本文是关于在 vSphere / ESXi 上构建 pfSense® 虚拟机的。文章介绍了如何在 VMware vSphere 版本 5.x 和 6.x 上安装任何主要的 pfSense 软件版本。本文不介绍如何安装 vSphere 或如何配置 pfSense 软件来完成许多令人惊奇的事情。在本文档结束时,将存在一个运行 pfSense 软件的基本、可工作的虚拟机。
笔记
如果 pfSense 软件实例将作为组织的外围防火墙运行,并且“攻击面”应该最小化,许多人会说最好在独立硬件上运行非虚拟化。然而,这是用户和/或组织做出的决定。现在回到主题。*
本指南从使用 vSphere 客户端连接的普通 ESXi 安装开始。如果其他 VM 已经在 ESXi 上运行,则可能没有必要过于密切地遵循网络步骤。但是,在构建 pfSense 软件虚拟机之前,请浏览它以查看建议。
假设
-
vSphere 主机已启动并运行,用户可以通过其管理网络适配器登录到 Web 界面。
-
读者对网络寻址有所了解。
-
vSphere 主机有一个工作数据存储。
-
pfSense 软件安装
.iso
映像存在于数据存储中。
以下步骤包括使虚拟机运行 pfSense 软件所需的必要 vSphere Web 客户端配置。
基本 vSphere Web 客户端网络设置
在 vSphere Web Client 中创建新 VM 之前,请创建两个虚拟交换机和两个端口组。首先,为 WAN 和 LAN 创建虚拟交换机,然后为 WAN 和 LAN 创建两个端口组。如果环境中已有可用于此 VM 的虚拟交换机,请跳过此步骤。
-
打开 vSphere Web 界面
-
单击网络,虚拟交换机选项卡
-
单击添加标准虚拟交换机
-
如下配置 vSwitch:
-
vSwitch 名称
-
WAN
-
上行1
-
vmnic1
-
点击添加
-
重复该过程并添加另一个以vmnic2
LAN
命名的vSwitch
创建端口组
创建虚拟交换机后,现在创建端口组。如果环境中存在可用于此 VM 的现有端口组,请跳过此步骤。
-
单击网络,端口组选项卡
-
单击添加端口组
-
配置端口组如下:
-
姓名
-
WAN
-
虚拟交换机
-
广域网
-
点击添加
-
重复该过程并添加另一个以LAN vSwitch命名
LAN
的端口组。
创建虚拟机
配置所需的网络后,下一步是创建虚拟机。
-
单击左侧导航器窗格中的虚拟机
-
单击创建/注册 VM
-
在第一个向导中选择创建新虚拟机
-
单击下一步
-
配置向导的Select a name and guest OS屏幕,如下所示:
-
姓名
-
pfSense
或其他有意义的名称,例如firewall
. -
兼容性
-
可用的最新版本(例如ESXi 7.0 U2 虚拟机)
-
来宾操作系统系列
-
其他
-
来宾操作系统版本
-
FreeBSD 12(64 位)或与所选 pfSense 软件版本使用的 FreeBSD 版本最匹配的版本。有关列表,请参阅 pfSense 软件和 FreeBSD的版本。
-
单击下一步
-
选择 VM 磁盘所在的数据存储
这是 ESX 将分配存储来保存虚拟机的配置和操作文件的地方。可能有多个数据存储可用于 ESX、本地甚至远程 NFS 卷。
本地磁盘更快、更可靠,但 pfSense 软件在大多数用例中不需要快速磁盘,因此在这些环境中,它可以在必要时使用 NFS 磁盘运行。
-
单击下一步
-
单击添加网络适配器以创建第二个 NIC
-
如下配置自定义设置屏幕上的项目:
其余选项可以保持默认值,也可以根据环境需要进行更改。
-
中央处理器
-
使用单个 CPU 插槽。
如果虚拟机管理程序主机有足够的可用内核,请单击以展开 CPU 选项并设置更高的每插槽内核数。
-
记忆
-
根据将在 pfSense 软件上安装的软件包的数量和类型,一个基本的防火墙 VM 应该可以在 1024MB 的 RAM 中舒适地运行。对于需要更多或更大包的部署,请根据需要增加 RAM。
-
硬盘 1
-
为 VM 提供至少
16
GB 的空间,对于较大的包则更多。 -
SCSI 控制器 0
-
默认的LSI Logic SAS是兼容的,请保持原样。
-
网络适配器 1
-
选择WAN端口组。
为获得最佳性能,请使用 VMXNET 3 类型的适配器,这是 vSphere 7.x 中的当前默认设置。单击以展开接口选项并确保将其设置为 VMXNET 3。
-
新网络适配器
-
选择LAN端口组。
单击以展开接口选项并确保将其设置为 VMXNET 3。
-
CD/DVD 驱动器 1
-
选择Datastore ISO 文件*,然后浏览并选择 pfSense 软件安装程序 ISO。
-
单击下一步
-
查看 VM 的设置
如果有任何不正确的地方,请返回之前的屏幕并进行更正。
-
点击完成
pfSense 软件安装
vSphere Web 界面现在将包含新 VM 的条目。
-
单击左侧导航器面板中的虚拟机
-
单击列表中的 VM 名称将其打开
-
点击开机启动虚拟机
-
在控制台窗口内单击以打开控制台视图以继续安装。
当 VM 启动时,它将自动启动到安装程序。从那里,照常按照安装步骤进行操作,完成后重新启动。
也可以看看
有关安装过程的详细演练,请参阅安装演练。
虚拟机重新启动后,控制台将在接口分配提示处停止。
-
键入
n
并按下Enter
以跳过 VLAN 配置 -
输入
vmx0
广域网 -
进入
vmx1
局域网 -
Enter
如果提示输入其他接口,请按 -
键入
y
并按下Enter
以完成界面分配
分配接口后,VM 将完成引导过程。它现在可以像运行 pfSense 软件的任何其他防火墙一样进行配置。
安装 Open-VM-Tools
pfSense 软件安装完成后,在首次启动时安装 Open-VM-Tools。
-
导航到System > Packages,Available Packages选项卡
-
在列表中找到Open-VM-Tools或搜索它
-
点击 安装
-
确认安装
确保 Open-VM-Tools 服务正在Status > Services下运行。
恭喜,在 ESXi 上安装 pfSense 软件完成!
附加信息和提示
专用管理网络
最佳做法是将 ESXi 管理网络与其他网络分开。这个秘籍中的例子使用了一个专门的管理网络,这在精心设计的网络中很常见。可以使用 VLAN 或 ESXi 主机上仅用于 ESXi 管理的附加 NIC 来实现分离。vSphere 客户端 PC 可能需要额外的路由或网络连接才能访问专用管理网络。
识别接口
如果 ESXi 主机中有多个物理接口可用,那么要确定哪个物理接口被标识为 会有点困难vmnic1
, vmnic2
依此类推。如果记下每个 NIC 的 MAC 地址以及它在机器中安装时占用的插槽,请查看“配置”选项卡下的“网络适配器”屏幕以匹配 MAC 地址。然而,拥有这种远见是很少见的,因此缺乏这种信息,将物理 NIC 与vmnic
条目匹配的最简单方法是插入 PC 或切换到它们,一次一个。网络或网络适配器屏幕上的速度和双工应该随着接口的出现而改变。单击刷新以更新列表。