ESXiのパロアルトファイアウォールを介したトラフィックの送信VM
ESXi6.0ボックスでスピンアップしたPaloAlto VMシリーズファイアウォールがあります。PANを透過ファイアウォールとして機能させるにはどうすればよいですか?ボックス上のすべてのVM?
2つのvSwitchを使用できると期待していました。1つは内部ネットワーク(最終的にはインターネット)への物理アップリンクで、もう1つはVM(PANネットワーク)を収容します。この「PAN-Network」vSwitchでは、PANはVMと一緒にここにインターフェイスの1つを持ち、次に「内部ネットワーク」vSwitchに別のインターフェイスを持ちます(これが最終的にはインターネットにつながる)。
PANは、透過的に動作するのに役立つレイヤー2スイッチモードまたは「仮想ワイヤー」モードを提供しますが、これを期待どおりに機能させることができないようです。これは可能な解決策でさえありますか、それとも私はNATネットワークのようなことをしなければならないのでしょうか(私は本当に避けたいです)。 PANをレイヤー2、または仮想ワイヤーとして使用すると、2つのvSwitchが「ブリッジ」され、VMが物理アップリンクポートに接続できるようになると想定しましたが、そうではありません。私がテストした限りでは起こっていません。
私はESXiでもPANの専門家でもないので、この概念に苦労しています。
ありがとう。
私は解決策を見つけることができました、それが最良であるか最も正しいかどうか、私にはわかりません。
期待どおりに2つのvSwitchインターフェイス(1つは物理接続あり、もう1つは接続なし)を使用してから、PAN(vSwitch 1の一方のレッグともう一方のレッグ)で仮想ワイヤインターフェイスタイプを使用できました。 vSwitch2)。
重要なのは、両方のvSwitchでプロミスキャスモード、MACアドレスの変更、および偽造送信が有効になっている必要があるということです。両方でこれらを有効にする必要があるかどうかを確認するためにそれを間違えるかもしれませんが、それはうまくいきました。