Diensten zu vshield Manager finden Sie unter Einfügen von Netzwerkdiensten, auf Seite Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Networks]. 5 Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, auf der Sie Dienste bereitstellen möchten. 6 Klicken Sie im Bereich [Available Services] auf [Enable Services]. VMware, Inc. 55
56 7 Wählen Sie im Dialogfeld Apply Service Profile to this Network den Dienst und das Dienstprofil aus, die Sie anwenden möchten. 8 Klicken Sie auf [Übernehmen]. Verbinden von virtuellen Maschinen mit einer VXLAN-Leitung Sie können virtuelle Maschinen mit einer virtuellen VXLAN-Leitung verbinden. Dadurch ist es einfacher, in Ihrer vcenter-bestandsliste die Portgruppen zu identifizieren, die zu einer virtuellen Leitung gehören. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Networks]. 5 Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie bearbeiten möchten. 6 Klicken Sie auf die Registerkarte [Virtuelle Maschinen (Virtual Machines)]. 7 Klicken Sie auf das Symbol [Add] ( ). 8 Geben Sie im Feld Search des Dialogfelds Connect VNics to this Network den Namen der virtuellen Maschine ein und klicken Sie auf. Es werden alle vnics für die virtuelle Maschine angezeigt. 9 Wählen Sie die vnics aus, die Sie verbinden möchten. 10 Klicken Sie auf [Weiter]. 11 Überprüfen Sie die von Ihnen ausgewählten vnics. 12 Klicken Sie auf [Beenden]. Testen der Konnektivität einer virtuellen VXLAN-Leitung Sie können auf einer virtuellen VXLAN-Leitung einen Ping-oder Broadcast-Test durchführen, um die Konnektivität und die physische Leitungsinfrastruktur für VXLAN zu überprüfen. Durchführen des Ping-Tests Sie können einem Zielhost von einem Quellhost aus einen Ping-Befehl senden, bevor Sie ein Unicast-Paket senden. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Networks]. 5 Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie testen möchten. 6 Klicken Sie auf die Registerkarte [Hosts]. 7 Markieren Sie einen Host. 8 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Test Connectivity]. 56 VMware, Inc.
57 Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen Das Dialogfeld Test Connectivity Between Hosts in the Network wird geöffnet. Der in Schritt 7 ausgewählte Host wird im Feld Source Host angezeigt. Klicken Sie auf [Browse], wenn Sie einen anderen Quellhost auswählen möchten. 9 Wählen Sie die Größe des Testpakets. Die Standardgröße bei VXLAN beträgt 1550 Bytes ohne Fragmentierung (sollte mit den MTU der physischen Infrastruktur übereinstimmen). Dies ermöglicht vshield, die Konnektivität zu überprüfen und sicherzustellen, dass die Infrastruktur für den VXLAN-Verkehr vorbereitet ist. Eine minimale Paketgröße führt zu Fragmentierung. Demzufolge kann vshield nur die Konnektivität prüfen, jedoch nicht, ob die Infrastruktur für größere Rahmengrößen eingerichtet ist. 10 Klicken Sie im Fenster [Destination] auf [Browse Hosts]. 11 Wählen Sie im Dialogfeld Select Host den Zielhost aus. 12 Klicken Sie auf [Auswählen]. 13 Klicken Sie auf [Start Test]. Die Ergebnisse des Host-to-Host-Ping-Tests werden angezeigt. Durchführen des Broadcast-Tests Sie können einen Broadcast-Test durchführen, um MAC-Adressen aufzulösen. Ein einzelner Host sendet eine Broadcast-Nachricht an alle anderen Geräte in dem Netzwerksegment. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Networks]. 5 Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, die Sie testen möchten. 6 Klicken Sie auf die Registerkarte [Hosts]. 7 Markieren Sie einen Host. 8 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Test Connectivity]. 9 Klicken Sie im Dialogfeld Test Connectivity Between Hosts in the Network auf [Broadcast]. Der in Schritt 7 ausgewählte Host wird im Feld Source Host angezeigt. Klicken Sie auf [Browse], wenn Sie einen anderen Quellhost auswählen möchten. 10 Wählen Sie die Größe des Testpakets. Die Standardgröße bei VXLAN beträgt 1550 Bytes ohne Fragmentierung (sollte mit den MTU der physischen Infrastruktur übereinstimmen). Dies ermöglicht vshield, die Konnektivität zu überprüfen und sicherzustellen, dass die Infrastruktur für den VXLAN-Verkehr vorbereitet ist. Eine minimale Paketgröße führt zu Fragmentierung. Demzufolge kann vshield die Konnektivität der Infrastruktur prüfen, jedoch nicht, ob die Infrastruktur für größere Rahmengrößen eingerichtet ist. 11 Klicken Sie auf [Start Test]. Die Ergebnisse des Broadcast-Tests werden angezeigt. VMware, Inc. 57
58 Anzeigen von Flow Monitoring-Daten für eine virtuelle VXLAN-Leitung Flow Monitoring ist ein Tool zur Datenverkehrsanalyse, das Ihnen detaillierte Informationen zum Datenverkehr auf Ihrer virtuellen VXLAN-Leitung liefert, der eine vshield App-Instanz durchläuft. Die Flow Monitoring-Ausgabe zeigt, welche Maschinen Daten über welche Anwendung austauschen. Diese Daten umfassen die Anzahl von Sitzungen und Paketen sowie die Bytes, die pro Sitzung übertragen werden. Die Sitzungsdetails umfassen die Quellen, Ziele, Sitzungsrichtungen und Anwendungen sowie die verwendeten Ports. Anhand der Sitzungsdetails können Firewallregeln für das Zulassen oder Blockieren von Datenverkehr erstellt werden. Sie können Flow Monitoring als forensisches Tool zum Ermitteln von nicht autorisierten Diensten sowie zum Untersuchen ausgehender Sitzungen nutzen. Flow Monitoring-Daten stehen für zwei Wochen zur Verfügung. Flow Monitoring-Daten sind nur dann verfügbar, wenn Sie auf den Hosts in den Clustern mit virtuellen VXLAN-Leitungen vshield App installiert haben. Weitere Informationen finden Sie unter Kapitel 12, vshield App Flow Monitoring, auf Seite 167. Arbeiten mit Firewallregeln für virtuelle VXLAN-Leitungen vshield App bietet Firewall-Schutz für Ihre virtuellen VXLAN-Leitungen, indem Zugriffsrichtlinien erzwungen werden. Weitere Informationen finden Sie unter Kapitel 13, vshield App Firewall-Management, auf Seite 175. Verhindern von Spoofing auf einer virtuellen VXLAN-Leitung Nach der Synchronisierung mit vcenter Server erfasst vshield Manager auf jeder virtuellen Maschine die IP- Adressen aller virtuellen vcenter-gastmaschinen von VMware Tools. vshield vertraut nicht allen IP-Adressen, die von VMware Tools auf einer virtuellen Maschine bereitgestellt wurden. Wenn die Sicherheit einer virtuellen Maschine gefährdet wurde, kann die IP-Adresse manipuliert worden sein. Demzufolge könnten Übertragungen mit böswilligen Absichten Firewallrichtlinien umgehen. SpoofGuard ermöglicht die Autorisierung der von den VMware Tools gemeldeten IP-Adressen und bei Bedarf deren Änderung, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vsphere SDK erfasst werden. Spoof- Guard wird getrennt von den App Firewall-Regeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde. Weitere Informationen finden Sie unter Verwenden von SpoofGuard, auf Seite 183. Bearbeiten von Netzwerkbereichen Sie können einen Netzwerkbereich bearbeiten, erweitern oder verkleinern. Anzeigen und Bearbeiten eines Netzwerkbereichs Sie können die virtuellen VXLAN-Leitungen und die Cluster in einem ausgewählten Netzwerkbereich sowie die für den Netzwerkbereich verfügbaren Dienste anzeigen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 58 VMware, Inc.
59 Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen 4 Klicken Sie auf die Registerkarte [Network Scope]. Alle Netzwerkbereiche für das ausgewählte Datencenter werden angezeigt. 5 Klicken Sie in der Spalte [Name] auf einen Netzwerkbereich. Auf der Registerkarte Summary werden folgende Informationen angezeigt. Klicken Sie im entsprechenden Abschnitt auf [Edit], wenn Sie Änderungen vornehmen möchten. Der Abschnitt Properties enthält den Namen und die Beschreibung des Netzwerkbereichs sowie die Anzahl der auf diesem Netzwerkbereich basierenden virtuellen VXLAN-Leitungen. Der Abschnitt Network Scope führt die Cluster in dem Netzwerkbereich auf und informiert darüber, ob diese für ein virtualisiertes Netzwerk bereit sind (ob sie einem vds zugeordnet wurden). Der Abschnitt Available Services enthält die für den Netzwerkbereich verfügbaren Dienste. Erweitern eines Netzwerkbereichs Sie können Cluster zu einem Netzwerkbereich hinzufügen. Dadurch werden alle vorhandenen virtuellen VXLAN-Leitungen gestreckt, sodass sie den neu hinzugefügten Clustern zur Verfügung stehen. Voraussetzungen Die Cluster, die Sie einem Netzwerkbereich hinzufügen, müssen vorbereitet werden. Siehe Vorbereiten Ihres Netzwerks für virtuelle VXLAN-Leitungen, auf Seite Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Network Scope]. Alle Netzwerkbereiche für das ausgewählte Datencenter werden angezeigt. 5 Klicken Sie in der Spalte [Name] auf einen Netzwerkbereich. 6 Klicken Sie unter [Scope Details] auf [Expand]. Das Dialogfeld Add Clusters to a Network Scope (Expand) wird geöffnet. 7 Wählen Sie die Cluster aus, die Sie dem Netzwerkbereich hinzufügen möchten. 8 Klicken Sie auf [OK]. Verkleinern eines Netzwerkbereichs Sie können Cluster aus einem Netzwerkbereich entfernen. Vorhandene virtuelle VXLAN-Leitungen können verkürzt werden, um den kontrahierten Bereich aufzunehmen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Network Scope]. Alle Netzwerkbereiche für das ausgewählte Datencenter werden angezeigt. 5 Klicken Sie in der Spalte [Name] auf einen Netzwerkbereich. VMware, Inc. 59
60 6 Klicken Sie unter [Scope Details] auf [Contract]. Das Dialogfeld Remove Clusters from a Network Scope (Contract) wird geöffnet. 7 Wählen Sie die Cluster aus, die Sie aus dem Netzwerkbereich entfernen möchten. 8 Klicken Sie auf [OK]. Bearbeiten einer virtuellen VXLAN-Leitung Sie können den Namen und die Beschreibung einer virtuellen VXLAN-Leitung bearbeiten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Networks]. 5 Klicken Sie in der Spalte [Name] auf die virtuelle VXLAN-Leitung, die Sie bearbeiten möchten. 6 Klicken Sie auf [Bearbeiten]. 7 Nehmen Sie die gewünschten Änderungen vor. 8 Klicken Sie auf [OK]. Beispielszenario für das Erstellen von virtuellen VXLAN-Leitungen Dieses Szenario stellt eine Situation dar, in der das Unternehmen ACME Enterprise im ACME-Datencenter über zwei Cluster mit mehreren ESX-Hosts verfügt. Die Engineering-Abteilung (mit der Portgruppe PG- Engineering ) sowie die Finance-Abteilung (mit der Portgruppe PG-Finance ) befinden sich auf Cluster1. Die Marketing-Abteilung (PG-Marketing) verwendet Cluster2. Beide Cluster werden von einem einzelnen vcenter Server 5.1 verwaltet. Abbildung 8-2. Netzwerk von ACME Enterprise vor der Implementierung virtueller VXLAN-Leitungen Cluster 1 Cluster 2 VM VM VM VM VM VM VM PG- Engineering PG- Finance PG- Marketing vds1 vds2 Physischer Switch Physischer Switch Engineering: VLAN10: /24 Finanz: VLAN20: /24 Marketing: VLAN30: /24 60 VMware, Inc.
61 Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen ACME verfügt auf Cluster1 über unzureichende Rechenressourcen, während Cluster2 nicht ausgelastet ist. Der Netzwerk-Supervisor von ACME bittet Peter Admin (Virtualisierungsadministrator bei ACME) zu ermitteln, wie eine Nutzung der Cluster2-Maschinen durch die Engineering-Abteilung aussehen könnte, bei der die virtuellen Maschinen der Engineering-Abteilung auf beiden Clustern miteinander kommunizieren. Dies würde es ACME ermöglichen, durch Ausdehnen der L2-Schicht die Rechenkapazität beider Cluster zu nutzen. Wenn Peter Admin diese Aufgabenstellung auf eine herkömmliche Weise lösen würde, müsste er die beiden VLANs auf eine besondere Weise verbinden, um beiden Clustern die Zugehörigkeit zur selben L2-Domäne zu ermöglichen. Das würde bedeuten, dass ACME ein neues physisches Gerät für die Trennung des Datenverkehrs anschaffen müsste, und es würde Probleme wie VLAN-Sprawl, Netzwerk-Loops sowie einen Mehraufwand bei Administrations- und Management-Aufgaben nach sich ziehen. Peter Admin erinnert sich an die Demo zu virtuellen VXLAN-Leitungen, die er auf der VMworld 2011 gesehen hat, und beschließt, vshield Version 5.1 zu testen. Er kommt zu dem Schluss, dass ihm der Aufbau einer virtuellen VXLAN-Leitung zwischen dvswitch1 und dvswitch2 ermöglichen wird, die L2-Schicht bei ACME auszuweiten. Abbildung 8-3. ACME Enterprise implementiert eine virtuelle VXLAN-Leitung Cluster 1 Cluster 2 Virtuelle Leitung erstreckt sich über mehrere VLANs/Subnetze VM VM VM VM VM VM VM VM VM VM VM VM PG- Engineering PG- Finance PG- Marketing PG- Engineering vds1 vds2 Physischer Switch Physischer Switch Engineering: VXLAN5000: /24 Finanz: VXLAN5001: /24 Marketing: VXLAN5002: /24 Nachdem Peter Admin die virtuelle VXLAN-Leitung zwischen den beiden Clustern eingerichtet hat, kann er die virtuellen Maschinen mithilfe von vmotion über die vdses verschieben. VMware, Inc. 61
62 Abbildung 8-4. vmotion über eine virtuelle VXLAN-Leitung vmotion-bereich vmotion-bereich VM VM VM VM VM VM VM VM VM VM VM VM PG- Engineering PG- Finance PG- Marketing PG- Engineering vds1 vds2 Engineering: VXLAN5000: /24 Finanz: VXLAN5001: /24 Marketing: VXLAN5002: /24 Lassen Sie uns nachvollziehen, welche Schritte Peter Admin durchführen muss, um bei ACME Enterprise eine virtuelle VXLAN-Leitung aufbauen. Peter Admin ordnet Distributed Switches einem Cluster zu Peter Admin muss jeden Cluster, der Teil eines virtualisierten Netzwerks werden soll, einem vds zuordnen. Wenn er einem Switch einen Cluster zuordnet, wird jeder Host in diesem Cluster für die Verwendung virtueller VXLAN-Leitungen befähigt. Voraussetzungen 1 Peter Admin erhält vom Administrator für vshield Manager bei ACME einen Segment-ID-Pool ( ). Vom Netzwerkadministrator bei ACME erhält er einen Multicast-Adressbereich ( bis ). 2 Peter Admin legt die verwaltete IP-Adresse für vcenter Server fest. a Auswählen [Administration] > [vcenter Server Settings] > [Runtime Settings]. b In Geben Sie in das Feld vcenter Server Managed IP ein. c Klicken Sie auf [OK]. 3 Peter Admin stellt sicher, dass in den für den VXLAN-Transport verwendeten VLANs ein DHCP-Server verfügbar ist. 4 Peter Admin verifiziert, dass dvswitch1 und dvswitch2 über dieselbe Version verfügen und vom selben Anbieter stammen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich ACME-Datencenter aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden. 5 Klicken Sie unter Connectivity auf [Edit]. 62 VMware, Inc.
63 Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen 6 Wählen Sie im Dialogfeld Prepare Infrastructure for VXLAN Networking die Option Cluster1 für den Anschluss an die virtuelle VXLAN-Leitung aus. 7 Geben Sie 10 für das ACME-VXLAN-Transport-VLAN ein, das von dvswitch1 verwendet werden soll. 8 Klicken Sie auf [Weiter]. 9 Behalten Sie unter Specify Transport Attributes für dvswitch1 den Wert 1600 als Maximum Transmission Units (MTU) bei. Unter MTU versteht man die maximale Menge der Daten, die in einem Paket übertragen werden kann, bevor es in kleinere Pakete aufgeteilt wird. Peter Admin weiß, dass Datenverkehr-Frames bei virtuellen VXLAN-Leitungen aufgrund der Verkapselung etwas größer sind. Demzufolge muss der MTU-Wert für jeden Switch 1550 oder mehr betragen. 10 Wiederholen Sie die Schritte 5 bis 7 und wählen Sie Cluster2 für den Anschluss an die virtuelle VXLAN- Leitung aus. 11 Geben Sie für dvswitch2 in Specify Transport Attributes den Wert 20 ein. 12 Behalten Sie für dvswitch2 den Wert 1600 als Maximum Transmission Units (MTU) bei. 13 Klicken Sie auf [Beenden]. Nachdem Peter Admin Cluster1 und Cluster2 den entsprechenden Switches zugeordnet hat, sind die Hosts in diesen Clustern für virtuelle VXLAN-Leitungen vorbereitet: 1 Jedem Host im Cluster1 und Cluster2 wird ein VXLAN-Kernelmodul und eine VMKNIC hinzugefügt. 2 Auf dem der virtuellen VXLAN-Leitung zugeordneten vds wird eine spezielle dvportgroup erstellt, mit der die VMKNIC verbunden wird. Peter Admin weist vshield Manager einen Segment-ID-Pool und einen Multicast- Adressbereich zu Peter Admin muss den Segment-ID-Pool angeben, den er für die Isolierung des Netzwerkdatenverkehrs der Firma ABC erhalten hat, sowie den Multicast-Adressbereich für das Verteilen des Datenverkehrs im Netzwerk, um die Überlastung einer einzelnen Multicast-Adresse zu vermeiden. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich ABC-Datencenter aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Preparation] befinden. 5 Klicken Sie auf die Registerkarte [Segment ID]. 6 Klicken Sie auf [Bearbeiten]. Das Dialogfeld Edit Settings wird geöffnet. 7 Geben Sie in Segment ID Pool ein. 8 Geben Sie unter Multicast Addresses ein. 9 Klicken Sie auf [OK]. VMware, Inc. 63
64 Peter Admin fügt einen Netzwerkbereich hinzu Das physische Netzwerk, das eine virtuelle VXLAN-Leitung stützt, wird Netzwerkbereich genannt. Bei einem Netzwerkbereich handelt es sich um den von einem virtualisierten Netzwerk umfassten Computing-Wirkungsbereich. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich ABC-Datencenter aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Network Scopes]. 5 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add Network Scope wird angezeigt. 6 Geben Sie im Feld Name [ACME Netzwerkbereich] ein. 7 Geben Sie im Feld Description [Bereich mit ACME Clustern] ein. 8 Wählen Sie Cluster1 und Cluster2 aus, um sie dem Netzwerkbereich hinzuzufügen. 9 Klicken Sie auf [OK]. Peter Admin fügt eine virtuelle VXLAN-Leitung hinzu Nachdem Peter Admin das Fabric für eine virtuelle VXLAN-Leitung vorbereitet hat, kann er eine virtuelle VXLAN-Leitung hinzufügen. Eine virtuelle VXLAN-Leitung sorgt für die erforderliche Netzwerkabstraktion, sodass die vnics einer virtuellen VXLAN-Leitung diese immer für die Verbindung zur Außenwelt verwenden. Voraussetzungen 1 Das ACME-Netzwerk ist jetzt für die Aufnahme virtueller VXLAN-Leitungen vorbereitet. 2 Peter Admin hat einen Netzwerkbereich hinzugefügt. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich ABC-Datencenter aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Networks]. 5 Klicken Sie auf das Symbol [Add]. 6 Geben Sie im Feld Name Virtuelle ACME-Leitung ein. 7 Geben Sie im Feld Description Virtuelle Leitung zur Erweiterung des ACME-Engineering-Netzwerks auf Cluster 2 ein. 8 Wählen Sie unter [Network Scope] ACME-Netzwerkbereich aus. 9 Überprüfen Sie die Details des Netzwerkbereichs. 10 Klicken Sie auf [OK]. vshield generiert eine virtuelle VXLAN-Leitung, die zwischen dvswitch1 und dvswitch2 L2-Konnektivität (über VXLANs) bereitstellt. 64 VMware, Inc.
65 Kapitel 8 Verwalten von virtuellen VXLAN-Leitungen Weiter Peter Admin kann nun die bei ACME für die Produktion verwendeten virtuellen Maschinen mit der virtuellen VXLAN-Leitung verbinden und diese an eine vshield Edge anschließen. VMware, Inc. 65
66 66 VMware, Inc.
67 vshield Edge-Management 9 vshield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Maschinen in einer Portgruppe, vds-portgruppe oder einem Cisco Nexus 1000V-Switch. vshield Edge verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vshield Edge umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vshield Edge Perimeter- Sicherheit für virtuelle Datencenter (VDCs) bietet. Dieses Kapitel behandelt die folgenden Themen: Anzeigen des Status einer vshield Edge-Instanz, auf Seite 68 Konfigurieren der vshield Edge-Einstellungen, auf Seite 68 Verwalten von Appliances, auf Seite 68 Arbeiten mit Schnittstellen, auf Seite 70 Arbeiten mit Zertifikaten, auf Seite 73 Verwalten der vshield Edge-Firewall, auf Seite 76 Verwalten von NAT-Regeln, auf Seite 82 Arbeiten mit statischen Routen, auf Seite 84 Verwalten des DHCP-Diensts, auf Seite 85 Verwalten von VPN-Diensten, auf Seite 88 Verwalten des Lastverteilerdiensts, auf Seite 145 Grundlegendes zu High Availability, auf Seite 150 Konfigurieren von DNS-Servern, auf Seite 152 Konfigurieren von Remote-Syslog-Servern, auf Seite 152 Ändern der CLI-Anmeldedaten, auf Seite 153 Durchführen eines Upgrades von vshield Edge auf Large oder X-Large, auf Seite 153 Herunterladen von Tech Support-Protokollen für vshield Edge, auf Seite 154 Synchronisieren von vshield Edge mit vshield Manager, auf Seite 154 Erneutes Bereitstellen von vshield Edge, auf Seite 154 VMware, Inc. 67
68 Anzeigen des Status einer vshield Edge-Instanz Die Statusseite enthält Diagramme für den Datenverkehr, der über die Schnittstellen der ausgewählten vshield Edge-Instanz fließt, sowie Verbindungsstatistiken für die Firewall- und Lastausgleichsdienste. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge-Instanz, deren Status Sie überprüfen möchten. 6 Klicken Sie auf die Registerkarte [Status]. Konfigurieren der vshield Edge-Einstellungen Auf der Seite Settings werden detaillierte Informationen über die ausgewählte vshield Edge-Instanz angezeigt. 1 Navigieren Sie im vsphere-client zu [Inventory] > [Hosts and Clusters]. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Klicken Sie auf die Registerkarte [Configure]. 6 Klicken Sie auf den Link [Settings]. Weiter Angezeigt werden vshield Edge-Details, für die vshield Edge-Instanz konfigurierte Dienste sowie die HA- und DNS-Konfigurationen. Sie können die gewünschte Konfiguration ändern, indem Sie auf [Change] klicken. Verwalten von Appliances Sie können Appliances hinzufügen, bearbeiten oder löschen. Eine vshield Edge-Instanz bleibt offline, bis ihr wenigstens eine Appliance hinzugefügt wurde. Hinzufügen einer Appliance Sie müssen mindestens eine Appliance zu vshield Edge hinzufügen, bevor Sie sie bereitstellen können. 1 Navigieren Sie im vsphere-client zu [Inventory] > [Hosts and Clusters]. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 68 VMware, Inc.
69 Kapitel 9 vshield Edge-Management 5 Klicken Sie auf die Registerkarte [Configure]. 6 Klicken Sie auf den Link [Settings]. 7 Klicken Sie unter [Edge Appliances] auf das [Add] -Symbol ( ). 8 Wählen Sie im Dialogfeld Add Edge Appliance den Cluster oder den Ressourcenpool sowie den Datenspeicher für die Appliance aus. 9 (Optional) Wählen Sie den Host aus, auf dem die Appliance hinzugefügt werden soll. 10 (Optional) Wählen Sie den vcenter-ordner aus, in dem die Appliance hinzugefügt werden soll. 11 Klicken Sie auf [Hinzufügen]. Ändern einer Appliance Sie können eine vshield Edge-Appliance ändern. 1 Navigieren Sie im vsphere-client zu [Inventory] > [Hosts and Clusters]. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Klicken Sie auf die Registerkarte [Configure]. 6 Klicken Sie auf den Link [Settings]. 7 Wählen Sie unter [Edge Appliances] die zu ändernde Appliance aus. 8 Klicken Sie auf das Symbol [Edit] ( ). 9 Nehmen Sie im Dialogfeld Edit Edge Appliance die entsprechenden Änderungen vor. 10 Klicken Sie auf [Save]. Löschen einer Appliance Sie können eine vshield Edge-Appliance löschen. 1 Navigieren Sie im vsphere-client zu [Inventory] > [Hosts and Clusters]. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Klicken Sie auf die Registerkarte [Configure]. 6 Klicken Sie auf den Link [Settings]. 7 Wählen Sie unter [Edge Appliances] die zu löschende Appliance aus. 8 Klicken Sie auf das Symbol [Delete] ( ). VMware, Inc. 69
70 Arbeiten mit Schnittstellen Sie installieren eine vshield Edge-Instanz auf einem Datencenter und können bis zu zehn interne oder Uplink- Schnittstellen hinzufügen. Eine vshield Edge-Instanz muss über mindestens eine interne Schnittstelle verfügen, bevor sie bereitgestellt werden kann. Hinzufügen einer Schnittstelle Sie können einer virtuellen vshield Edge-Instanz bis zu zehn interne und Uplink-Schnittstellen hinzufügen. Sie müssen mindestens eine interne Schnittstelle hinzufügen, damit HA funktioniert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf den Link [Interfaces]. 8 Klicken Sie auf das Symbol [Add] ( ). 9 Geben Sie im Dialogfeld Add Edge Interface einen Namen für die Schnittstelle ein. 10 Wählen Sie [Internal] bzw. [Uplink], um anzugeben, ob es sich um eine interne oder eine externe Schnittstelle handelt. 11 Wählen Sie die Portgruppe oder die virtuelle VXLAN-Leitung aus, mit der diese Schnittstelle verbunden werden soll. a Klicken Sie auf [Select] neben dem Feld [Connected To]. b c Klicken Sie je nachdem, womit die Schnittstelle verbunden werden soll, auf die Registerkarte [Virtual Wire], [Standard Portgroup] oder [Distributed Portgroup]. Wählen Sie die entsprechende virtuelle Leitung oder Portgruppe aus. d Klicken Sie auf [Auswählen]. 12 Wählen Sie den Konnektivitätsstatus für die Schnittstelle aus. 13 Klicken Sie unter [Configure Subnets] auf das Symbol [Add] ( ), um der Schnittstelle ein Subnetz hinzuzufügen. Eine Schnittstelle kann über mehrere nicht überlappende Subnetze verfügen. 14 Klicken Sie unter [Add Subnet] auf das Symbol [Add] ( ), um eine IP-Adresse einzugeben. Wenn Sie mehr als eine IP-Adresse eingeben, können Sie die primäre IP-Adresse auswählen. Eine Schnittstelle kann eine primäre und mehrere sekundäre IP-Adressen haben. vshield Edge betrachtet die primäre IP-Adresse als die Quelladresse für den lokal generierten Datenverkehr. Sie müssen der Schnittstelle zuerst eine IP-Adresse hinzufügen, bevor Sie sie für jede beliebige Funktionskonfiguration verwenden können. 15 Geben Sie die Subnetzmaske für die Schnittstelle ein und klicken Sie auf [Save]. 16 Ändern Sie die standardmäßige MTU, falls erforderlich. 70 VMware, Inc.
71 Kapitel 9 vshield Edge-Management 17 Wählen Sie unter [Options] die erforderlichen Optionen aus. Option Enable Proxy ARP Send ICMP Redirect Beschreibung Unterstützt das Überlappen der Netzwerkweiterleitung zwischen verschiedenen Schnittstellen. Leitet Routing-Informationen an Hosts weiter. 18 Geben Sie die Fence-Parameter ein und klicken Sie auf [Add]. 19 Wiederholen Sie die Schritte Schritt 8 bis Schritt 18, um weitere Schnittstellen hinzuzufügen. Ändern von Schnittstelleneinstellungen Sie können die Portgruppe oder die virtuelle Leitung, mit der eine Schnittstelle verbunden ist, ändern und die IP-Adressen der Schnittstelle aktualisieren. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge]. 4 Doppelklicken Sie auf eine vshield Edge-Instanz. 5 Klicken Sie auf die Registerkarte [Configure]. 6 Klicken Sie auf [Interfaces]. 7 Klicken Sie auf das Symbol [Edit] ( ). 8 Nehmen Sie die erforderlichen Änderungen vor. 9 Klicken Sie auf [Save]. Löschen einer Schnittstelle Sie können eine vshield Edge-Schnittstelle löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf den Link [Interfaces] 8 Wählen Sie die zu löschende Schnittstelle. 9 Klicken Sie auf das Symbol [Delete] ( ) VMware, Inc. 71
72 Aktivieren einer Schnittstelle Eine Schnittstelle muss aktiviert sein, damit vshield Edge die virtuellen Maschinen innerhalb dieser Schnittstelle (Portgruppe oder virtuelle VXLAN-Leitung) isolieren kann. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf den Link [Interfaces] 8 Wählen Sie die zu aktivierende Schnittstelle aus. 9 Klicken Sie auf das Symbol [Enable] ( ). Deaktivieren einer Schnittstelle Sie können eine Schnittstelle deaktivieren 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf den Link [Interfaces] 8 Wählen Sie die zu deaktivierende Schnittstelle aus. 9 Klicken Sie auf das Symbol [Disable]. 72 VMware, Inc.
73 Kapitel 9 vshield Edge-Management Arbeiten mit Zertifikaten vshield Edge unterstützt selbstsignierte Zertifikate, von einer Zertifizierungsstelle (CA) signierte Zertifikate und Zertifikate, die von einer Zertifizierungsstelle generiert und signiert wurden. Konfigurieren eines von einer Zertifizierungsstelle signierten Zertifikats Sie können eine Signaturanforderung (CSR) generieren und sie von einer Zertifizierungsstelle signieren lassen. Wenn Sie eine CSR auf globaler Ebene generieren, steht sie allen vshield Edge-Instanzen in Ihrer Bestandsliste zur Verfügung. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. Option So generieren Sie ein globales Zertifikat So generieren Sie ein Zertifikat für vshield Edge Beschreibung a Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. b Klicken Sie auf die Registerkarte [SSL Zertifikat]. a Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. b Klicken Sie auf die Registerkarte [Network Virtualization]. c Klicken Sie auf den Link [Edges]. d Doppelklicken Sie auf eine vshield Edge-Instanz. e Klicken Sie auf die Registerkarte [Configure]. f Klicken Sie auf den Link [Certificates]. g Klicken Sie auf [Actions] und wählen Sie [Generate CSR]. 2 Geben Sie den Namen Ihres Unternehmens und der Organisationseinheit ein. 3 Geben Sie Ort, Straße und Land Ihres Unternehmens ein. 4 Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation zwischen den Hosts aus. Beachten Sie, dass SSL VPN-Plus nur RSA-Zertifikate unterstützt. 5 Ändern Sie bei Bedarf die Standardschlüsselgröße. 6 Geben Sie für ein globales Zertifikat eine Beschreibung ein. 7 Klicken Sie auf [Generate] (auf globaler Ebene) bzw. auf [OK] (auf vshield Edge-Ebene). Die Signaturanforderung wird generiert und in der Zertifikatsliste angezeigt. 8 Lassen Sie diese CSR von einer Online-Zertifizierungsstelle signieren. VMware, Inc. 73
74 9 Importieren Sie das signierte Zertifikat. Option So importieren Sie ein signiertes Zertifikat auf globaler Ebene So generieren Sie ein Zertifikat für vshield Edge Beschreibung a b c Klicken Sie auf der Registerkarte SSL Certificates der vshield Manager-Benutzeroberfläche auf neben [Import Signed Certificate]. Klicken Sie auf [Browse] und wählen Sie die CSR-Datei aus. Wählen Sie den Zertifikatstyp aus. d Klicken Sie auf [Übernehmen]. a b c Kopieren Sie den Inhalt des signierten Zertifikats. Klicken Sie auf der Registerkarte [Certificates] auf [Actions] und wählen Sie [Import Certificate]. Fügen Sie im Dialogfeld Import CSR den Inhalt des signierten Zertifikats ein. d Klicken Sie auf [OK]. Das von der Zertifizierungstelle signierte Zertifikat wird in die Liste der Zertifikate aufgenommen. Hinzufügen eines CA-Zertifikats Durch das Hinzufügen eines CA-Zertifikats werden Sie die Interim-Zertifizierungsstelle (CA) für Ihr Unternehmen. Sie sind dann berechtigt, Ihre eigenen Zertifikate zu signieren. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf den Link [Certificates]. 8 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie anschließend [CA Certificate] aus. 9 Kopieren Sie den Zertifikatsinhalt und fügen Sie ihn in das Textfeld Certificate ein. 10 Geben Sie eine Beschreibung für das CA-Zertifikat ein. 11 Klicken Sie auf [OK]. Sie können jetzt Ihre eigenen Zertifikate signieren. Konfigurieren eines selbstsignierten Zertifikats Sie können selbstsignierte Serverzertifikate erstellen, installieren und verwalten. Voraussetzungen Stellen Sie sicher, dass Sie über ein CA-Zertifikat verfügen, sodass Sie Ihre eigenen Zertifikate signieren können. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 74 VMware, Inc.
75 Kapitel 9 vshield Edge-Management 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf den Link [Certificates]. 8 Führen Sie zum Generieren einer Signaturanforderung (CSR) die folgenden Schritte aus. a b c d e Klicken Sie auf das Symbol [Generate CSR] ( ). Geben Sie im Feld Common Name die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) von vshield Manager ein. Geben Sie den Namen Ihres Unternehmens und der Organisationseinheit ein. Geben Sie Ort, Straße und Land Ihres Unternehmens ein. Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation zwischen den Hosts aus. Beachten Sie, dass SSL VPN-Plus nur RSA-Zertifikate unterstützt. Zwecks Abwärtskompatibilität wird RSA empfohlen. f g Ändern Sie bei Bedarf die Standardschlüsselgröße. Geben Sie eine Beschreibung für das Zertifikat ein. h Klicken Sie auf [OK]. Die Signaturanforderung wird generiert und in der Zertifikatsliste angezeigt. 9 Stellen Sie sicher, dass das von Ihnen angelegte Zertifikat ausgewählt ist. 10 Klicken Sie auf das Symbol [Self Sign Certificate] ( ). 11 Geben Sie die Anzahl der Tage ein, die das selbstsignierte Zertifikat gültig ist. 12 Klicken Sie auf [OK]. Verwenden von Zertifikaten Sie können ein Clientzertifikat unter Verwendung eines CAI-Befehls oder eines REST-Aufrufs erstellen. Anschließend können Sie dieses Zertifikat an Ihre Remotebenutzer verteilen, die das Zertifikat dann im Webbrowser installieren können Der Hauptvorteil des Implementierens von Client-Zertifikaten besteht darin, dass für jeden Remotebenutzer ein Client-Referenzzertifikat gespeichert und anhand des vom Remotebenutzer bereitgestellten Clientzertifikats überprüft werden kann. Um zu verhindern, dass ein bestimmter Benutzer zukünftig eine Verbindung herstellt, können Sie das Referenzzertifikat aus der Liste der Clientzertifikate des Sicherheitsservers löschen. Durch das Löschen des Zertifikats kann der Benutzer keine Verbindungen herstellen. Hinzufügen einer Zertifikatswiderrufsliste Eine CRL (Certificate Revocation List, Zertifikatswiderrufsliste) ist eine Liste von Abonnenten und deren Status, die von Microsoft zur Verfügung gestellt und signiert wird. Die Liste enthält die folgenden Elemente: Die widerrufenen Zertifikate und den Grund des jeweiligen Widerrufs Das jeweilige Ausstellungsdatum des Zertifikats Der jeweilige Aussteller des Zertifikats Ein vorgeschlagenes Datum für die nächste Freigabe VMware, Inc. 75
76 Wenn ein potenzieller Benutzer versucht, auf einen Server zuzugreifen, wird anhand des CRL-Eintrags für den bestimmten Benutzer der Zugriff zugelassen oder verweigert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf den Link [Certificates]. 8 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [Certificate.] 9 Kopieren Sie die Liste und fügen Sie sie ein. 10 (Optional) Geben Sie eine Beschreibung ein. 11 Klicken Sie auf [OK]. Verwalten der vshield Edge-Firewall vshield Edge bietet Firewallschutz für eingehende und ausgehende Sitzungen. Die standardmäßige Firewallrichtlinie blockiert den gesamten eingehenden Datenverkehr und lässt den gesamten ausgehenden Datenverkehr zu. Zusätzlich zur standardmäßigen Firewallrichtlinie können Sie einen Satz von Regeln erstellen, um Datenverkehrssitzungen zwischen bestimmten Quellen und Zielen zuzulassen oder zu blockieren. Die standardmäßige Firewallrichtlinie und der Satz von Firewallregeln können für jede vshield Edge-Instanz separat verwaltet werden. Hinzufügen einer vshield Edge-Firewallregel Sie können eine vshield Edge-Firewallregel für den Datenverkehr zu oder von einer vshield Edge-Schnittstelle oder IP-Adressgruppe hinzufügen. Sie können mehrere vshield Edge-Schnittstellen und/oder IP-Adressgruppen als Quelle und Ziel für Firewallregeln hinzufügen. Abbildung 9-1. Firewallregel für den Datenverkehr von einer vshield Edge-Schnittstelle zu einem HTTP- Server 76 VMware, Inc.
77 Kapitel 9 vshield Edge-Management Abbildung 9-2. Firewallregel für den ausgehenden Datenverkehr aller internen Schnittstellen (Subnetze auf mit internen Schnittstellen verbundenen Portgruppen) einer vshield Edge-Instanz zu einem HTTP-Server HINWEIS Wenn Sie als Quelle [internal] auswählen, wird die Regel automatisch aktualisiert, wenn Sie weitere interne Schnittstellen konfigurieren. Abbildung 9-3. Firewallregel für den Datenverkehr, die SSH in einem m/c in einem internen Netzwerk zulässt 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Firewall]. VMware, Inc. 77
78 7 Führen Sie einen der folgenden Schritte aus: Option So fügen Sie eine Regel an einer bestimmten Stelle der Firewalltabelle ein So fügen Sie eine Regel durch Kopieren hinzu Beschreibung a b Wählen Sie die gewünschte Regel aus. Klicken Sie in der Spalte No. auf oder [Add Below] aus. und wählen Sie [Add Above] Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt. a b c Wählen Sie die gewünschte Regel aus. Klicken Sie auf das Symbol Copy ( ). Wählen Sie die gewünschte Regel aus. d Klicken Sie in der Spalte No. auf und wählen Sie [Paste Above] So fügen Sie eine Regel an einer beliebigen Stelle der Firewalltabelle hinzu a oder [Paste Below] aus. Klicken Sie auf das Symbol [Add] ( ). Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt. Diese neue Regel ist standardmäßig aktiviert. 8 Zeigen Sie auf die Zelle [Name] der neuen Regel und klicken Sie auf. 9 Geben Sie einen Namen für die neue Regel ein. 10 Zeigen Sie auf die Zelle [Source] der neuen Regel und klicken Sie auf. a Wählen Sie [VnicGroup] oder [IPAddresses]. [VnicGroup] zeigt vshield Edge-Schnittstellen ( [vse] ), [internal] (alle internen Schnittstellen), [external] (alle Uplink-Schnittstellen) und alle internen und externen Schnittstellen für die vshield Edge-Instanz an. [IPAddresses] zeigt alle IP-Adressgruppen an. b Wählen Sie mindestens eine Schnittstelle oder IP-Adressgruppe aus. Wenn Sie [vse] wählen, gilt die Regel für den Datenverkehr, der von der vshield Edge-Instanz generiert wird. Wenn Sie [internal] oder [external] wählen, gilt die Regel für den Datenverkehr, der von einer internen oder Uplink-Schnittstelle der ausgewählten vshield Edge-Instanz kommt. Die Regel wird automatisch aktualisiert, wenn Sie weitere Schnittstellen konfigurieren. Wenn Sie [IPAddresses] wählen, können Sie eine neue IP-Adressgruppe erstellen. Sobald Sie die neue Gruppe erstellt haben, wird sie automatisch zur Spalte Source hinzugefügt. Weitere Informationen zum Erstellen einer IP-Adresse finden Sie unter Erstellen einer IP-Adressgruppe, auf Seite 25. Sie können den Quellport angeben, indem Sie auf neben [Advance options] klicken. Es wird empfohlen, ab Version 5.1 den Quellport nicht anzugeben. Sie können stattdessen einen Dienst für eine Protokoll-Port-Kombination erstellen. Siehe Erstellen eines Diensts, auf Seite 22. c Klicken Sie auf [OK]. 78 VMware, Inc.
79 Kapitel 9 vshield Edge-Management 11 Zeigen Sie auf die Zelle [Destination] der neuen Regel und klicken Sie auf. a Wählen Sie [VnicGroup] oder [IPAddresses]. [VnicGroup] zeigt vshield Edge-Schnittstellen ( [vse] ), [internal] (alle internen Schnittstellen), [external] (alle Uplink-Schnittstellen) und alle internen und Uplink-Schnittstellen für die vshield Edge-Instanz an. [IPAddresses] zeigt alle IP-Adressgruppen an. b Wählen Sie mindestens eine Schnittstelle oder IP-Adressgruppe aus. Wenn Sie [vse] wählen, gilt die Regel für den Datenverkehr, der von der vshield Edge-Instanz generiert wird. Wenn Sie [internal] oder [external] wählen, gilt die Regel für den Datenverkehr, der zu einer internen oder Uplink-Schnittstelle der ausgewählten vshield Edge-Instanz kommt. Wenn Sie eine Schnittstelle zur vshield Edge-Instanz hinzufügen, gilt die Regel automatisch für die neue Schnittstelle. Wenn Sie [IPAddresses] wählen, können Sie eine neue IP-Adressgruppe erstellen. Sobald Sie die neue Gruppe erstellt haben, wird sie automatisch zur Spalte Destination hinzugefügt. Weitere Informationen zum Erstellen einer IP-Adresse finden Sie unter Erstellen einer IP-Adressgruppe, auf Seite 25. c Klicken Sie auf [OK]. 12 Zeigen Sie auf die Zelle [Service] der neuen Regel und klicken Sie auf. Wählen Sie einen Dienst aus. Klicken Sie zum Erstellen eines neuen Diensts auf [New]. Sobald Sie den neuen Dienst erstellt haben, wird er automatisch zur Spalte Service hinzugefügt. Weitere Informationen zum Erstellen eines neuen Diensts finden Sie unter Erstellen eines Diensts, auf Seite 22. HINWEIS vshield Edge unterstützt nur Dienste, die mit L3-Protokollen definiert sind. 13 Zeigen Sie auf die Zelle [Action] der neuen Regel und klicken Sie auf. a b Klicken Sie auf [Deny], um den Datenverkehr zwischen der angegebenen Quelle und dem Ziel zu blockieren. Klicken Sie auf [Log], um alle Sitzungen, die unter diese Regel fallen, zu protokollieren. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen. c Geben Sie bei Bedarf Kommentare ein. d Klicken Sie auf neben [Advance options]. e f Um die Regel für die übersetzte IP-Adresse und Dienste für eine NAT-Regel anzuwenden, wählen Sie [Translated IP] für [Match on]. Klicken Sie auf [Enable Rule Direction] und wählen Sie [Incoming] oder [Outgoing]. Es wird nicht empfohlen, die Richtung für Firewallregeln anzugeben. g Klicken Sie auf [OK]. 14 Klicken Sie auf [Publish Changes], um die neue Regel für die vshield Edge-Instanz zu veröffentlichen. Weiter Deaktivieren Sie eine Regel durch Klicken auf neben der Regelnummer in der Spalte [No.] VMware, Inc. 79
80 Zeigen Sie weitere Spalten in der Regeltabelle an, indem Sie auf Spalten auswählen. klicken und die gewünschten Name der Spalte Regel-Tag Protokoll Statistik Kommentare Angezeigte Informationen Eindeutige ID, die das System für jede Regel generiert Ob der Datenverkehr für diese Regel protokolliert bzw. nicht protokolliert wird Durch Klicken auf, um den Datenverkehr anzuzeigen, der unter diese Regel fällt (Anzahl der Sitzungen, Datenpakete und Größe) Kommentare zu dieser Regel Suchen Sie nach Regeln, indem Sie Text in das Feld Search eingeben. Ändern der Standard-Firewallregel Die standardmäßigen Firewalleinstellungen gelten für Datenverkehr, der unter keine der benutzerdefinierten Firewallregeln fällt. Die standardmäßige Firewallrichtlinie blockiert den gesamten eingehenden Datenverkehr. Sie können die Standardaktion und die Protokolleinstellungen ändern. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge, für die Sie die Standard-Firewallrichtlinie ändern möchten. 6 Klicken Sie auf die Registerkarte [Firewall]. 7 Wählen Sie die [Default Rule] (Standardregel), die als letzte Regel in der Firewalltabelle aufgelistet ist. 8 Zeigen Sie auf die Zelle [Action] der neuen Regel und klicken Sie auf. a b Klicken Sie auf [Accept], um den Datenverkehr zwischen der angegebenen Quelle und dem Ziel zuzulassen. Klicken Sie auf [Log], um alle Sitzungen, die unter diese Regel fallen, zu protokollieren. Das Aktivieren der Protokollierung kann die Leistung beeinträchtigen. c Geben Sie bei Bedarf Kommentare ein. d Klicken Sie auf [OK]. 9 Klicken Sie auf [Publish Changes]. Ändern einer vshield Edge-Firewallregel Sie können benutzerdefinierte Firewallregeln ändern. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 80 VMware, Inc.
81 Kapitel 9 vshield Edge-Management 5 Doppelklicken Sie auf die vshield Edge-Instanz, für die Sie eine Regel ändern möchten. 6 Klicken Sie auf die Registerkarte [Firewall]. 7 Wählen Sie die zu ändernde Regel aus. HINWEIS Sie können weder eine automatisch generierte Regel noch die Standardregel ändern. 8 Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [OK]. 9 Klicken Sie auf [Publish Changes]. Ändern der Priorität einer vshield Edge-Firewallregel Sie können die Reihenfolge der benutzerdefinierten Firewallregeln ändern, um den über vshield Edge fließenden Datenverkehr anzupassen. Angenommen, Sie haben eine Regel erstellt, die Lastausgleichsdatenverkehr zulässt. Sie können nun eine Regel hinzufügen, die Lastausgleichsdatenverkehr für eine bestimmte IP-Adressengruppe unterbindet, und diese Regel über die Regel für das Zulassen des Lastausgleichsdatenverkehrs stellen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge-Instanz, für die Sie eine Regel bearbeiten möchten. 6 Klicken Sie auf die Registerkarte [Firewall]. 7 Wählen Sie die Regel aus, für die Sie die Priorität ändern möchten. HINWEIS Sie können die Priorität weder für automatisch generierte Regeln noch für die Standardregel ändern. 8 Klicken Sie auf das Symbol [Move Up] ( ) oder [Move Down] ( ). 9 Klicken Sie auf [OK]. 10 Klicken Sie auf [Publish Changes]. Löschen einer vshield Edge-Firewallregel Sie können benutzerdefinierte Firewallregeln löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge, für die Sie eine Regel löschen möchten. 6 Klicken Sie auf die Registerkarte [Firewall]. VMware, Inc. 81
82 7 Wählen Sie die zu löschende Regel aus. HINWEIS Sie können weder automatisch generierte Regeln noch die Standardregel löschen. 8 Klicken Sie auf das Symbol [Delete] ( ). Verwalten von NAT-Regeln vshield Edge bietet den Dienst Network Address Translation (NAT), der einem Computer oder einer Gruppe von Computern innerhalb eines privaten Netzwerks eine öffentliche Adresse zuweist. Mithilfe dieser Technologie kann die Anzahl öffentlicher IP-Adressen verringert werden, die eine Organisation oder ein Unternehmen verwenden muss. Dies hat wirtschaftliche Vorteile und dient der Sicherheit. Für den Zugriff auf Dienste, die auf virtuellen Maschinen mit privaten Adressen ausgeführt werden, müssen NAT-Regeln konfiguriert werden. Die Konfiguration des NAT-Diensts gliedert sich in SNAT- (Source NAT, Quell-NAT) und DNAT-Regeln (Destination NAT, Ziel-NAT). Hinzufügen einer SNAT-Regel Sie erstellen eine Quell-NAT-Regel (SNAT) zum Übersetzen einer privaten internen IP-Adresse in eine öffentliche IP-Adresse für ausgehenden Datenverkehr. Voraussetzungen Die übersetzte (öffentliche) IP-Adresse muss bereits zur vshield Edge-Schnittstelle, an der Sie die Regel hinzufügen möchten, hinzugefügt worden sein. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge-Instanz, für die Sie eine Regel hinzufügen möchten. 6 Klicken Sie auf die Registerkarte [NAT]. 7 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [Add SNAT Rule]. 8 Wählen Sie die Schnittstelle aus, für die die Regel hinzugefügt werden soll. 9 Geben Sie die ursprüngliche Quell-IP-Adresse in einem der folgenden Formate ein. Formatieren Beispiel IP-Adresse IP-Adressenbereich IP address/subnet /24 beliebigen 10 Geben Sie die übersetzte (öffentliche) Quell-IP-Adresse in einem der folgenden Formate ein. Formatieren Beispiel IP-Adresse IP-Adressenbereich VMware, Inc.
83 Kapitel 9 vshield Edge-Management Formatieren Beispiel IP address/subnet /24 beliebigen 11 Wählen Sie [Enabled], um die Regel zu aktivieren. 12 Klicken Sie auf [Enable logging], um die Übersetzung der Adresse zu protokollieren. 13 Klicken Sie auf [Add], um die Regel zu speichern. 14 Klicken Sie auf [Publish Changes]. Hinzufügen einer DNAT-Regel Beim Erstellen einer DNAT-Regel wird eine öffentliche IP-Adresse einer privaten internen IP-Adresse zugeordnet. Voraussetzungen Die ursprüngliche (öffentliche) IP-Adresse muss bereits zur vshield Edge-Schnittstelle, an der Sie die Regel hinzufügen möchten, hinzugefügt worden sein. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge-Instanz, für die Sie eine Regel hinzufügen möchten. 6 Klicken Sie auf die Registerkarte [NAT]. 7 Klicken Sie auf das Symbol [Add] ( ) und wählen Sie [Add DNAT Rule]. 8 Wählen Sie die Schnittstelle aus, für die die DNAT-Regel gelten soll. 9 Geben Sie die ursprüngliche (öffentliche) IP-Adresse in einem der folgenden Formate ein. Formatieren Beispiel IP-Adresse IP-Adressenbereich IP address/subnet /24 beliebigen 10 Geben Sie das Protokoll ein. 11 Geben Sie den ursprünglichen Port bzw. Portbereich ein. Formatieren Beispiel Portnummer 80 Portbereich beliebigen VMware, Inc. 83
84 12 Geben Sie die übersetzte IP-Adresse in einem der folgenden Formate ein. Formatieren Beispiel IP-Adresse IP-Adressenbereich IP address/subnet /24 beliebigen 13 Geben Sie den übersetzten Port bzw. Portbereich ein. Formatieren Beispiel Portnummer 80 Portbereich beliebigen 14 Wählen Sie [Enabled], um die Regel zu aktivieren. 15 Wählen Sie [Enable logging], um die Übersetzung der Adresse zu protokollieren. 16 Klicken Sie auf [Add], um die Regel zu speichern. Arbeiten mit statischen Routen Sie können ein Standard-Gateway festlegen und eine statische Route für Ihre Datenpakete hinzufügen. Festlegen des Standard-Gateways Bevor Sie eine statische Route hinzuzufügen, müssen Sie eine Uplink-Schnittstelle von vshield Edge als Standard-Gateway zuweisen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf die Registerkarte [Static Routing]. 8 Klicken Sie unter [Default Gateway] auf [Edit]. 9 Wählen Sie die Schnittstelle aus, von der aus der nächste Hop in Richtung des Zielnetzwerks erreicht werden kann. 10 Ändern Sie die Gateway-IP, falls erforderlich. 11 Klicken Sie auf [Save]. 84 VMware, Inc.
85 Kapitel 9 vshield Edge-Management Hinzufügen einer statischen Route Sie können eine statische Route hinzufügen, der Ihre Datenpakete folgen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Configure]. 7 Klicken Sie auf die Registerkarte [Static Routing] 8 Klicken Sie auf das Symbol [Add] ( ). 9 Wählen Sie die Schnittstelle aus, auf der Sie eine statische Route hinzufügen möchten. 10 Geben Sie unter [Network] das Netzwerk in CIDR-Notation ein. 11 Geben Sie die IP-Adresse für [Next Hop] ein. 12 Bearbeiten Sie unter [MTU] den maximalen Übertragungswert für die Datenpakete, falls erforderlich. Der MTU-Wert darf nicht höher als der MTU-Wert sein, der in der vshield Edge-Schnittstelle festgelegt wurde. 13 Klicken Sie auf [Hinzufügen]. 14 Klicken Sie auf [Publish Changes]. Verwalten des DHCP-Diensts vshield Edge unterstützt IP-Adresspools und die 1:1-Zuordnung statischer IP-Adressen. Die Bindung statischer IP-Adressen basiert auf der von vcenter verwalteten Objekt- und Schnittstellen-ID des anfordernden Clients. Der vshield Edge-DHCP-Dienst beachtet folgende Richtlinien: Die interne vshield Edge-Schnittstelle wird für die DHCP-Suche überwacht. Die IP-Adresse der internen vshield Edge-Schnittstelle wird als standardmäßige Gateway-Adresse für alle Clients verwendet und die Broadcast- und Subnetzmaskenwerte der internen Schnittstelle werden für das Containernetzwerk verwendet. In folgenden Fällen müssen Sie den DHCP-Dienst auf virtuellen Client-Maschinen neu starten: Sie haben einen DHCP-Pool, ein Standard-Gateway oder einen DNS-Server geändert bzw. gelöscht. Sie haben die interne IP-Adresse der vshield Edge-Instanz geändert. VMware, Inc. 85
86 Hinzufügen eines DHCP-IP-Pools Der DHCP-Dienst benötigt einen Pool von IP-Adressen. Ein IP-Pool ist ein sequenzieller Bereich von IP-Adressen innerhalb des Netzwerks. Virtuellen Maschinen, die von vshield Edge geschützt werden und keiner Adresse zugeordnet sind, wird eine IP-Adresse aus diesem Pool zugewiesen. Die IP-Pool-Bereiche dürfen sich nicht überschneiden, d. h., eine IP-Adresse darf nur einem IP-Pool angehören. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge-Instanz, für die Sie einen DHCP-Pool hinzufügen möchten. 6 Klicken Sie auf die Registerkarte [DHCP]. 7 Klicken Sie im Bereich DHCP Pools auf das Symbol [Add] ( ). 8 Konfigurieren Sie den Pool. Option [Auto Configure DNS] [Lease never expires] [Start IP] [End IP] [Domänenname] [Primary Name Server] [Secondary Name Server] [Default Gateway] [Lease Time] Aktion Wählen Sie diese Option aus, wenn Sie die DNS-Dienst-Konfiguration für die DHCP-Bindung verwenden möchten. Wählen Sie diese Option aus, um die Adresse dauerhaft an die MAC-Adresse der virtuellen Maschine zu binden. Wenn Sie diese Option auswählen, wird die Option [Lease Time] deaktiviert. Geben Sie die IP-Startadresse für den Pool ein. Geben Sie die IP-Endadresse für den Pool ein. Geben Sie den Domänennamen des DNS-Servers ein. Die Auswahl dieser Option ist optional. Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben Sie den [Primary Nameserver] für den DNS-Dienst ein. Sie müssen die IP- Adresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. Die Auswahl dieser Option ist optional. Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben Sie den [Secondary Nameserver] für den DNS-Dienst ein. Sie müssen die IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. Die Auswahl dieser Option ist optional. Geben Sie die Adresse des Standard-Gateways ein. Falls Sie die IP-Adresse des Standard-Gateways nicht angeben, wird die interne Schnittstelle der vshield Edge-Instanz als Standard-Gateway verwendet. Die Auswahl dieser Option ist optional. Legen Sie fest, ob Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den Client leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden an. Die Option Lease Time steht nicht zur Verfügung, wenn Sie [Lease never expires] ausgewählt haben. Die Auswahl dieser Option ist optional. 9 Klicken Sie auf [Hinzufügen]. Weiter Stellen Sie sicher, dass der DHCP-Dienst aktiviert ist. Unter [DHCP Service Status] über dem Bereich DHCP Pools muss die Option Enabled ausgewählt sein. 86 VMware, Inc.
87 Kapitel 9 vshield Edge-Management Hinzufügen einer statischen DHCP-Bindung Wenn auf einer virtuellen Maschine Dienste ausgeführt werden und Sie nicht möchten, dass die IP-Adresse geändert wird, können Sie eine IP-Adresse an die MAC-Adresse einer virtuellen Maschine binden. Die IP- Adresse, die Sie binden, darf keinen IP-Pool überlappen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge-Instanz, für die Sie eine Regel bearbeiten möchten. 6 Klicken Sie auf die Registerkarte [DHCP]. 7 Klicken Sie im Bereich DHCP Bindings auf [Add] ( ). 8 Konfigurieren Sie die Bindung. Option [Auto Configure DNS] [Lease never expires] [Schnittstelle] [VM-Name] [VM vnic Index] [Hostname] [IP Address] [Domänenname] [Primary Name Server] [Secondary Name Server] [Default Gateway] [Lease Time] Aktion Wählen Sie diese Option aus, wenn Sie die DNS-Dienst-Konfiguration für die DHCP-Bindung verwenden möchten. Wählen Sie diese Option aus, um die Adresse dauerhaft an die MAC-Adresse der virtuellen Maschine zu binden. Wählen Sie die zu bindende vshield Edge-Schnittstelle aus. Wählen Sie die zu bindende virtuelle Maschine aus. Wählen Sie die Netzwerkkarte der virtuellen Maschine aus, die an die IP- Adresse gebunden werden soll. Geben Sie den Hostnamen der virtuellen DHCP-Clientmaschine ein. Geben Sie die Adresse ein, an die Sie die MAC-Adresse der ausgewählten virtuellen Maschine binden möchten. Geben Sie den Domänennamen des DNS-Servers ein. Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben Sie den [Primary Nameserver] für den DNS-Dienst ein. Sie müssen die IP- Adresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. Wenn Sie die Option [Auto Configure DNS] nicht aktiviert haben, geben Sie den [Secondary Nameserver] für den DNS-Dienst ein. Sie müssen die IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IP-Adressen eingeben. Geben Sie die Adresse des Standard-Gateways ein. Falls Sie die IP-Adresse des Standard-Gateways nicht angeben, wird die interne Schnittstelle der vshield Edge-Instanz als Standard-Gateway verwendet. Falls Sie [Lease never expires] nicht ausgewählt haben, geben Sie an, ob Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den Client leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden an. 9 Klicken Sie auf [Hinzufügen]. 10 Klicken Sie auf [Publish Changes]. VMware, Inc. 87
88 Weiter Stellen Sie sicher, dass der DHCP-Dienst aktiviert ist. Unter [DHCP Service Status] über dem Bereich DHCP Pools muss die Option Enabled ausgewählt sein. Verwalten von VPN-Diensten vshield Edge-Module unterstützen Site-to-Site-IPSec-VPN zwischen einer vshield Edge-Instanz und Remote- Sites. Darüber hinaus unterstützen vshield Edge-Module SSL VPN-Plus, um Remotebenutzern zu ermöglichen, auf private Unternehmensanwendungen zuzugreifen. 1 Überblick über IPSec VPN auf Seite 88 vshield Edge-Module unterstützen Standort-zu-Standort-IPSec-VPNs zwischen einer vshield Edge-Instanz und Remotestandorten. 2 SSL VPN-Plus Überblick auf Seite 112 Mit SSL VPN-Plus können Remotebenutzer eine sichere Verbindung mit privaten Netzwerken hinter einem vshield Edge-Gateway herstellen. Remotebenutzer können auf Server und Anwendungen in den privaten Netzwerken zugreifen. Überblick über IPSec VPN vshield Edge-Module unterstützen Standort-zu-Standort-IPSec-VPNs zwischen einer vshield Edge-Instanz und Remotestandorten. vshield Edge unterstützt die Zertifikatsauthentifizierung, den Pre-Shared Key-Modus, den IP-Unicast-Datenverkehr und kein dynamisches Routing-Protokoll zwischen der vshield Edge-Instanz und den Remote-VPN- Routern. Sie können hinter jedem Remote-VPN-Router mehrere Subnetze konfigurieren, um hinter einer vshield Edge-Instanz über IPSec-Tunnel eine Verbindung mit dem internen Netzwerk herzustellen. Diese Subnetze und das interne Netzwerk hinter einer vshield Edge-Instanz dürfen keine überlappenden Adressbereiche aufweisen. Sie können einen vshield Edge-Agenten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse einer vshield Edge-Instanz in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Router verwenden diese öffentliche Adresse für den Zugriff auf die vshield Edge-Instanz. Sie können Remote-VPN-Router auch hinter einem NAT-Gerät platzieren. Zur Einrichtung des Tunnels müssen Sie sowohl die interne VPN-Adresse als auch die VPN-Gateway-ID angeben. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich. Sie können maximal 64 Tunnel haben, die über maximal 10 Sites verteilt sind. Konfigurieren des IPSec VPN-Diensts Sie können einen vshield Edge-Tunnel zwischen einem lokalen und einem Peer-Subnetz einrichten. 1 Konfigurieren der IPSec VPN-Parameter auf Seite 89 Sie müssen mindestens eine externe IP-Adresse an der vshield Edge konfigurieren, um den IPSec VPN- Dienst anbieten zu können. 2 Aktivieren des IPSec VPN-Diensts auf Seite 90 Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum Peer- Subnetz übertragen werden kann. 88 VMware, Inc.
89 Kapitel 9 vshield Edge-Management Konfigurieren der IPSec VPN-Parameter Sie müssen mindestens eine externe IP-Adresse an der vshield Edge konfigurieren, um den IPSec VPN-Dienst anbieten zu können. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Doppelklicken Sie auf eine vshield Edge-Instanz. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Vergewissern Sie sich, dass Sie sich auf der Registerkarte IPSec VPN befinden. 7 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add IPSec VPN wird geöffnet. 8 Geben Sie einen Namen für das IPSec VPN ein. 9 Geben Sie die IP-Adresse der vshield Edge-Instanz im Feld [Local Id] ein. Diese wird zur Peer-ID auf der Remote-Site. 10 Geben Sie die IP-Adresse des lokalen Endpunkts ein. Wenn Sie unter Verwendung eines vorab installierten Schlüssels (Pre-Shared Key) eine IP-Adresse zum IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein. 11 Geben Sie die Subnetze, die von den Sites gemeinsam genutzt werden sollen, im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma. 12 Geben Sie die Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (common name) im Peer-Zertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie die öffentliche IP-Adresse des VPN oder ein FQDN für den VPN-Dienst als Peer-ID verwenden. 13 Geben Sie im Feld Peer Endpoint die IP-Adresse der Peer-Site ein. Falls Sie das Feld leer lassen, wartet vshield Edge auf das Peer-Gerät, um eine Verbindung anzufordern. 14 Geben Sie die interne IP-Adresse des Peer-Subnetzes im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma. 15 Wählen Sie den Verschlüsselungsalgorithmus aus. 16 Wählen Sie unter Authentication Method eine der folgenden Authentifizierungsmethoden aus: Option PSK (Pre Shared Key) Certificate Beschreibung Gibt an, dass der von vshield Edge und der Peer-Site gemeinsam genutzte geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte sein. Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird. 17 Geben Sie den Shared Key ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen. 18 Klicken Sie auf [Display Shared Key], um den Schlüssel auf der Peer-Site anzuzeigen. 19 Wählen Sie unter Diffie-Hellman (DH) Group das kryptographische Schema aus, das es der Peer-Site und vshield Edge ermöglicht, über einen ungesicherten Kommunikationskanal ein Shared Secret einzurichten. VMware, Inc. 89
90 20 Bearbeiten Sie die standardmäßige MTU, falls erforderlich. 21 Wählen Sie, ob der Schwellenwert für Perfect Forward Secrecy (PFS) aktiviert oder deaktiviert werden soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat. 22 Klicken Sie auf [OK]. Weiter vshield Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz. Aktivieren Sie den IPSec VPN-Dienst. Aktivieren des IPSec VPN-Diensts Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum Peer-Subnetz übertragen werden kann. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte IPSec VPN befinden. 8 Klicken Sie unter IPSec VPN Service Status auf [Enable]. Weiter Klicken Sie auf [Enable Logging], um den Datenverkehr zwischen dem lokalen Subnetz und dem Peer- Subnetz zu protokollieren. Bearbeiten des IPSec VPN-Diensts Sie können einen IPSec VPN-Dienst bearbeiten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte IPSec VPN befinden. 8 Wählen Sie den zu bearbeitenden IPSec VPN-Dienst aus. 9 Klicken Sie auf das Symbol [Edit] ( ). Das Dialogfeld Edit IPSec VPN wird geöffnet. 90 VMware, Inc.
91 Kapitel 9 vshield Edge-Management 10 Nehmen Sie die gewünschten Änderungen vor. 11 Klicken Sie auf [OK]. Löschen des IPSec-Diensts Sie können einen IPSec-Dienst löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte IPSec VPN befinden. 8 Wählen Sie den IPSec-Dienst aus, den Sie löschen möchten. 9 Klicken Sie auf das Symbol [Delete] ( ). Der ausgewählte IPSec-Dienst wird gelöscht. Aktivieren des IPSec-Diensts Sie müssen einen IPSec-Dienst aktivieren, damit der Datenverkehr zwischen den lokalen und den Peer-Subnetzen übertragen werden kann. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte IPSec VPN befinden. 8 Wählen Sie den IPSec-Dienst aus, den Sie aktivieren möchten. 9 Klicken Sie auf das Symbol [Enable] ( ). Der ausgewählte Dienst wird aktiviert. Deaktivieren des IPSec-Diensts Sie können einen IPSec-Dienst deaktivieren. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. VMware, Inc. 91
92 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte IPSec VPN befinden. 8 Wählen Sie den IPSec-Dienst aus, den Sie deaktivieren möchten. 9 Klicken Sie auf das Symbol [Disable] ( ). Der ausgewählte Dienst wird deaktiviert. vshield Edge-VPN-Konfigurationsbeispiele Dieses Szenario enthält Konfigurationsbeispiele für eine einfache IPSEC-VPN-Punkt-zu-Punkt-Verbindung zwischen einer vshield Edge-Instanz und einem Cisco- oder WatchGuard-VPN am anderen Ende. In diesem Szenario verbindet vshield Edge das interne Netzwerk /24 mit dem Internet. Die vshield Edge-Schnittstellen sind wie folgt konfiguriert: Uplink-Schnittstelle: Interne Schnittstelle: Das Remote-Gateway verbindet das interne Netzwerk /16 mit dem Internet. Die Remote-Gateway- Schnittstellen sind wie folgt konfiguriert: Uplink-Schnittstelle: /24 Interne Schnittstelle: /16 Abbildung 9-4. vshield Edge stellt Verbindung mit einem Remote-VPN-Gateway her / /16 vshield Edge Internet HINWEIS Für Tunnel zwischen vshield Edge und vshield Edge IPSEC können Sie dasselbe Szenario verwenden, indem Sie die zweite vshield Edge-Instanz als Remote-Gateway einrichten. Terminologie IPSec ist ein Rahmen aus offenen Standards. Die Protokolle der vshield Edge-Instanz und anderer VPN-Appliances, die Sie verwenden können, um Probleme mit IPSEC VPN zu beheben, enthalten viele technische Begriffe. Dies sind einige der Standardeinträge, die vorkommen können: ISAKMP (Internet Security Association and Key Management Protocol), ein Protokoll für den Aufbau von Sicherheitsverbindungen (Security Associations, SA) und den Austausch kryptografischer Schlüssel in einer Internet-Umgebung, ist in RFC 2408 definiert. ISAKMP bietet nur einen Rahmen für die Authentifizierung und den Schlüsselaustausch und ist vom Schlüsselaustausch selbst unabhängig. Das Schlüsselvereinbarungsprotokoll Oakley ermöglicht es authentifizierten Parteien, Schlüsselmaterial unter Verwendung des Diffie-Hellman-Schlüsselaustauschalgorithmus über eine unsichere Verbindung auszutauschen. IKE (Internet Key Exchange) ist eine Kombination aus ISAKMP und Oakley. vshield Edge bietet IKEv2. 92 VMware, Inc.
93 Kapitel 9 vshield Edge-Management Der Diffie-Hellman-Schlüsselaustausch (DH-Schlüsselaustausch) ist ein Protokoll aus dem Bereich der Kryptografie, das zwei Parteien ohne gegenseitige Kenntnisse voneinander ermöglicht, über einen unsicheren Kommunikationskanal einen gemeinsamen sicheren Schlüssel zu erzeugen. VSE unterstützt DH- Gruppe 2 (1024 Bits) und DH-Gruppe 5 (1536 Bits). IKE Phase 1 und Phase 2 IKE ist eine Standardmethode für den Aufbau einer sicheren, authentifizierten Kommunikation. Parameter der Phase 1 In Phase 1 wird die gegenseitige Authentifizierung der Peers eingerichtet, es werden kryptographische Parameter ausgehandelt und der Sitzungsschlüssel wird generiert. vshield Edge verwendet folgende Parameter der Phase 1: Main-Modus TripleDES / AES [konfigurierbar] SHA-1 MODP-Gruppe 2 (1024 Bits) Pre-Shared Secret [konfigurierbar] SA-Lebensdauer von Sekunden (8 Stunden) ohne neu zugewiesene KB Aggressiver ISAKMP-Modus deaktiviert Parameter der Phase 2 In der IKE-Phase 2 wird ein IPSec-Tunnel ausgehandelt. Dabei wird das vom IPSec-Tunnel zu verwendende Schlüsselmaterial erstellt (entweder durch das Zugrundelegen der Schlüssel aus IKE-Phase 1 oder mit der Durchführung eines erneuten Schlüsselaustauschs). Folgende Parameter der IKE-Phase 2 werden von vshield Edge unterstützt: TripleDES / AES [entspricht der Einstellung in Phase 1] SHA-1 ESP-Tunnelmodus MODP-Gruppe 2 (1024 Bits) PFS (Perfect Forward Secrecy) für Neuzuweisung SA-Lebensdauer von 3600 Sekunden (1 Stunde) ohne neu zugewiesene KB Selektoren für alle IP-Protokolle und alle Ports zwischen den beiden Netzen unter Verwendung von IPv4- Subnetzen Beispiele für den Transaktionsmodus vshield Edge unterstützt Main Mode für Phase 1 und Quick Mode für Phase 2. vshield Edge schlägt eine Richtlinie vor, die PSK, 3DES/AES128, SHA-1 und die DH-Gruppe 2/5 erfordert. Der Peer muss diese Richtlinie akzeptieren, andernfalls scheitert die Aushandlungsphase. Phase 1: Transaktionen im Main-Modus Dieses Beispiel zeigt den Austausch einer von vshield Edge zu einem Cisco-Gerät initiierten Phase-1-Aushandlung. VMware, Inc. 93
94 Die folgenden Transaktionen werden nacheinander zwischen vshield Edge und einem Cisco VPN-Gerät im Main-Modus durchgeführt. 1 vshield Edge an Cisco Vorschlag: Verschlüsselung 3DES-CBC, SHA, PSK, Group5(Group2) DPD aktiviert 2 Cisco an vshield Edge enthält den von Cisco gewählten Vorschlag Wenn das Cisco-Gerät keinen der Parameter akzeptiert, den vshield Edge in Schritt 1 gesendet hat, sendet das Cisco-Gerät die Meldung mit dem Flag NO_PROPOSAL_CHOSEN und beendet die Aushandlung. 3 vshield Edge an Cisco DH-Schlüssel und Nonce 4 Cisco an vshield Edge DH-Schlüssel und Nonce 5 vshield Edge an Cisco (verschlüsselt) ID verwenden (PSK) 6 Cisco an vshield Edge (verschlüsselt) ID verwenden (PSK) Wenn das Cisco-Gerät feststellt, dass der PSK nicht übereinstimmt, sendet es eine Nachricht mit dem Flag INVALID_ID_INFORMATION. Phase 1 schlägt fehl. Phase 2: Transaktionen im Quick-Modus Die folgenden Transaktionen werden nacheinander zwischen vshield Edge und einem Cisco VPN-Gerät im Quick-Modus durchgeführt. 1 vshield Edge an Cisco vshield Edge schlägt dem Peer die Richtlinie für Phase 2 vor. Beispiel: Aug 26 12:16:09 weiqing-desktop pluto[5789]: "s1-c1" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW {using isakmp#1 msgid:d20849ac proposal=3des(3)_192-sha1(2)_160 pfsgroup=oakley_group_modp1024} 2 Cisco an vshield Edge Das Cisco-Gerät sendet NO_PROPOSAL_CHOSEN, falls es keine zu dem Vorschlag passende Richtlinie findet. Andernfalls sendet das Cisco-Gerät den Satz der gewählten Parameter. 3 vshield Edge an Cisco Um das Debuggen zu erleichtern, können Sie in vshield Edge die IPSec-Protokollierung einschalten und auf Cisco das Crypto-Debugging (debug crypto isakmp <Level>) aktivieren. 94 VMware, Inc.
95 Kapitel 9 vshield Edge-Management Konfigurieren des IPSec VPN-Diensts Beispiel Sie müssen VPN-Parameter konfigurieren und anschließend den IPSEC-Dienst aktivieren. 1 Konfigurieren von vshield Edge VPN-Parametern Beispiel auf Seite 95 Sie müssen mindestens eine externe IP-Adresse an der vshield Edge konfigurieren, um den IPSec VPN- Dienst anbieten zu können. 2 Aktivieren des IPSec VPN-Diensts - Beispiel auf Seite 96 Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum Peer- Subnetz übertragen werden kann. Konfigurieren von vshield Edge VPN-Parametern Beispiel Sie müssen mindestens eine externe IP-Adresse an der vshield Edge konfigurieren, um den IPSec VPN-Dienst anbieten zu können. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Doppelklicken Sie auf eine vshield Edge-Instanz. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Vergewissern Sie sich, dass Sie sich auf der Registerkarte IPSec VPN befinden. 7 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add IPSec VPN wird geöffnet. 8 Geben Sie einen Namen für das IPSec VPN ein. 9 Geben Sie die IP-Adresse der vshield Edge-Instanz im Feld [Local Id] ein. Diese wird zur Peer-ID auf der Remote-Site. 10 Geben Sie die IP-Adresse des lokalen Endpunkts ein. Wenn Sie unter Verwendung eines vorab installierten Schlüssels (Pre-Shared Key) eine IP-Adresse zum IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein. 11 Geben Sie die Subnetze, die von den Sites gemeinsam genutzt werden sollen, im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma. 12 Geben Sie die Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (common name) im Peer-Zertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie die öffentliche IP-Adresse des VPN oder ein FQDN für den VPN-Dienst als Peer-ID verwenden. 13 Geben Sie im Feld Peer Endpoint die IP-Adresse der Peer-Site ein. Falls Sie das Feld leer lassen, wartet vshield Edge auf das Peer-Gerät, um eine Verbindung anzufordern. 14 Geben Sie die interne IP-Adresse des Peer-Subnetzes im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma. 15 Wählen Sie den Verschlüsselungsalgorithmus aus. VMware, Inc. 95
96 16 Wählen Sie unter Authentication Method eine der folgenden Authentifizierungsmethoden aus: Option PSK (Pre Shared Key) Certificate Beschreibung Gibt an, dass der von vshield Edge und der Peer-Site gemeinsam genutzte geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte sein. Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird. 17 Geben Sie den Shared Key ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen. 18 Klicken Sie auf [Display Shared Key], um den Schlüssel auf der Peer-Site anzuzeigen. 19 Wählen Sie unter Diffie-Hellman (DH) Group das kryptographische Schema aus, das es der Peer-Site und vshield Edge ermöglicht, über einen ungesicherten Kommunikationskanal ein Shared Secret einzurichten. 20 Ändern Sie den MTU-Schwellenwert, falls erforderlich. 21 Wählen Sie, ob der Schwellenwert für Perfect Forward Secrecy (PFS) aktiviert oder deaktiviert werden soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat. 22 Klicken Sie auf [OK]. Weiter vshield Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz. Aktivieren Sie den IPSec VPN-Dienst. Aktivieren des IPSec VPN-Diensts - Beispiel Sie müssen einen IPSec VPN-Dienst aktivieren, damit der Datenverkehr vom lokalen Subnetz zum Peer-Subnetz übertragen werden kann. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge]. 4 Doppelklicken Sie auf ein vshield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Vergewissern Sie sich, dass Sie sich auf der Registerkarte IPSec VPN befinden. 7 Klicken Sie unter IPSec VPN Service Status auf [Enable]. Weiter Klicken Sie auf [Enable Logging], um den Datenverkehr zwischen dem lokalen Subnetz und dem Peer- Subnetz zu protokollieren. 96 VMware, Inc.
97 Kapitel 9 vshield Edge-Management Verwenden eines a Cisco 2821 Integrated Services-Router Im Folgenden werden Konfigurationen beschrieben, die unter Verwendung von Cisco IOS durchgeführt wurden. 1 Konfigurieren von Schnittstellen und der Standardroute interface GigabitEthernet0/0 ip address duplex auto speed auto crypto map MYVPN! interface GigabitEthernet0/1 ip address duplex auto speed auto! ip route Konfigurieren der IKE-Richtlinie Router# config term Router(config)# crypto isakmp policy 1 Router(config-isakmp)# encryption 3des Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# lifetime Router(config-isakmp)# authentication pre-share Router(config-isakmp)# exit 3 PSS-Zuordnung für jeden Peer Router# config term Router(config)# crypto isakmp key vshield address Router(config-isakmp)# exit 4 Definieren der IPSEC-Transformation Router# config term Router(config)# crypto ipsec transform-set myset esp-3des esp-sha-hmac Router(config-isakmp)# exit 5 Erstellen der IPSEC-Zugriffsliste Router# config term Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list 101 permit ip Router(config)# exit VMware, Inc. 97
98 6 Binden der Richtlinie an eine Crypto Map und Bezeichnen der Crypto Map Im folgenden Beispiel wird die Crypto Map mit MYVPN bezeichnet. Router# config term Router(config)# crypto map MYVPN 1 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. Router(config-crypto-map)# set transform-set myset Router(config-crypto-map)# set pfs group1 Router(config-crypto-map)# set peer Router(config-crypto-map)# match address 101 Router(config-crypto-map)# exit Beispiel: Beispielkonfiguration router2821#show running-config output Building configuration... Current configuration : 1263 bytes! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption! hostname router2821! boot-start-marker boot-end-marker!! card type command needed for slot 0! card type command needed for slot 1 enable password cisco! no aaa new-model! resource policy! ip subnet-zero! ip cef!no ip dhcp use vrf connected!! no ip ips deny-action ips-interface! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key vshield address ! 98 VMware, Inc.
99 Kapitel 9 vshield Edge-Management crypto ipsec transform-set myset esp-3des esp-sha-hmac! crypto map MYVPN 1 ipsec-isakmp set peer set transform-set myset set pfs group1 match address 101! interface GigabitEthernet0/0 ip address duplex auto speed auto crypto map MYVPN! interface GigabitEthernet0/1 ip address duplex auto speed auto! ip classless ip route ! ip http server no ip http secure-server! access-list 101 permit ip ! control-plane! line con 0 line aux 0 line vty 0 4 password cisco login line vty 5 15 password cisco login! scheduler allocate ! end Verwenden von Cisco ASA 5510 Verwenden Sie die folgende Ausgabe für die Konfiguration von Cisco ASA ciscoasa# show running-config output : Saved : ASA Version 8.2(1)18! hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted VMware, Inc. 99
100 names! interface Ethernet0/0 nameif untrusted security-level 100 ip address ! interface Ethernet0/1 nameif trusted security-level 90 ip address ! interface Ethernet0/2 shutdown no nameif no security-level no ip address! interface Ethernet0/3 shutdown no nameif no security-level no ip address! interface Management0/0 shutdown no nameif no security-level no ip address! boot system disk0:/asa k8.bin ftp mode passive access-list ACL1 extended permit ip access-list ACL1 extended permit ip access-list 101 extended permit icmp any any pager lines 24 mtu untrusted 1500 mtu trusted 1500 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any untrusted icmp permit any trusted no asdm history enable arp timeout access-group 101 in interface untrusted access-group 101 out interface untrusted access-group 101 in interface trusted access-group 101 out interface trusted route untrusted route untrusted timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00: VMware, Inc.
101 Kapitel 9 vshield Edge-Management timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact crypto ipsec transform-set MYSET esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds crypto ipsec security-association lifetime kilobytes crypto map MYVPN 1 match address ACL1 crypto map MYVPN 1 set pfs crypto map MYVPN 1 set peer crypto map MYVPN 1 set transform-set MYSET crypto map MYVPN interface untrusted crypto isakmp enable untrusted crypto isakmp policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime telnet untrusted telnet timeout 5 ssh timeout 5 console timeout 0 no threat-detection basic-threat no threat-detection statistics access-list no threat-detection statistics tcp-intercept username admin password f3uhlvuj1qsxsuk7 encrypted tunnel-group type ipsec-l2l tunnel-group ipsec-attributes pre-shared-key *!! prompt hostname context Cryptochecksum:29c3cc ff6c a9 : end Konfigurieren von WatchGuard Firebox X500 Sie können Ihre WatchGuard Firebox X500 als Remote-Gateway konfigurieren. HINWEIS Genaue Anweisungen finden Sie in Ihrer WatchGuard Firebox-Dokumentation. 1 Wählen Sie in Firebox System Manager [Tools] > [Policy Manager] >. 2 Wählen Sie in Policy Manager [Network] > [Configuration]. 3 Konfigurieren Sie die Schnittstellen und klicken Sie auf [OK]. 4 (Optional) Wählen Sie [Network] > [Routes], um eine Standardroute zu konfigurieren. VMware, Inc. 101
102 5 Wählen Sie [Network] > [Branch Office VPN] > [Manual IPSec], um das Remote-Gateway zu konfigurieren. 6 Klicken Sie im Dialogfeld IPSec Configuration auf [Gateways], um das IPSEC Remote Gateway zu konfigurieren. 7 Klicken Sie im Dialogfeld IPSec Configuration auf [Tunnels], um einen Tunnel zu konfigurieren. 8 Klicken Sie im Dialogfeld IPSec Configuration auf [Add], um eine Routing-Richtlinie hinzuzufügen. 9 Klicken Sie auf [Schließen]. 10 Bestätigen Sie, dass der Tunnel aktiv ist. Beheben von vshield Edge-Konfigurationsfehlern Beispiel Anhand dieser Informationen können Sie konfigurationsbedingte Aushandlungsprobleme beheben. Erfolgreiche Aushandlung (sowohl Phase 1 als auch Phase 2) Die folgenden Beispiele zeigen das Ergebnis einer erfolgreichen Aushandlung zwischen vshield Edge und einem Cisco-Gerät. vshield Edge Von der vshield Edge-Befehlszeilenschnittstelle aus (ipsec auto-status, Teil des Befehls show service ipsec ): 000 #2: "s1-c1":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2430s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate 000 #2: "s1-c1" esp.f5f6877d@ esp.7aaf335f@ tun.0@ tun.0@ ref=0 refhim= #1: "s1-c1":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in Cisco 27623s; newest ISAKMP; lastdpd=0s(seq in:0 out:0); idle; import:admin initiate ciscoasa# show crypto isakmp sa detail Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 IKE Peer: Type : L2L Role : responder Rekey : no State : MM_ACTIVE Encrypt : 3des Hash : SHA Auth : preshared Lifetime: Lifetime Remaining: VMware, Inc.
103 Kapitel 9 vshield Edge-Management Phase 1-Richtlinie stimmt nicht überein Im Folgenden sind Protokolleinträge für Fehler aufgrund der Nichtübereinstimmung der Phase-1-Richtlinie aufgeführt. vshield Edge vshield Edge hängt im Zustand STATE_MAIN_I1. Suchen Sie unter /var/log/messages nach Informationen, die zeigen, dass der Peer eine IKE-Meldung zurückgesendet hat, bei der NO_PROPOSAL_CHOSEN festgelegt ist. 000 #1: "s1-c1":500 STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 7s; nodpd; idle; import:admin initiate 000 #1: pending Phase 2 for "s1-c1" replacing #0 Aug 26 12:31:25 weiqing-desktop pluto[6569]: got payload 0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0 Aug 26 12:31:25 weiqing-desktop pluto[6569]: ***parse ISAKMP Notification Payload: Aug 26 12:31:25 weiqing-desktop pluto[6569]: next payload type: ISAKMP_NEXT_NONE Aug 26 12:31:25 weiqing-desktop pluto[6569]: length: 96 Aug 26 12:31:25 weiqing-desktop pluto[6569]: DOI: ISAKMP_DOI_IPSEC Aug 26 12:31:25 weiqing-desktop pluto[6569]: protocol ID: 0 Aug 26 12:31:25 weiqing-desktop pluto[6569]: SPI size: 0 Aug 26 12:31:25 weiqing-desktop pluto[6569]: Notify Message Type: NO_PROPOSAL_CHOSEN Aug 26 12:31:25 weiqing-desktop pluto[6569]: Cisco "s1-c1" #1: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid= Wenn debug crypto aktiviert ist, wird eine Fehlermeldung ausgegeben, die angibt, dass keine Vorschläge akzeptiert wurden. ciscoasa# Aug 26 18:17:27 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 148 Aug 26 18:17:27 [IKEv1 DEBUG]: IP = , processing SA payload Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Group 5 Cfg'd: Group 2 Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Group 5 Cfg'd: Group 2 Aug 26 18:17:27 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + NOTIFY (11) + NONE (0) total length : 124 Aug 26 18:17:27 [IKEv1 DEBUG]: IP = , All SA proposals found unacceptable Aug 26 18:17:27 [IKEv1]: IP = , Error processing payload: Payload ID: 1 Aug 26 18:17:27 [IKEv1 DEBUG]: IP = , IKE MM Responder FSM error history (struct &0xd8355a60) <state>, <event>: VMware, Inc. 103
104 MM_DONE, EV_ERROR-->MM_START, EV_RCV_MSG-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM Aug 26 18:17:27 [IKEv1 DEBUG]: IP = , IKE SA MM:9e0e4511 terminating: flags 0x , refcnt 0, tuncnt 0 Aug 26 18:17:27 [IKEv1 DEBUG]: IP = , sending delete/delete with reason message Phase 2 stimmt nicht überein Im Folgenden sind Protokolleinträge für Fehler aufgrund der Nichtübereinstimmung der Phase-2-Richtlinie aufgeführt. vshield Edge vshield Edge hängt im Status STATE_QUICK_I1. Ein Protokollmeldung zeigt, dass der Peer eine NO_PRO- POSAL_CHOSEN-Meldung gesendet hat. 000 #2: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 11s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate Aug 26 12:33:54 weiqing-desktop pluto[6933]: got payload 0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0 Aug 26 12:33:54 weiqing-desktop pluto[6933]: ***parse ISAKMP Notification Payload: Aug 26 12:33:54 weiqing-desktop pluto[6933]: type: ISAKMP_NEXT_NONE next payload Aug 26 12:33:54 weiqing-desktop pluto[6933]: length: 32 Aug 26 12:33:54 weiqing-desktop pluto[6933]: DOI: ISAKMP_DOI_IPSEC Aug 26 12:33:54 weiqing-desktop pluto[6933]: protocol ID: 3 Aug 26 12:33:54 weiqing-desktop pluto[6933]: SPI size: 16 Aug 26 12:33:54 weiqing-desktop pluto[6933]: Type: NO_PROPOSAL_CHOSEN Aug 26 12:33:54 weiqing-desktop pluto[6933]: "s1-c1" #3: Cisco Notify Message ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid= Die Debug-Meldungen zeigen, dass Phase 1 abgeschlossen wurde, Phase 2 jedoch fehlschlug, weil das Aushandeln der Richtlinien gescheitert ist. Aug 26 16:03:49 [IKEv1]: Group = , IP = , PHASE 1 COMPLETED Aug 26 16:03:49 [IKEv1]: IP = , Keep-alive type for this connection: DPD Aug 26 16:03:49 [IKEv1 DEBUG]: Group = , IP = , Starting P1 rekey timer: seconds Aug 26 16:03:49 [IKEv1]: IP = , IKE_DECODE RECEIVED. Message (msgid=b2cdcb13) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0) total length : VMware, Inc.
105 Kapitel 9 vshield Edge-Management.. Aug 26 16:03:49 [IKEv1]: Group = , IP = , Session is being torn down. Reason: Phase 2 Mismatch PFS-Nichtübereinstimmung Im Folgenden sind Protokolleinträge für Fehler aufgrund von PFS-Nichtübereinstimmung aufgeführt. vshield Edge PFS wird als Teil der Phase 2 ausgehandelt. Bei Nichtübereinstimmung von PFS ähnelt das Verhalten dem unter Phase 2 stimmt nicht überein, auf Seite 104 beschriebenen Fehlerfall. 000 #4: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate Aug 26 12:35:52 weiqing-desktop pluto[7312]: got payload 0x800 (ISAKMP_NEXT_N) needed: 0x0 opt: 0x0 Aug 26 12:35:52 weiqing-desktop pluto[7312]: ***parse ISAKMP Notification Payload: Aug 26 12:35:52 weiqing-desktop pluto[7312]: type: ISAKMP_NEXT_NONE next payload Aug 26 12:35:52 weiqing-desktop pluto[7312]: length: 32 Aug 26 12:35:52 weiqing-desktop pluto[7312]: DOI: ISAKMP_DOI_IPSEC Aug 26 12:35:52 weiqing-desktop pluto[7312]: protocol ID: 3 Aug 26 12:35:52 weiqing-desktop pluto[7312]: SPI size: 16 Aug 26 12:35:52 weiqing-desktop pluto[7312]: Type: NO_PROPOSAL_CHOSEN Notify Message Aug 26 12:35:52 weiqing-desktop pluto[7312]: "s1-c1" #1: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid= Aug 26 12:35:52 weiqing-desktop pluto[7312]: info: fa 16 b3 e5 91 a9 b0 02 a3 30 e1 d9 6e 5a 13 d4 Aug 26 12:35:52 weiqing-desktop pluto[7312]: info: 93 e5 e4 d7 Aug 26 12:35:52 weiqing-desktop pluto[7312]: processing informational NO_PROPOSAL_CHOSEN (14) Cisco <BS>Aug 26 19:00:26 [IKEv1 DEBUG]: Group = , IP = , sending delete/delete with reason message Aug 26 19:00:26 [IKEv1 DEBUG]: Group = , IP = , constructing blank hash payload Aug 26 19:00:26 [IKEv1 DEBUG]: Group = , IP = , constructing blank hash payload Aug 26 19:00:26 [IKEv1 DEBUG]: Group = , IP = , constructing IKE delete payload Aug 26 19:00:26 [IKEv1 DEBUG]: Group = , IP = , constructing qm hash payload Aug 26 19:00:26 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=19eb1e59) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 80 VMware, Inc. 105
106 Aug 26 19:00:26 [IKEv1]: Group = , IP = , Session is being torn down. Reason: Phase 2 Mismatch PSK stimmt nicht überein Im Folgenden sind Protokolleinträge für Fehler aufgrund von PSK-Nichtübereinstimmung aufgeführt. vshield Edge Der PSK wird in der letzten Runde der Phase 1 ausgehandelt. Wenn die PSK-Aushandlung fehlschlägt, ist der Status von vshield Edge STATE_MAIN_I4. Der Peer sendet eine INVALID_ID_INFORMATION-Meldung. Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4 Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: STATE_MAIN_I4: ISAKMP SA established {auth=oakley_preshared_key cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024} Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: Dead Peer Detection (RFC 3706): enabled Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW {using isakmp#1 msgid:e8add10e proposal=3des(3)_192-sha1(2)_160 pfsgroup=oakley_group_modp1024} Aug 26 11:55:55 weiqing-desktop pluto[3855]: "s1-c1" #1: Cisco ignoring informational payload, type INVALID_ID_INFORMATION msgid= Aug 26 15:27:07 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + NONE (0) total length : 304 Aug 26 15:27:07 [IKEv1]: Group = , IP = , Received encrypted Oakley Main Mode packet with invalid payloads, MessID = 0 Aug 26 15:27:07 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + NOTIFY (11) + NONE (0) total length : 80 Aug 26 15:27:07 [IKEv1]: Group = , IP = , ERROR, had problems decrypting packet, probably due to mismatched pre-shared key. Aborting Paketerfassung für eine erfolgreiche Aushandlung Die folgende Liste zeigt eine Paketerfassungssitzung für eine erfolgreiche Aushandlung zwischen vshield Edge und einem Cisco-Gerät. No. Time Source Destination Protocol Info ISAKMP Identity Protection Frame 9203 (190 bytes on wire, 190 bytes captured) Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), (Main Mode) 106 VMware, Inc.
107 Kapitel 9 vshield Edge-Management Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: Next payload: Security Association (1) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x00 Message ID: 0x Length: 148 Security Association payload Next payload: Vendor ID (13) Payload length: 84 Domain of interpretation: IPSEC (1) Situation: IDENTITY (1) Proposal payload # 0 Next payload: NONE (0) Payload length: 72 Proposal number: 0 Protocol ID: ISAKMP (1) SPI Size: 0 Proposal transforms: 2 Transform payload # 0 Next payload: Transform (3) Payload length: 32 Transform number: 0 Transform ID: KEY_IKE (1) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Encryption-Algorithm (1): 3DES-CBC (5) Hash-Algorithm (2): SHA (2) Authentication-Method (3): PSK (1) Group-Description (4): 1536 bit MODP group (5) Transform payload # 1 Next payload: NONE (0) Payload length: 32 Transform number: 1 Transform ID: KEY_IKE (1) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Encryption-Algorithm (1): 3DES-CBC (5) Hash-Algorithm (2): SHA (2) Authentication-Method (3): PSK (1) Group-Description (4): Alternate 1024-bit MODP group (2) Vendor ID: 4F456C6A405D72544D42754D Next payload: Vendor ID (13) Payload length: 16 Vendor ID: 4F456C6A405D72544D42754D Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD) Next payload: NONE (0) Payload length: 20 Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD) VMware, Inc. 107
108 No. Time Source Destination Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9204 (146 bytes on wire, 146 bytes captured) Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5), Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd) Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Security Association (1) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x00 Message ID: 0x Length: 104 Security Association payload Next payload: Vendor ID (13) Payload length: 52 Domain of interpretation: IPSEC (1) Situation: IDENTITY (1) Proposal payload # 1 Next payload: NONE (0) Payload length: 40 Proposal number: 1 Protocol ID: ISAKMP (1) SPI Size: 0 Proposal transforms: 1 Transform payload # 1 Next payload: NONE (0) Payload length: 32 Transform number: 1 Transform ID: KEY_IKE (1) Encryption-Algorithm (1): 3DES-CBC (5) Hash-Algorithm (2): SHA (2) Group-Description (4): Alternate 1024-bit MODP group (2) Authentication-Method (3): PSK (1) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Vendor ID: Microsoft L2TP/IPSec VPN Client Next payload: NONE (0) Payload length: 24 Vendor ID: Microsoft L2TP/IPSec VPN Client No. Time Source Destination Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9205 (222 bytes on wire, 222 bytes captured) Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) 108 VMware, Inc.
109 Kapitel 9 vshield Edge-Management Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Key Exchange (4) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x00 Message ID: 0x Length: 180 Key Exchange payload Next payload: Nonce (10) Payload length: 132 Key Exchange Data (128 bytes / 1024 bits) Nonce payload Next payload: NONE (0) Payload length: 20 Nonce Data No. Time Source Destination Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9206 (298 bytes on wire, 298 bytes captured) Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5), Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd) Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Key Exchange (4) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x00 Message ID: 0x Length: 256 Key Exchange payload Next payload: Nonce (10) Payload length: 132 Key Exchange Data (128 bytes / 1024 bits) Nonce payload Next payload: Vendor ID (13) Payload length: 24 Nonce Data Vendor ID: CISCO-UNITY-1.0 Next payload: Vendor ID (13) Payload length: 20 Vendor ID: CISCO-UNITY-1.0 Vendor ID: draft-beaulieu-ike-xauth-02.txt Next payload: Vendor ID (13) Payload length: 12 VMware, Inc. 109
110 Vendor ID: draft-beaulieu-ike-xauth-02.txt Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A Next payload: Vendor ID (13) Payload length: 20 Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A Vendor ID: CISCO-CONCENTRATOR Next payload: NONE (0) Payload length: 20 Vendor ID: CISCO-CONCENTRATOR No. Time Source Destination Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9207 (110 bytes on wire, 110 bytes captured) Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Identification (5) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x01 Message ID: 0x Length: 68 Encrypted payload (40 bytes) No. Time Source Destination Protocol Info ISAKMP Identity Protection (Main Mode) Frame 9208 (126 bytes on wire, 126 bytes captured) Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5), Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd) Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Identification (5) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags: 0x01 Message ID: 0x Length: 84 Encrypted payload (56 bytes) No. Time Source Destination Protocol Info ISAKMP Quick Mode Frame 9209 (334 bytes on wire, 334 bytes captured) 110 VMware, Inc.
111 Kapitel 9 vshield Edge-Management Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Hash (8) Version: 1.0 Exchange type: Quick Mode (32) Flags: 0x01 Message ID: 0x79a63fb1 Length: 292 Encrypted payload (264 bytes) No. Time Source Destination Protocol Info ISAKMP Quick Mode Frame 9210 (334 bytes on wire, 334 bytes captured) Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5), Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd) Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Hash (8) Version: 1.0 Exchange type: Quick Mode (32) Flags: 0x01 Message ID: 0x79a63fb1 Length: 292 Encrypted payload (264 bytes) No. Time Source Destination Protocol Info ISAKMP Quick Mode Frame 9211 (94 bytes on wire, 94 bytes captured) Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd), Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5) Internet Protocol, Src: ( ), Dst: ( ) User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500) Internet Security Association and Key Management Protocol Initiator cookie: 92585D2D797E9C52 Responder cookie: 34704CFC8C8DBD09 Next payload: Hash (8) Version: 1.0 Exchange type: Quick Mode (32) Flags: 0x01 Message ID: 0x79a63fb1 Length: 52 Encrypted payload (24 bytes) VMware, Inc. 111
112 SSL VPN-Plus Überblick Mit SSL VPN-Plus können Remotebenutzer eine sichere Verbindung mit privaten Netzwerken hinter einem vshield Edge-Gateway herstellen. Remotebenutzer können auf Server und Anwendungen in den privaten Netzwerken zugreifen. vshield Manager Unternehmens-LAN Remotebenutzer stellen Verbindung über den Webzugriffsmodus her Admin Internet Externes vshield Edge SSL VPN Windows- Server Remotebenutzer stellen Verbindung über den SSL-Client her Konfigurieren von Network Access SSL VPN-Plus Im Netzwerkzugriffsmodus kann ein Remotebenutzer auf private Netzwerke zugreifen, sobald er einen SSL- Client heruntergeladen und installiert hat. Voraussetzungen Bei dem SSL VPN-Gateway muss Port 443 für externe Netzwerke zugänglich sein. Bei dem SSL VPN-Client muss die IP-Adresse des vshield Edge-Gateways sowie Port 443 vom Clientsystem aus zugänglich sein. 1 Hinzufügen eines IP-Pools auf Seite 113 Dem Remotebenutzer wird eine virtuelle IP-Adresse aus dem IP-Pool, den Sie hinzugefügt haben, zugewiesen. 2 Hinzufügen eines privaten Netzwerks auf Seite 113 Fügen Sie das Netzwerk hinzu, auf das der Remotebenutzer zugreifen soll. 3 Hinzufügen eines Installationspakets auf Seite 114 Erstellen Sie ein SSL VPN-Plus-Client-Installationspaket für den Remotebenutzer. 4 Hinzufügen eines Benutzers auf Seite 116 Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. 5 Hinzufügen der Authentifizierung auf Seite 116 Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 112 VMware, Inc.
113 Kapitel 9 vshield Edge-Management 6 Hinzufügen von SSL VPN-Plus-Servereinstellungen auf Seite 121 Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vshield Edge-Schnittstelle SSL aktivieren zu können. 7 Aktivieren des SSL VPN-Plus-Diensts auf Seite 122 Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können. Hinzufügen eines IP-Pools Dem Remotebenutzer wird eine virtuelle IP-Adresse aus dem IP-Pool, den Sie hinzugefügt haben, zugewiesen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [IP Pool]. 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add IP Pool wird geöffnet. 10 Geben Sie die IP-Startadresse und die IP-Endadresse für den IP-Pool ein. 11 Geben Sie die Netzmaske des IP-Pools ein. 12 Geben Sie die IP-Adresse für die Routing-Schnittstelle des vshield Edge-Gateways ein. 13 (Optional) Geben Sie eine Beschreibung für den IP-Pool ein. 14 Wählen Sie aus, ob der IP-Pool aktiviert oder deaktiviert werden soll. 15 (Optional) Geben Sie im Bereich [Advanced] den DNS-Namen ein. 16 (Optional) Geben Sie den Namen des sekundären DNS ein. 17 Geben Sie das verbindungsspezifische DNS-Suffix für die domänenbasierte Hostnamenauflösung ein. 18 Geben Sie Adresse des WINS-Servers ein. 19 Klicken Sie auf [OK]. Hinzufügen eines privaten Netzwerks Fügen Sie das Netzwerk hinzu, auf das der Remotebenutzer zugreifen soll. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. VMware, Inc. 113
114 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Private Networks]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Private Network wird angezeigt. 10 Geben Sie die IP-Adresse des privaten Netzwerks ein. 11 Geben Sie die Netzmaske des privaten Netzwerks ein. 12 (Optional) Geben Sie eine Beschreibung für das Netzwerk ein. 13 Geben Sie an, ob Sie den privaten Netzwerk- und Internetdatenverkehr über das SSL VPN-Plus-aktivierte vshield Edge übertragen oder vshield Edge übergehen möchten, um den Datenverkehr direkt an den privaten Server zu übertragen. 14 Wenn Sie [Send traffic over the tunnel] ausgewählt haben, wählen Sie [Enable TCP Optimization], um die Geschwindigkeit der Internetverbindung zu optimieren. Bei einem konventionellen SSL VPNs-Tunnel mit vollem Zugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Dies führt dazu, dass Anwendungs- Layer-Daten zweimal in zwei getrennten TCP-Streams eingekapselt werden. Wenn Pakete verloren gehen (was auch unter optimalen Internetbedingungen passieren kann), tritt eine Leistungsbeeinträchtigung mit der Bezeichnung TCP-over-TCP Meltdown ein. Im Wesentlichen korrigieren zwei TCP-Instrumente ein einzelnes Paket von IP-Daten, was den Netzdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Die TCP-Optimierung behebt dieses TCP-over-TCP -Problem und sorgt somit für eine optimierte Leistung. 15 Geben Sie die Portnummern ein, die Sie öffnen möchten, damit der Remotebenutzer auf die internen Server bzw. Maschinen des Unternehmens zugreifen kann, wie. z. B für RDP, 20/21 für FTP und 80 für HTTP. Wenn Sie möchten, dass der Benutzer uneingeschränkten Zugriff erhält, lassen Sie das Feld [Ports] leer. 16 Geben Sie an, ob Sie das private Netzwerk aktivieren oder deaktivieren möchten. 17 Klicken Sie auf [OK]. Weiter Fügen Sie einen IP-Pool hinzu. Fügen Sie eine entsprechende Firewallregel hinzu, um den privaten Netzwerkdatenverkehr zuzulassen. Hinzufügen eines Installationspakets Erstellen Sie ein SSL VPN-Plus-Client-Installationspaket für den Remotebenutzer. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 114 VMware, Inc.
115 Kapitel 9 vshield Edge-Management 8 Klicken Sie im Bereich [Configure] auf [Installation Package]. 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add Installation Package wird geöffnet. 10 Geben Sie einen Profilnamen für das Installationspaket ein. 11 Geben Sie unter [Gateway] die IP-Adresse oder den FQDN der öffentlichen vshield Edge-Schnittstelle ein. Diese IP-Adresse bzw. der FQDN ist an den SSL-Client gebunden. Wenn der Client installiert wird, können Sie diese IP-Adresse bzw. diesen FQDN auf dem SSL-Client sehen. 12 Geben Sie die Portnummer ein, die Sie in den Servereinstellungen für SSL VPN-Plus angegeben haben. Siehe Hinzufügen von SSL VPN-Plus-Servereinstellungen, auf Seite (Optional) Um weitere vshield Edge-Uplink-Schnittstellen an den SSL-Client zu binden, führen Sie die folgenden Schritte aus: a Klicken Sie auf das Symbol [Add] ( ). b Geben Sie die IP-Adresse und die Portnummer ein. c Klicken Sie auf [OK]. 14 Das Installationspaket wird standardmäßig für das Windows-Betriebssystem erstellt. Wählen Sie Linux oder Mac, um auch ein Installationspaket für das Linux- bzw. Mac-Betriebssystem zu erstellen. 15 (Optional) Geben Sie eine Beschreibung für das Installationspaket ein. 16 Wählen Sie [Enable], um das Installationspaket auf der Seite Installation Package anzuzeigen. 17 Wählen Sie bei Bedarf die folgenden Optionen aus. Option Start client on logon Allow remember password Enable silent mode installation Hide SSL client network adapter Hide client system tray icon Create desktop icon Enable silent mode operation Server security certificate validation Beschreibung Wenn sich der Remotebenutzer beim System anmeldet, wird der SSL VPN- Client gestartet. Aktiviert die Option zum Speichern des Kennworts. Blendet die Installationsbefehle des Remotebenutzers aus. Blendet den VMware SSL VPN-Plus-Adapter aus, der zusammen mit dem SSL VPN-Installationspaket auf dem Computer des Remotebenutzers installiert ist. Mit dieser Option können Sie das SSL VPN-Taskleistensymbol, das angibt, ob die VPN-Verbindung aktiv ist oder nicht, ausblenden. Erstellt auf dem Desktop des Benutzers ein Symbol zum Starten des SSL- Clients. Blendet das Popup, das angibt, dass die Installation abgeschlossen ist, aus. Der SSL VPN-Client prüft das SSL VPN-Serverzertifikat, bevor die sichere Verbindung hergestellt wird. 18 Klicken Sie auf [OK.] Weiter Hinzufügen der Benutzeranmeldedaten des Remotebenutzers VMware, Inc. 115
116 Hinzufügen eines Benutzers Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Users]. 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add User wird geöffnet. 10 Geben Sie die Benutzer-ID ein. 11 Geben Sie das Kennwort ein. 12 Geben Sie das Kennwort erneut ein. 13 (Optional) Geben Sie den Vornamen des Benutzers ein. 14 (Optional) Geben Sie den Nachnamen des Benutzers ein. 15 (Optional) Geben Sie eine Beschreibung für den Benutzer ein. 16 Wählen Sie unter Password Details die Option [Password never expires] aus, sodass das Benutzerkennwort immer beibehalten wird. 17 Klicken Sie auf [OK]. Weiter Hinzufügen von SSL VPN-Servereinstellungen. Hinzufügen der Authentifizierung Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen des AD-Authentifizierungsservers auf Seite 117 Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen des LDAP-Authentifizierungsservers auf Seite 118 Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen eines RADIUS-Authentifizierungsservers auf Seite 119 Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 116 VMware, Inc.
117 Kapitel 9 vshield Edge-Management Hinzufügen eines RSA-ACE-Authentifizierungsservers auf Seite 120 Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen eines lokalen Authentifizierungsservers auf Seite 120 Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen des AD-Authentifizierungsservers Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [AD] aus. 11 Geben Sie die IP-Adresse des externen Servers ein. 12 Geben Sie die Portnummer für den AD-Server ein. 13 Wählen Sie [Enable SSL], um den SSL-Dienst auf dem angegebenen Server zu aktivieren. 14 Geben Sie unter [Timeout Period] den Zeitraum in Sekunden ein, innerhalb dem der AD-Server antworten muss. 15 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 16 Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen. 17 Geben Sie den Bind-DN ein. Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte AD-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des AD-Benutzers verwendet. 18 Geben Sie das Bind-Kennwort zum Authentifizieren des AD-Benutzers ein. 19 Geben Sie das Bind-Kennwort erneut ein. VMware, Inc. 117
118 20 Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung samaccountname. 21 Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen. Das Format für Suchfilter lautet Attribut Operator Wert. 22 Wählen Sie [Use this server for secondary authentication], wenn Sie diesen AD-Server als zweite Authentifizierungsebene verwenden möchten. 23 Klicken Sie auf [OK]. Hinzufügen des LDAP-Authentifizierungsservers Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [LDAP] aus. 11 Geben Sie die IP-Adresse des externen Servers ein. 12 Geben Sie die Portnummer für den LDAP-Server ein. 13 Wählen Sie [Enable SSL], um den SSL-Dienst auf dem angegebenen Server zu aktivieren. 14 Geben Sie das Zeitlimit in Sekunden ein. 15 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 16 Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen. 17 Geben Sie den Bind-DN ein. Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte LDAP-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des LDAP-Benutzers verwendet. 18 Geben Sie das Bind-Kennwort zum Authentifizieren des LDAP-Benutzers ein und bestätigen Sie es. 118 VMware, Inc.
119 Kapitel 9 vshield Edge-Management 19 Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung samaccountname. 20 Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen. Das Format für Suchfilter lautet Attribut Operator Wert. 21 Wählen Sie [Use this server for secondary authentication], wenn Sie diesen LDAP-Server als zweite Authentifizierungsebene verwenden möchten. 22 Klicken Sie auf [OK]. Hinzufügen eines RADIUS-Authentifizierungsservers Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [RADIUS] aus. 11 Geben Sie die IP-Adresse des RSA Radius-Servers ein. 12 Geben Sie die Portnummer des RADIUS-Servers ein. 13 Geben Sie das Zeitlimit in Sekunden ein. 14 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 15 Geben Sie das Shared Secret ein, das Sie beim Hinzufügen des Authentifizierungsagenten in der RSA- Sicherheitskonsole festgelegt haben, und bestätigen Sie es durch erneute Eingabe. 16 Geben Sie die NAS-IP-Adresse für die Authentifizierung ein. 17 Geben Sie die Anzahl der Verbindungsversuche an, die durchgeführt werden sollen, wenn der RADIUS- Server nicht antwortet. 18 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails]. 19 Klicken Sie auf [OK]. VMware, Inc. 119
120 Hinzufügen eines RSA-ACE-Authentifizierungsservers Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [RSA ACE] aus. 11 (Optional) Geben Sie das Zeitlimit (in Sekunden) für den RSA-Server ein. 12 Wählen Sie unter [Configuration File] die Datei sdconf.rec aus, die Sie vom RSA Authentication Manager heruntergeladen haben. 13 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 14 Geben Sie im Abschnitt [Advanced] die IP-Adresse der vshield Edge-Schnittstelle ein, über die der RSA- Server verfügbar ist. 15 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails]. 16 Klicken Sie auf [OK]. Hinzufügen eines lokalen Authentifizierungsservers Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 120 VMware, Inc.
121 Kapitel 9 vshield Edge-Management 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [LOCAL] aus. 11 Wählen Sie zum Definieren einer Kennwortrichtlinie die Option [Password Policy] aus und geben Sie die erforderlichen Werte an. 12 Definieren Sie eine Kontosperrungsrichtlinie, indem Sie die Option [Enable] neben [Account Lockout Policy] auswählen. a b Geben Sie unter [Retry Count] die Anzahl der möglichen Wiederholungsversuche für den Remotebenutzer ein, falls dieser ein falsches Kennwort eingegeben hat. Geben Sie unter [Retry Duration] das Zeitintervall ein, nach dessen Ablauf das Konto des Remotebenutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird. Wenn Sie beispielsweise für [Retry Count] den Wert 5 und für [Retry Duration] 1 Minute festlegen, wird das Konto des Remotebenutzers nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt. c Geben Sie unter [Lockout Duration] die Dauer der Kontosperre ein. Nach Ablauf dieser Zeitspanne wird die Kontosperre automatisch aufgehoben. 13 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 14 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails]. 15 Klicken Sie auf [OK]. Hinzufügen von SSL VPN-Plus-Servereinstellungen Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vshield Edge-Schnittstelle SSL aktivieren zu können. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Edges]. 7 Klicken Sie auf die Registerkarte [VPN]. 8 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 9 Klicken Sie im Bereich [Configure] auf [Server Settings]. 10 Klicken Sie auf [Change.] Das Dialogfeld Change Server Settings wird geöffnet. 11 Wählen Sie die vshield Edge-Schnittstelle aus, für die Sie SSL VPN-Plus aktivieren möchten. Wählen Sie [ANY ], um SSL VPN-Plus auf allen Schnittstellen des ausgewählten vshield Edge zu aktivieren. VMware, Inc. 121
122 12 Ändern Sie die Portnummer, falls erforderlich. Diese Portnummer ist für das Konfigurieren des Installationspakets erforderlich. 13 Wählen Sie die Verschlüsselungsmethode aus. 14 (Optional) Wählen Sie in der Tabelle Server Certificates das Serverzertifikat aus, das Sie hinzufügen möchten. 15 Klicken Sie auf [OK.] Weiter Aktivieren Sie den SSL VPN-Plus-Dienst. Aktivieren des SSL VPN-Plus-Diensts Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf. Weiter Auf dem Dashboard werden Dienststatus, Anzahl der aktiven SSL VPN-Sitzungen sowie Sitzungsstatistiken und Datenflussinformationen angezeigt. Konfigurieren von Web Access SSL VPN-Plus Im Webzugriffsmodus kann ein Remotebenutzer auf private Netzwerke zugreifen, ohne einen SSL-Client herunterladen zu müssen. 1 Erstellen einer Webressource auf Seite 123 Sie können einen Server für den Webzugriff hinzufügen, mit dem der Remotebenutzer über einen Webbrowser eine Verbindung herstellen kann. 2 Hinzufügen eines Benutzers auf Seite 123 Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. 3 Hinzufügen der Authentifizierung auf Seite 124 Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 4 Hinzufügen von SSL VPN-Plus-Servereinstellungen auf Seite 129 Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vshield Edge-Schnittstelle SSL aktivieren zu können. 122 VMware, Inc.
123 Kapitel 9 vshield Edge-Management 5 Aktivieren des SSL VPN-Plus-Diensts auf Seite 129 Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können. Erstellen einer Webressource Sie können einen Server für den Webzugriff hinzufügen, mit dem der Remotebenutzer über einen Webbrowser eine Verbindung herstellen kann. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Web Resource]. 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add Web Resource wird geöffnet. 10 Geben Sie einen Namen für die Webressource ein. 11 Geben Sie die URL der Webressource ein, auf die der Remotebenutzer zugreifen soll. 12 Je nachdem, ob der Remotebenutzer von der Webressource lesen oder darauf schreiben möchte, wählen Sie die [HTTPMethod] aus. 13 Geben Sie die Beschreibung für die Webressource ein. Diese Beschreibung wird auf dem Web-Portal angezeigt, wenn der Remotebenutzer auf die Webressource zugreift. 14 Wählen Sie [Enable], um die Webressource zu aktivieren. Die Webressource muss aktiviert sein, damit der Remotebenutzer darauf zugreifen kann. Weiter Fügen Sie einen lokalen Benutzer oder eine Authentifizierung für einen externen Benutzer hinzu. Hinzufügen eines Benutzers Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Users]. VMware, Inc. 123
124 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add User wird geöffnet. 10 Geben Sie die Benutzer-ID ein. 11 Geben Sie das Kennwort ein. 12 Geben Sie das Kennwort erneut ein. 13 (Optional) Geben Sie den Vornamen des Benutzers ein. 14 (Optional) Geben Sie den Nachnamen des Benutzers ein. 15 (Optional) Geben Sie eine Beschreibung für den Benutzer ein. 16 Wählen Sie unter Password Details die Option [Password never expires] aus, sodass das Benutzerkennwort immer beibehalten wird. 17 Klicken Sie auf [OK]. Weiter Hinzufügen von SSL VPN-Servereinstellungen. Hinzufügen der Authentifizierung Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen des AD-Authentifizierungsservers auf Seite 124 Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen des LDAP-Authentifizierungsservers auf Seite 125 Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen eines RADIUS-Authentifizierungsservers auf Seite 126 Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen eines RSA-ACE-Authentifizierungsservers auf Seite 127 Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen eines lokalen Authentifizierungsservers auf Seite 128 Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. Hinzufügen des AD-Authentifizierungsservers Sie können einen AD Authentication Server hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 124 VMware, Inc.
125 Kapitel 9 vshield Edge-Management 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [AD] aus. 11 Geben Sie die IP-Adresse des externen Servers ein. 12 Geben Sie die Portnummer für den AD-Server ein. 13 Wählen Sie [Enable SSL], um den SSL-Dienst auf dem angegebenen Server zu aktivieren. 14 Geben Sie unter [Timeout Period] den Zeitraum in Sekunden ein, innerhalb dem der AD-Server antworten muss. 15 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 16 Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen. 17 Geben Sie den Bind-DN ein. Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte AD-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des AD-Benutzers verwendet. 18 Geben Sie das Bind-Kennwort zum Authentifizieren des AD-Benutzers ein. 19 Geben Sie das Bind-Kennwort erneut ein. 20 Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung samaccountname. 21 Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen. Das Format für Suchfilter lautet Attribut Operator Wert. 22 Wählen Sie [Use this server for secondary authentication], wenn Sie diesen AD-Server als zweite Authentifizierungsebene verwenden möchten. 23 Klicken Sie auf [OK]. Hinzufügen des LDAP-Authentifizierungsservers Sie können einen AD-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. VMware, Inc. 125
126 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [LDAP] aus. 11 Geben Sie die IP-Adresse des externen Servers ein. 12 Geben Sie die Portnummer für den LDAP-Server ein. 13 Wählen Sie [Enable SSL], um den SSL-Dienst auf dem angegebenen Server zu aktivieren. 14 Geben Sie das Zeitlimit in Sekunden ein. 15 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 16 Geben Sie die Suchbasis ein, um den Teil der zu durchsuchenden externen Verzeichnisstruktur anzugeben. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen. 17 Geben Sie den Bind-DN ein. Bind-DN ist der Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchbasis durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte LDAP-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des LDAP-Benutzers verwendet. 18 Geben Sie das Bind-Kennwort zum Authentifizieren des LDAP-Benutzers ein und bestätigen Sie es. 19 Geben Sie unter [Login attribute name] den Namen ein, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung samaccountname. 20 Geben Sie unter [Search Filter] die Filterwerte ein, die die Suche eingrenzen sollen. Das Format für Suchfilter lautet Attribut Operator Wert. 21 Wählen Sie [Use this server for secondary authentication], wenn Sie diesen LDAP-Server als zweite Authentifizierungsebene verwenden möchten. 22 Klicken Sie auf [OK]. Hinzufügen eines RADIUS-Authentifizierungsservers Sie können einen RADIUS-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 126 VMware, Inc.
127 Kapitel 9 vshield Edge-Management 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [RADIUS] aus. 11 Geben Sie die IP-Adresse des RSA Radius-Servers ein. 12 Geben Sie die Portnummer des RADIUS-Servers ein. 13 Geben Sie das Zeitlimit in Sekunden ein. 14 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 15 Geben Sie das Shared Secret ein, das Sie beim Hinzufügen des Authentifizierungsagenten in der RSA- Sicherheitskonsole festgelegt haben, und bestätigen Sie es durch erneute Eingabe. 16 Geben Sie die NAS-IP-Adresse für die Authentifizierung ein. 17 Geben Sie die Anzahl der Verbindungsversuche an, die durchgeführt werden sollen, wenn der RADIUS- Server nicht antwortet. 18 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails]. 19 Klicken Sie auf [OK]. Hinzufügen eines RSA-ACE-Authentifizierungsservers Sie können einen RSA-ACE-Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [RSA ACE] aus. 11 (Optional) Geben Sie das Zeitlimit (in Sekunden) für den RSA-Server ein. VMware, Inc. 127
128 12 Wählen Sie unter [Configuration File] die Datei sdconf.rec aus, die Sie vom RSA Authentication Manager heruntergeladen haben. 13 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 14 Geben Sie im Abschnitt [Advanced] die IP-Adresse der vshield Edge-Schnittstelle ein, über die der RSA- Server verfügbar ist. 15 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails]. 16 Klicken Sie auf [OK]. Hinzufügen eines lokalen Authentifizierungsservers Sie können einen lokalen Authentifizierungsserver hinzufügen, um ihn an das SSL-Gateway zu binden. Alle Benutzer in dem gebundenen authentifizierten Server werden authentifiziert. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Authentication]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Server wird geöffnet. 10 Wählen Sie unter [Type] die Option [LOCAL] aus. 11 Wählen Sie zum Definieren einer Kennwortrichtlinie die Option [Password Policy] aus und geben Sie die erforderlichen Werte an. 12 Definieren Sie eine Kontosperrungsrichtlinie, indem Sie die Option [Enable] neben [Account Lockout Policy] auswählen. a b Geben Sie unter [Retry Count] die Anzahl der möglichen Wiederholungsversuche für den Remotebenutzer ein, falls dieser ein falsches Kennwort eingegeben hat. Geben Sie unter [Retry Duration] das Zeitintervall ein, nach dessen Ablauf das Konto des Remotebenutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird. Wenn Sie beispielsweise für [Retry Count] den Wert 5 und für [Retry Duration] 1 Minute festlegen, wird das Konto des Remotebenutzers nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt. c Geben Sie unter [Lockout Duration] die Dauer der Kontosperre ein. Nach Ablauf dieser Zeitspanne wird die Kontosperre automatisch aufgehoben. 13 Wählen Sie [Enabled] bzw. [Disabled], um anzugeben, ob der Server aktiviert ist. 128 VMware, Inc.
129 Kapitel 9 vshield Edge-Management 14 Wählen Sie [Use this server for secondary authentication] aus, wenn Sie diesen Server als zweite Authentifizierungsebene verwenden möchten. Wählen Sie bei Bedarf [Terminate Session if authentication fails]. 15 Klicken Sie auf [OK]. Hinzufügen von SSL VPN-Plus-Servereinstellungen Sie müssen SSL VPN-Servereinstellungen hinzufügen, um auf einer vshield Edge-Schnittstelle SSL aktivieren zu können. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Edges]. 7 Klicken Sie auf die Registerkarte [VPN]. 8 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 9 Klicken Sie im Bereich [Configure] auf [Server Settings]. 10 Klicken Sie auf [Change.] Das Dialogfeld Change Server Settings wird geöffnet. 11 Wählen Sie die vshield Edge-Schnittstelle aus, für die Sie SSL VPN-Plus aktivieren möchten. Wählen Sie [ANY ], um SSL VPN-Plus auf allen Schnittstellen des ausgewählten vshield Edge zu aktivieren. 12 Ändern Sie die Portnummer, falls erforderlich. Diese Portnummer ist für das Konfigurieren des Installationspakets erforderlich. 13 Wählen Sie die Verschlüsselungsmethode aus. 14 (Optional) Wählen Sie in der Tabelle Server Certificates das Serverzertifikat aus, das Sie hinzufügen möchten. 15 Klicken Sie auf [OK.] Weiter Aktivieren Sie den SSL VPN-Plus-Dienst. Aktivieren des SSL VPN-Plus-Diensts Nachdem Sie den SSL VPN-Plus-Dienst konfiguriert haben, müssen Sie den Dienst für Remotebenutzer aktivieren, damit sie auf private Netzwerke zugreifen können. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. VMware, Inc. 129
130 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf. Weiter Auf dem Dashboard werden Dienststatus, Anzahl der aktiven SSL VPN-Sitzungen sowie Sitzungsstatistiken und Datenflussinformationen angezeigt. Arbeiten mit IP-Pools Sie können einen IP-Pool hinzufügen, bearbeiten oder löschen. Hinzufügen eines IP-Pools Dem Remotebenutzer wird eine virtuelle IP-Adresse aus dem IP-Pool, den Sie hinzugefügt haben, zugewiesen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [IP Pool]. 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add IP Pool wird geöffnet. 10 Geben Sie die IP-Startadresse und die IP-Endadresse für den IP-Pool ein. 11 Geben Sie die Netzmaske des IP-Pools ein. 12 Geben Sie die IP-Adresse für die Routing-Schnittstelle des vshield Edge-Gateways ein. 13 (Optional) Geben Sie eine Beschreibung für den IP-Pool ein. 14 Wählen Sie aus, ob der IP-Pool aktiviert oder deaktiviert werden soll. 15 (Optional) Geben Sie im Bereich [Advanced] den DNS-Namen ein. 16 (Optional) Geben Sie den Namen des sekundären DNS ein. 17 Geben Sie das verbindungsspezifische DNS-Suffix für die domänenbasierte Hostnamenauflösung ein. 18 Geben Sie Adresse des WINS-Servers ein. 19 Klicken Sie auf [OK]. 130 VMware, Inc.
131 Kapitel 9 vshield Edge-Management Bearbeiten eines IP-Pools Sie können einen IP-Pool bearbeiten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [IP Pool]. 9 Wählen Sie den zu bearbeitenden IP-Pool aus. 10 Wählen Sie den zu bearbeitenden IP-Pool aus. 11 Klicken Sie auf das Symbol [Edit] ( ). Das Dialogfeld Edit IP Pool wird geöffnet. 12 Nehmen Sie die erforderlichen Änderungen vor. 13 Klicken Sie auf [OK]. Löschen eines IP-Pools Sie können einen IP-Pool löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge]. 4 Doppelklicken Sie auf ein vshield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 7 Klicken Sie im Bereich [Configure] auf [IP Pool]. 8 Wählen Sie den zu löschenden IP-Pool aus. 9 Klicken Sie auf das Symbol [Delete] ( ). Der ausgewählte IP-Pool wird gelöscht. Aktivieren eines IP-Pools Sie können einen IP-Pool aktivieren, wenn Sie möchten, dass einem Remotebenutzer eine IP-Adresse aus dem Pool zugewiesen wird. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. VMware, Inc. 131
132 3 Klicken Sie auf die Registerkarte [Edge]. 4 Doppelklicken Sie auf ein vshield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 7 Klicken Sie im Bereich [Configure] auf [IP Pool]. 8 Wählen Sie den IP-Pool aus, den Sie aktivieren möchten. 9 Klicken Sie auf das Symbol [Enable] ( ). Der ausgewählte IP-Pool wird aktiviert. Deaktivieren eines IP-Pools Sie können einen IP-Pool deaktivieren, wenn Sie nicht möchten, dass einem Remotebenutzer eine IP-Adresse aus dem Pool zugewiesen wird. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge]. 4 Doppelklicken Sie auf ein vshield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 7 Klicken Sie im Bereich [Configure] auf [IP Pool]. 8 Wählen Sie den IP-Pool aus, den Sie deaktivieren möchten. 9 Klicken Sie auf das Symbol [Disable] ( ). Der ausgewählte IP-Pool wird deaktiviert. Ändern der Reihenfolge eines IP-Pools SSL VPN weist dem Remotebenutzer eine IP-Adresse gemäß der Reihenfolge des IP-Pools zu. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Edge]. 4 Doppelklicken Sie auf ein vshield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 7 Klicken Sie im Bereich [Configure] auf [IP Pool]. 8 Wählen Sie den IP-Pool aus, für den Sie die Reihenfolge ändern möchten. 9 Klicken Sie auf das Symbol [Move Up] ( ) oder Move Down ( ). 132 VMware, Inc.
133 Kapitel 9 vshield Edge-Management Arbeiten mit privaten Netzwerken Sie können ein privates Netzwerk, auf das ein Remotebenutzer zugreifen kann, hinzufügen, bearbeiten oder löschen. Hinzufügen eines privaten Netzwerks Fügen Sie das Netzwerk hinzu, auf das der Remotebenutzer zugreifen soll. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Private Networks]. 9 Klicken Sie auf das Symbol [Add] ( ) Das Dialogfeld Add Private Network wird angezeigt. 10 Geben Sie die IP-Adresse des privaten Netzwerks ein. 11 Geben Sie die Netzmaske des privaten Netzwerks ein. 12 (Optional) Geben Sie eine Beschreibung für das Netzwerk ein. 13 Geben Sie an, ob Sie den privaten Netzwerk- und Internetdatenverkehr über das SSL VPN-Plus-aktivierte vshield Edge übertragen oder vshield Edge übergehen möchten, um den Datenverkehr direkt an den privaten Server zu übertragen. 14 Wenn Sie [Send traffic over the tunnel] ausgewählt haben, wählen Sie [Enable TCP Optimization], um die Geschwindigkeit der Internetverbindung zu optimieren. Bei einem konventionellen SSL VPNs-Tunnel mit vollem Zugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Dies führt dazu, dass Anwendungs- Layer-Daten zweimal in zwei getrennten TCP-Streams eingekapselt werden. Wenn Pakete verloren gehen (was auch unter optimalen Internetbedingungen passieren kann), tritt eine Leistungsbeeinträchtigung mit der Bezeichnung TCP-over-TCP Meltdown ein. Im Wesentlichen korrigieren zwei TCP-Instrumente ein einzelnes Paket von IP-Daten, was den Netzdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Die TCP-Optimierung behebt dieses TCP-over-TCP -Problem und sorgt somit für eine optimierte Leistung. 15 Geben Sie die Portnummern ein, die Sie öffnen möchten, damit der Remotebenutzer auf die internen Server bzw. Maschinen des Unternehmens zugreifen kann, wie. z. B für RDP, 20/21 für FTP und 80 für HTTP. Wenn Sie möchten, dass der Benutzer uneingeschränkten Zugriff erhält, lassen Sie das Feld [Ports] leer. 16 Geben Sie an, ob Sie das private Netzwerk aktivieren oder deaktivieren möchten. 17 Klicken Sie auf [OK]. Weiter Fügen Sie einen IP-Pool hinzu. VMware, Inc. 133
134 Fügen Sie eine entsprechende Firewallregel hinzu, um den privaten Netzwerkdatenverkehr zuzulassen. Löschen eines privaten Netzwerks Sie können ein privates Netzwerk löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Edges]. 5 Doppelklicken Sie auf ein vshield Edge-Gateway. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Private Networks]. 9 Klicken Sie auf das Netzwerk, das Sie löschen möchten. 10 Klicken Sie auf das Symbol [Delete] ( ) Das ausgewählte Netzwerk wird gelöscht. Aktivieren eines privaten Netzwerks Wenn Sie ein privates Netzwerk aktivieren, kann der Remotebenutzer über SSL VPN-Plus darauf zugreifen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Edges]. 5 Doppelklicken Sie auf ein vshield Edge-Gateway. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Private Networks]. 9 Klicken Sie auf das Netzwerk, das Sie aktivieren möchten. 10 Klicken Sie auf das Symbol [Enable] ( ). Das ausgewählte Netzwerk wird aktiviert. Deaktivieren eines privaten Netzwerks Wenn Sie ein privates Netzwerk deaktivieren, kann der Remotebenutzer nicht über SSL VPN-Plus darauf zugreifen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 134 VMware, Inc.
135 Kapitel 9 vshield Edge-Management 3 Klicken Sie auf die Registerkarte [Edge]. 4 Doppelklicken Sie auf ein vshield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 7 Klicken Sie im Bereich [Configure] auf [Private Networks]. 8 Klicken Sie auf das Netzwerk, das Sie deaktivieren möchten. 9 Klicken Sie auf das Symbol [Disable] ( ). Das ausgewählte Netzwerk wird deaktiviert. Ändern der Reihenfolge eines privaten Netzwerks SSL VPN-Plus ermöglicht Remotebenutzern den Zugriff auf private Netzwerke in der Reihenfolge, in der sie im Bereich Private Networks aufgeführt werden. Wenn Sie für ein privates Netzwerk die Option [Enable TCP Optimization] auswählen, funktionieren innerhalb dieses Subnetzes möglicherweise einige Anwendungen, z. B. FTP im aktiven Modus, nicht. Zum Hinzufügen eines FTP-Servers im aktiven Modus müssen Sie ein weiteres privates Netzwerk für diesen FTP-Server mit deaktivierter Option TCP Optimization hinzufügen. Außerdem muss das aktive private TCP-Netzwerk aktiviert und über dem privaten Subnetz-Netzwerk platziert werden. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Doppelklicken Sie auf ein vshield Edge-Gateway. 5 Klicken Sie auf die Registerkarte [VPN]. 6 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 7 Klicken Sie im Bereich [Configure] auf [Private Networks]. 8 Klicken Sie auf das Symbol [Change Order] ( ) Das Dialogfeld Change Order wird geöffnet. 9 Wählen Sie das Netzwerk aus, für das Sie die Reihenfolge ändern möchten. 10 Klicken Sie auf das Symbol [Move Up] ( ) oder [Move Down] ( ). 11 Klicken Sie auf [OK]. Arbeiten mit Installationspaketen Sie können ein Installationspaket für den SSL-Client hinzufügen, löschen oder bearbeiten. Hinzufügen eines Installationspakets Erstellen Sie ein SSL VPN-Plus-Client-Installationspaket für den Remotebenutzer. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. VMware, Inc. 135
136 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Installation Package]. 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add Installation Package wird geöffnet. 10 Geben Sie einen Profilnamen für das Installationspaket ein. 11 Geben Sie unter [Gateway] die IP-Adresse oder den FQDN der öffentlichen vshield Edge-Schnittstelle ein. Diese IP-Adresse bzw. der FQDN ist an den SSL-Client gebunden. Wenn der Client installiert wird, können Sie diese IP-Adresse bzw. diesen FQDN auf dem SSL-Client sehen. 12 Geben Sie die Portnummer ein, die Sie in den Servereinstellungen für SSL VPN-Plus angegeben haben. Siehe Hinzufügen von SSL VPN-Plus-Servereinstellungen, auf Seite (Optional) Um weitere vshield Edge-Uplink-Schnittstellen an den SSL-Client zu binden, führen Sie die folgenden Schritte aus: a Klicken Sie auf das Symbol [Add] ( ). b Geben Sie die IP-Adresse und die Portnummer ein. c Klicken Sie auf [OK]. 14 Das Installationspaket wird standardmäßig für das Windows-Betriebssystem erstellt. Wählen Sie Linux oder Mac, um auch ein Installationspaket für das Linux- bzw. Mac-Betriebssystem zu erstellen. 15 (Optional) Geben Sie eine Beschreibung für das Installationspaket ein. 16 Wählen Sie [Enable], um das Installationspaket auf der Seite Installation Package anzuzeigen. 17 Wählen Sie bei Bedarf die folgenden Optionen aus. Option Start client on logon Allow remember password Enable silent mode installation Hide SSL client network adapter Hide client system tray icon Create desktop icon Enable silent mode operation Server security certificate validation Beschreibung Wenn sich der Remotebenutzer beim System anmeldet, wird der SSL VPN- Client gestartet. Aktiviert die Option zum Speichern des Kennworts. Blendet die Installationsbefehle des Remotebenutzers aus. Blendet den VMware SSL VPN-Plus-Adapter aus, der zusammen mit dem SSL VPN-Installationspaket auf dem Computer des Remotebenutzers installiert ist. Mit dieser Option können Sie das SSL VPN-Taskleistensymbol, das angibt, ob die VPN-Verbindung aktiv ist oder nicht, ausblenden. Erstellt auf dem Desktop des Benutzers ein Symbol zum Starten des SSL- Clients. Blendet das Popup, das angibt, dass die Installation abgeschlossen ist, aus. Der SSL VPN-Client prüft das SSL VPN-Serverzertifikat, bevor die sichere Verbindung hergestellt wird. 18 Klicken Sie auf [OK.] 136 VMware, Inc.
137 Kapitel 9 vshield Edge-Management Weiter Hinzufügen der Benutzeranmeldedaten des Remotebenutzers Bearbeiten eines Installationspakets Sie können ein Installationspaket bearbeiten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Installation Package]. 9 Wählen Sie das zu bearbeitende Installationspaket aus. 10 Klicken Sie auf das Symbol Edit ( ). Das Dialogfeld Edit Installation Package wird geöffnet. 11 Nehmen Sie die erforderlichen Änderungen vor. 12 Klicken Sie auf [OK]. Löschen eines Installationspakets Sie können ein Installationspaket löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Installation Package]. 9 Wählen Sie das zu löschende Installationspaket aus. 10 Klicken Sie auf das Symbol [Delete] ( ). Der ausgewählte IP-Pool wird gelöscht. Arbeiten mit Benutzern Sie können Benutzer zur lokalen Datenbank hinzufügen, sie bearbeiten oder löschen. VMware, Inc. 137
138 Hinzufügen eines Benutzers Fügen Sie einen Remotebenutzer zur lokalen Datenbank hinzu. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Users]. 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Add User wird geöffnet. 10 Geben Sie die Benutzer-ID ein. 11 Geben Sie das Kennwort ein. 12 Geben Sie das Kennwort erneut ein. 13 (Optional) Geben Sie den Vornamen des Benutzers ein. 14 (Optional) Geben Sie den Nachnamen des Benutzers ein. 15 (Optional) Geben Sie eine Beschreibung für den Benutzer ein. 16 Wählen Sie unter Password Details die Option [Password never expires] aus, sodass das Benutzerkennwort immer beibehalten wird. 17 Klicken Sie auf [OK]. Weiter Hinzufügen von SSL VPN-Servereinstellungen. Bearbeiten eines Benutzers Außer der Benutzer-ID können Sie alle Details für einen Benutzer bearbeiten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Users]. 138 VMware, Inc.
139 Kapitel 9 vshield Edge-Management 9 Klicken Sie auf das Symbol [Edit] ( ). Das Dialogfeld Edit User wird geöffnet. 10 Nehmen Sie die erforderlichen Änderungen vor. 11 Klicken Sie auf [OK]. Löschen eines Benutzers Sie können einen Benutzer löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Users]. 9 Wählen Sie den Benutzer aus, den Sie löschen möchten. 10 Klicken Sie auf das Symbol [Delete] ( ). Der ausgewählte Benutzer wird gelöscht. Ändern des Kennworts eines Benutzers Sie können das Kennwort des Benutzers ändern. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie im Bereich [Configure] auf [Users]. 9 Klicken Sie auf das Symbol [Change Password]. Das Dialogfeld Change Password wird geöffnet. 10 Geben Sie das neue Kennwort ein. 11 Geben Sie das neue Kennwort erneut ein. 12 Klicken Sie auf Change password on next login, damit das geänderte Kennwort bei der nächsten Anmeldung des Benutzers verwendet wird. 13 Klicken Sie auf [OK]. VMware, Inc. 139
140 Bearbeiten der Client-Konfiguration Sie können die Art und Weise ändern, wie der SSL VPN-Client-Tunnel reagiert, wenn sich der Remotebenutzer bei SSL VPN anmeldet. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Client Configuration]. Das Dialogfeld Change Client Configuration wird geöffnet. 9 Wählen Sie die Option [Tunneling Mode] aus. Im Split-Tunnel-Modus fließt nur das VPN über das vshield Edge-Gateway. Im Full-Tunnel-Modus wird das vshield Edge-Gateway zum Standardgateway des Remotebenutzers und der gesamte Datenverkehr (VPN, lokal und Internet) fließt über dieses Gateway. 10 Wenn Sie den Full-Tunnel-Modus gewählt haben: a b Wählen Sie [Exclude local subnets], sodass der lokale Datenverkehr nicht über den VPN-Tunnel gesendet wird. Geben Sie die IP-Adresse des Standard-Gateways des Remotebenutzersystems ein. 11 Wählen Sie [Enable auto reconnect], wenn der Remotebenutzer automatisch wieder mit dem SSL VPN- Client verbunden werden soll, nachdem die Verbindung getrennt wurde. 12 Wählen Sie [Start on login], falls der SSL Client-Anmeldebildschirm angezeigt werden soll, wenn sich der Remotebenutzer bei seinem Computer anmeldet. 13 Wählen Sie [Client upgrade notification], um den Remotebenutzer zu benachrichtigen, wenn ein Upgrade für den Client verfügbar ist. Der Remotebenutzer kann dann entscheiden, ob er das Upgrade installieren möchte. 14 Klicken Sie auf [OK]. Arbeiten mit Anmelde- und Abmeldeskripts Sie können ein Anmelde- bzw. Abmeldeskript an das vshield Edge-Gateway binden. Hinzufügen eines Skripts Sie können mehrere Anmelde- bzw. Abmeldeskripts hinzufügen. Beispielsweise können Sie ein Anmeldeskript zum Starten von Internet Explorer mit gmail.com binden. Wenn sich der Remotebenutzer beim SSL- Client anmeldet, öffnet Internet Explorer gmail.com. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 140 VMware, Inc.
141 Kapitel 9 vshield Edge-Management 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Login/Logoff Scripts]. 9 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld zum Hinzufügen von Anmelde- bzw. Abmeldeskripts wird geöffnet. 10 Klicken Sie unter [Script] auf [Browse] und wählen Sie das Skript aus, das Sie an das vshield Edge- Gateway binden möchten. 11 Wählen Sie unter [Type] den Typ des Skripts aus. Option Anmelden Logoff Beide Beschreibung Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN anmelden. Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN abmelden. Führt die Skriptaktion durch, wenn sich Remotebenutzer bei SSL VPN anund abmelden. 12 Geben Sie eine Beschreibung für das Skript ein. 13 Wählen Sie [Enabled], um das Skript zu aktivieren. 14 Klicken Sie auf [OK]. Bearbeiten eines Skripts Sie können den Typ, die Beschreibung und den Status eines an das vshield Edge-Gateway gebundenen Anmelde- oder Abmeldeskripts ändern. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Login/Logoff Scripts]. 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol [Edit] ( ). Das Dialogfeld zum Bearbeiten von Anmelde- bzw. Abmeldeskripts wird geöffnet. 11 Nehmen Sie die entsprechenden Änderungen vor. 12 Klicken Sie auf [OK]. VMware, Inc. 141
142 Löschen eines Skripts Sie können Anmelde- bzw. Abmeldeskripts löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Login/Logoff Scripts]. 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol [Delete] ( ). Aktivieren eines Skripts Zur ordnungsgemäßen Funktionsweise müssen Sie ein Skript aktivieren. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Login/Logoff Scripts]. 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol [Enable] ( ). Deaktivieren eines Skripts Sie können Anmelde- bzw. Abmeldeskripts deaktivieren. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 142 VMware, Inc.
143 Kapitel 9 vshield Edge-Management 8 Klicken Sie auf [Login/Logoff Scripts]. 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol [Disable] ( ). Aktualisieren eines Skripts Nach dem Hinzufügen oder Löschen eines Skripts können Sie die Seite Login/Logoff Scripts aktualisieren. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Login/Logoff Scripts]. 9 Wählen Sie ein Skript aus. 10 Klicken Sie auf das Symbol Refresh ( ). Ändern der Reihenfolge eines Skripts Sie können die Reihenfolge eines Skripts ändern. Angenommen, Sie haben ein Anmeldeskript zum Öffnen von gmail.com in Internet Explorer vor ein Anmeldeskript zum Öffnen von yahoo.com gestellt. Wenn der Remotebenutzer sich bei SSL VPN anmeldet, wird gmail.com vor yahoo.com angezeigt. Falls Sie nun die Reihenfolge der Anmeldeskripts umkehren, wird zuerst yahoo.com und anschließend gmail.com geöffnet. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Login/Logoff Scripts]. 9 Klicken Sie auf das Symbol [Change Order] ( ) Das Dialogfeld Change Order wird geöffnet. 10 Wählen Sie das Skript aus, für das Sie die Reihenfolge ändern möchten. 11 Klicken Sie auf das Symbol [Move Up] ( ) oder [Move Down] ( ). 12 Klicken Sie auf [OK]. VMware, Inc. 143
144 SSL VPN-Plus-Protokolle SSL VPN-Plus-Gateway-Protokolle werden an den auf der vshield Edge-Appliance konfigurierten Syslog- Server gesendet. SSL VPN-Plus-Client-Protokolle werden auf dem Computer des Remotebenutzers im folgenden Verzeichnis gespeichert: %PROGRAMFILES%/VMWARE/SSL VPN Client/. Bearbeiten der allgemeinen Einstellungen Sie können Standard-VPN-Einstellungen bearbeiten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [General Settings]. Das Dialogfeld Change General Settings wird geöffnet. 9 Nehmen Sie die gewünschten Änderungen vor. Auswählen Prevent multiple logon using same username Enable compression Protokollierung aktivieren Force virtual keyboard Randomize keys of virtual keyboard Enable forced timeout Sitzungszeitüberschreitung bei Leerlauf User notification Enable public URL access An Der Remotebenutzer darf sich mit einem Benutzernamen nur einmal anmelden. Aktiviert die intelligente TCP-basierte Datenkomprimierung und erhöht die Datenübertragungsgeschwindigkeit. Protokolliert den Datenverkehr, der über das SSL VPN-Gateway fließt. Die Remotebenutzer dürfen die Web- oder Client-Anmeldeinformationen nur über die virtuelle Tastatur eingeben. Zufällige Anordnung der Tasten der virtuellen Tastatur. Nach Ablauf des festgelegten Zeitlimits wird die Verbindung des Remotebenutzers getrennt. Geben Sie das Zeitlimit in Minuten ein. Falls in der angegebenen Zeitspanne keine Benutzeraktivität stattfindet, wird die Sitzung des Benutzers beendet. Geben Sie die Meldung ein, die bei der Anmeldung des Remotebenutzers angezeigt werden soll. Ermöglicht dem Remotebenutzer den Zugriff auf Sites, die nicht vom Administrator konfiguriert wurden (und nicht im Webportal aufgeführt sind). 10 Klicken Sie auf [OK]. Bearbeiten der Webportal-Gestaltung Sie können das Client-Banner bearbeiten, das an den SSL VPN-Client gebunden ist. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 144 VMware, Inc.
145 Kapitel 9 vshield Edge-Management 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [VPN]. 7 Klicken Sie auf die Registerkarte [SSL VPN Plus]. 8 Klicken Sie auf [Portal Customization]. Das Dialogfeld Change Web Portal Design wird geöffnet. 9 Geben Sie den Portaltitel ein. 10 Geben Sie den Firmennamen des Remotebenutzers ein. 11 Klicken Sie unter [Logo] auf [Change] und wählen Sie die Bilddatei für das Logo des Remotebenutzers aus. 12 Klicken Sie unter [Colors] auf das Farbfeld neben dem nummerierten Element, für das Sie die Farbe ändern möchten, und wählen Sie die gewünschte Farbe aus. 13 Klicken Sie auf [OK]. Verwalten des Lastverteilerdiensts vshield Edge bietet Lastausgleich für TCP-, HTTP- und HTTPS-Datenverkehr. Lastausgleich bis Layer 7 ermöglicht die automatische Skalierung von Webanwendungen. Für den Lastausgleich ordnen Sie eine externe oder öffentliche IP-Adresse einer Gruppe interner Server zu. Der Lastausgleichsdienst akzeptiert TCP-, HTTP- oder HTTPS-Anforderungen über die externe IP-Adresse und entscheidet, welcher interne Server verwendet werden soll. Port 8090 ist der überwachende Standard-Port für TCP, Port 80 ist der Standard-Port für HTTP und Port 443 ist der Standard-Port für HTTPS. Konfigurieren des Lastausgleichsdiensts Sie können einen Pool von Backend-Servern erstellen und die Dienste angeben, die der Pool unterstützen soll. Sie können dann zwei oder mehrere virtuelle Maschinen hinter einem Serverpool für den Lastausgleichsdienst zuweisen. 1 Hinzufügen eines Serverpools auf Seite 145 Sie können einen Serverpool hinzufügen, um Backend-Server flexibel und effizient zu verwalten und freizugeben. Ein Pool verwaltet Systemstatusprüfungs-Monitore und Lastausgleichsmethoden. 2 Hinzufügen von virtuellen Servern auf Seite 148 Fügen Sie eine interne oder Uplink-vShield Edge-Schnittstelle als virtuellen Server hinzu. Hinzufügen eines Serverpools Sie können einen Serverpool hinzufügen, um Backend-Server flexibel und effizient zu verwalten und freizugeben. Ein Pool verwaltet Systemstatusprüfungs-Monitore und Lastausgleichsmethoden. 1 Öffnen des Assistenten zum Hinzufügen eines Pools auf Seite 146 Öffnen Sie den Assistenten Add Pool, um den Vorgang für das Hinzufügen eines Lastverteilerpools zu starten. VMware, Inc. 145
146 2 Benennen des Lastverteilerpools auf Seite 146 Geben Sie einen aussagekräftigen Namen und eine optionale Beschreibung für den Lastverteilerpool an. 3 Auswählen und Konfigurieren von Diensten für den Pool auf Seite 146 Sie können die Dienste auswählen und konfigurieren, die von diesem Pool unterstützt werden. 4 Definieren der Systemzustandsparameter auf Seite 147 Bei einer Systemzustandsprüfung wird geprüft, ob alle Server im Serverpool betriebsbereit sind und auf Anfragen reagieren. 5 Hinzufügen von Servern auf Seite 148 Fügen Sie Backend-Server zum Pool hinzu. 6 Überprüfen der Einstellungen und Hinzufügen eines Pools auf Seite 148 Überprüfen Sie Ihre eingegebenen Einstellungen, bevor Sie den Serverpool hinzufügen. Öffnen des Assistenten zum Hinzufügen eines Pools Öffnen Sie den Assistenten Add Pool, um den Vorgang für das Hinzufügen eines Lastverteilerpools zu starten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer]. 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Pools] befinden. 8 Klicken Sie auf das Symbol [Add] ( ). Der Assistent Add Pool wird geöffnet. Benennen des Lastverteilerpools Geben Sie einen aussagekräftigen Namen und eine optionale Beschreibung für den Lastverteilerpool an. 1 Geben Sie auf der Seite Name and Description des Add Pool -Assistenten einen Namen für den Lastverteilerpool ein. 2 (Optional) Geben Sie eine Beschreibung für den Pool ein. 3 Klicken Sie auf [Weiter]. Auswählen und Konfigurieren von Diensten für den Pool Sie können die Dienste auswählen und konfigurieren, die von diesem Pool unterstützt werden. 1 Klicken Sie auf der Seite Services des Add Pool -Assistenten für jeden Dienst, der unterstützt werden soll, auf [Enable]. 146 VMware, Inc.
147 Kapitel 9 vshield Edge-Management 2 Wählen Sie für jeden aktivierten Dienst eine Ausgleichsmethode aus. Option IP_HASH LEAST_CONN ROUND_ROBIN URI Beschreibung Wählt basierend auf einem Hash der Quell- und Ziel-IP-Adresse eines jeden Pakets einen Server aus. Verteilt basierend auf der Anzahl der bereits auf den Servern aktiven Verbindungen die Client-Anforderungen an mehrere Server. Neue Verbindungen werden an den Server mit den wenigsten Verbindungen gesendet. Dabei wird die jedem Server zugeordnete Gewichtung berücksichtigt. Dies ist der geeignetste Algorithmus bei gleichmäßig verteilter Prozessorzeit auf dem Server. Der linke Teil der URI (vor dem Fragezeichen) wird zerlegt und durch die Gesamtgewichtung der laufenden Server geteilt. Aus dem Ergebnis wird ersichtlich, welcher Server die Anforderung erhalten wird. Dies gewährleistet, dass eine URI immer auf denselben Server gerichtet ist, solange kein Server heruntergefahren oder gestartet wird. 3 (Optional) Ändern Sie den Standardport für jeden aktivierten Dienst, falls erforderlich. 4 Wiederholen Sie Schritt 1 bis Schritt 3 für jeden weiteren Dienst, der für den Pool aktiviert werden soll. 5 Klicken Sie auf [Weiter]. Definieren der Systemzustandsparameter Bei einer Systemzustandsprüfung wird geprüft, ob alle Server im Serverpool betriebsbereit sind und auf Anfragen reagieren. vshield Edge unterstützt drei Prüfungsmodi für den Systemzustand. Option TCP HTTP SSL Beschreibung TCP-Verbindungsprüfung. Die GET-/Standardmethode wird zum Ermitteln des Serverstatus verwendet. Nur die Antworten 2xx und 3xx sind gültig. Andere Antworten (einschließlich keiner Antwort) deuten auf einen Serverausfall hin. Testet Server unter Verwendung von SSLv3-Client-Hello-Meldungen. Der Server wird als gültig betrachtet, wenn die Antwort Server-Hello-Meldungen enthält. 1 Falls erforderlich, ändern Sie auf der Seite Health Check des Assistenten Add Pool den Überwachungsport für jeden Dienst, der von diesem Pool unterstützt werden soll. Der Überwachungsport für den Systemzustand wird auch als Dienstport verwendet. 2 Wählen Sie den Prüfungsmodus für den Systemzustand für jeden Dienst aus. 3 Die Systemzustands-Prüfungsparameter werden in der nachfolgenden Tabelle aufgelistet. Sie können die Standardwerte bei Bedarf ändern. Parameter Interval Timeout Health Threshold Unhealth Threshold Beschreibung Intervall, zu dem ein Server angepingt wird. Zeit, innerhalb der eine Antwort vom Server empfangen werden muss. Anzahl der aufeinanderfolgenden erfolgreichen Systemzustandsprüfungen, die durchzuführen sind, bevor ein Server als betriebsbereit betrachtet wird. Anzahl der aufeinanderfolgenden fehlgeschlagenen Systemzustandsprüfungen, die durchzuführen sind, bevor ein Server als ausgefallen betrachtet wird. 4 Geben Sie für HTTP die URI ein, auf die in den HTTP-Ping-Anforderungen verwiesen wird. VMware, Inc. 147
148 5 Klicken Sie auf [Weiter]. Hinzufügen von Servern Fügen Sie Backend-Server zum Pool hinzu. 1 Klicken Sie auf der Seite Members auf den Assistenten Add Pool. Klicken Sie anschließend auf das Symbol [Add] ( ). 2 Geben Sie die IP-Adresse des Servers ein. 3 Geben Sie eine Gewichtung ein, um die Anzahl der Anforderungen festzulegen, die von diesem Backend- Server bedient werden sollen. 4 Ändern Sie bei Bedarf den Standardport und den Überwachungsport für den Server. 5 Klicken Sie auf [Hinzufügen]. 6 Wiederholen Sie die Schritte Schritt 1 bis Schritt 5, um weitere Server hinzuzufügen. 7 Klicken Sie auf [Weiter]. Überprüfen der Einstellungen und Hinzufügen eines Pools Überprüfen Sie Ihre eingegebenen Einstellungen, bevor Sie den Serverpool hinzufügen. 1 Überprüfen Sie die Einstellungen für den Serverpool auf der Seite Ready to Complete des Assistenten Add Pool. 2 Klicken Sie auf [Previous], um die Einstellungen zu ändern. 3 Klicken Sie auf [Finish], um die Einstellungen zu übernehmen und den Pool hinzuzufügen. 4 Klicken Sie auf [Publish Changes], damit die Pool-Konfiguration wirksam wird. Hinzufügen von virtuellen Servern Fügen Sie eine interne oder Uplink-vShield Edge-Schnittstelle als virtuellen Server hinzu. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer]. 7 Klicken Sie auf die Registerkarte [Virtual Servers]. 8 Klicken Sie auf das Symbol [Add] ( ). 9 Geben Sie einen Namen für den virtuellen Server ein. 10 (Optional) Geben Sie eine Beschreibung für den virtuellen Server ein. 11 Geben Sie die IP-Adresse der vshield Edge-Schnittstelle ein. 148 VMware, Inc.
149 Kapitel 9 vshield Edge-Management 12 Wählen Sie den Pool aus, der dem virtuellen Server zugewiesen werden soll. Die vom ausgewählten Pool unterstützten Dienste werden angezeigt. 13 Aktivieren Sie die Dienste, die unterstützt werden sollen, indem Sie im Bereich [Services] auf [Enable] klicken. 14 Ändern Sie nach Bedarf die Einstellungen für den Standardport, die Persistenzmethode, den Cookie- Namen und den Cookie-Modus. 15 Klicken Sie auf [Enabled], um den virtuellen Server zu aktivieren. 16 Klicken Sie auf [Enable logging]. Bearbeiten eines Serverpools Sie können einen Serverpool bearbeiten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer]. 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte Pool befinden. 8 Wählen Sie den zu bearbeitenden Pool aus. 9 Klicken Sie auf das Symbol [Edit] ( ). 10 Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [Finish]. Löschen eines Serverpools Sie können einen Serverpool löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer]. 7 Vergewissern Sie sich, dass Sie sich auf der Registerkarte Pool befinden. 8 Wählen Sie den zu bearbeitenden Pool aus. 9 Klicken Sie auf das Symbol [Delete] ( ). 10 Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [Finish]. VMware, Inc. 149
150 Bearbeiten eines virtuellen Servers Sie können einen virtuellen Server bearbeiten. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer]. 7 Klicken Sie auf die Registerkarte [Virtual Servers]. 8 Wählen Sie den zu bearbeitenden virtuellen Server aus. 9 Klicken Sie auf das Symbol [Edit] ( ). 10 Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf [Finish]. Löschen eines virtuellen Servers Sie können einen virtuellen Server löschen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Load Balancer]. 7 Klicken Sie auf die Registerkarte [Virtual Servers]. 8 Wählen Sie den zu löschenden virtuellen Server aus. 9 Klicken Sie auf das Symbol [Delete] ( ). Grundlegendes zu High Availability High Availability (HA) stellt sicher, dass in Ihrem virtuellen Netzwerk immer eine vshield Edge-Appliance verfügbar ist. Sie können HA entweder bei der Installation von vshield Edge oder in einer installierten vshield Edge-Instanz aktivieren. Statusbehaftete High Availability Die primäre vshield Edge-Appliance befindet sich im aktiven und die sekundäre Appliance im Standby-Zustand. Alle vshield Edge-Dienste werden auf der aktiven Appliance ausgeführt. Die primäre Appliance hält ein Taktsignal mit der Standby-Appliance aufrecht und sendet Dienst-Updates über eine interne Schnittstelle. 150 VMware, Inc.
151 Kapitel 9 vshield Edge-Management Wenn die Standby-Appliance im festgelegten Zeitintervall (der Standardwert ist 6 Sekunden) kein Taktsignal von der primären Appliance empfängt, gilt die primäre Appliance als ausgefallen. Die Standby-Appliance wechselt in den aktiven Zustand und übernimmt die Schnittstellenkonfiguration der primären Appliance. Sie startet die vshield Edge-Dienste, die auf der primären Appliance ausgeführt wurden. Bei der Durchführung des Wechsels wird auf der Registerkarte [System Events] ein Systemereignis unter Settings & Reports angezeigt. Der Lastausgleichdienst und der VPN-Dienst müssen die TCP-Verbindung mit vshield Edge wiederherstellen, wodurch der Dienst kurz unterbrochen wird. Virtuelle Leitungsverbindungen und Firewall- Sitzungen zwischen der primären und der Standby-Appliance werden synchronisiert, sodass es während des Wechsels keine Dienstunterbrechung gibt. Wenn die vshield Edge-Appliance ausfällt und ein fehlerhafter Zustand gemeldet wird, erzwingt HA die Synchronisierung der ausgefallenen Appliance, um sie wiederherzustellen. Nach der Wiederherstellung der Appliance übernimmt diese die Konfiguration der derzeit aktiven Appliance und bleibt im Standby-Modus. Wenn die vshield Edge-Appliance ausgefallen ist, müssen Sie sie löschen und eine neue Appliance hinzufügen. vshield Edge repliziert die Konfiguration der primären Appliance für die Standby-Appliance. Sie können auch manuell zwei Appliances hinzufügen. Es wird empfohlen, die primäre und die sekundäre Appliance in getrennten Ressourcenpools und Datenspeichern anzulegen. Wenn Sie die primäre und sekundäre Appliance im selben Datenspeicher erstellen, muss der Datenspeicher von allen Hosts im Cluster gemeinsam genutzt werden, damit das HA-Appliance-Paar auf verschiedenen ESX-Hosts bereitgestellt wird. Wenn der Datenspeicher ein lokaler Speicher ist, werden beide virtuelle Maschinen auf demselben Host bereitgestellt. vshield Edge stellt sicher, dass sich die zwei virtuellen HA vshield Edge-Maschinen auch dann nicht auf demselben ESX-Host befinden, wenn Sie DRS und vmotion verwendet haben (es sei denn, Sie migrieren sie per vmotion manuell auf denselben Host). Zwei virtuelle Maschinen werden auf vcenter in demselben Ressourcenpool und Datenspeicher wie die von Ihnen konfigurierte Appliance bereitgestellt. Die IP-Adressen von lokalen Links werden virtuellen HA-Maschinen in der vshield Edge HA zugewiesen, damit sie untereinander kommunizieren können. Sie können Verwaltungs-IP-Adressen angeben, um die lokalen Links zu überschreiben. Wenn Syslog-Server konfiguriert sind, werden die Protokolle auf der aktiven Appliance an die Syslog-Server gesendet. vsphere High Availability vshield Edge HA ist mit vsphere HA kompatibel. Wenn der Host, auf dem die vshield Edge-Instanz ausgeführt wird, ausfällt, wird vshield Edge auf dem Standby-Host neu gestartet. Hierdurch wird sichergestellt, dass das vshield Edge HA-Paar ein weiteres Failover verarbeiten kann. Wenn vsphere HA nicht genutzt wird, übersteht das vshield Edge HA-Aktiv-Standby-Paar ein Failover. Falls jedoch ein weiteres Failover auftritt, bevor das zweite HA-Paar wiederhergestellt wurde, kann dies die Verfügbarkeit von vshield Edge beeinträchtigen. Weitere Informationen zu vsphere HA finden Sie unter vsphere-verfügbarkeit. Ändern der HA-Konfiguration Sie können die HA-Konfiguration ändern, die Sie bei der Installation von vshield Edge festgelegt haben. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge-Instanz, für die Sie die Syslog-Server angeben möchten. 6 Klicken Sie auf die Registerkarte [Configure]. VMware, Inc. 151
152 7 Klicken Sie auf den Link [Settings]. 8 Klicken Sie im Bereich [HA Configuration] auf [Change]. 9 Nehmen Sie im Dialogfeld Change HA Configuration die entsprechenden Änderungen vor. 10 Klicken Sie auf [OK]. Konfigurieren von DNS-Servern Sie können externe DNS-Server konfigurieren, an die vshield Edge Namensauflösungsanforderungen von Clients weiterleiten können. vshield Edge leitet Clientanwendungsanforderungen an die DNS-Server weiter, um einen Netzwerknamen vollständig aufzulösen und die Antworten der Server zwischenzuspeichern. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf eine vshield Edge-Instanz. 6 Klicken Sie auf die Registerkarte [Status]. 7 Klicken Sie im Bereich [DNS Configuration] auf [Change]. 8 Klicken Sie auf [Enable DNS Service], um den DNS-Dienst zu aktivieren. 9 Geben Sie IP-Adressen für beide DNS-Server ein. 10 Ändern Sie bei Bedarf die Cachegröße. 11 Klicken Sie auf [Enable Logging], um den DNS-Datenverkehr zu protokollieren. Generierte Protokolle werden an den Syslog-Server gesendet. 12 Wählen Sie die Protokollierungsebene aus. 13 Klicken Sie auf [OK]. Konfigurieren von Remote-Syslog-Servern Sie können einen oder zwei Remote-Syslog-Server konfigurieren. vshield Edge-Ereignisse und -Protokolle im Zusammenhang mit Firewallereignissen, die von vshield Edge-Appliances ausgehen, werden an die Syslog- Server gesendet. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Doppelklicken Sie auf die vshield Edge-Instanz, für die Sie die Syslog-Server angeben möchten. 6 Klicken Sie auf die Registerkarte [Status]. 7 Klicken Sie im Fenster [Details] neben den Syslog-Servern auf [Change]. 8 Geben Sie die IP-Adressen beider Remote-Syslog-Server ein. 9 Klicken Sie zum Speichern der Konfiguration auf [Add]. 152 VMware, Inc.
153 Kapitel 9 vshield Edge-Management Ändern der CLI-Anmeldedaten Sie können die Anmeldedaten ändern, die zum Anmelden bei der Befehlszeilenschnittstelle (CLI) verwendet werden sollen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Wählen Sie eine vshield Edge-Instanz aus. 6 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Change CLI Credentials]. 7 Nehmen Sie die gewünschten Änderungen vor. 8 Klicken Sie auf [OK]. Durchführen eines Upgrades von vshield Edge auf Large oder X-Large Wenn Sie eine kompakte vshield Edge-Instanz installiert haben, können Sie ein Upgrade auf eine große (large) bzw. sehr große (x-large) vshield Edge-Instanz durchführen. Voraussetzungen Eine kompakte vshield Edge-Instanz benötigt 256 MB Speicher und 200 MB Festplattenspeicher. Eine große (large) vshield Edge-Instanz benötigt 1 GB Arbeitsspeicher und 256 MB Festplattenspeicher. Eine sehr große (x-large) vshield Edge-Instanz benötigt 8 GB Arbeitsspeicher und 256 MB Festplattenspeicher. Ein sehr große vshield Edge-Instanz wird für eine Umgebung empfohlen, in der der Lastausgleichsdienst für Millionen gleichzeitiger Sitzungen verwendet wird. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Wählen Sie eine kompakte vshield Edge-Instanz. 6 Klicken Sie auf das Symbol [More Actions] ( to X Large]. ) und wählen Sie [Upgrade to Large] oder [Upgrade Das Upgrade der vshield Edge-Instanz wird durchgeführt. VMware, Inc. 153
154 Herunterladen von Tech Support-Protokollen für vshield Edge Sie können Protokolle für den technischen Support für jede vshield Edge-Instanz herunterladen. Wenn High Availability für die vshield Edge-Instanz aktiviert ist, werden die Support-Protokolle von beiden virtuellen vshield Edge-Maschinen heruntergeladen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf die Registerkarte [Edges]. 5 Wählen Sie eine vshield Edge-Instanz aus. 6 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Download Tech Support Logs]. 7 Sobald die Protokolle für den technischen Support generiert wurden, klicken Sie auf [Download]. 8 Wählen Sie im Dialogfeld Select Location for Download das Verzeichnis aus, in dem die Protokolldatei gespeichert werden soll. 9 Klicken Sie auf [Save]. 10 Klicken Sie auf [Schließen]. Synchronisieren von vshield Edge mit vshield Manager Wenn ein vshield-dienst nicht antwortet oder nicht mit den Angaben von vshield Manager synchron ist, können Sie eine Synchronisierungsanforderung von vshield Manager an vshield Edge senden. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Wählen Sie eine vshield Edge-Instanz aus. 6 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Force Sync]. Erneutes Bereitstellen von vshield Edge Wenn vshield-dienste nach einer erzwungenen Synchronisierung nicht wie erwartet funktionieren, können Sie die vshield Edge-Instanz erneut bereitstellen. 1 Wählen Sie im vsphere-client [Bestandsliste] > [Hosts & Cluster] aus. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Network Virtualization]. 4 Klicken Sie auf den Link [Edges]. 5 Wählen Sie eine vshield Edge-Instanz aus. 154 VMware, Inc.
155 Kapitel 9 vshield Edge-Management 6 Klicken Sie auf das Symbol [More Actions] ( ) und wählen Sie [Redeploy Edge]. Die virtuelle vshield Edge-Maschine wird durch eine neue virtuelle Maschine ersetzt und alle Dienste werden wiederhergestellt. Wenn das erneute Bereitstellen nicht funktioniert, schalten Sie die virtuelle vshield Edge- Maschine aus und wiederholen Sie den Vorgang. HINWEIS Das erneute Bereitstellen gelingt in den folgenden Fällen möglicherweise nicht. Der Ressourcenpool, auf dem vshield Edge installiert wurde, befindet sich nicht mehr in der vcenter- Bestandsliste oder seine MOID (Bezeichner in vcenter Server) hat sich geändert. Der Datenspeicher, auf dem vshield Edge installiert wurde, ist beschädigt, nicht gemountet oder unzugänglich. Die dvportgroups, an die die vshield-schnittstellen angeschlossen wurden, befinden sich nicht mehr in der vcenter-bestandsliste oder ihre MOID (Bezeichner in vcenter Server) hat sich geändert. Wenn eine der Bedingungen zutrifft, müssen Sie die MOID des Ressourcen-Pools, des Datenspeichers oder der dvportgroup mit dem Befehl REST API aktualisieren. Weitere Informationen hierzu finden Sie im vshield API Programming Guide. VMware, Inc. 155
156 156 VMware, Inc.
157 Verwalten des Einfügens von Diensten 10 VMware-Partner können NetX-Dienste in ihre virtuelle VMware-Umgebung integrieren. Nachdem Sie die Dienste, die Sie anbieten möchten, entworfen haben, können Sie Ihre virtuelle Dienstmaschine implementieren und Anbietervorlagen erstellen, die die Einstellungen und Konfigurationsparameter für die Ebenen eines angebotenen Diensts oder anderer Dienste enthalten, die Sie anbieten. Ihr Service-Administrator registriert Ihren Service Manager und den Dienst mit vshield Manager und überwacht den Systemzustand und die Leistung des Diensts. Dienstkonsumenten können zum Konfigurieren eines Diensts für einen Bereich des Netzwerks ein Dienstprofil erstellen und anbieterspezifische Attribute des Diensts bearbeiten. Anschließend können sie einen Dienst an eine virtuelle Leitung binden. Dieses Kapitel behandelt die folgenden Themen: Einfügen von Netzwerkdiensten, auf Seite 157 Ändern der Prioritäten von Diensten, auf Seite 160 Bearbeiten eines Service Manager, auf Seite 160 Löschen eines Service Manager, auf Seite 161 Bearbeiten eines Diensts, auf Seite 161 Löschen eines Diensts, auf Seite 161 Bearbeiten eines Dienstprofils, auf Seite 161 Löschen eines Dienstprofils, auf Seite 162 Einfügen von Netzwerkdiensten VMware Solution Partner (Anbieter) können ihre Lösungen in vshield Manager integrieren und die Bereitstellung und Verwendung dieser Lösungen automatisieren. Am Netzwerkrand können Netzwerkdienste eingesetzt werden, die mit vshield Edge-Diensten wie Lastausgleich und der vshield Edge-Firewall zusammenarbeiten. 1 Registrieren des Service Manager auf Seite 158 Sie müssen den Service Manager des Lösungsanbieters bei vshield Manager registrieren. Ihr Service Manager verwaltet Ihre Dienste in der vshield-umgebung. 2 Registrieren des Diensts auf Seite 158 Registrieren Sie den Partnerdienst, den Sie bei vshield Manager registrieren möchten. VMware, Inc. 157
158 3 Erstellen von Dienstprofilen auf Seite 159 Verbraucher von Diensten können ein Dienstprofil erstellen, das eine kombinierte Einstellung der Konfiguration, die von der Virtualisierungs-Infrastruktur zum Ausführen des Diensts benötigt wird, und der anbieterspezifischen Konfiguration für den Dienst darstellt. Zu der anbieterspezifischen Konfiguration gehören network-region-awareness, Dienstqualität usw. Darüber hinaus können Sie anbieterspezifische Attribute des Diensts bearbeiten. 4 Bereitstellen des Diensts auf Seite 160 Sie können einen Dienst auf einer virtuellen Leitung bereitstellen. Registrieren des Service Manager Sie müssen den Service Manager des Lösungsanbieters bei vshield Manager registrieren. Ihr Service Manager verwaltet Ihre Dienste in der vshield-umgebung. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf [Service Insertion]. 3 Klicken Sie auf die Registerkarte [Managers]. 4 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Create Service Manager wird geöffnet. 5 Geben Sie einen Namen für den Service Manager ein. 6 (Optional) Geben Sie eine Beschreibung für den Service Manager ein. 7 (Optional) Geben Sie unter [Administrative URL] die URL des Service Manager des Lösungsanbieters ein. 8 (Optional) Geben Sie unter [Base API URL] die URL der Website ein, auf der die REST APIs des Service Manager zur Verfügung stehen. Die Basis-API URL muss nur für Lösungen angegeben werden, die direkt in die virtuelle VMware-Umgebung integriert wurden. 9 (Optional) Geben Sie unter [Vendor Details] die ID und den Namen des Lösungsanbieters ein. 10 Geben Sie unter [Credentials] den Benutzernamen und das Kennwort zur Anmeldung beim Service Manager ein. 11 Klicken Sie auf [OK]. Der Service Manager, den Sie erstellt haben, wird zur Service Manager-Tabelle hinzugefügt. Registrieren des Diensts Registrieren Sie den Partnerdienst, den Sie bei vshield Manager registrieren möchten. Voraussetzungen Der VMware-Lösungsanbieter muss für Sie eine Dienstvorlage angegeben haben. Die Vorlage definiert möglicherweise die Dienstebene, die Sie hinzufügen, oder stellt weitere Informationen zu dem Dienst bereit. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf [Service Insertion]. 158 VMware, Inc.
159 Kapitel 10 Verwalten des Einfügens von Diensten 3 Klicken Sie auf die Registerkarte [Services]. 4 Klicken Sie auf das Symbol [Add] ( ). Der Service Wizard wird geöffnet. 5 Geben Sie einen Namen für den Dienst ein. 6 Wählen Sie eine Kategorie für den Dienst aus, den Sie hinzufügen. 7 Wählen Sie den Service Manager für den Dienst aus. 8 Geben Sie eine Beschreibung für den Dienst ein. 9 Klicken Sie auf [Weiter]. 10 Um eine Dienstkonfiguration oder andere Anbieterinformationen hinzuzufügen, klicken Sie auf [Add] ( ). Das Dialogfeld Create Vendor Template wird geöffnet. 11 Geben Sie die ID und den Namen der Anbietervorlage ein. 12 Geben Sie eine Beschreibung für die Vorlage ein. 13 Klicken Sie auf [OK]. 14 Klicken Sie unter Service Configuration auf Next. 15 Überprüfen Sie die Informationen zum Dienst und zur Konfiguration. 16 Klicken Sie auf [Beenden]. Der Dienst wird zur Diensttabelle hinzugefügt. Erstellen von Dienstprofilen Verbraucher von Diensten können ein Dienstprofil erstellen, das eine kombinierte Einstellung der Konfiguration, die von der Virtualisierungs-Infrastruktur zum Ausführen des Diensts benötigt wird, und der anbieterspezifischen Konfiguration für den Dienst darstellt. Zu der anbieterspezifischen Konfiguration gehören network-region-awareness, Dienstqualität usw. Darüber hinaus können Sie anbieterspezifische Attribute des Diensts bearbeiten. Ein Dienst kann mehrere Dienstprofile haben. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden. 3 Klicken Sie auf den Dienst, für den Sie ein Profil erstellen möchten. 4 Klicken Sie auf die Registerkarte [Service Profiles]. 5 Klicken Sie auf das Symbol [Add] ( ). Das Dialogfeld Create Service Profile wird geöffnet. 6 Geben Sie einen Namen und eine Beschreibung für das Profil ein. 7 Wählen Sie die Anbietervorlage aus, für die Sie die Attribute bearbeiten möchten. 8 Bearbeiten Sie die erforderlichen Attributwerte. 9 Klicken Sie auf [OK]. VMware, Inc. 159
160 Bereitstellen des Diensts Sie können einen Dienst auf einer virtuellen Leitung bereitstellen. 1 Wählen Sie in der Bestandsliste von vshield Manager eine Datencenterressource aus. 2 Klicken Sie auf die Registerkarte [Network Virtualization]. 3 Klicken Sie auf die Registerkarte [Virtual Wires]. 4 Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, auf der Sie einen Dienst bereitstellen möchten. 5 Klicken Sie im Bereich [Available Services] auf [Enable Services]. 6 Wählen Sie im Dialogfeld Apply Service Profile to this Network den Dienst und das Dienstprofil aus, die Sie anwenden möchten. 7 Klicken Sie auf [Übernehmen]. Ändern der Prioritäten von Diensten Dienste werden in der Reihenfolge, in der sie in der Diensttabelle aufgeführt sind, angewendet. Sie können einen Dienst in der Tabelle nach oben oder nach unten verschieben. Voraussetzungen 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf [Service Insertion]. 3 Klicken Sie auf die Registerkarte [Services]. 4 Wählen Sie den gewünschten Dienst aus. 5 6 Klicken Sie auf. Klicken Sie auf das Symbol [Move Up] ( ) oder [Move Down] ( ), um den Dienst an die gewünschte Stelle zu verschieben. 7 Klicken Sie auf [OK]. Bearbeiten eines Service Manager Sie können einen Service Manager bearbeiten. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Managers] befinden. 3 Klicken Sie auf den Service Manager, den Sie bearbeiten möchten. 4 Klicken Sie auf [Bearbeiten]. Das Dialogfeld Edit Service Manager wird geöffnet. 5 Nehmen Sie die erforderlichen Änderungen vor. 6 Klicken Sie auf [OK]. 160 VMware, Inc.
161 Kapitel 10 Verwalten des Einfügens von Diensten Löschen eines Service Manager Sie können einen Service Manager löschen. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf [Service Insertion]. 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Managers] befinden. 4 Klicken Sie auf den Service Manager, den Sie löschen möchten. 5 Klicken Sie auf das Symbol [Delete] ( ). Bearbeiten eines Diensts Falls erforderlich, können Sie einen Dienst bearbeiten. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden. 3 Klicken Sie auf den Dienst, den Sie bearbeiten möchten. 4 Klicken Sie auf [Bearbeiten]. Das Dialogfeld Edit Service wird geöffnet. 5 Nehmen Sie die erforderlichen Änderungen vor. 6 Klicken Sie auf [OK]. Löschen eines Diensts Sie können einen Dienst löschen. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf [Service Insertion]. 3 Klicken Sie auf die Registerkarte [Services]. 4 Klicken Sie auf den Dienst, den Sie löschen möchten. 5 Klicken Sie auf das Symbol [Delete] ( ). Bearbeiten eines Dienstprofils Sie können die Beschreibung, die Vorlage oder die Attribute eines Dienstprofils bearbeiten. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf [Service Insertion]. 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden. VMware, Inc. 161
162 4 Klicken Sie auf den Dienst, für den Sie ein Profil erstellen möchten. 5 Klicken Sie auf die Registerkarte [Service Profiles]. 6 Klicken Sie auf das Profil, das Sie bearbeiten möchten. 7 Klicken Sie auf [Bearbeiten]. Das Dialogfeld Edit Service Profile wird geöffnet. 8 Nehmen Sie die erforderlichen Änderungen vor. 9 Klicken Sie auf [OK]. Löschen eines Dienstprofils Sie können ein Dienstprofil löschen. 1 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 2 Klicken Sie auf [Service Insertion]. 3 Vergewissern Sie sich, dass Sie sich auf der Registerkarte [Services] befinden. 4 Klicken Sie auf den Dienst, für den Sie ein Profil löschen möchten. 5 Klicken Sie auf die Registerkarte [Service Profiles]. 6 Klicken Sie auf das Profil, das Sie löschen möchten. 7 Klicken Sie auf das Symbol [Delete] ( ). 162 VMware, Inc.
163 vshield App-Management 11 vshield App ist eine Hypervisor-basierte Firewall, die Anwendungen im virtuellen Datencenter vor netzwerkbasierten Angriffen schützt. Organisationen erhalten Sichtbarkeit und Kontrolle über die Netzwerkkommunikation zwischen virtuellen Maschinen. Sie können Zugriffssteuerungsrichtlinien anhand logischer Konstrukte, wie z. B. VMware vcenter -Container und vshield-sicherheitsgruppen, und nicht nur anhand physischer Konstrukte, wie z. B. IP-Adressen, erstellen. Außerdem bietet die flexible IP-Adressierung die Möglichkeit, dieselbe IP-Adresse in mehreren Tenant-Zonen zu verwenden, was die Bereitstellung vereinfacht. Sie sollten vshield App auf jedem ESX-Host innerhalb eines Clusters installieren, damit VMware vmotion- Vorgänge funktionieren und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert werden. Standardmäßig kann eine virtuelle vshield App-Appliance nicht mit vmotion verschoben werden. Dieses Kapitel behandelt die folgenden Themen: Senden von vshield App-Systemereignissen an einen Syslog-Server, auf Seite 163 Anzeigen des aktuellen Systemstatus einer vshield App, auf Seite 164 Neustarten einer vshield App-Instanz, auf Seite 164 Erzwingen der Synchronisierung einer vshield App mit vshield Manager, auf Seite 164 Anzeigen der Datenverkehrsstatistiken in der vshield App-Benutzeroberfläche, auf Seite 165 Herunterladen der Protokolle des technischen Supports für vshield App, auf Seite 165 Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vshield App Firewall, auf Seite 165 Ausschließen virtueller Maschinen vom Schutz durch die vshield App, auf Seite 165 Senden von vshield App-Systemereignissen an einen Syslog-Server Sie können vshield App-Systemmeldungen senden, die in Zusammenhang mit Firewallereignissen stehen, die von vshield App-Appliances an einen Syslog-Server übertragen werden. 1 Navigieren Sie im vsphere-client zu [Bestandsliste] > [Hosts und Cluster]. 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vshield]. 4 Erweitern Sie im Bereich [Service Virtual Machines] die vshield App-SVM. 5 Geben Sie im Bereich Syslog Servers die IP-Adresse des Syslog-Servers ein. VMware, Inc. 163
164 6 Wählen Sie im Dropdown-Menü [Log Level] die Ereignisstufe aus, ab der vshield App-Ereignisse an den Syslog-Server gesendet werden sollen. Wenn Sie z.b. [Emergency] auswählen, werden lediglich Notfallereignisse an den Syslog-Server gesendet. Bei Auswahl von [Critical] werden kritische Ereignisse sowie Warn- und Notfallereignisse an den Syslog-Server gesendet. vshield App-Ereignisse werden an bis zu drei Syslog-Instanzen gesendet. 7 Klicken Sie auf [Save], um die neuen Einstellungen zu speichern. Anzeigen des aktuellen Systemstatus einer vshield App Über die Option [System Status] können Sie den Integritätsstatus einer vshield App-Instanz anzeigen und beeinflussen. Die angezeigten Details umfassen Systemstatistiken, den Status von Schnittstellen, die Softwareversion sowie Umgebungsvariablen. 1 Navigieren Sie in vsphere Client zu [Bestandsliste] > [Hosts und Cluster]. 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vshield]. 4 Erweitern Sie im Bereich [Service Virtual Machines] die vshield App-SVM. Im Bereich Resource Utilization werden die Systemdetails für die vshield App angezeigt. Neustarten einer vshield App-Instanz Sie können eine vshield App-Instanz neu starten, um ein Problem bei der Ausführung zu beheben. 1 Navigieren Sie in vsphere Client zu [Bestandsliste] > [Hosts und Cluster]. 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vshield]. 4 Erweitern Sie im Bereich [Service Virtual Machines] die vshield App-SVM. 5 Klicken Sie auf [Restart]. Erzwingen der Synchronisierung einer vshield App mit vshield Manager Über die Option [Force Sync] wird die erneute Synchronisierung einer vshield App-Instanz mit vshield Manager erzwungen. Dies kann nach einem Software-Upgrade erforderlich sein. 1 Navigieren Sie in vsphere Client zu [Bestandsliste] > [Hosts und Cluster]. 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vshield]. 4 Erweitern Sie im Bereich [Service Virtual Machines] die vshield App-SVM. 5 Klicken Sie auf [Force Sync]. 164 VMware, Inc.
165 Kapitel 11 vshield App-Management Anzeigen der Datenverkehrsstatistiken in der vshield App- Benutzeroberfläche Sie können die Datenverkehrstatistiken für die einzelnen vshield-instanzen anzeigen. 1 Navigieren Sie in vsphere Client zu [Bestandsliste] > [Hosts und Cluster]. 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vshield]. 4 Erweitern Sie im Bereich [Service Virtual Machines] die vshield App-SVM. Im Bereich Management Port Interface wird die Datenverkehrsstatistik für die vshield App angezeigt. Herunterladen der Protokolle des technischen Supports für vshield App Sie können die Protokolle des technischen Supports für jeden Host herunterladen, auf dem Sie vshield App installiert haben. 1 Navigieren Sie in vsphere Client zu [Bestandsliste] > [Hosts und Cluster]. 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie in Service Virtual Machines auf [Download Support logs]. 4 Klicken Sie auf [Log file generated; click here to download]. 5 Öffnen oder speichern Sie die Protokolldatei. Konfigurieren des ausfallsicheren Modus (Fail Safe Mode) für vshield App Firewall Standardmäßig ist der Datenverkehr blockiert, wenn die vshield App-Appliance ausfällt oder nicht verfügbar ist. Sie können den ausfallsicheren Modus ändern, damit der Datenverkehr durchgeleitet wird. 1 Melden Sie sich beim vshield Manager an. 2 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 3 Klicken Sie auf die Registerkarte [vshield App]. 4 Klicken Sie unter [Fail Safe] auf [Change]. 5 Klicken Sie bei Change App Fail Policy auf [Yes]. Ausschließen virtueller Maschinen vom Schutz durch die vshield App Sie können virtuelle Maschinen vom Schutz durch die vshield App ausschließen. Diese Ausschlussliste gilt innerhalb des angegebenen vshield Manager über alle vshield App-Installationen hinweg. Wenn eine virtuelle Maschine über mehrere vnics verfügt, werden alle vom Schutz ausgeschlossen. vshield Manager und virtuelle Dienstmaschinen werden automatisch vom Schutz der vshield App ausgeschlossen. Sie sollten vcenter Server und virtuelle Dienstmaschinen von Partnern ebenfalls ausschließen, damit der Datenverkehr frei fließen kann. VMware, Inc. 165
166 Das Ausschließen von virtuellen Maschinen vom Schutz der vshield App ist für Fälle nützlich, bei denen sich vcenter Server in demselben Cluster befindet, in dem vshield App eingesetzt wird. Nach der Aktivierung dieser Funktion wird kein Datenverkehr von ausgeschlossen virtuellen Maschinen durch die vshield App- Appliance durchgeleitet. HINWEIS vcenter Server kann in einen Cluster verschoben werden, der von vshield App geschützt wird, er muss jedoch bereits in der Ausschlussliste vorhanden sein, um Verbindungsprobleme mit vcenter Server zu vermeiden. 1 Melden Sie sich beim vshield Manager an. 2 Klicken Sie im vshield Manager-Bestandslistenbereich auf [Settings & Reports]. 3 Klicken Sie auf die Registerkarte [App Global Configuration]. 4 Klicken Sie unter [Virtual Machines Exclusion List] auf [Add.] Das Dialogfeld Add Virtual Machines to Exclude wird geöffnet. 5 Klicken Sie auf das Feld neben Select und klicken Sie dann auf die virtuelle Maschine, die Sie ausschließen möchten. 6 Klicken Sie auf [Select.] Die ausgewählte virtuelle Maschine wird zur Liste hinzugefügt. 7 Klicken Sie auf [OK]. 166 VMware, Inc.
167 vshield App Flow Monitoring 12 Flow Monitoring ist ein Tool zur Datenverkehrsanalyse, mit dem Sie detaillierte Informationen zum Datenverkehr in Ihrem virtuellen Netzwerk anzeigen können, der eine vshield App-Instanz durchläuft. Die Flow Monitoring-Ausgabe zeigt, welche Maschinen Daten über welche Anwendung austauschen. Diese Daten umfassen die Anzahl von Sitzungen und Paketen sowie die Bytes, die pro Sitzung übertragen werden. Die Sitzungsdetails umfassen die Quellen, Ziele, Sitzungsrichtungen und Anwendungen sowie die verwendeten Ports. Anhand der Sitzungsdetails können Firewallregeln für das Zulassen oder Blockieren von Datenverkehr erstellt werden. Sie können Flow Monitoring als forensisches Tool zum Ermitteln von nicht autorisierten Diensten sowie zum Untersuchen ausgehender Sitzungen nutzen. Dieses Kapitel behandelt die folgenden Themen: Anzeigen der Flow Monitoring-Daten, auf Seite 168 Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow Monitoring-Bericht aus, auf Seite 171 Ändern des Datumsbereichs der Flow Monitoring-Diagramme, auf Seite 172 VMware, Inc. 167
168 Anzeigen der Flow Monitoring-Daten Sie können Datenverkehrssitzungen anzeigen, die innerhalb der angegebenen Zeitspanne von einer vshield App überprüft wurden. Standardmäßig werden die Daten der letzten 24 Stunden angezeigt. Der Minimalwert für die Zeitspanne beträgt eine Stunde, der Maximalwert zwei Wochen. 1 Wählen Sie im vsphere-client ein Datencenter, eine virtuelle Maschine, eine Portgruppe, einen Netzwerkadapter oder eine virtuelle Leitung aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine Auswählen einer Portgruppe oder eines Netzwerkadapters a Wechseln Sie zu [Inventory] > [Hosts and Clusters]. b Wählen Sie ein Datencenter oder eine virtuelle Maschine aus. c Klicken Sie auf die Registerkarte [vshield]. a Wechseln Sie zu [Inventory] > [Networking]. b Wählen Sie eine Portgruppe oder einen Netzwerkadapter aus. c Klicken Sie auf die Registerkarte [vshield]. Auswählen einer virtuellen Leitung a Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. b c Klicken Sie auf die Registerkarte Networks. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. HINWEIS Die Registerkarte Flow Monitoring für virtuelle Leitungen ist nur verfügbar, wenn vshield App auf mindestens einem Host im Cluster installiert ist, von dem aus die virtuelle Leitung erstellt wurde. Flow Monitoring- Daten werden nur für den Datenverkehr angezeigt, der den Host passiert, auf dem vshield App installiert ist. 168 VMware, Inc.
![Kapitel 12 vshield App Flow Monitoring 2 Klicken Sie auf [Flow Monitoring]. Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten 24 Stunden an.](/docs-images/25/4867157/images/169-0.png "Dieser Vorgang kann einige Sekunden in Anspruch nehmen.")
169 Kapitel 12 vshield App Flow Monitoring 2 Klicken Sie auf [Flow Monitoring]. Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten 24 Stunden an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. Die Leiste am oberen Rand der Seite zeigt den Prozentsatz für den zulässigen Datenverkehr in Grün, für den blockierten Datenverkehr in Rot und für den durch SpoofGuard blockierten Datenverkehr in Orange an. Die Statistiken zum Datenverkehr werden auf drei Registerkarten angezeigt: [Top Flows] zeigt den gesamten eingehenden und ausgehenden Datenverkehr pro Dienst über den angegebenen Zeitraum an. Es werden die fünf Top-Dienste angezeigt. [Top Destinations] zeigt den eingehenden Datenverkehr pro Ziel über den angegebenen Zeitraum an. Es werden die fünf Top-Ziele angezeigt. [Top Sources] zeigt den ausgehenden Datenverkehr pro Quelle über den angegebenen Zeitraum an. Es werden die fünf Top-Quellen angezeigt. Jede Registerkarte stellt die Datenverkehrsinformationen in einem Liniendiagramm dar. Wenn Sie die Maus über die Plot-Punkte auf dem Diagramm bewegen, werden folgende Informationen angezeigt: Anwendung/Protokoll:Port, Datenverkehsquelle oder -Ziel (abhängig von der ausgewählten Registerkarte), Datum und Uhrzeit, ob der Datenverkehr vshield App passiert hat sowie die Paketgröße. VMware, Inc. 169
![3 Klicken Sie auf die Registerkarte [Details]. Es werden detaillierte Informationen zum gesamten Datenverkehr für den ausgewählten Dienst angezeigt.](/docs-images/25/4867157/images/170-0.png "Klicken Sie auf [Load More Records], um weitere Flows anzuzeigen.")
170 3 Klicken Sie auf die Registerkarte [Details]. Es werden detaillierte Informationen zum gesamten Datenverkehr für den ausgewählten Dienst angezeigt. Klicken Sie auf [Load More Records], um weitere Flows anzuzeigen. Die Registerkarte [Allowed Flows] enthält die zulässigen Datenverkehrssitzungen, die Registerkarte [Blocked Flows] den blockierten Datenverkehr. Sie können nach Dienstnamen suchen. 4 Klicken Sie auf ein Element in der Tabelle, um die Regeln anzuzeigen, die den Datenverkehr zugelassen oder blockiert haben. Die Spalte Description gibt an, ob dieser Datenverkehr durch eine Regel oder durch SpoofGuard blockiert wurde. Klicken Sie auf [Load More Records], um zusätzliche Datenströme anzuzeigen. 5 Wenn Sie Regeln gruppieren möchten, wählen Sie im Dropdown-Menü [Group By] die entsprechende Option aus. 6 Klicken Sie auf [Rule Id], um die Regeldetails anzuzeigen. 170 VMware, Inc.
171 Kapitel 12 vshield App Flow Monitoring Hinzufügen oder Bearbeiten einer App Firewall-Regel vom Flow Monitoring-Bericht aus Indem Sie einen Drilldown für die Datenverkehrsdaten durchführen, können Sie die Nutzung Ihrer Ressourcen auswerten und Sitzungsinformationen an die App Firewall senden, um auf jeder beliebigen Ebene eine neue Regel zum Zulassen oder Ablehnen von Datenverkehr zu erstellen. 1 Wählen Sie im vsphere-client ein Datencenter, eine virtuelle Maschine, eine Portgruppe, einen Netzwerkadapter oder eine virtuelle Leitung aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine Auswählen einer Portgruppe oder eines Netzwerkadapters a Wechseln Sie zu [Inventory] > [Hosts and Clusters]. b Wählen Sie ein Datencenter oder eine virtuelle Maschine aus. c Klicken Sie auf die Registerkarte [vshield]. a Wechseln Sie zu [Inventory] > [Networking]. b Wählen Sie eine Portgruppe oder einen Netzwerkadapter aus. c Klicken Sie auf die Registerkarte [vshield]. Auswählen einer virtuellen Leitung a Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. b c Klicken Sie auf die Registerkarte Networks. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. HINWEIS Die Registerkarte Flow Monitoring für virtuelle Leitungen ist nur verfügbar, wenn vshield App auf mindestens einem Host im Cluster installiert ist, von dem aus die virtuelle Leitung erstellt wurde. Flow Monitoring- Daten werden nur für den Datenverkehr angezeigt, der den Host passiert, auf dem vshield App installiert ist. 2 Klicken Sie auf [Flow Monitoring]. Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten 24 Stunden an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 3 Klicken Sie auf die Registerkarte [Details]. Klicken Sie auf [Load More Records], um weitere Flows anzuzeigen. 4 Klicken Sie auf einen Dienst, um den Datenfluss für diesen Dienst zu sehen. Es werden alle Regeln, die Datenverkehr für diesen Dienst zugelassen oder abgelehnt haben, angezeigt. 5 Klicken Sie auf eine Regel-ID, um die Regeldetails anzusehen. VMware, Inc. 171
172 6 Führen Sie einen der folgenden Schritte aus: So bearbeiten Sie eine Regel: 1 Klicken Sie auf [Edit Rule] in der Spalte [Actions]. 2 Ändern Sie den Namen, die Aktion oder die Kommentare für die Regel. 3 Klicken Sie auf OK. So fügen Sie eine Regel hinzu: 1 Klicken Sie auf [Add Rule] in der Spalte [Actions]. 2 Füllen Sie das Formular vollständig aus, um die Regel hinzuzufügen. Es ist nicht möglich, ein Protokoll, eine IP-Adresse oder eine MAC-Adresse als Quelle oder Ziel zu einer Firewallregel hinzuzufügen. Falls die Quelle oder das Ziel der Regel eine IP- oder MAC- Adresse ist, müssen Sie ein IPSet oder MACSet für diese Adresse anlegen. Falls die Quelle oder das Ziel der Regel ein Protokoll ist, müssen Sie für dieses Protokoll einen Dienst erstellen. Weitere Informationen zum Ausfüllen des Formulars für Firewallregeln finden Sie unter Hinzufügen einer Firewallregel, auf Seite Klicken Sie auf [OK]. Die Regel wird oben in die Firewallregeltabelle eingefügt. Ändern des Datumsbereichs der Flow Monitoring-Diagramme Sie können den Datumsbereich der Flow Monitoring-Daten ändern, um eine Verlaufsansicht der Datenverkehrsdaten anzuzeigen. 1 Wählen Sie im vsphere-client ein Datencenter, eine virtuelle Maschine, eine Portgruppe, einen Netzwerkadapter oder eine virtuelle Leitung aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine Auswählen einer Portgruppe oder eines Netzwerkadapters a Wechseln Sie zu [Inventory] > [Hosts and Clusters]. b Wählen Sie ein Datencenter oder eine virtuelle Maschine aus. c Klicken Sie auf die Registerkarte [vshield]. a Wechseln Sie zu [Inventory] > [Networking]. b Wählen Sie eine Portgruppe oder einen Netzwerkadapter aus. c Klicken Sie auf die Registerkarte [vshield]. Auswählen einer virtuellen Leitung a Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. b c Klicken Sie auf die Registerkarte Networks. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. d Klicken Sie auf die Registerkarte [Sicherheit]. HINWEIS Die Registerkarte Flow Monitoring für virtuelle Leitungen ist nur verfügbar, wenn vshield App auf mindestens einem Host im Cluster installiert ist, von dem aus die virtuelle Leitung erstellt wurde. Flow Monitoring- Daten werden nur für den Datenverkehr angezeigt, der den Host passiert, auf dem vshield App installiert ist. 2 Klicken Sie auf [Flow Monitoring]. Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten 24 Stunden an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 3 Klicken Sie neben [Time Period] auf [Change]. 172 VMware, Inc.
173 Kapitel 12 vshield App Flow Monitoring 4 Wählen Sie den Zeitraum aus oder geben Sie ein neues Start- und Enddatum ein. Die maximale Zeitspanne, für die Sie Verkehrsflussdaten anzeigen können, sind die letzten zwei Wochen. 5 Klicken Sie auf [Aktualisieren]. VMware, Inc. 173
174 174 VMware, Inc.
175 vshield App Firewall-Management 13 vshield App bietet Firewall-Schutz, indem Zugriffsrichtlinien erzwungen werden. Die Registerkarte App Firewall enthält die Zugriffssteuerungsliste für die vshield App Firewall. Dieses Kapitel behandelt die folgenden Themen: Verwenden der App Firewall, auf Seite 175 Arbeiten mit Firewallregeln, auf Seite 178 Verwenden von SpoofGuard, auf Seite 183 Verwenden der App Firewall Der App Firewall-Dienst stellt eine zentrale Firewall für ESX-Hosts dar. Die App Firewall ermöglicht das Erstellen von Regeln, die den Zugriff auf virtuelle Maschinen sowie den Zugriff durch virtuelle Maschinen zulassen oder blockieren. Jede installierte vshield App Instanz erzwingt die App Firewall-Regeln. Sie können App Firewall-Regeln auf der Namespace-Ebene verwalten, um mehreren vshield App-Instanzen unter diesen Containern einen einheitlichen Regelsatz bereitzustellen. Namespace-Ebenen umfassen Datencenter, virtuelle Leitungen und Portgruppen mit unabhängigem Namespace. Während sich die Zugehörigkeit zu diesen Containern dynamisch ändern kann, behält die App Firewall den Status vorhandener Sitzungen bei, ohne dass eine Neukonfiguration von Firewallregeln erforderlich ist. Auf diese Weise ist die App Firewall durchgängig und effektiv für alle ESX-Hosts unter den verwalteten Containern aktiviert. Namespaces in einer Multi-Tenant-Umgebung Mithilfe der Namespace-Funktion kann vshield App im Multi-Tenant-Modus ausgeführt werden. Jeder Tenant kann eigene Firewallregeln und Sicherheitsgruppen haben. Standardmäßig verwenden alle Portgruppen in einem Datencenter denselben IP-Adressbereich. Sie können einen unabhängigen Namespace zu einer Portgruppe zuweisen. Dann gelten die Firewallregeln auf Datencenterebene nicht mehr für diese Portgruppe. So weisen Sie einer Portgruppe eine unabhängige IP-Adresse zu 1 Navigieren Sie in vsphere Client zu [Bestandsliste] > [Netzwerk]. 2 Wählen Sie in der Ressourcenstruktur eine Portgruppe aus. 3 Klicken Sie auf die Registerkarte [vshield]. 4 Klicken Sie auf [Namespace]. 5 Klicken Sie auf [Change to Independent namespace]. 6 Klicken Sie auf [Reload], um die aktualisierten Informationen anzuzeigen. VMware, Inc. 175
176 Grundlegendes zu Diensten und Dienstgruppen Bei einem Dienst handelt es sich um die Kombination aus Protokoll und Port und eine Dienstgruppe ist eine Kombination aus zwei oder mehreren Diensten. Sie können Firewallregeln für Dienste und Servicegruppen definieren Weitere Informationen zum Erstellen von Anwendungen finden Sie unter Arbeiten mit Diensten und Dienstgruppen, auf Seite 22. Entwerfen von Sicherheitsgruppen Beim Erstellen von App Firewall-Regeln können Sie Regeln basierend auf dem Datenverkehr zu oder von einem bestimmten Container definieren, die für alle Ressourcen in diesem Container gelten. Sie können beispielsweise eine Regel festlegen, die jeglichen Datenverkehr innerhalb eines Clusters blockiert, der ein bestimmtes Ziel außerhalb des Clusters hat. Sie können eine Regel erstellen, um den eingehenden Datenverkehr zu blockieren, der über keine VLAN-ID verfügt. Wenn Sie einen Container als Quelle oder Ziel angeben, berücksichtigt die Regel alle IP-Adressen innerhalb dieses Containers. Eine Sicherheitsgruppe ist eine vertrauenswürdige Zone, die Sie zum Zweck des App Firewall-Schutzes erstellen und der Sie Ressourcen zuweisen. Sicherheitsgruppen sind Container, wie eine vapp oder ein Cluster. Sicherheitsgruppen ermöglichen das Erstellen eines Containers, indem Ressourcen wie virtuelle Maschinen und Netzwerkadapter nach Wunsch zugewiesen werden. Nach der Erstellung einer Sicherheitsgruppe fügen Sie die Gruppe dem Quell- oder Zielfeld einer App Firewall-Regel als Container hinzu. Weitere Informationen finden Sie unter Gruppieren von Objekten, auf Seite 25. Der Geltungsbereich der Sicherheitsgruppe ist auf die Ressourcenebene beschränkt, auf der sie erstellt wurde. Wenn Sie beispielsweise eine Sicherheitsgruppe auf Datencenterebene erstellen, kann die Sicherheitsgruppe nur dann als Quelle oder Ziel hinzugefügt werden, wenn Sie eine Firewallregel auf Datencenterebene erstellen. Wenn Sie eine Regel für eine Portgruppe mit einem unabhängigen Namespace innerhalb dieses Datencenters erstellen, ist die Sicherheitsgruppe nicht verfügbar. Grundlegendes zu systemdefinierten Regeln in App Firewall Die standardmäßige App Firewall-Regel lässt die Durchleitung von Datenverkehr durch alle vshield App- Instanzen zu. Die Standardregel für L3-Datenverkehr wird in der Firewalltabelle auf der Registerkarte [General] aufgeführt. Die Standardregel für L2-Datenverkehr können Sie in der Firewalltabelle auf der Registerkarte [Ethernet] sehen. Die Standardregel befindet sich immer am Ende der Regeltabelle und kann weder gelöscht noch hinzugefügt werden. Sie können jedoch für jede Regel das Element [Action] von [Allow] in [Block] ändern sowie die Anmerkungen zur Regel bearbeiten und festlegen, ob der Datenverkehr zu dieser Regel protokolliert werden soll. Grundlegendes zu allgemeinen Regeln und Ethernet-Regeln Die Registerkarte [App Firewall] bietet mehrere Sätze konfigurierbarer Regeln: Layer 3-Regeln (L3-Regeln) (Registerkarte [General] ) und Layer 2-Regeln (L2-Regeln) (Registerkarte [Ethernet] ). Standardmäßig darf der gesamte allgemeine und Ethernet-Datenverkehr durchgeleitet werden. Sie können Regeln auf Datencenterebene, auf der Ebene der virtuellen Leitungen sowie auf Portgruppenebene mit unabhängigen Namespaces konfigurieren. 176 VMware, Inc.
177 Kapitel 13 vshield App Firewall-Management Prioritäten von Firewallregeln Jede vshield App-Instanz erzwingt App Firewall-Regeln in absteigender Reihenfolge. Eine vshield App-Instanz vergleicht jede Datenverkehrssitzung zunächst mit der obersten Regel in der App Firewalltabelle und anschließend mit den nachfolgenden Regeln in der Tabelle. Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen. Das Erzwingen von Ethernet-Regeln hat Vorrang vor allgemeinen Regeln. Planen der Erzwingung von App Firewall-Regeln Mithilfe der App Firewall können Sie basierend auf der geltenden Netzwerkrichtlinie Zulassungs- und Blockierungsregeln konfigurieren. In den folgenden Beispielen werden zwei gängige Firewall-Richtlinien beschrieben: Gesamten Datenverkehr standardmäßig zulassen Gesamten Datenverkehr standardmäßig blockieren Sie lassen standardmäßig den gesamten Datenverkehr zu und fügen Blockierungssregeln hinzu, die auf Flow Monitoring-Daten oder einer manuellen App Firewall-Regelkonfiguration basieren. Wenn in diesem Szenario eine Sitzung keiner der Blockierungsregeln entspricht, lässt die vshield App-Instanz die Durchleitung des Datenverkehrs zu. Sie können den [Action] -Status der Standardregeln von [Allow] in [Block] ändern und für bestimmte Systeme und Anwendungen explizit Zulassungsregeln hinzufügen. Wenn in diesem Szenario eine Sitzung keiner der Zulassungsregeln entspricht, unterbindet vshield App die Sitzung, bevor sie ihr Ziel erreicht. Wenn Sie die Standardregeln so ändern, dass der gesamte Datenverkehr unterbunden wird, blockiert vshield App sowohl den ein- als auch den ausgehenden Datenverkehr. VMware, Inc. 177
178 Arbeiten mit Firewallregeln Sie können vor oder nach dem Installieren einer Anwendung L3- und L2-Firewallregeln konfigurieren und veröffentlichen. Sobald eine Anwendung installiert ist, werden die zuletzt veröffentlichten Firewallregeln angewendet. Hinzufügen einer Firewallregel Sie können auf verschiedenen Containerebenen (Datencenter, virtuelle Leitung, Portgruppe mit unabhängigem Namespace) Firewallregeln hinzufügen. Wenn Sie pro Regel mehrere Objekte als Quell- und Zielebene hinzufügen, können Sie die Gesamtzahl an zu erstellenden Firewallregeln verringern. 1 Wählen Sie im vsphere-client ein Datencenter, eine virtuelle Leitung oder eine Portgruppe mit unabhängigem Namespace aus. Firewallregelebene Methode Datencenter a Wechseln Sie zu [Inventory] > [Hosts and Clusters]. b Wählen Sie ein Datencenter aus. c Klicken Sie auf die Registerkarte [vshield]. Virtuelle Leitung a Wechseln Sie zu [Inventory] > [Hosts and Clusters] und wählen Sie die Registerkarte [Network Virtualization] aus. Portgruppe mit einem unabhängigen Namespace b c Klicken Sie auf die Registerkarte Networks. Klicken Sie in der Spalte [Name] auf die virtuelle Leitung, für die Sie eine Regel hinzufügen möchten. d Klicken Sie auf die Registerkarte [Sicherheit]. a Wechseln Sie zu [Inventory] > [Networking]. b Wählen Sie eine Portgruppe mit einem unabhängigen Namespace aus. c Klicken Sie auf die Registerkarte [vshield]. 178 VMware, Inc.
![Kapitel 13 vshield App Firewall-Management 2 Klicken Sie auf die Registerkarte [App Firewall]. Stellen Sie sicher, dass Sie für virtuelle Leitungen die Registerkarte [Firewall] auswählen.](/docs-images/25/4867157/images/179-0.png "3 Wählen Sie zum Hinzufügen einer L3-Regel die Registerkarte [General] aus. Klicken Sie auf die Registerkarte [Ethernet], um eine L2-Regel hinzuzufügen.")
179 Kapitel 13 vshield App Firewall-Management 2 Klicken Sie auf die Registerkarte [App Firewall]. Stellen Sie sicher, dass Sie für virtuelle Leitungen die Registerkarte [Firewall] auswählen. 3 Wählen Sie zum Hinzufügen einer L3-Regel die Registerkarte [General] aus. Klicken Sie auf die Registerkarte [Ethernet], um eine L2-Regel hinzuzufügen. 4 Führen Sie einen der folgenden Schritte aus: Wenn Sie eine Regel an einer bestimmten Position in die Firewalltabelle einfügen möchten, führen Sie die folgenden Schritte aus. a Wählen Sie die gewünschte Regel aus. b Klicken Sie in der Spalte No. auf und wählen Sie [Add Above] oder [Add Below] aus. Um eine Regel durch Kopieren hinzuzufügen, führen Sie die folgenden Schritte aus. a b c Wählen Sie die gewünschte Regel aus. Klicken Sie auf das Symbol Copy ( ). Wählen Sie die gewünschte Regel aus. d Klicken Sie in der Spalte No. auf und wählen Sie [Paste Above] oder [Paste Below] aus. u Klicken Sie auf das Symbol [Add] ( ). Die neue Regel wird unter der ausgewählten Regel eingefügt. Wenn die Firewalltabelle nur die systemdefinierte Regel enthält, wird die neue Regel über der Standardregel eingefügt. 5 Zeigen Sie auf die Zelle [Name] der neuen Regel und klicken Sie auf. 6 Geben Sie einen Namen für die neue Regel ein. VMware, Inc. 179
vshield-administratorhandbuch
vshield Manager 5.5 vshield App 5.5 vshield Edge 5.5 vshield Endpoint 5.5 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue
System-Update Addendum
System-Update Addendum System-Update ist ein Druckserverdienst, der die Systemsoftware auf dem Druckserver mit den neuesten Sicherheitsupdates von Microsoft aktuell hält. Er wird auf dem Druckserver im
VMware vrealize Log Insight- Entwicklerhandbuch
VMware vrealize Log Insight- Entwicklerhandbuch vrealize Log Insight 2.5 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage
Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver
Eine Firewall für Lexware professional oder premium konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Die Firewall von Windows 7 und Windows 2008 Server... 2 4. Die Firewall
How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit L2TP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security
How-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1
F-Secure Mobile Security for Nokia E51, E71 und E75 1 Installation und Aktivierung F-Secure Client 5.1 Hinweis: Die Vorgängerversion von F-Secure Mobile Security muss nicht deinstalliert werden. Die neue
O UTLOOK EDITION. Was ist die Outlook Edition? Installieren der Outlook Edition. Siehe auch:
O UTLOOK EDITION Was ist die Outlook Edition? Outlook Edition integriert Microsoft Outlook E-Mail in Salesforce. Die Outlook Edition fügt neue Schaltflächen und Optionen zur Outlook- Benutzeroberfläche
vshield-administratorhandbuch
vshield Manager 5.0 vshield App 5.0 vshield Edge 5.0 vshield Endpoint 5.0 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue
McAfee Security-as-a-Service -
Handbuch mit Lösungen zur Fehlerbehebung McAfee Security-as-a-Service - Zur Verwendung mit der epolicy Orchestrator 4.6.0-Software Dieses Handbuch bietet zusätzliche Informationen zur Installation und
Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung
Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern Kurzanleitung Inhaltsverzeichnis 1. Allgemeine Informationen... 3 2. Netzwerkübersicht... 3 3. Konfiguration...
Netzwerkeinstellungen unter Mac OS X
Netzwerkeinstellungen unter Mac OS X Dieses Dokument bezieht sich auf das D-Link Dokument Apple Kompatibilität und Problemlösungen und erklärt, wie Sie schnell und einfach ein Netzwerkprofil unter Mac
How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3
Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration...
Erstellen eines Formulars
Seite 1 von 5 Word > Erstellen bestimmter Dokumente > Formen Erstellen von Formularen, die in Word ausgefüllt werden können Basierend auf einer Vorlage können Sie dieser Inhaltssteuerelemente und Hinweistext
Firewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM
Import des persönlichen Zertifikats in Outlook 2003
Import des persönlichen Zertifikats in Outlook 2003 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:
10.3.1.9 Übung - Konfigurieren einer Windows Vista-Firewall
5.0 10.3.1.9 Übung - Konfigurieren einer Windows Vista-Firewall Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie erfahren, wie man die Windows Vista-Firewall konfiguriert
Installationsanleitung SSL Zertifikat
Installationsanleitung SSL Zertifikat HRM Systems AG, Technikumstrasse 82, Postfach, CH-8401 Winterthur, Telefon +41 52 269 17 47, www.hrm-systems.ch Inhaltsverzeichnis 1. Einleitung 3 2. Austausch Zertifikat
Virtual Private Network
Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine
NAS 323 NAS als VPN-Server verwenden
NAS 323 NAS als VPN-Server verwenden NAS als VPN-Server verwenden und über Windows und Mac eine Verbindung dazu herstellen A S U S T O R - K o l l e g Kursziele Nach Abschluss dieses Kurses sollten Sie:
Wichtig: Um das Software Update für Ihr Messgerät herunterzuladen und zu installieren, müssen Sie sich in einem der folgenden Länder befinden:
Ein Software Update für das FreeStyle InsuLinx Messgerät ist erforderlich. Lesen Sie dieses Dokument sorgfältig durch, bevor Sie mit dem Update beginnen. Die folgenden Schritte führen Sie durch den Prozess
mysoftfolio360 Handbuch
mysoftfolio360 Handbuch Installation Schritt 1: Application Server und mysoftfolio installieren Zuallererst wird der Application Server mit dem Setup_ApplicationServer.exe installiert und bestätigen Sie
Clients in einer Windows Domäne für WSUS konfigurieren
Verwaltungsdirektion Abteilung Informatikdienste Clients in einer Windows Domäne für WSUS konfigurieren 08.04.2009 10:48 Informatikdienste Tel. +41 (0)31 631 38 41 Version 1.0 Gesellschaftsstrasse 6 Fax
Manager. Doro Experience. für Doro PhoneEasy 740. Deutsch
Doro für Doro PhoneEasy 740 Deutsch Manager Einführung Verwenden Sie den Doro Manager, um Anwendungen auf einem Doro über einen Internet-Browser von jedem beliebigen Ort aus zu installieren und zu bearbeiten.
vcloud Suite Lizenzierung
vcloud Suite 5.1 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage ersetzt wird. Die neuesten Versionen dieses Dokuments
Installationsanleitung für Lancom Advanced VPN Client zum Zugang auf das Format ASP System
Installationsanleitung für Lancom Advanced VPN Client zum Zugang auf das Format ASP System Seite 1 von 21 Inhaltsverzeichnis 1 Voraussetzungen... 3 2 Installation... 4 2.1 Setup starten... 4 2.2 Startseite
Firewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...
Panda GateDefender Virtual eseries ERSTE SCHRITTE
Panda GateDefender Virtual eseries ERSTE SCHRITTE INHALTSVERZEICHNIS Panda GateDefender virtual eseries - KVM > Voraussetzungen > Installation der virtuellen Panda-Appliance > Web-Schnittstelle > Auswahl
Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen mit SQL Server-Daten
1 von 5 12.01.2013 17:59 SharePoint 2013 Veröffentlicht: 16.10.12 Zusammenfassung: Informationen zur Verwendung von Excel zum Erstellen und Freigeben von Verbindungen mit SQL Server-Daten, mit deren Hilfe
6.8.3.8 Übung - Konfiguration eines WLAN-Routers in Windows 7
IT Essentials 5.0 6.8.3.8 Übung - Konfiguration eines WLAN-Routers in Windows 7 Einführung Drucken Sie die Übung aus und führen Sie sie durch. In dieser Übung werden Sie WLAN-Einstellungen auf dem Linksys
Bedienungsanleitung. FarmPilot-Uploader
Bedienungsanleitung FarmPilot-Uploader Stand: V1.20110818 31302736-02 Lesen und beachten Sie diese Bedienungsanleitung. Bewahren Sie diese Bedienungsanleitung für künftige Verwendung auf. Impressum Dokument
Quickstart Guide. azeti SONARPLEX VAA Fehler erkennen, bevor Fehler entstehen
Quickstart Guide Voraussetzung für den Einsatz einer azeti SONARPLEX ist die VMware Server Version 2.0 oder höher. Falls Sie bereits einen VMware Server in Ihrem Unternehmen einsetzen, können Sie Schritt
VIDA ADMIN KURZANLEITUNG
INHALT 1 VIDA ADMIN... 3 1.1 Checkliste... 3 1.2 Benutzer hinzufügen... 3 1.3 VIDA All-in-one registrieren... 4 1.4 Abonnement aktivieren und Benutzer und Computer an ein Abonnement knüpfen... 5 1.5 Benutzername
Ihr Benutzerhandbuch SOPHOS ENDPOINT SECURITY http://de.yourpdfguides.com/dref/3539581
Lesen Sie die Empfehlungen in der Anleitung, dem technischen Handbuch oder der Installationsanleitung für SOPHOS ENDPOINT SECURITY. Hier finden Sie die Antworten auf alle Ihre Fragen über die SOPHOS ENDPOINT
Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2
Kurzanleitung zur Softwareverteilung von Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 I. BitDefender Management Agenten Verteilung...2 1.1. Allgemeine Bedingungen:... 2 1.2. Erste
VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard
LANCOM Support Knowledgebase Dokument-Nr. 0911.0913.3223.RHOO - V1.60 VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard Beschreibung: Dieses Dokument beschreibt die
Import des persönlichen Zertifikats in Outlook Express
Import des persönlichen Zertifikats in Outlook Express 1.Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihrem PC installieren können, benötigen
HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160
HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160 [Voraussetzungen] 1. DWS-4026/3160 mit aktueller Firmware - DWS-4026/ 3160 mit Firmware (FW) 4.1.0.2 und
2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein
Einrichtung von orgamax-mobil Um die App orgamax Heute auf Ihrem Smartphone nutzen zu können, ist eine einmalige Einrichtung auf Ihrem orgamax Rechner (bei Einzelplatz) oder Ihrem orgamax Server (Mehrplatz)
Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen zu SQL Server Analysis Services-Daten
1 von 5 12.01.2013 17:58 SharePoint 2013 Veröffentlicht: 16.10.12 Zusammenfassung: Informationen zur Verwendung von Excel zum Erstellen und Freigeben einer Verbindung zu SQL Server Analysis Services-Daten,
Import des persönlichen Zertifikats in Outlook2007
Import des persönlichen Zertifikats in Outlook2007 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:
Lizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:
1. Konfiguration von DynDNS 1.1 Einleitung Im Folgenden wird die Konfiguration von DynDNS beschrieben. Sie erstellen einen Eintrag für den DynDNS Provider no-ip und konfigurieren Ihren DynDNS Namen bintec.no-ip.com.
NAS 224 Externer Zugang manuelle Konfiguration
NAS 224 Externer Zugang manuelle Konfiguration Ü ber das Internet mit Ihrem ASUSTOR NAS verbinden A S U S T O R - K o l l e g Kursziele Nach Abschluss dieses Kurses sollten Sie: 1. Ihr Netzwerkgerät zur
Endpoint Web Control Übersichtsanleitung
Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web
Anzeigen einer Liste der verfügbaren Schriftarten
Schriftarten Dieses Thema hat folgenden Inhalt: Arten von Schriftarten auf Seite 1-21 Residente Druckerschriftarten auf Seite 1-21 Anzeigen einer Liste der verfügbaren Schriftarten auf Seite 1-21 Drucken
Update auf Windows 8.1 Schrittweise Anleitung
Update auf Windows 8.1 Schrittweise Anleitung Windows 8.1 Installation und Aktualisierung BIOS, Anwendungen, Treiber aktualisieren und Windows Update ausführen Installationstyp auswählen Windows 8.1 installieren
Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.
ADSL INSTALLATION WINDOWS 2000 Für die Installation wird folgendes benötigt: Alcatel Ethernet-Modem Splitter für die Trennung Netzwerkkabel Auf den folgenden Seiten wird Ihnen in einfachen und klar nachvollziehbaren
ClouDesktop 7.0. Support und Unterstützung. Installation der Clientsoftware und Nutzung über Webinterface
ClouDesktop 7.0 Installation der Clientsoftware und Nutzung über Webinterface Version 1.07 Stand: 22.07.2014 Support und Unterstützung E-Mail support@anyone-it.de Supportticket helpdesk.anyone-it.de Telefon
Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.
LCS Support KnowledgeBase - Support Information Dokument-Nr. 0812.2309.5321.LFRA VPN-Verbindung zwischen LANCOM Router und Apple iphone Beschreibung: Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung
MailUtilities: Remote Deployment - Einführung
MailUtilities: Remote Deployment - Einführung Zielsetzung Die Aufgabe von Remote Deployment adressiert zwei Szenarien: 1. Konfiguration der MailUtilities von einer Workstation aus, damit man das Control
Windows / Mac User können sich unter folgenden Links die neueste Version des Citrix Receiver downloaden.
Zugriff auf Citrix 1 EINRICHTUNG WICHTIG: 1. Sollten Sie als Betriebssystem bereits Windows 8 nutzen, müssen Sie.Net Framework 3.5 installiert haben. 2. Ihre Einstellungen in den Programmen werden jedes
10.3.1.4 Übung - Datensicherung und Wiederherstellung in Windows 7
5.0 10.3.1.4 Übung - Datensicherung und Wiederherstellung in Windows 7 Einführung Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie die Daten sichern. Sie werden auch eine
10.2.4.10 Übung - WLAN-Sicherheit konfigurieren
IT Essentials 5.0 10.2.4.10 Übung - WLAN-Sicherheit konfigurieren Einführung Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie WLAN-Einstellungen auf dem Linksys E2500 konfigurieren
Upgrade von Windows Vista auf Windows 7
Je nach Ihrer Hardware und der aktuellen Edition von Windows Vista können Sie die Option Upgrade bei der Installation von Windows 7 verwenden, um ein Upgrade von Windows Vista auf die entsprechende oder
Installieren und Verwenden von Document Distributor
Klicken Sie hier, um diese oder andere Dokumentationen zu Lexmark Document Solutions anzuzeigen oder herunterzuladen. Installieren und Verwenden von Document Distributor Lexmark Document Distributor besteht
Erstellen von Mailboxen
Seite 1 von 5 Erstellen von Mailboxen Wenn Sie eine E-Mail-Adresse anlegen möchten, mit Ihrem Domain-Namen, z. B. IhrName@Domain.com, müssen Sie eine Mailbox erstellen. Gehen Sie hierzu wie folgt vor:
Kurzanleitung zur Installation des OLicense-Servers in Verwendung mit SimDiff/SimMerge
Kurzanleitung zur Installation des OLicense-Servers in Verwendung mit SimDiff/SimMerge Inhaltsverzeichnis Installieren des OLicense-Servers... 1 Konfigurieren des OLicense-Servers... 2 Einstellen der Portnummer...
Switching. Übung 9 EAP 802.1x. 9.1 Szenario
Übung 9 EAP 802.1x 9.1 Szenario In der folgenden Übung konfigurieren Sie eine portbasierte Zugangskontrolle mit 802.1x. Den Host 1 haben Sie an Port 2 angeschlossen, der eine Authentifizierung vor der
Diese Handbuch wurde erstellt, um Sie durch die Grundlagen Ihres IP Geräts wie Installation und Konfiguration zur Anwendung zu führen.
ZN-S100V Schnelleinrichtungsanleitung Diese Handbuch wurde erstellt, um Sie durch die Grundlagen Ihres IP Geräts wie Installation und Konfiguration zur Anwendung zu führen. Schritt 1: Kabel an das IP-Gerät
Powermanager Server- Client- Installation
Client A Server Client B Die Server- Client- Funktion ermöglicht es ein zentrales Powermanager Projekt von verschiedenen Client Rechnern aus zu bedienen. 1.0 Benötigte Voraussetzungen 1.1 Sowohl am Server
HostProfis ISP ADSL-Installation Windows XP 1
ADSL INSTALLATION WINDOWS XP Für die Installation wird folgendes benötigt: Alcatel Ethernet-Modem Splitter für die Trennung Netzwerkkabel Auf den folgenden Seiten wird Ihnen in einfachen und klar nachvollziehbaren
Port-Weiterleitung einrichten
Port-Weiterleitung einrichten Dokument-ID Port-Weiterleitung einrichten Version 1.5 Status Endfassung Ausgabedatum 13.03.2015 Centro Business Inhalt 1.1 Bedürfnis 3 1.2 Beschreibung 3 1.3 Voraussetzungen/Einschränkungen
WorldShip Installation auf einen Arbeitsgruppen-Admin- oder Arbeitsgruppen-Remote-Arbeitsstation
VOR DER INSTALLATION IST FOLGENDES ZU BEACHTEN: Dieses Dokument beinhaltet Informationen zur Installation von WorldShip von einer WorldShip DVD. Sie können die Installation von WorldShip auch über das
Bitte beachten Sie. Nur für Kabelmodem! - 1 -
Erste Seite! Bitte beachten Sie Nur für Kabelmodem! - 1 - Inhaltsverzeichnis Inhaltsverzeichnis... 2 Internetprotokoll-Konfiguration (TCP/IPv4)... 3 Internet Explorer konfigurieren... 6 Windows Live Mail
ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote
Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet
Parallels Mac Management 3.5
Parallels Mac Management 3.5 Deployment-Handbuch 25. Februar 2015 Copyright 1999 2015 Parallels IP Holdings GmbH und Tochterunternehmen. Alle Rechte vorbehalten. Alle anderen hierin erwähnten Marken und
Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)
Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10 Technische Informationen (White Paper) Inhaltsverzeichnis 1. Über dieses Dokument... 3 2. Überblick... 3 3. Upgrade Verfahren... 4
OP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.
Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343. Benutzte Hardware: Router DGL-4100 mit der IP Adresse 192.168.0.1 Rechner mit Betriebssystem Windows Server 2000 und Active
Swisscom TV Medien Assistent
Swisscom TV Medien Assistent Mithilfe dieses Assistenten können Sie Fotos und Musik, die Sie auf Ihrem Computer freigegeben haben, auf Swisscom TV geniessen. Diese Bedienungsanleitung richtet sich an die
Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.
1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent
Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP
1 von 8 16.04.2010 13:30 ZIVwiki > Anleitungen Web > VPNHome > PPTPVPNSetup > PPTPVPNSetupWinXP (2010-02-17, v_5fberg02) Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP Inhalt Voraussetzungen
Anleitung zum Prüfen von WebDAV
Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des
Um eine fehlerfreie Installation zu gewährleisten sollte vor der Installation der Virenscanner deaktiviert werden.
Update SFirm 3.1 von Vorgängerversionen Mit dem neuen großen Versionssprung auf die Version 3.1 erhält SFirm eine neue Oberfläche und weitere Funktionen. Besonders die Bearbeitung von SEPA-Lastschriften
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003
Bitte beachten Sie. Nur für Kabelmodem! - 1 -
Erste Seite! Bitte beachten Sie Nur für Kabelmodem! - 1 - Inhaltsverzeichnis Inhaltsverzeichnis... 2 Internetprotokoll-Konfiguration (TCP/IP)... 3 Installation mit Assistent für neue Verbindung... 5 Installation
Erste Schritte mit Desktop Subscription
Erste Schritte mit Desktop Subscription Ich habe eine Desktop Subscription erworben. Wie geht es nun weiter? Schritt 1: Sehen Sie in Ihren E-Mails nach Nach dem Kauf erhalten Sie eine E-Mail von Autodesk
Einrichten einer DFÜ-Verbindung per USB
Einrichten einer DFÜ-Verbindung per USB Hier das U suchen Sie können das Palm Treo 750v-Smartphone und den Computer so einrichten, dass Sie das Smartphone als mobiles Modem verwenden und über ein USB-Synchronisierungskabel
Anleitung zur Installation von SFirm 3.1 inklusive Datenübernahme
Anleitung zur Installation von SFirm 3.1 inklusive Datenübernahme Stand: 01.06.2015 SFirm 3.1 wird als separates Programm in eigene Ordner installiert. Ihre Daten können Sie nach der Installation bequem
VMWARE HORIZON VIEW DOKUMENTATION V3.5.2 INHALTSVERZEICHNIS
VMWARE HORIZON VIEW DOKUMENTATION V3.5.2 WICHTIG: Falls Sie ein neuer Benutzer sind, müssen Sie bei der Erstverwendung Ihr Benutzerkennwort ändern. Melden Sie sich mit Ihrem Starter-Kennwort an und folgen
Maximalwerte für die Konfiguration VMware Infrastructure 3
VMware-Themen e für die Konfiguration VMware Infrastructure 3 Revision: 20080430 Achten Sie bei Auswahl und Konfiguration Ihrer virtuellen und physischen Geräte darauf, dass Sie die von VMware Infrastructure
10.3.1.10 Übung - Konfigurieren einer Windows-XP-Firewall
5.0 10.3.1.10 Übung - Konfigurieren einer Windows-XP-Firewall Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie erfahren, wie man die Windows XP-Firewall konfiguriert und
Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten
Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten In dem Virtuellen Seminarordner werden für die Teilnehmerinnen und Teilnehmer des Seminars alle für das Seminar wichtigen Informationen,
Anleitung Captain Logfex 2013
Anleitung Captain Logfex 2013 Inhalt: 1. Installationshinweise 2. Erste Schritte 3. Client-Installation 4. Arbeiten mit Logfex 5. Gruppenrichtlinien-Einstellungen für die Windows-Firewall 1. Installationshinweis:
Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)
Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Firewall über Seriellen Anschluss mit Computer verbinden und Netzteil anschliessen. Programm Hyper Terminal (Windows unter Start Programme
Alerts für Microsoft CRM 4.0 Server
Alerts für Microsoft CRM 4.0 Server Version 4.0 Installationshilfe (installieren, konfigurieren, ) Der Inhalt des Dokuments ist Änderungen vorbehalten. Microsoft und Microsoft CRM sind registrierte Markenzeichen
(Nicht unbedingt lesen in den meisten Fällen benötigen Sie keine Infos aus diesem Kapitel Fahren Sie direkt weiter mit 1. Schritt)
Vorbemerkungen Copyright : http://www.netopiaag.ch/ Für swissjass.ch nachbearbeitet von Michael Gasser (Nicht unbedingt lesen in den meisten Fällen benötigen Sie keine Infos aus diesem Kapitel Fahren Sie
Windows 2008R2 Server im Datennetz der LUH
Windows 2008R2 Server im Datennetz der LUH Anleitung zur Installation von Active Directory und DNS auf einem Windows 2008R2 Server. Zu einem funktionierenden Active-Directory-Server gehört ein interner
Kundenleitfaden Installation
Kundenleitfaden Installation Anmerkung: Aktuell steht bereits die SFirm-Version 3.1 zum Download zur Verfügung. Die in dieser Anleitung veranschaulichten Installationsschritte sind bei SFirm 3.0 und SFirm
Aktualisieren auf Adobe Experience Manager Forms on JEE für Websphere
Aktualisieren auf Adobe Experience Manager Forms on JEE für Websphere Rechtliche Hinweise Rechtliche Hinweise Weitere Informationen zu rechtlichen Hinweisen finden Sie unter http://help.adobe.com/de_de/legalnotices/index.html.
Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2
Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2 DynDNS-Accounts sollten in regelmäßigen Abständen mit der vom Internet-Provider vergebenen IP- Adresse (z.b. 215.613.123.456)
Leitfaden Installation des Cisco VPN Clients
Leitfaden Seite 1 von 19 INHALTSVERZEICHNIS 1.Vorbereitung für die Installation...3 1.1 Einrichten einer Wählverbindung...3 1.1.1 Einwahl Parameter...3 1.1.2 Netzwerk Konfiguration...4 1.2 Entpacken der
10.3.1.8 Übung - Konfigurieren einer Windows 7-Firewall
5.0 10.3.1.8 Übung - Konfigurieren einer Windows 7-Firewall Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie erfahren, wie man die Windows 7-Firewall konfiguriert und einige
1. Einschränkung für Mac-User ohne Office 365. 2. Dokumente hochladen, teilen und bearbeiten
1. Einschränkung für Mac-User ohne Office 365 Mac-User ohne Office 365 müssen die Dateien herunterladen; sie können die Dateien nicht direkt öffnen und bearbeiten. Wenn die Datei heruntergeladen wurde,
Anleitung zur Einrichtung des USB-Speicherzugriffs (SharePort) Für DIR-506L (Stand April 2013)
Anleitung zur Einrichtung des USB-Speicherzugriffs (SharePort) Für DIR-506L (Stand April 2013) Über den Konfigurationspunkt Speicher können Sie festlegen, ob und wer einen Zugriff auf das an den USB-Port
ICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...