Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

NFX150 功能概述

软件架构

NFX150 的软件架构旨在提供一个用作单个管理点的统一控制平面。

图 1 说明了 NFX150 的架构。

图 1:NFX150 架构 High-level architecture of a virtualized networking system with OVS, Junos Control Plane, forwarding cards for L2/L3 operations, Juniper Device Manager, third-party VNFs, LTE components, and Ethernet interfaces.

系统软件的关键组件包括:

  • VNF — VNF 是一种整合产品,包含支持完全虚拟化网络环境所需的所有组件。您可以在服务链中配置和使用第三方 VNF。

  • Junos 控制平面 (JCP) — JCP 是在主机作系统 Wind River Linux 上运行的 Junos VM。JCP 作为所有组件的单点管理。JCP 控制第 2 层数据平面(提供第 2 层服务)和第 3 层数据平面(提供第 3 层到第 7 层服务)。

    除了机箱管理之外,JCP 还可以实现:

    • 配置高级安全功能。

    • 访客虚拟化网络功能 (VNF) 生命周期内的管理。

    • 安装第三方 VNF。

    • 创建 VNF 服务链。

    • 管理客户机 VNF 映像(其二进制文件)。

    • 管理系统库存和资源使用情况。

    • LTE 接口的管理。

  • 瞻博网络设备管理器 (JDM) — 管理 VNF 并提供基础架构服务的应用容器。JDM 在后台运行,用户无法直接访问 JDM。

  • L2 数据平面 — 管理第 2 层流量的第 2 层数据平面。第 2 层数据平面将 LAN 流量转发到 NFV 背板 Open vSwitch (OVS)。第 2 层数据平面映射到 JCP 上的虚拟 FPC0。默认情况下,所有 1 千兆以太网物理端口都映射到第 2 层数据平面上的虚拟接口。

  • L3 数据平面 — 为第 3 层至第 7 层服务提供数据路径功能的第 3 层数据平面。第 3 层数据平面映射到 JCP 上的虚拟 FPC1。默认情况下,NFX150 机箱上的两个 SFP+ 端口会映射到第 3 层数据平面上的虚拟接口。

  • Linux - 主机作系统 WindRiver Linux。在 Junos OS 18.1R1 版中,WindRiver Linux 版本为 8。

  • 开放式交换机 (OVS) 网桥 — OVS 网桥是 VLAN 感知系统网桥,用作 VNF 和 FPC 连接的 NFV 背板。此外,您还可以创建自定义 OVS 网桥来隔离不同 VNF 之间的连接。

  • LTE — 提供 4G LTE 连接管理的容器化驱动程序。LTE 容器绑定到 FPC1 进行管理。

接口

NFX150 设备上的接口包括物理接口、虚拟接口和 LTE 接口。

物理接口

物理接口表示 NFX150 机箱和扩展模块上的物理端口。物理接口由网络和管理端口组成:

  • 网络端口 — 4 个 1 千兆以太网端口和 2 个 10 千兆以太网 SFP+ 端口可用作 NFX150 机箱上的网络端口。扩展模块包括 6 个 1 千兆以太网端口和 2 个 1 千兆以太网 SFP 端口。

    网络端口遵循命名约定 heth-slot number-port number,其中:

    • heth 表示主机以太网

    • slot number 机箱端口为 0,扩展模块端口为 1。机箱上的端口命名为 heth-0-x,扩展模块上的端口命名为 heth-1-x。

    • port number 是机箱或扩展模块上的端口号

    默认情况下,每个物理端口启用四个虚拟功能 (VF)。

    注意:

    您无法从映射到第 2 层数据平面的端口映射 VF。

  • 管理端口 — NFX150 设备有一个标记为 MGMT (fxp0) 的专用管理端口,用作带外管理接口。fxp0 接口在 192.168.1.1/24 网络中分配一个 IP 地址。

虚拟接口

在 JCP 中运行的虚拟 FPC 包含虚拟接口。NFX150 设备上的虚拟接口分类如下:

  • 虚拟第 2 层接口 (FPC0) — 表示为 ge-0/0/x,其中 x 的值范围为:

    • 0 到 3(对于不带扩展模块的 NFX150 设备)

    • 0 到 11(带扩展模块的 NFX150 设备)

    这些接口用于配置以下以太网交换功能:

    • 流量2 层交换,包括对中继端口和接入端口的支持

    • 链路层发现协议 (LLDP)

    • IGMP 侦听

    • 端口安全功能(MAC 限制、持久 MAC 学习)

    • MVRP的

    • 以太网 OAM、CFM 和 LFM

    默认情况下,所有 1 千兆以太网物理端口(heth 端口)都映射到 FPC0。

  • 虚拟第 3 层接口 (FPC1) — 表示为 ge-1/0/x,其中 x 的值范围为 0 到 9。这些接口用于配置第 3 层功能,如路由协议和 QoS。

    在 NFX150 设备中,您可以将任何 ge-1/0/x 接口配置为带内管理接口。在带内管理中,您可以将网络接口配置为管理接口并将其连接到管理设备。您可以通过为每个端口分配一个 IPv4 或 IPv6 地址和一个带内管理 VLAN,为带内管理配置任意数量的接口。

    注意:

    NFX150 设备不支持集成路由和桥接 (IRB) 接口。IRB 功能由 ge-1/0/0 提供,它始终映射到服务链背板 (OVS)。请注意,此映射无法更改。

  • 虚拟 SXE 接口 — 两个静态接口 sxe-0/0/0 和 sxe-0/0/1 将 FPC0(第 2 层数据平面)连接到 OVS 背板。

LTE 接口

支持 LTE 的 NFX150 设备型号可配置为通过 3G 或 4G 网络实现无线 WAN 连接。LTE 物理接口使用名称 cl-1/1/0。拨号器接口 dl0 是用于触发呼叫的逻辑接口。

接口映射

表 1 总结了 NFX150 上的接口。

表 1:NFX150 上的接口

接口名称

描述

heth-0-0 至 heth-0-5

NFX150 设备前面板上的物理端口,可映射到第 2 层或第 3 层接口 (VNF)。

端口 heth-0-0 到 heth-0-3 是 10 Mbps/100 Mbps/1 Gbps 三速铜缆端口。

端口 heth-0-4 和 heth-0-5 是 10 Gbps SFP+ 端口

For Junos OS Releases 18.1, 18.2 R1, and 18.3 R1:

  • 端口 heth-0-0 到 heth-0-3 分别映射到 LAN 端口 ge-0/0/0 到 ge-0/0/3。

  • 端口 heth-0-4 和 heth-0-5 分别映射到 WAN 端口 ge-1/0/1 和 ge-1/0/2。

For Junos OS Release 18.2 R2

  • 端口 heth-0-0、heth-0-1 和 heth-0-2 分别映射到 LAN 端口 ge-0/0/0 到 ge-0/0/2。

  • 端口 heth-0-4 映射到 LAN 端口 ge-0/0/3。

端口 heth-0-3 和 heth-0-5 分别映射到 WAN 端口 ge-1/0/1 和 ge-1/0/2。

heth-1-0 至 heth-1-7

NFX150-S1 设备扩展模块上的物理端口。默认情况下,这些端口映射到 ge-0/0/n 端口。

端口 heth-1-0 到 heth-1-5 分别是 10 Mbps/100 Mbps/1 Gbps 三速铜缆端口,分别映射到 LAN 端口 ge-0/0/4 到 ge-0/0/9。

端口 heth-1-6 和 heth-1-7 是分别映射到 LAN 端口 ge-0/0/10 和 ge-0/0/11 的 1 Gbps SFP 端口。

ge-0/0/x

逻辑第 2 层接口,可用于 LAN 连接。x 的值范围为:

  • 0 到 3(对于不带扩展模块的 NFX150 设备)

  • 0 到 11(带扩展模块的 NFX150 设备)

GE-1/0/X

一组最多 10 个逻辑第 3 层接口。每个接口都可以有 4k 个子接口。x 的值范围为 0 到 9。

CL-1/1/0型

LTE 蜂窝接口,承载物理层属性。

DL0

LTE 拨号器接口,承载第 3 层和安全服务。安全流会话包含作为入口或出口接口的 dl0 接口。

st0

用于 IPsec VPN 的安全隧道接口。

fxp0

带外管理接口。

NFX150 支持的收发器列表位于 https://pathfinder.juniper.net/hct/product/

表 3 显示了 NFX150 设备上物理接口和虚拟接口之间的默认映射。

表 2:NFX150 上物理端口到虚拟端口的默认映射(适用于 Junos OS 18.1、18.2 R1 和 18.3 R1 版)

物理端口

虚拟接口(第 2 层数据平面)

虚拟接口(第 3 层数据平面)

赫斯-0-0

ge-0/0/0

赫斯-0-1

ge-0/0/1

HETH-0-2型

ge-0/0/2

赫斯-0-3

ge-0/0/3

赫斯-0-4

GE-1/0/1

嘿嘿-0-5

GE-1/0/2型
表 3:NFX150 上物理端口到虚拟端口的默认映射(适用于 Junos OS 18.2 R2 版)

物理端口

虚拟接口(第 2 层数据平面)

虚拟接口(第 3 层数据平面)

赫斯-0-0

ge-0/0/0

赫斯-0-1

ge-0/0/1

HETH-0-2型

ge-0/0/2

赫斯-0-3

GE-1/0/1

赫斯-0-4

ge-0/0/3

嘿嘿-0-5

GE-1/0/2型

表 4 显示了扩展模块上的物理端口与虚拟接口之间的默认映射。

表 4:扩展模块的物理端口到虚拟端口的默认映射

物理端口

虚拟端口(第 2 层数据平面)

赫斯-1-0

ge-0/0/4

HETH-1-1型

ge-0/0/5

HETH-1-2型

ge-0/0/6

HETH-1-3型

ge-0/0/7

HETH-1-4型

ge-0/0/8

HETH-1-5型

ge-0/0/9

HETH-1-6型

ge-0/0/10

HETH-1-7型

ge-0/0/11
注意:

默认情况下,扩展模块端口会映射到第 2 层数据平面接口。您可以根据需要更改映射。机箱和扩展模块上的任何端口均可映射到 ge-1/0/x 或 ge-0/0/x 接口。端口映射配置中的任何更改都将自动重置受影响的 FPC。

支持的功能

表 5 列出了 NFX150 支持的 Junos 功能。

表 5:NFX150 上支持的功能

Junos OS 版本

路由

安全

开关

18.1R1

  • BGP、OSPF、RIP、IS-IS、

  • MVRP的

  • NAT

  • ALG

  • IPSec

  • IPv6 NTP

  • IPv6 TACAC

  • 因为

  • 防火墙过滤器

  • LLDP

  • 端口镜像

  • IGMP/MLD 侦听

  • MLD 侦听

  • 持久 MAC 学习

  • L2重写

  • 本机 VLAN

18.2 R1

  • 应用安全性

  • IDP

  • 集成用户防火墙

  • UTM

有关支持的功能的更多详细信息,请参阅 功能浏览器

性能模式

NFX150 设备提供以下作模式:

  • 吞吐量模式 — 为 Junos 软件提供最大资源(CPU 和内存),为第三方 VNF 提供剩余资源(如果有)。

    注意:

    您无法在吞吐量模式下创建 VNF。

    从 Junos OS 21.1R1 版开始,NFX150-S1 和 NFX150-S1E 设备在吞吐量模式下不支持将 OVS 映射到第 3 层数据平面接口。如果 Junos OS 21.1R1 之前的版本中存在 OVS 映射,则必须在将设备升级到 Junos OS 21.1R1 版之前更改映射,以防止配置提交失败。

  • 混合模式 — 在 Junos 软件和第三方 VNF 之间提供均衡的资源分配。

  • 计算模式 — 为 Junos 软件提供最少的资源,为第三方 VNF 提供最大的资源。

  • 自定义模式 - 提供将资源分配给系统组件的选项:

    • NFX150-S1 和 NFX150-S1E 型号的第 2 层数据平面、第 3 层数据平面和 NFV 背板

    • NFX150-C-S1、NFX150-C-S1-AE/AA 和 NFX150-C-S1E-AE/AA 型号的第 2 层数据平面和第 3 层数据平面

    注意:

    Junos OS 19.1R1 或更高版本支持计算、混合和吞吐量模式。从 Junos OS 22.1R1 版开始支持自定义模式。

    默认模式是 Junos OS 21.4R1 之前版本中的吞吐量。从 Junos OS 21.4R1 版开始,默认模式为计算。

在混合模式和计算模式下,您可以将第 3 层数据平面接口映射到 SR-IOV 或 OVS。在吞吐量模式下,您只能将第 3 层数据平面接口映射到 SR-IOV。

例如:

  • 将第 3 层数据平面接口映射到 SR-IOV:

    user@host# set vmhost virtualization-options interfaces ge-1/0/1 mapping interface heth-0-1

  • 将第 3 层数据平面接口映射到 OVS:

    user@host# set vmhost virtualization-options interfaces ge-1/0/1

在混合模式或计算模式下,您可以使用每种模式下的可用 CPU 创建 VNF。您可以使用 show vmhost mode 命令检查 CPU 可用性。每个 VNF 最多支持 10 个接口(eth0 到 eth9),包括两个管理接口 eth0 和 eth1。

注意:

您不能将单个 VNF 接口同时连接到 SR-IOV 和 OVS。但是,您可以将不同的接口从同一个 VNF 连接到 SR-IOV 和 OVS。

当到特定第 3 层数据平面接口的映射在 SR-IOV NIC(例如 heth-0-0)之间或从 heth-x-x 到 OVS 之间发生变化(反之亦然)时,FPC1 将自动重新启动。

要更改当前模式,请运行命令 request vmhost mode mode-name 。命令 request vmhost mode ? 仅列出预定义模式,如混合模式、计算模式和吞吐量模式。

在切换到某种模式之前,请发出 show system visibility cpushow vmhost mode 命令以检查 CPU 的可用性。在作模式之间切换时,请确保不会发生资源和配置冲突。例如,如果从支持 VNF 的计算模式切换到不支持 VNF 的吞吐量模式,则会发生冲突:

如果第 3 层数据平面未映射到 SR-IOV,则从混合或计算模式切换到吞吐量模式会导致错误。

如果将虚拟 CPU 固定到 VNF 的物理 CPU,请确保物理 CPU 不会与用于瞻博网络系统组件的 CPU(包括物理 CPU 0)重叠。

用于固定仿真器的物理 CPU 可以与用于瞻博网络系统组件的 CPU 重叠,但物理 CPU 0 除外。这种重叠可能会影响一个或多个瞻博网络系统组件和 VNF 的性能。

如何定义自定义模式模板

如果您需要为第三方 VNF 分配最大资源,您可以使用自定义模式模板。在自定义模式下,您必须同时配置 CPU 计数和内存量:

  • NFX150-S1 和 NFX150-S1E 型号的第 2 层数据平面、第 3 层数据平面和 NFV 背板

  • NFX150-C-S1、NFX150-C-S1-AE/AA、NFX150-C-S1E-AE/AA 型号的第 2 层数据平面和第 3 层数据平面

缺少任何配置都会导致提交失败。

注意:

您可以选择禁用第 2 层数据平面,以便在不需要第 2 层软件 PFE 服务的部署中释放 CPU 和内存资源。

如果禁用第 2 层数据平面,则无法配置第 2 层数据平面的虚拟接口映射。例如:

配置自定义模式之前,请注意以下事项:

  • 如果禁用第 2 层数据平面,则无法为第 2 层数据平面配置 cpu countmemory size

    如果不禁用第 2 层数据平面,那么必须为其配置 cpu countmemory size 。CPU 计数和内存不得超过系统上可用的 CPU 计数和内存总数。

  • 您可以选择使用 set vmhost mode custom custom-mode-name layer-3-infrastructure cpu colocation quota quota-value 命令为第 3 层数据平面配置 CPU 配额,其 quota-value 范围为 1 到 99。如果配置 cpu colocation quota,则 CPU 主机托管组件的 CPU 配额总和必须小于或等于 100。您必须使用数值进行配置 cpu count ,而不是像 MIN 这样的关键字,因为 MIN 对于不同的组件可以有不同的值。

  • 自定义模式下可供 VNF 使用的 CPU 数量和特定 CPU(按 CPU ID)会根据 cpu count 自定义模式中的和 cpu colocation quota 配置以及其他瞻博网络系统组件的内部固定 CPU 分配自动确定。

  • 自定义模式下可供 VNF 使用的内存量(以 1G 单位)是根据自定义模式特定的内存大小配置和其他瞻博网络系统组件的每个 SKU 内部固定内存分配自动确定的。请注意,此数字只是一个近似值,VNF 的实际最大内存分配可能小于此值。

  • 如果未为 VNF 配置内存大小,则内存将被视为 1G(默认值)。

要在 NFX150-C-S1、NFX150-C-S1-AE/AA、NFX150-C-S1E-AE/AA 型号上定义自定义模式模板,请使用以下配置。配置 cpu colocation quota 是可选的。

要在 NFX150-S1 和 NFX150-S1E 型号上定义自定义模式模板,请使用以下配置。配置 cpu colocation quota 是可选的。

通过自定义模式指定的内存将由 1G 大页面(用于 NFV 背板和第 2 层数据平面)以及 2M 大页面(用于第 3 层数据平面)创建并提供支持。

Flex 模板是默认 Junos 配置中存在的自定义模式模板。此模板支持关键字 MIN,这是一个特定于设备的预定义值,用于分配最少资源。Flex 模板使用 MIN 关键字将资源分配给系统组件,例如第 3 层数据平面和 NFV 背板。在此模式下,设备会为第三方 VNF 提供最大的内存和 CPU。

要在 flex 模式下分配资源,请使用以下命令:

  • 对于 NFX150-C-S1、NFX150-C-S1-AE/AA、NFX150-C-S1E-AE/AA 型号:
  • 对于 NFX150-S1/S1E 型号:

当设备在自定义模式下运行时,您可以更改自定义模式配置。重新启动设备以使更改生效。第 2 层虚拟接口、第 3 层虚拟接口、VNF 虚拟 CPU 到物理 CPU 映射、VNF 仿真器到物理 CPU 映射以及 VNF 内存大小的配置将在提交检查期间根据当前活动自定义模式的配置参数和修改后的自定义模式的配置参数(重新启动后生效)进行验证。

当设备处于自定义模式时,仅支持基本防火墙功能。在 flex 模式下,您最多可以配置:

  • 8 个 IPSec VPN 隧道

  • 16 IFL

  • 4 IFD

NFX150 上的核心到 CPU 映射

下表列出了 NFX150 型号的 CPU 到核心的映射:

NFX150-S1 和 NFX150-S1E
核心 0 1 2 3 4 5 6 7
中央处理器 0 1 2 3 4 5 6 7
NFX150-C-S1
核心 0 1 2 3
中央处理器 0 1 2 3

发 牌

对于需要许可证的功能或扩展级别,您必须安装并正确配置许可证,以满足使用可许可功能或扩展级别的要求。借助设备,您可以在 30 天的宽限期内提交指定可许可功能或扩展的配置,而无需许可证。宽限期是一项短期授权,使您能够在不安装许可证密钥的情况下开始使用包中的功能或纵向扩展到系统限制(无论许可证密钥限制如何)。宽限期从设备实际使用可许可功能或缩放级别时开始(而不是首次提交时)。换言之,您可以向设备配置提交可许可功能或扩展限制,但在设备使用可许可功能或超过可许可扩展级别之前,宽限期不会开始。

有关如何购买软件许可证的信息,请联系瞻博网络销售代表。Junos OS 软件实施基于荣誉的许可结构,并为您提供 30 天的宽限期,供您在不安装许可证密钥的情况下使用该功能。宽限期从您配置该功能并且您的设备首次使用许可功能时开始,但不一定在您安装许可证时开始。宽限期到期后,系统将生成系统日志消息,指出该功能需要许可证。若要清除错误消息并正确使用许可的功能,必须安装并验证所需的许可证。

注意:

配置可能包括许可和非许可功能。对于这些情况,许可证将被强制执行,直到可以清楚地区分许可证为止。例如,认证、授权和计费 (AAA)(已获得许可)和第 2 层隧道协议 (L2TP)(未获得许可)共享身份验证顺序配置。完成配置后,设备不会发出任何许可证警告,因为尚不清楚 AAA 或 L2TP 正在使用该配置。但是,在运行时,设备会在 AAA 对客户端进行身份验证时检查许可证,但不会在 L2TP 对客户端进行身份验证时进行检查。

每当提交的配置包含需要许可证的功能或规模限制使用时,设备就会将任何许可证泄露报告为警告日志消息。在 30 天的宽限期之后,设备会定期将违规行为报告给系统日志消息,直到设备上安装并正确配置许可证以解决违规行为。

注意:

成功承诺可许可功能或扩展配置并不意味着已安装或不需要所需的许可证。如果所需的许可证不存在,系统将在提交配置后发出警告消息。
表 6:NFX150 Junos 软件许可证

许可证

特征

许可证 SKU

设备型号

基本软件 (STD)

2 层服务、3 层服务、NAT、IPsec、状态防火墙

NFX150-C-标准

NFX150-C-S1 和 NFX150-C-S1E

NFX150-S-标准

NFX150-S1 和 NFX150-S1E

高级软件 (ADV)

基本软件以及 AppFW、AppID、AppTrack、AppRoute 中的功能

NFX150-C-ADV

NFX150-C-S1 和 NFX150-C-S1E

NFX150-S-ADV

NFX150-S1 和 NFX150-S1E

相关主题