Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用 JDM 管理虚拟网络功能

了解虚拟网络功能

虚拟网络功能 (VNF) 包括可通过瞻博网络设备管理器 (JDM) 启动和管理的所有虚拟实体。目前,虚拟机 (VM) 是唯一受支持的 VNF 类型。

JDM 环境中有几个组件:

  • JDM- 管理所有服务虚拟机的生命周期。 JDM 还提供了一个具有配置持久性或使用 NETCONF 编写脚本和自动化功能的 CLI。

  • Primary Junos OS VM- 作为主要虚拟设备的系统虚拟机。当系统运行时,此 VM 始终存在。

  • Other Junos OS VMs—这些虚拟机是服务虚拟机,由外部控制器动态激活。此类 VM 的典型示例是 vSRX 虚拟防火墙实例。

  • Third-party VNFs—JDM 支持创建和管理第三方虚拟机,例如 Ubuntu Linux 虚拟机。

JDM 体系结构提供了一个内部网络,用于将所有虚拟机连接到 JDM,如 图 1 所示。

图 1:JDM 和 VM Network topology with Juniper Device Manager at IP 192.168.1.254 managing Junos VM at 192.168.1.2 and VNFs VNF1 and VNF2 via virbr0. 之间的网络连接

JDM 可以使用内部网络 (192.0.2.1/24) 访问任何 VNF。

注意:

在 Junos OS 15.1X53-D470 版本之前,活跃 IP 位于 192.168.1.0/24 子网中。在所有更高版本的 Junos OS 中,活跃 IP 都在 192.0.2.0/24 子网中。

VNF 可以在系统中拥有或共享管理端口和 NIC 端口。

所有 VM 都独立运行,一个 VM 中的状态更改不会影响另一个 VM。系统重新启动时,服务 VM 将按照持久配置文件中的规定联机。正常关闭系统时,包括 Junos VM 在内的所有 VM 都将关闭。

表 1 提供了常用的 VNF 首字母缩略词和术语表。

表 1:VNF 词汇表

术语

定义

JCP

Junos 控制平面(也称为主 Junos OS VM)

JDM

瞻博网络设备管理器

NFV

网络功能虚拟化

虚拟机

虚拟机

VNF

虚拟化网络功能

在 NFX250 设备上载入虚拟网络功能的先决条件

您可以通过 Junos 控制平面 (JCP) 在 NFX 设备上载入和管理瞻博网络 VNF 和第三方 VNF。

可在设备上载入的 VNF 数量取决于系统资源的可用性,例如 CPU 数量和系统内存。

在加入 VNF 之前,建议检查可用的系统资源,例如 VNF 的 CPU、内存和存储。有关更多信息,请参阅 管理 VNF 生命周期

VNF 的先决条件

要实例化 VNF,NFX 设备支持:

  • 基于 KVM 的虚拟机管理程序部署

  • OVS 或 Virtio 接口驱动程序

  • raw 或 qcow2 VNF 文件类型

  • (选答)SR-IOV

  • (选答)CD-ROM 和 USB 配置驱动器

  • (选答)满足内存要求的 Hugepages

管理 VNF 生命周期

您可以使用 JDM CLI 管理 VNF。此外, libvirt 软件还提供了广泛的虚拟化功能。为确保您不受 CLI 限制,JDM 提供了使用 XML 描述符文件作 VNF 的选项。网络配置协议 (NETCONF) 支持所有 VNF作。一个系统中可以共存多个 VNF,您可以使用 XML 描述符文件或映像配置多个 VNF。

注意:

确保在 XML 描述符文件中指定的 VNF 资源不超过可用的系统资源。

本主题介绍 VNF 的生命周期管理。

VNF 的规划资源

目的

在启动 VNF 之前,请务必检查系统清单并确认 VNF 所需的资源可用。VNF 的设计和配置必须正确,使其资源需求不会超过系统的可用容量。

注意:

  • 命令输出 show system inventory 仅显示系统资源使用情况的当前快照。启动 VNF 时,资源使用量可能少于安装 VNF 软件包时的可用资源。

  • 启动 VNF 之前,请务必检查系统资源使用情况。
注意:

某些物理 CPU 由系统保留。除以下物理 CPU 外,所有其他 CPU 都可用于用户定义的 VNF:

下表提供了为 NFX250-LS1 保留的物理 CPU 列表。

表 2:NFX250-LS1 的物理 CPU 分配

CPU 核心

分配

0

主机、JDM 和 JCP

4

主机网桥

7

IPSec

下表提供了为 NFX250-S1、NFX250-S2 和 NFX250-S1E 设备保留的物理 CPU 列表。

表 3:NFX250 的物理 CPU 分配

CPU 核心

分配

0

主机、JDM 和 JCP

6

主机网桥

7

IPSec

有关详细信息,请参阅以下内容:

管理 VNF 映像

要从远程位置在设备上加载 VNF 映像,请使用命令 file-copy 。或者,您可以使用 NETCONF 命令 file-put来加载 VNF 映像。

注意:

您必须将 VNF 映像保存在 /var/third-party/images 目录中。

准备引导配置

您可以通过附加包含自举配置 ISO 文件的 CD 或 USB 存储设备来引导 VNF。

自举配置文件必须包含允许从外部控制器访问 VNF 的初始配置,并接受来自外部控制器的 SSH、HTTP 或 HTTPS 连接以进行进一步的运行时配置。

必须为引导配置文件脱机创建 ISO 磁盘映像,如下所示:

启动 VNF

您可以通过配置 VNF 名称并指定 XML 描述符文件或映像的路径来启动 VNF。

使用映像启动 VNF 时,默认情况下会添加两个 VNF 接口。这些是管理和内部网络所必需的接口。对于这两个接口,将保留目标外设部件互连 (PCI) 地址,例如 0000:00:03:0 和 0000:00:04:0。

要使用 XML 描述符文件启动 VNF:

要使用映像启动 VNF,请执行以下作:

要为 VNF 指定 UUID,请执行以下作:

uuid 是可选参数,建议允许系统为 VNF 分配 UUID。

注意:

  • 保存并提交 init-descriptor 和 image 配置后,无法更改 init-descriptor 或 image 配置。要更改 VNF 的初始化描述符或映像,必须删除并重新创建 VNF。

  • 提交检查仅适用于通过 JDM CLI 基于映像规范的 VNF 配置,而不适用于基于初始化描述符 XML 文件的 VNF 配置。
注意:

要使用映像文件创建 VNF,请确保满足以下条件:

  • 您必须对 VNF 内或跨 VNF 使用的映像、磁盘、USB 使用唯一文件,但 iso9660 类型文件除外,该文件可附加到多个 VNF。

  • 以原始格式指定为映像的文件应该是带有分区表和启动分区的块设备。

  • 以 qcow2 格式指定为图像的文件应该是有效的 qcow2 文件。

为 VNF 分配资源

本主题介绍向 VNF 分配各种资源的过程。

为 VNF 指定 CPU

要指定 VNF 所需的虚拟 CPU 数量,请键入以下命令:

要将虚拟 CPU 固定到物理 CPU,请键入以下命令:

物理 CPU 编号可以是数字,也可以是范围。默认情况下,VNF 会分配一个未固定到任何物理 CPU 的虚拟 CPU。

注意:

当 VNF 处于 运行 状态时,您无法更改 VNF 的 CPU 配置。重新启动 VNF 以使更改生效。

要为 VNF CPU 启用硬件虚拟化或硬件加速,请键入以下命令:

为 VNF 分配内存

要指定 VNF 可以使用的最大主内存,请输入以下命令:

默认情况下,系统会为 VNF 分配 1 GB 的内存。

注意:

如果 VNF 处于 运行 状态,则无法更改 VNF 的内存配置。重新启动 VNF 以使更改生效。

要为 VNF 分配大页面,请键入以下命令:

page-size 是可选参数。页面大小为 1GB 时,可能的值为 1024,页面大小为 2 MB 时,可能的值为 2。默认值为 1024 hugepages。

注意:

仅当启用增强编排模式时,才建议配置 hugepages。如果禁用了增强编排模式,且 VNF 需要 hugepages,则 VNF XML 描述符文件应包含具有 hugepages 配置的 XML 标记。
注意:

对于使用图像文件创建的 VNF,可以为所有用户定义的 VNF 配置的总内存有一个最大限制,包括基于大页面的内存和不基于大页面的内存。

表 4 列出了可以为各种 NFX250 型号保留的最大 hugepage 内存。

表 4:NFX250 设备的建议超长页内存

记忆

最大 Hugepage 内存 (GB)

CSO-SDWAN 的最大休整页内存 (GB)

NFX250-S1

16 千兆字节

8

-

NFX250-S1E

16 千兆字节

8

13

NFX250-S2

32 千兆字节

24

13

NFX250-LS1

16 千兆字节

8

-

配置 VNF 存储设备

要添加虚拟 CD 或更新虚拟 CD 的源文件,请输入以下命令:

要添加虚拟 USB 存储设备,请输入以下命令:

要附加其他硬盘,请输入以下命令:

要从 VNF 中删除虚拟 CD、USB 存储设备或硬盘,请输入以下命令:

注意:

  • 从 VNF 附加或分离 CD 后,必须重新启动设备才能使更改生效。如果设备在 VNF 中使用,则 CD 分离作将失败。

  • VNF 支持一张虚拟 CD、一台虚拟 USB 存储设备和多个虚拟硬盘。

  • 当 VNF 处于 运行 状态时,您可以更新 CD 或 USB 存储设备中的源文件。

  • 您必须将源文件保存在 /var/third-party 目录中,并且该文件必须具有对所有用户的读写权限。

注意:

对于使用映像文件创建的 VNF,请确保满足以下条件:

  • 以原始格式指定为硬盘的文件应该是带有分区表的块设备。

  • 以 qcow2 格式指定为硬盘的文件应该是有效的 qcow2 文件。

  • 指定为 USB 的文件应是带有分区表的块设备或 iso9660 类型文件。

  • 指定为 CD-ROM 的文件应为 iso9660 类型的块设备。

  • 如果 VNF 具有使用 bus-type=ide 指定的映像,则不应附加任何名为 had 的设备。

  • 如果 VNF 具有使用 bus-type=virtio 指定的映像,则不应连接任何名为 vda 的设备。

配置 VNF 接口和 VLAN

您可以创建 VNF 接口并将其连接到物理 NIC 端口、管理接口或 VLAN。

  1. 要使用 SR-IOV 虚拟功能将 VNF 接口连接到物理接口,请执行以下作:

    vlan-id 是可选的,它是端口 VLAN ID。

  2. 要创建 VLAN,请执行以下作:
  3. 要将 VNF 接口连接到 VLAN,请执行以下作:
    注意:

    • 连接到 VNF 的接口在 VNF 重新启动后将保持不变。

    • 如果 VNF 支持热插拔,则可以在 VNF 处于 运行 状态时连接接口。否则,请添加接口,然后重新启动 VNF。

    • 要将接口映射到 VLAN,必须启用 memory features hugepages 命令选项。

    • 当 VNF 处于 运行 状态时,无法更改 VNF 接口的映射。
  4. 要将虚拟接口与物理接口映射,请执行以下作:

    虚拟接口和物理接口的映射(ge-0/0/n 和 xe-0/0/n)可确保虚拟接口的状态与其所映射的物理接口的状态匹配。例如,如果物理接口已关闭而虚拟接口已开启,则该虚拟接口将在检测到后的 5 秒内关闭。一个或多个虚拟接口可以映射到一个或多个物理接口。

  5. 要将 VNF 接口连接到内部管理网络,请执行以下作:
    注意:

    将 VNF 接口连接到内部管理网络之前,必须使用 set virtual-network-function vnf-name no_default_interface 命令配置 VNF。

    任何 VNF 接口(包括 eth0 和 eth1)都可以进行内部或带外属性管理。但是,在所有连接的接口中,只有一个 VNF 接口可以具有带外管理或内部管理。您不能为同一 VNF 接口同时指定这两个属性值。例如,eth5 可以具有内部管理,而 eth0 可以具有带外管理。

  6. 要指定 VNF 接口的目标 PCI 地址:

    您可以使用目标 PCI 地址重命名或重新组织 VNF 中的接口。

    例如,基于 Linux 的 VNF 可以使用 VNF 中的 udev 规则根据 PCI 地址命名接口。

    注意:

    • 目标 PCI 地址字符串应采用以下格式:

      0000:00:<slot:>:0,它们是 domain:bus:slot:function 的值。每个 VNF 接口的插槽都应不同。domain、bus 和 function 的值应为零。

    • 当 VNF 处于 运行 状态时,无法更改 VNF 接口的目标 PCI 地址。
  7. 要删除 VNF 接口,请执行以下作:
    注意:

    • 要删除接口,您必须停止 VNF,删除接口,然后启动 VNF。

    • 附加或分离虚拟功能后,必须重新启动 VNF 才能使更改生效。

    • eth0 和 eth1 是为连接到内部网络和带外管理网络的默认 VNF 接口保留的。因此,可配置的 VNF 接口名称从 eth2 开始。

    • 在 VNF 中,接口名称可以有所不同,具体取决于来宾作系统命名约定。在 JDM 中配置的 VNF 接口在 VNF 中的显示顺序可能不同。

    • 您必须使用目标 PCI 地址映射到 JDM 中配置的 VNF 接口,并相应地命名它们。

管理 VNF 状态

默认情况下,VNF 会在提交 VNF 配置时自动启动。

  1. 要在 VNF 配置提交时禁用 VNF 的自动启动:
  2. 要手动启动 VNF:
  3. 要停止 VNF,请执行以下作:
  4. 要重新启动 VNF:

管理 VNF MAC 地址

对于使用 CLI 定义或在初始化描述符 XML 文件中指定的 VNF 接口,系统会为其分配一个全局唯一且永久的 MAC 地址。一个包含 64 个 MAC 地址的公共池用于分配 MAC 地址。您可以配置公共池中可用的 MAC 地址以外的 MAC 地址,并且此地址不会被覆盖。

  1. 要为 VNF 接口配置特定 MAC 地址,请执行以下作:
  2. 要删除 VNF 接口的 MAC 地址配置:
注意:

  • 要删除或修改 VNF 接口的 MAC 地址,您必须停止 VNF,进行必要的更改,然后启动 VNF。

  • 为 VNF 接口指定的 MAC 地址可以是系统 MAC 地址,也可以是用户定义的 MAC 地址。

  • 对于 VNF 接口,从系统 MAC 地址池指定的 MAC 地址必须是唯一的。

管理 MTU

最大传输单元 (MTU) 是可以在不分段的情况下转发的最大数据单元。您可以将 1500 字节或 2048 字节配置为 MTU 大小。默认 MTU 值为 1500 字节。

注意:

MTU 配置仅在 VLAN 接口上受支持。
  1. 要在 VNF 接口上配置 MTU,请执行以下作:
    注意:

    如果 VNF 不支持热插拔功能,则必须在配置 MTU 后重新启动 VNF。
  2. 要删除 VNF 接口的 MTU,请执行以下作:
    注意:

    删除 MTU 后,VNF 接口的 MTU 将重置为 1500 字节。
注意:

  • MTU 大小可以是 1500 字节或 2048 字节。

  • OVS 上可在系统中配置的最大 VLAN 接口数为 20。

  • VNF 接口的 MTU 最大大小为 2048 字节。

从 JDM 访问 VNF

您可以使用 SSH 或 VNF 控制台从 JDM 访问 VNF。

  1. 要使用 SSH 访问 VNF,请执行以下作:
  2. 要使用虚拟控制台访问 VNF,请执行以下作:
注意:

  • 使用 ctrl-] 退出虚拟控制台。

  • 请勿使用 Telnet 会话来运行命令。

查看 VNF 列表

要查看 VNF 列表,请执行以下作:

VNF 的 活跃度 输出字段指示 VNF 的 IP 地址是可从 JDM 访问还是不可访问。活跃网桥的默认 IP 地址 192.0.2.1/24。

显示 VNF 详细信息

要显示 VNF 详细信息,请执行以下作:

删除 VNF

要删除 VNF:

注意:

即使删除 VNF,VNF 映像仍保留在磁盘中。

VNF 控制台的非 root 用户访问权限

您可以使用 Junos OS 在 NFX 系列路由器上创建、修改或删除 VNF。

Junos OS CLI 允许对 VNF 执行以下管理作:

表 5:VNF 管理作

操作

CLI

开始

request virtual-network-functions <vnf-name> start

request virtual-network-functions <vnf-name> stop

重新启动

request virtual-network-functions <vnf-name> restart

控制台访问

request virtual-network-functions <vnf-name> console [force]

SSH 访问

 request virtual-network-functions <vnf-name> ssh [user-name <user-name>]

Telnet 接入

 request virtual-network-functions <vnf-name> ssh [user-name <user-name>]

表 6 列出了 VNF 管理选项的用户访问权限:

表 6:Junos OS 24.1R1 之前 VNF 管理作的用户访问权限

操作

root 类用户

super-user 类用户

operator 类用户

read-only 类用户

开始

命令可用且有效

命令可用且有效

命令不可用

命令不可用

命令可用且有效

命令可用且有效

命令不可用

命令不可用

重新启动

命令可用且有效

命令可用且有效

命令不可用

命令不可用

控制台访问

命令可用且有效

命令可用;但不支持

命令不可用

命令不可用

SSH 访问

命令可用且有效

命令可用;但不支持

命令不可用

命令不可用

Telnet 接入

命令可用且有效

命令可用;但不支持

命令不可用

命令不可用

从 Junos OS 24.1R1 版开始,Junos OS CLI 允许非 root 用户对 VNF 进行管理作。

新的 Junos OS 用户权限允许 vnf-operation request virtual-network-functions 不属于 root 和 类 super-user 的 Junos OS 用户可以使用 CLI 层次结构。

您可以使用语句 vnf-operation 将用户权限添加到自定义用户类 [edit system login class custom-user permissions]

表 3 列出了属于具有权限的自定义 Junos OS 用户类 vnf-operation 的用户可用的 VNF 管理选项。

表 7: Junos OS 24.1R1 之后 VNF 管理作的用户访问权限。

操作

root 用户

super-user 类用户

具有 vnf-operation 权限的自定义 Junos OS 用户类的用户

开始

命令可用且有效

命令可用且有效

命令可用且有效

命令可用且有效

命令可用且有效

命令可用且有效

重新启动

命令可用且有效

命令可用且有效

命令可用且有效

控制台访问

命令可用且有效

命令可用且有效

命令可用且有效

SSH 访问

命令可用且有效

命令可用且有效

命令可用且有效

访问 VNF 控制台

从 Junos OS 24.1R1 版本开始,首次访问控制台时会显示以下消息:

消息 Trying 192.168.1.1... Connected to 192.168.1.1. 来自使用 Junos OS CLI 命令 request virtual-network-functions <vnf-name> console启动的 telnet 客户端。

注意:

消息中存在的 IP 地址不能替换为 VNF 的名称。

退出 VNF 控制台

从 Junos OS 24.1R1 开始,当用户使用转义序列 ^] 时,控制台会话将终止,并向用户显示 telnet 命令提示符。

您必须从终端命令提示符输入 quitclose 输入 qc 退出,然后返回到 Junos OS 命令提示符。

在 NFX250 平台上创建 vSRX 虚拟防火墙 VNF

vSRX 虚拟防火墙是一种虚拟安全设备,可在虚拟化、私有云或公共云环境中提供安全和网络服务。它可以在 NFX250 平台上作为虚拟网络功能 (VNF) 运行。有关vSRX 虚拟防火墙的更多详细信息,请参阅 瞻博网络 网站上的产品文档页面,网址为 https://www.juniper.net/

要从瞻博网络设备管理器 (JDM) 命令行界面激活 vSRX 虚拟防火墙 VNF,请执行以下作:

  1. 分配 hugepages 内存:
  2. 定义 vSRX 虚拟防火墙 VNF 接口所需的 VLAN。例如:
  3. 定义 vSRX 虚拟防火墙 VNF 接口所需的所有粘合 VLAN。例如:
  4. 定义 vSRX 虚拟防火墙 VNF 与 vSRX 虚拟防火墙映像。例如:
  5. (可选)使用包含自定义配置的组创建 vSRX 虚拟防火墙 VNF。例如:
  6. 将 vSRX 虚拟防火墙 VNF 接口映射到 VLAN 或粘合 VLAN。例如:
  7. 为 vSRX 虚拟防火墙 VNF 接口指定模式。接口模式可以是接入模式,也可以是中继模式。例如:
  8. 为 vSRX 虚拟防火墙 VNF 接口指定介质的最大传输单元 (MTU) 大小(以字节为单位)。MTU 大小可以是 1500 字节或 2048 字节。例如:
  9. 指定 VNF 接口的目标 PCI 地址。例如:
  10. 在 CLI 提示符下,输入 commit 命令以激活 vSRX 虚拟防火墙 VNF。
  11. 将 ISO 作为 CD-ROM 设备连接到 vSRX 虚拟防火墙,然后启动 vSRX 虚拟防火墙。
    注意:

    如果 vSRX 虚拟防火墙实例正在运行,则必须重新启动该实例,以便从 CD-ROM 应用新配置。

  12. (可选)要使用自定义自举配置创建 vSRX 虚拟防火墙 VNF,请使用配置文件 juniper.conf 创建 ISO 映像。
    注意:

    确保配置文件名为 juniper.conf。
  13. 验证 vSRX 虚拟防火墙 VNF 是否正确启动。您可以使用 JDM、cli 或 Linux virsh 命令进行验证。

    使用 Linux virsh 命令

    您可以看到 vSRX 虚拟防火墙 VNF 处于活动状态。

  14. 仅当 show 输出中的活跃度显示状态 alive时,才会与 vSRX 虚拟防火墙建立 SSH 连接,也就是说,如果 bootstrap iso config 用于在 vSRX 虚拟防火墙的 fxp0 接口上启用 DHCP 以获取内部管理 IP 地址。如果 vSRX 虚拟防火墙 VNF 的活跃状态为 down,请参阅 配置 vSRX VNF 的内部管理 IP 地址

    要登录到 vSRX 虚拟防火墙 VNF,请输入命令 run ssh vsrx

  15. (可选)验证 vSRX 虚拟防火墙 VNF 详细信息。

将 vMX 虚拟路由器配置为 NFX250 上的 VNF

vMX 路由器是瞻博网络 MX 系列 5G 通用路由平台的虚拟版本。要快速迁移物理基础架构和服务,您可以在 NFX250 平台上将 vMX 配置为虚拟网络功能 (VNF)。有关 vMX 配置和管理的更多详细信息,请参阅 vMX 概述。

配置 VNF 之前,请检查系统清单并确认所需资源可用。vMX as VNF 在设计和配置时,必须确保其资源要求不会超过系统的可用容量。确保 NFX250 上至少有 20 GB 空间可用。

要使用瞻博网络设备管理器 (JDM) 命令行界面 (CLI) 在 NFX250 上将 vMX 配置为 VNF:

  1. 下载嵌套映像,网址为 vmx-nested-< release>.qcow2.
  2. 定义 vMX VNF 接口所需的 VLAN。例如:
  3. 定义 vMX VNF 接口所需的粘合 VLAN。例如:
  4. 使用 vMX 映像为 VNF 定义 vMX。例如:

    user@host# set virtual-network-functions vMX 镜像 /var/third-party/images/vmx-nested-<release>.qcow2

  5. 指定 VNF 可以使用的最大主内存。为获得最佳性能,建议配置至少 5 GB 内存。

    user@host# 设置虚拟网络功能 vMX 内存大小 < n>

  6. 指定虚拟机中每个 CPU 的内核数。对于 vMX VNF,您至少需要 4 个虚拟 CPU 内核。

    user@host# 集虚拟网络功能 vMX 虚拟 CPU 计数 < n> 功能 硬件虚拟化

  7. 添加用于存储配置参数的附加数据驱动器。

    user@host# 设置虚拟网络功能 vMX 存储 vdc 类型 磁盘文件类型 vMX-nested-< release>.qcow2

  8. 将 vMX VNF 接口映射到 VLAN 或粘合 VLAN。

    user@host# 设置虚拟网络功能 vMX 接口 eth2 说明 wan0

    user@host# 设置虚拟网络功能 vMX 接口 eth2 将 VLAN 成员映射< VLAN>

    user@host# 设置虚拟网络功能 vMX 接口 eth3 说明 wan1

    user@host# 设置虚拟网络功能 vMX 接口 eth3 将 VLAN 成员映射< VLAN>

  9. 在 CLI 提示符下,输入 commit 命令以激活 vMX VNF。

    user@host# 提交

  10. 验证 NFX250 上是否正确配置了 vMX VNF。

    root@jdm# run show virtual-network-functions

    如果使用 virsh,请输入

    这表示 vMX VNF 处于活动状态。

  11. 验证 NFX250 上是否正确配置了 vMX VNF。

    要升级 vMX VNF,请停用 VNF 配置并选择复制到 /var/third-party/images/vmx-nested-< release>.qcow2 位置的新映像。再次重新激活 VNF 配置。

  12. 对于带内管理网络连接,分配的管理端口为 fxp0。对于带外管理,使用 ge-0/0/0,ge-0/0/1 用于 WAN 接口。

NFX250 上的虚拟路由反射器概述

虚拟路由反射器 (VRR) 功能允许您使用可在基于 Intel 的 64 位刀片式服务器或设备上运行的通用虚拟机来实现路由反射器功能。由于路由反射器在控制平面中工作,因此可以在虚拟化环境中运行。基于英特尔的刀片式服务器或设备上的虚拟路由反射器的工作方式与路由器上的路由反射器相同,为全网状内部 BGP 对等互连提供了一种可扩展的替代方案。

从 Junos OS 17.3R1 版开始,您可以在 NFX250 网络服务平台上实施虚拟路由反射器 (VRR) 功能。瞻博网络 NFX250 网络服务平台由瞻博网络 NFX250 设备组成,这是一款瞻博网络安全、自动化、软件驱动的客户端设备 (CPE) 设备,可按需提供虚拟化网络和安全服务。NFX250 设备将 Junos 设备管理器 (JDM) 用于虚拟机 (VM) 生命周期和设备管理,以及许多其他功能。JDM CLI 在外观上类似于 Junos OS CLI,并提供与 Junos OS CLI 相同的增值功能。

注意:

  • 从 VRR Junos OS 20.1R1 版开始,VRR 支持 Linux 桥接 (LB) 和增强编排 (EO) 模式。建议在 EO 模式下实例化 VRR VNF。

  • NFX250 设备对 LB 模式的支持在 NFX Junos OS 18.4 版中结束。

  • NFX250 设备上对 NFX-2 软件架构的支持在 NFX Junos OS 19.1R1 版中结束。

  • 从 NFX 主机 21.4R2 版和 vRR Junos OS 21.4R2 版开始,您可以在 NFX250 NextGen 设备上部署 VRR VNF。VRR 仅支持增强编排 (EO) 模式。

VRR 的优势

VRR 具有以下优势:

  • 可扩展性:通过实现 VRR 功能,可获得可扩展性的改进,具体取决于运行该功能的服务器核心硬件。此外,您还可以在网络中的多个位置实施虚拟路由反射器,这有助于以更低的成本扩展 BGP 网络。NFX250 上 IPv4 路由的最大路由信息库 (RIB) 规模为 2000 万。

  • 更快、更灵活的部署:您使用开源工具在英特尔服务器上安装 VRR 功能,从而减少路由器维护。

  • 节省空间:基于硬件的路由反射器需要中央办公空间。您可以在服务器基础架构或数据中心中可用的任何服务器上部署虚拟路由反射器功能,从而节省空间。

有关 VRR 的更多信息,请参阅 虚拟路由反射器 (VRR) 文档

NFX250 上 VRR 的软件要求

要在 NFX250 上支持 VRR,需要以下软件组件:

  • 瞻博网络设备管理器:瞻博网络设备管理器 (JDM) 是一个占用空间较小的 Linux 容器,支持虚拟机 (VM) 生命周期管理、设备管理、网络服务编排器模块、服务链和对 VNF 的虚拟控制台访问,包括 vSRX 虚拟防火墙、vjunos,以及现在的作为 VNF 的 VRR。

  • Junos 控制平面:Junos 控制平面 (JCP) 是在虚拟机管理程序上运行的 Junos VM。您可以使用 JCP 配置 NFX250 设备的网络端口,JCP 在 NFX250 上默认作为 vjunos0 运行。您可以使用 SSH 服务从 JDM 登录到 JCP,命令行界面 (CLI) 与 Junos 相同。

在 NFX250 上将 VRR 配置为 VNF

您可以在 Linux 桥接 (LB) 模式或增强编排 (EO) 模式下将 VRR 配置为 VNF。

在 Linux 桥接模式下在 NFX250 上配置 VRR VNF

为 VRR 配置 Junos 设备管理器 (JDM)

默认情况下,Junos 设备管理器 (JDM) 虚拟机在 NFX250 开机后启动。默认情况下,增强编排模式在 JDM 上启用。配置 VRR 时,禁用增强编排模式,移除接口配置,然后重新启动 NFX 设备。

要为 VRR 配置 Junos 设备管理器 (JDM) 虚拟机,请执行以下步骤:

  1. 在配置模式的 [edit] 层级,禁用增强编排。默认情况下,增强编排模式在 JDM 上启用。
  2. 删除接口配置。
  3. 设置 JDM root 密码。
  4. 使用 commit 命令提交配置,然后重新启动系统以使配置生效。
  5. 系统重新启动后,JDM 上将提供默认网桥配置。配置 JDM root 密码、管理端口 IP 并添加默认路由。
    注意:

    系统重新启动后,如果配置中不存在组 groups1604-configs ,请将其包括在内,以便默认网桥配置在 JDM 上可用。

验证是否已配置管理 IP

目的

确保已正确配置管理 IP 地址。

行动

从配置模式,输入 show interface 命令。

验证是否配置了默认路由

目的

确保为 DNS 和网关访问配置了默认路由。

行动

从配置模式,输入 show route 命令。

为 VRR 配置 Junos 控制平面 (JCP)

默认情况下,Junos 控制平面 (JCP) VM 在 NFX250 开机后启动。JCP 虚拟机控制 NFX250 设备中的前面板端口。VLAN 使用 sxe 端口在虚拟路由反射器虚拟机接口和 JCP 虚拟机之间提供桥接。前面板端口配置为 VRR 端口的相同 VLAN 桥接的一部分。因此,使用 JCP 之间的这些桥接端口(而非 VRR VNF 端口)传输或接收数据包。

要为 VRR 配置 JCP,请执行以下步骤:

  1. 在作模式下,连接到 JCP 虚拟机。
  2. 使用与 VRR VNF 端口相同的 VLAN 桥接来配置前面板端口。在此示例中,前面板端口ge-0/0/1、、和 xe-0/0/12 与 VRR VNF 接口、em1em2em3进行映射。 ge-0/0/10ge-0/0/1 (前面板端口)映射到sxe-0/0/0(内部接口),后者映射到 em1 (VRR VNF 接口)。它们都属于同一个 VLAN(VLAN ID 100)。
  3. 配置 VLAN,并将物理接口和服务接口添加为同一 VLAN 的成员。在此示例中,我们有 3 个 VLAN(100、101 和 102)。
  4. 配置 MTU:
    注意:

    您可以在 JCP 和 VRR VNF 接口上配置的最大 MTU 为 1518 字节。
  5. 验证是否已准确配置接口映射。

启动 VRR

您可以使用作为 VRR 映像归档的 XML 配置模板,将 VRR VNF 作为虚拟化网络功能 (VNF) 启动。

  1. 要启动 VRR VNF,请使用 virsh 命令并指定虚拟机名称。

    其中,vrrvirshvrr.xml中指定的域名。

  2. 如本示例所示,要创建具有 2 个虚拟 CPU 和 2 个 VNF 接口(em2、em3)的 24GB 大小的 VRR VNF,您可以使用此示例配置。
    注意:

    要创建 VRR VNF,请使用默认内存分配模式,而不是 hugepages。

启用来自 JDM 的 VRR VNF 的生动性检测

VNF 的活跃性表示 Junos 设备管理器 (JDM) 是否可以访问虚拟机的 IP 地址。如果 VM 的活跃度下降,则表示无法从 JDM 访问 VM。您可以使用 show virtual-machines 命令查看虚拟机的活跃程度。默认情况下,VRR VNF 的活跃度显示为“关闭”。在创建 VRR VNF 之前,建议您在 JDM 中开启活跃度检测。

要从 JDM 启用对 VRR VNF 的生动性检测,请执行以下步骤:

  1. 要验证从 JDM 对 vRR VNF 的活跃性检测,请发出以下命令:
    注意:

    默认情况下,VRR VNF 的活跃度显示为“关闭”。您必须从 JDM 启用 VRR VNF 的活跃性检测。
  2. 通过修改 VRR VNF 接口的网络接口设置,创建具有内部网桥 virbr0的虚拟接口。 VM 模板的节,如下所示。PCI 详细信息,如 busslot、信息 function 可以基于您现有的接口任意运行下一个数字,尤其是插槽编号。

    这是一个示例网络接口设置。

    您必须按如下方式更改设置:

    修改设置时,请确保:

    • 接口类型为 'bridge'

    • 模型类型用于 e1000 防止 VLAN 子接口出现问题。

    • 地址的 PCI 资源对于此 VM 是唯一的。

  3. 要识别与接口关联的 virbr0 MAC 地址,请使用命令 virsh dumpxml vrr-vm-name

    这是 VRR VNF 分配给接口的 virbr0 MAC 地址。

  4. 要将 IP 地址分配给连接到 virbr0 接口的 VRR VNF 接口,您必须使用属于内部网络的 IP。在此示例中,由 VRR VNF 分配的 MAC 地址 52:54:00:c4:fe:8d与 VRR VNF 的接口相关联 em4 。因此,我们必须使用此步骤中所示的 IP 地址配置 em4 接口。

    在此示例中,VRR VNF 分配的 MAC 地址与 em4 接口相关联。

  5. 在 Junos 设备管理器 (JDM) 中,使用 IP 地址和 VRR VNF 名称更新文件 /etc/hosts
    注意:

    更新 /etc/hosts 文件时,请在 IP 地址和 VRR VNF 名称之间添加空格。不要包含制表符空格。
  6. 从 JDM 对 VRR VNF 的 IP 地址执行 Ping 命令,以验证是否可以从 JDM 访问内部网桥 virbr0
  7. 要验证从 JDM 对 vRR VNF 的活跃性检测,请发出以下命令:

    现在,vRR VNF 的活跃状态显示为活动。

在增强型编排模式下在 NFX250 上配置 VRR VNF

在配置 VRR VNF 之前,请检查 show system visibility 系统清单并使用命令确认所需资源可用。作为 VNF 的 VRR 的设计和配置必须使其资源要求不超过系统的可用容量。

您可以使用 JDM CLI 配置而不使用 XML 描述符文件,在增强编排 (EO) 模式下实例化 VRR VNF。EO 模式使用 Open vSwitch (OVS) 作为桥接接口的 NFV 背板。

要通过瞻博网络设备管理器 (JDM) CLI 激活 VRR VNF,请执行以下作:

  1. qcow2.img vRR 映像下载到文件夹。/var/third-party/images/
  2. 定义 VRR VNF。例如:
  3. 定义 vSRX 虚拟防火墙 VNF 接口所需的 VLAN。例如:
  4. 分配 hugepages 作为 vRR VNF 的内存。例如:
  5. 指定 VRR VNF 所需的虚拟 CPU 数量。建议将至少两个虚拟 CPU 分配给一个 VRR VNF。例如:
  6. 将虚拟 CPU 连接到物理 CPU。例如:
  7. 在 VRR 接口 (eth2) 上配置最大传输单元 (MTU)。例如:
  8. 将 LAN 端面向内部的接口配置为中继端口,并将其添加到 LAN 端 VLAN。例如:
  9. 在 VRR 接口 (eth3) 上配置最大传输单元 (MTU)。例如:
    注意:

    MTU 大小可以是 1500 字节或 2048 字节。
  10. 将 LAN 端面向内部的接口配置为中继端口,并将其添加到 LAN 端 VLAN。例如:
  11. 指定 VRR VNF 的内存分配。建议为 VRR VNF 分配至少 4GB 的内存。例如:
  12. 配置 hugepages 以满足内存要求。例如:
  13. 提交配置以激活 VRR VNF。例如:

    提交配置后,VNF 需要一些时间才能启动。第一个接口 (em0) 由 JDM 的 DHCP 自动提供 IP 地址,以保持活跃。

  14. 验证 VNF 是否已启动。例如:
  15. (可选)验证 VRR VNF 详细信息。例如:

配置交叉连接

交叉连接功能支持在任意两个 OVS 接口(如 VNF 接口)或连接到 OVS 的物理接口(例如 hsxe0 和 hsxe1)之间进行流量切换。您可以在任意两个 OVS 接口之间双向切换所有流量或属于特定 VLAN 的流量。

注意:

此功能不支持单向流量。

交叉连接功能支持以下各项:

  • 两个 VNF 接口之间的无条件交叉连接,适用于所有网络流量。

  • VNF 接口之间基于 VLAN 的流量转发支持以下功能:

    • 提供基于 VLAN ID 切换流量的选项。

    • 支持从中继到接入端口的网络流量。

    • 支持从接入端口到中继端口的网络流量。

    • 支持 VLAN 推送、POP 和 SWAP作。

要配置交叉连接,请执行以下作:

  1. 配置 VLAN:
  2. 配置 VNF:
  3. 配置交叉连接:

    • 配置基于 VLAN 的交叉连接:

    • 配置无条件交叉连接

    • 在启用 VLAN 交换作的情况下配置交叉连接:

    • 在启用 VLAN PUSH 或 POP作的情况下配置交叉连接:

    • 在交叉连接时配置本机 VLAN 流量

配置分析器 VNF 和端口镜像

端口镜像功能允许您监控网络流量。如果在 VNF 接口上启用了该功能,OVS 系统网桥会将该 VNF 接口的所有网络数据包的副本发送到 VNF 分析器进行分析。您可以使用 port-mirroring 或 analyzer JDM 命令来分析网络流量。

注意:

  • 端口镜像仅在连接到 OVS 系统网桥的 VNF 接口上受支持。

  • 必须先配置 VNF 接口,然后再配置端口镜像选项。

  • 如果分析器 VNF 在配置后处于活动状态,则必须重新启动 VNF 才能使更改生效。

  • 您最多可以为分析器规则配置四个输入端口和一个输出端口。

  • 输出端口在所有分析器规则中必须是唯一的。

  • 更改输入 VNF 接口的配置后,您必须停用并激活引用该接口的分析器规则,同时重新启动分析器 VNF。

要配置分析器 VNF 并启用端口镜像,请执行以下作:

  1. 配置分析器 VNF:
  2. 在 VNF 接口和分析器 VNF 的输入和输出端口中启用网络流量的端口镜像:

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
17.3R1
从 Junos OS 17.3R1 版开始,您可以在 NFX250 网络服务平台上实施虚拟路由反射器 (VRR) 功能。