Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

NFX150 功能概述

软件架构

NFX150 的软件架构旨在提供可作为单个管理点运行的统一控制平面。

图 1 说明了 NFX150 的架构。

图 1:NFX150 架构 NFX150 Architecture

系统软件的关键组件包括:

  • VNF — VNF 是一种整合产品,包含支持完全虚拟化网络环境所需的所有组件。您可以在服务链中配置和使用第三方 VNF。

  • Junos 控制平面 (JCP) — JCP 是在主机操作系统 Wind River Linux 上运行的 Junos VM。JCP 充当所有组件的单一管理点。JCP 控制提供第 2 层服务的第 2 层数据平面和提供第 3 层到第 7 层服务的第 3 层数据平面。

    除了机箱管理之外,JCP 还支持:

    • 配置高级安全功能。

    • 在访客虚拟网络功能 (VNF) 生命周期内对其进行管理。

    • 安装第三方 VNF。

    • 创建 VNF 服务链。

    • 管理访客 VNF 映像(其二进制文件)。

    • 管理系统库存和资源使用情况。

    • LTE 接口的管理。

  • 瞻博网络设备管理器 (JDM) — 管理 VNF 并提供基础架构服务的应用程序容器。JDM 在后台运行,用户无法直接访问 JDM。

  • L2 数据平面 — 管理第 2 层流量的第 2 层数据平面。第 2 层数据平面将 LAN 流量转发到 NFV 背板 Open vSwitch (OVS)。第 2 层数据平面映射到 JCP 上的虚拟 FPC0。默认情况下,所有 1 千兆以太网物理端口都映射到第 2 层数据平面上的虚拟接口。

  • L3 数据平面 — 为第 3 层到第 7 层服务提供数据路径功能的第 3 层数据平面。第 3 层数据平面映射到 JCP 上的虚拟 FPC1。默认情况下,NFX150 机箱上的两个 SFP+ 端口映射到第 3 层数据平面上的虚拟接口。

  • Linux - 主机操作系统,WindRiver Linux。在 Junos OS 18.1R1 版本中,WindRiver Linux 版本为 8。

  • 开放式 vSwitch (OVS) 网桥 — OVS 网桥是 VLAN 感知型系统网桥,充当 VNF 和 FPC 连接的 NFV 背板。此外,您还可以创建自定义 OVS 网桥来隔离不同 VNF 之间的连接。

  • LTE — 提供 4G LTE 连接管理的容器化驱动程序。LTE 容器绑定到 FPC1 进行管理。

接口

NFX150 设备上的接口包括物理接口、虚拟接口和 LTE 接口。

物理接口

物理接口表示 NFX150 机箱和扩展模块上的物理端口。物理接口由网络和管理端口组成:

  • 网络端口 — 4 个 1 千兆以太网端口和 2 个 10 千兆以太网 SFP+ 端口用作 NFX150 机箱上的网络端口。扩展模块由 6 个 1 千兆以太网端口和 2 个 1 Gb 以太网 SFP 端口组成。

    网络端口遵循命名约定 heth-slot number-port number,其中:

    • heth 表示主机以太网

    • slot number 机箱端口为 0,扩展模块端口为 1。机箱上的端口命名为 heth-0-x,扩展模块上的端口命名为 heth-1-x。

    • port number 是机箱或扩展模块上的端口号

    默认情况下,每个物理端口都启用了四个虚拟功能 (VF)。

    注意:

    不能从映射到第 2 层数据平面的端口映射 VF。

  • 管理端口 — NFX150 设备具有标记为 MGMT (fxp0) 的专用管理端口,用作带外管理接口。在 192.168.1.1/24 网络中为 fxp0 接口分配一个 IP 地址。

虚拟接口

在 JCP 中运行的虚拟 FPC 包含虚拟接口。NFX150 设备上的虚拟接口分类如下:

  • 虚拟第 2 层接口 (FPC0) — 表示为 ge-0/0/x,其中 x 的值范围为:

    • 0 到 3,适用于不带扩展模块的 NFX150 设备

    • 0 到 11,表示带扩展模块的 NFX150 设备

    这些接口用于配置以下以太网交换功能:

    • 第 2 层流量交换,包括对中继端口和接入端口的支持

    • 链路层发现协议 (LLDP)

    • IGMP 侦听

    • 端口安全功能(MAC 限制、持久 MAC 学习)

    • MVRP

    • 以太网 OAM、CFM 和 LFM

    默认情况下,所有 1 千兆以太网物理端口(相关端口)都映射到 FPC0。

  • 虚拟第 3 层接口 (FPC1) — 表示为 ge-1/0/x,其中 x 的值范围为 0 到 9。这些接口用于配置路由协议和 QoS 等第 3 层功能。

    在 NFX150 设备中,您可以将任何 ge-1/0/x 接口配置为带内管理接口。在带内管理中,将网络接口配置为管理接口并将其连接到管理设备。您可以通过为每个端口分配一个 IPv4 或 IPv6 地址以及一个带内管理 VLAN,为带内管理配置任意数量的接口。

    注意:

    NFX150 设备不支持集成路由和桥接 (IRB) 接口。IRB 功能由 ge-1/0/0 提供,它始终映射到服务链背板 (OVS)。请注意,此映射无法更改。

  • 虚拟 SXE 接口 — 两个静态接口 sxe-0/0/0 和 sxe-0/0/1 将 FPC0(第 2 层数据平面)连接到 OVS 背板。

LTE 接口

支持 LTE 的 NFX150 设备型号可以配置为通过 3G 或 4G 网络进行无线 WAN 连接。LTE 物理接口使用名称 cl-1/1/0。拨号器接口 dl0 是用于触发调用的逻辑接口。

接口映射

表 1 汇总了 NFX150 上的接口。

表 1:NFX150 上的接口

接口名称

描述

HETH-0-0 至 HETH-0-5

NFX150 设备前面板上的物理端口,可映射到第 2 层或第 3 层接口或 VNF。

端口 heth-0-0 到 heth-0-3 是 10 Mbps/100 Mbps/1 Gbps 三速铜缆端口。

端口 heth-0-4 和 heth-0-5 是 10 Gbps SFP+ 端口

For Junos OS Releases 18.1, 18.2 R1, and 18.3 R1:

  • 端口 heth-0-0 到 heth-0-3 分别映射到 LAN 端口 ge-0/0/0 到 ge-0/0/3。

  • 端口 heth-0-4 和 heth-0-5 分别映射到 WAN 端口 ge-1/0/1 和 ge-1/0/2。

For Junos OS Release 18.2 R2

  • 端口 heth-0-0、heth-0-1 和 heth-0-2 分别映射到 LAN 端口 ge-0/0/0 到 ge-0/0/2。

  • 端口 heth-0-4 映射到 LAN 端口 ge-0/0/3。

端口 heth-0-3 和 heth-0-5 分别映射到 WAN 端口 ge-1/0/1 和 ge-1/0/2。

HETH-1-0 至 HETH-1-7

NFX150-S1 设备扩展模块上的物理端口。默认情况下,这些端口映射到 ge-0/0/n 端口。

端口 heth-1-0 到 heth-1-5 是 10 Mbps/100 Mbps/1 Gbps 三速铜缆端口,分别映射到 LAN 端口 ge-0/0/4 到 ge-0/0/9。

端口 heth-1-6 和 heth-1-7 是分别映射到 LAN 端口 ge-0/0/10 和 ge-0/0/11 的 1 Gbps SFP 端口。

ge-0/0/x

逻辑第 2 层接口,可用于 LAN 连接。x 的值范围为:

  • 0 到 3,适用于不带扩展模块的 NFX150 设备

  • 0 到 11,表示带扩展模块的 NFX150 设备

ge-1/0/x

一组最多 10 个逻辑第 3 层接口。其中每个接口都可以有 4k 个子接口。x 的值范围为 0 到 9。

CL-1/1/0

LTE 蜂窝接口,承载物理层属性。

DL0

LTE 拨号器接口,承载第 3 层和安全服务。安全流会话包含 dl0 接口作为入口或出口接口。

st0

用于 IPsec VPN 的安全隧道接口。

FXP0

带外管理接口。

NFX150 支持的收发器列表位于 https://pathfinder.juniper.net/hct/product/

表 3 说明了 NFX150 设备上物理接口和虚拟接口之间的默认映射。

表 2:物理端口到 NFX150 上虚拟端口的默认映射(适用于 Junos OS 18.1、18.2 R1 和 18.3 R1 版)

物理端口

虚拟接口(第 2 层数据平面)

虚拟接口(第 3 层数据平面)

赫斯-0-0

ge-0/0/0

乙二醇-0-1

ge-0/0/1

乙二醇-0-2

ge-0/0/2

HETH-0-3

ge-0/0/3

HETH-0-4

ge-1/0/1

乙二醇-0-5

ge-1/0/2
表 3:NFX150 上物理端口到虚拟端口的默认映射(适用于 Junos OS 18.2 R2 版)

物理端口

虚拟接口(第 2 层数据平面)

虚拟接口(第 3 层数据平面)

赫斯-0-0

ge-0/0/0

乙二醇-0-1

ge-0/0/1

乙二醇-0-2

ge-0/0/2

HETH-0-3

ge-1/0/1

HETH-0-4

ge-0/0/3

乙二醇-0-5

ge-1/0/2

表 4 说明了扩展模块上的物理端口与虚拟接口之间的默认映射。

表 4:扩展模块的物理端口到虚拟端口的默认映射

物理端口

虚拟端口(第 2 层数据平面)

赫斯-1-0

ge-0/0/4

乙二醇-1-1

ge-0/0/5

乙二醇-1-2

ge-0/0/6

乙二醇-1-3

ge-0/0/7

乙二醇-1-4

ge-0/0/8

乙二醇-1-5

ge-0/0/9

HETH-1-6

ge-0/0/10

HETH-1-7

ge-0/0/11
注意:

默认情况下,扩展模块端口映射到第 2 层数据平面接口。您可以更改映射以满足您的要求。机箱和扩展模块上的任何端口都可以映射到 ge-1/0/x 或 ge-0/0/x 接口。端口映射配置中的任何更改都将自动重置受影响的 FPC。

支持的功能

表 5 列出了 NFX150 支持的 Junos 功能。

表 5:NFX150 上支持的功能

Junos OS 版本

路由

安全

开关

18.1R1

  • BGP、OSPF、RIP、IS-IS

  • MVRP

  • Nat

  • ALG

  • Ipsec

  • IPv6 NTP

  • IPv6 TACACS

  • 因为

  • 防火墙过滤器

  • LLDP

  • 端口镜像

  • IGMP/MLD 侦听

  • MLD 侦听

  • 持久 MAC 学习

  • L2重写

  • 本机 VLAN

18.2 R1

  • 应用程序安全性

  • 国内流离失所者

  • 集成用户防火墙

  • Utm

有关支持的功能的更多详细信息,请参阅 功能资源管理器

性能模式

NFX150 设备提供以下操作模式:

  • 吞吐量模式 — 为 Junos 软件提供最大资源(CPU 和内存),为第三方 VNF 提供剩余资源(如果有)。

    注意:

    您无法在吞吐量模式下创建 VNF。

    从 Junos OS 21.1R1 版开始,在 NFX150-S1 和 NFX150-S1E 设备上的吞吐量模式下,不支持将 OVS 映射到第 3 层数据平面接口。如果 Junos OS 21.1R1 之前的版本中存在 OVS 映射,则必须在将设备升级到 Junos OS 21.1R1 版之前更改映射,以防止配置提交失败。

  • 混合模式 — 在 Junos 软件和第三方 VNF 之间提供均衡的资源分配。

  • 计算模式 — 为 Junos 软件提供最少的资源,为第三方 VNF 提供最多的资源。

  • 自定义模式 - 提供将资源分配给系统组件的选项:

    • 用于 NFX150-S1 和 NFX150-S1E 型号的第 2 层数据平面、第 3 层数据平面和 NFV 背板

    • NFX150-C-S1、NFX150-C-S1-AE/AA 和 NFX150-C-S1E-AE/AA 型号的第 2 层数据平面和第 3 层数据平面

    注意:

    Junos OS 19.1R1 或更高版本支持计算、混合和吞吐量模式。从 Junos OS 22.1R1 版开始支持自定义模式。

    默认模式为 21.4R1 之前的 Junos OS 版本中的吞吐量。从 Junos OS 21.4R1 版开始,默认模式为计算。

在混合模式和计算模式下,您可以将第 3 层数据平面接口映射到 SR-IOV 或 OVS。在吞吐量模式下,您只能将第 3 层数据平面接口映射到 SR-IOV。

例如:

  • 将第 3 层数据平面接口映射到 SR-IOV:

    user@host# set vmhost virtualization-options interfaces ge-1/0/1 mapping interface heth-0-1

  • 将第 3 层数据平面接口映射到 OVS:

    user@host# set vmhost virtualization-options interfaces ge-1/0/1

在混合模式或计算模式下,您可以使用每种模式上的可用 CPU 创建 VNF。您可以使用命令 show vmhost mode 检查 CPU 可用性。每个 VNF 最多支持 10 个接口(eth0 到 eth9),包括两个管理接口 eth0 和 eth1。

注意:

您不能将单个 VNF 接口同时连接到 SR-IOV 和 OVS。但是,您可以将同一 VNF 中的不同接口连接到 SR-IOV 和 OVS。

当到特定第 3 层数据平面接口的映射在 SR-IOV NIC(例如 heth-0-0)之间或从 heth-x-x 更改为 OVS(反之亦然)更改时,FPC1 将自动重新启动。

要更改当前模式,请运行 request vmhost mode mode-name 命令。该 request vmhost mode ? 命令仅列出预定义模式,例如混合、计算和吞吐量模式。

切换到模式之前,请发出 show system visibility cpushow vmhost mode 命令以检查 CPU 的可用性。在操作模式之间切换时,请确保不会发生资源和配置冲突。例如,如果从支持 VNF 的计算模式切换到不支持 VNF 的吞吐量模式,则会发生冲突:

如果第 3 层数据平面未映射到 SR-IOV,则从混合或计算模式切换到吞吐量模式会导致错误。

如果将虚拟 CPU 固定到 VNF 的物理 CPU,请确保物理 CPU 不与用于瞻博网络系统组件的 CPU(包括物理 CPU 0)重叠。

用于固定模拟器的物理 CPU 可以与用于瞻博网络系统组件的 CPU 重叠,物理 CPU 0 除外。这种重叠可能会影响一个或多个瞻博网络系统组件和 VNF 的性能。

如何定义自定义模式模板

如果您需要为第三方 VNF 分配最大资源,则可以使用自定义模式模板。在自定义模式下,必须为以下各项配置 CPU 计数和内存量:

  • 用于 NFX150-S1 和 NFX150-S1E 型号的第 2 层数据平面、第 3 层数据平面和 NFV 背板

  • 用于 NFX150-C-S1、NFX150-C-S1-AE/AA、NFX150-C-S1E-AE/AA 型号的第 2 层数据平面和第 3 层数据平面

缺少任何配置都会导致提交失败。

注意:

您可以选择禁用第 2 层数据平面,以释放不需要第 2 层软件 PFE 服务的部署中的 CPU 和内存资源。

如果禁用第 2 层数据平面,则无法配置第 2 层数据平面的虚拟接口映射。例如:

在配置自定义模式之前,请注意以下事项:

  • 如果禁用第 2 层数据平面,则无法为第 2 层数据平面配置 cpu countmemory size

    如果未禁用第 2 层数据平面,则必须为其配置 and cpu count memory size 。CPU 计数和内存不得超过系统上可用的 CPU 计数和内存总量。

  • 您可以选择使用 set vmhost mode custom custom-mode-name layer-3-infrastructure cpu colocation quota quota-value 命令为第 3 层数据平面配置 CPU 配额,其 quota-value 范围为 1 到 99。如果配置 cpu colocation quota,则 CPU 主机代管组件的 CPU 配额总和必须小于或等于 100。您必须使用数值进行配置 cpu count ,而不是像 MIN 这样的关键字,因为 MIN 对于不同的组件可以有不同的值。

  • 自定义模式下可用于 VNF 使用的 CPU 数量和特定 CPU(按 CPU ID 排列)是根据自定义模式下的 和 配置以及其他瞻博网络系统组件的内部固定 CPU 分配自动 cpu count 确定的 cpu colocation quota

  • 自定义模式下可用于 VNF 使用的内存量(以 1G 为单位)是根据自定义模式下特定内存大小配置和其他瞻博网络系统组件的每个 SKU 内部固定内存分配自动确定的。请注意,此数字只是一个近似值,VNF 的实际最大内存分配可能小于此值。

  • 如果未为 VNF 配置内存大小,则内存将被视为 1G(默认值)。

要在 NFX150-C-S1、NFX150-C-S1-AE/AA、NFX150-C-S1E-AE/AA 型号上定义自定义模式模板,请使用以下配置。配置 cpu colocation quota 是可选的。

要在 NFX150-S1 和 NFX150-S1E 型号上定义自定义模式模板,请使用以下配置。配置 cpu colocation quota 是可选的。

通过自定义模式指定的内存由用于 NFV 背板和第 2 层数据平面使用的 1G 大页面以及用于第 3 层数据平面使用的 2M 大页面创建并支持。

flex 模板是默认 Junos 配置中存在的自定义模式模板。此模板支持关键字 MIN,这是一个特定于设备的预定义值,用于分配最少的资源。flex 模板使用 MIN 关键字将资源分配给系统组件,例如第 3 层数据平面和 NFV 背板。在此模式下,设备可为第三方 VNF 提供最大内存和 CPU。

要在 flex 模式下分配资源,请使用以下命令:

  • 对于 NFX150-C-S1、NFX150-C-S1-AE/AA、NFX150-C-S1E-AE/AA 型号:
  • 对于 NFX150-S1/S1E 型号:

当设备在自定义模式下运行时,可以更改自定义模式配置。重新启动设备以使更改生效。第 2 层虚拟接口、第 3 层虚拟接口、VNF 虚拟 CPU 到物理 CPU 的映射、VNF 仿真器到物理 CPU 的映射以及 VNF 内存大小的配置将在提交检查期间根据当前活动的自定义模式的配置参数和修改后的自定义模式的配置参数(重新启动后生效)进行验证。

当设备处于自定义模式时,仅支持基本防火墙功能。在 flex 模式下,您最多可以配置以下选项:

  • 8 个 IPSec VPN 隧道

  • 16 IFL

  • 4 IFD

NFX150 上的核心到 CPU 映射

下表列出了 NFX150 型号的 CPU 到核心映射:

NFX150-S1 和 NFX150-S1E
核心 0 1 2 3 4 5 6 7
Cpu 0 1 2 3 4 5 6 7
NFX150-C-S1
核心 0 1 2 3
Cpu 0 1 2 3

发 牌

对于需要许可证的功能或缩放级别,必须安装并正确配置许可证,以满足使用可许可功能或缩放级别的要求。通过该设备,您可以在 30 天的宽限期内提交指定无需许可证的可许可功能或规模的配置。宽限期是一种短期授予,使您能够开始使用包中的功能或扩展到系统限制(无论许可证密钥限制如何),而无需安装许可证密钥。宽限期从设备实际使用可许可功能或扩展级别时开始(而不是首次提交时)。换句话说,您可以将可许可功能或扩展限制提交到设备配置,但在设备使用可许可功能或超过可许可扩展级别之前,宽限期不会开始。

有关如何购买软件许可证的信息,请联系瞻博网络销售代表。Junos OS 软件实施基于荣誉的许可结构,并为您提供 30 天的宽限期,让您无需安装许可证密钥即可使用该功能。宽限期从您配置该功能并且您的设备首次使用许可功能时开始,但不一定在您安装许可证时开始。宽限期到期后,系统会生成系统日志消息,指出该功能需要许可证。要清除错误消息并正确使用许可功能,必须安装并验证所需的许可证。

注意:

配置可能包括许可和非许可功能。对于这些情况,许可证的执行直到可以清楚地区分许可证为止。例如,身份验证顺序配置由已获得许可的身份验证、授权和计费 (AAA) 和未获得许可的第 2 层隧道协议 (L2TP) 共享。提交配置时,设备不会发出任何许可证警告,因为尚不知道 AAA 还是 L2TP 正在使用该配置。但是,在运行时,设备会在 AAA 对客户端进行身份验证时检查许可证,但不检查 L2TP 何时对客户端进行身份验证。

每当提交包含需要许可证的功能或规模限制使用的配置时,设备都会将任何许可证违规报告为警告日志消息。在 30 天的宽限期之后,设备会定期向系统日志消息报告违规行为,直到设备上安装并正确配置许可证以解决违规问题。

注意:

成功承诺可许可功能或扩展配置并不意味着已安装或不需要所需的许可证。如果所需的许可证不存在,系统将在提交配置后发出警告消息。
表 6:NFX150 Junos 软件许可证

许可证

特征

许可证 SKU

设备型号

基础软件 (STD)

第 2 层服务、第 3 层服务、NAT、IPsec、有状态防火墙

NFX150-C-标准

NFX150-C-S1 和 NFX150-C-S1E

NFX150-S-标准

NFX150-S1 和 NFX150-S1E

高级软件 (ADV)

基本软件中的功能以及 AppFW、AppID、AppTrack、AppRoute

NFX150-C-ADV

NFX150-C-S1 和 NFX150-C-S1E

NFX150-S-ADV

NFX150-S1 和 NFX150-S1E

相关文档