Lab NSX-T partie 1 Config sophos

Dans cet article, nous allons voir l’installation et la configuration d’un pare-feu Sophos XG Home Edition qui servira de routeur pour mon lab. Mon Home Lab physique est configuré avec des VDS: Comme il s’agit d’un environnement Nested lab qui n’aura pas de liaisons montantes physiques connectées, je devrai créer un nouveau VDS sans liaisons montantes physiques connecté à celui-ci avec un groupe de ports pour l’environnement Nested, puis configurez l’accès à l’environnement à partir de mon réseau local. Tout le trafic passera par le routeur / pare-feu virtuel pour communiquer vers et depuis le lab.

Conditions préalables:

– VDS et groupe de ports sans liaisons montantes physiques Définissez le type de VLAN pour ce groupe de ports sur VLAN Trunking avec la plage de 0 à 4094 pour permettre les VLAN

– Configurer les siwtchs de votre réseau pour se connecter a votre lab

J’ai dans mon lab existant un vlan lab, je vais connecter une une carte réseau à ce VLAN qui servira d’interface WAN tandis que l’autre carte réseau sera connectée au nouveau groupe de ports nested pour servir de LAN pour le lab. OS: Autre Linux 3.x ou supérieur CPU: 2 (maximum pris en charge est de 4 dans l’édition familiale) RAM: 2 Go (le maximum pris en charge est de 6 Go dans l’édition familiale) Disque: 40 Go (vous pouvez le réduire si vous le souhaitez) Carte réseau 1: groupe de ports LAN (Nested) Carte réseau 2: groupe de ports WAN Boot: BIOS (ne démarrera pas si vous restez en tant qu’EFI)

Une fois la VM déployée, Sophos XG sera configuré avec une adresse 172.16.1.1 par défaut. Vous devrer la changer pour une IP dans la plage de votre LAB Nested. Connectez-vous à la console avec les informations d’identification par défaut (admin – admin) et choisissez l’option de configuration réseau pour changer l’adresse IP de votre port LAN Nested.

Une fois que cela est fait, vous devez normalement pouvoir accéder à cette adresse sur le port 4444 pour accéder à l’interface d’administration. Malheureusement, cela ne fonctionnera pas car le côté LAN n’a pas d’uplink.

Deux possibiltés :

  • Nous devons exécuter une commande pour activer l’accès administrateur sur le port WAN ( par défaut elle a une adresse en DHCP). Pour ce faire, choisissez l’option 4 pour accéder à la console de l’appareil et entrez la commande suivante: system appliance_access enable
  • Avoir une vm sur le meme reseau lan que l’ip que vous avez configuré et connecter sur le meme port groupe

Maintenant que nous avons accès a l’interface web nous pouvons créer les différents vlans necessaires

Pour ma part:

VLANSubnetPurpose
11010.254.110.1/24Management
12010.254.120.1/24vMotion
14010.254.140.1/24VM Network
15010.254.150.1/24Overlay
16010.254.160.1/24Uplink

Accédez à Mise en réseau et sélectionnez Ajouter une interface> VLAN pour créer chacun de vos réseaux.

Une fois nos VLAN créés, nous devrons créer deux règles de pare-feu pour permettre au trafic du port WAN d’accéder au LAN, ainsi que pour autoriser le trafic du LAN au LAN. Accédez à Pare-feu> Ajouter une règle de pare-feu et créez les règles.

La dernière chose que je vais faire est d’activer la fonctionnalité native d’apprentissage MAC qui est maintenant intégrée à vSphere 6.7 pour ne pas avoir à activer le promisciuos mode.

J’ai exécuté ce qui suit pour l’activer sur mon groupe de ports VDS Nested

Set-MacLearn -DVPortgroupName @("XXXXX") -EnableMacLearn $true -EnablePromiscuous $false -EnableForgedTransmit $true -EnableMacChange $false

La suite dans la partie 2.