Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:在 NFX350 设备上配置通过第三方 VNF 的 LAN 到 WAN 路由的服务链

此示例说明如何在 NFX350 设备上通过第三方 VNF 为 LAN 到 WAN 路由配置服务链。

要求

此示例使用运行 Junos OS 19.4R1 版的 NFX350 设备。

概述

此示例说明如何配置设备的各个层,以使来自 LAN 网络的流量能够进入设备,流经 OVS 网桥和第三方 VNF,退出设备并进入 WAN 网络。

拓扑学

此示例使用 图 1 中所示的拓扑。

图 1:通过第三方 VNF 的 LAN 到 WAN 路由的服务链 Service Chaining for LAN to WAN Routing through Third-party VNFs

配置

配置第 2 层数据通路(JCP LAN 接口)

分步过程

  1. 连接到 JCP。

  2. 为 LAN 端接口配置 VLAN。

  3. 配置 LAN 端前面板端口并将其添加到 LAN 端 VLAN。LAN 端端口通常是接入端口,如果需要,也可以是中继端口

  4. 将面向内部的接口 sxe-0/0/0 配置为中继端口,并将其添加到 LAN 端 VLAN。面向内部的接口通常是中继端口,因为它们必须支持来自多个前面板端口和 VLAN 的流量。

验证 NFX350 设备的性能模式

目的

验证 NFX350 设备的性能模式并检查 CPU 可用性。如果 NFX350 设备在吞吐量模式下运行,则必须使用 request vmhost mode 命令将其更改为计算模式或混合模式。

有关设备性能模式的详细信息,请参阅 NFX350 概述

行动

为 VNF 配置巨页

分步过程

注意:

如果未分配配置的 hugepages 数量,建议重新启动设备。

  1. 检查内存可用性:

  2. 配置 hugepages:

  3. 验证是否配置了 hugepages:

配置 VNF

分步过程

配置 VNF-1:

  1. 从远程位置加载设备上的 VNF 映像:

    注意:

    如果您最多使用两个 VNF,则可以将 VNF 映像保存在 /var/public 目录中。如果您使用两个以上的 VNF,请将文件保存在外部 SSD 上。如果您将外部 SSD 用于 VNF,请确保初始化 SSD 并将其添加到设备。有关详细信息,请参阅 在 NFX350 设备上配置固态磁盘

  2. 启动 VNF:

  3. 将虚拟 CPU 连接到物理 CPU:

  4. 指定 VNF 所需的 CPU 数量:

  5. 为 VNF CPU 启用硬件虚拟化或硬件加速:

  6. 将 VNF 接口配置为中继端口,并将其添加到 LAN 端 VLAN:

  7. 指定 VNF 的内存分配:

分步过程

配置 VNF-2:

  1. 从远程位置加载设备上的 VNF 映像:

  2. 启动 VNF:

  3. 将虚拟 CPU 连接到物理 CPU:

  4. 指定 VNF 所需的 CPU 数量:

  5. 为 VNF CPU 启用硬件虚拟化或硬件加速:

  6. 将 VNF 接口配置为中继端口,并将其添加到 LAN 端 VLAN:

  7. 指定 VNF 的内存分配:

配置第 3 层数据路径(WAN 接口)

分步过程

  1. 将面向内部的 L3 数据平面接口配置为 VLAN 标记接口并为其分配 IP 地址:

  2. 将第 3 层接口映射到 Open vSwitch (OVS) 并提交配置:

  3. 将面向外部的 L3 数据平面接口配置为 VLAN 标记的接口并为其分配 IP 地址:

  4. 为 WAN 端 JCP 接口配置 VLAN:

  5. 将 WAN 端面向内部的接口配置为中继端口,并将其添加到 WAN 端 VLAN:

  6. 配置 WAN 端前面板端口并将其添加到 WAN 端 VLAN:

  7. 提交配置:

配置用于创建服务链的 VNF 接口

分步过程

  1. 检查 VNF 接口的 MAC 地址:

  2. 通过控制台从 JCP 访问 VNF (VNF-1):

  3. 登录控制台:

  4. 检查接口的状态:

  5. 设置 root 密码:

  6. 出现第一个提示时,输入新的 root 密码。出现第二个提示时,再次输入新的 root 密码:

  7. 配置完密码后,提交配置:

  8. 将 WAN 端面向内部的接口 (ge-0/0/1) 配置为 VLAN 标记的接口,并为其分配一个 IP 地址:

  9. 将 WAN 端面向内部的接口 (ge-0/0/2) 配置为 VLAN 标记的接口并为其分配 IP 地址:

  10. 通过控制台从 JCP 访问 VNF (VNF-2):

  11. 登录控制台:

  12. 检查接口的状态:

  13. 设置 root 密码:

  14. 出现第一个提示时,输入新的 root 密码。出现第二个提示时,再次输入新的 root 密码:

  15. 配置完密码后,提交配置:

  16. 将 WAN 端面向内部的接口 (ge-0/0/1) 配置为 VLAN 标记的接口,并为其分配一个 IP 地址:

  17. 将 WAN 端面向内部的接口 (ge-0/0/2) 配置为 VLAN 标记的接口并为其分配 IP 地址:

在 NFX350 中配置安全性

分步过程

  1. 清除当前安全设置:

  2. 配置安全选项:

  3. 配置安全策略:

  4. 配置安全区域:

在 vSRX 虚拟防火墙 VNF 中配置安全性

分步过程

  1. 清除当前安全设置:

  2. 配置安全选项:

  3. 配置安全策略:

  4. 配置安全区域: