瞻博网络 L3 和 FWaaS 插件的基础上,瞻博网络 VPN 即服务 (VPNaaS) 构建。使用 VPNaaS 插件在 SRX 和多台设备上配置vSRX VPN。
支持的设备
SRX 和 vSRX 系列设备
插件配置
继续之前,请确保满足以下先决条件:
要配置 OpenStack Neutron 瞻博网络 VPNaaS 服务插件:
- 更新 Neutron 配置文件文件
/etc/neutron/neutron.conf
,并service_plug附加于 以下项:
service_plug-ins =
neutron.services.juniper_l3_router.dmi.l3.JuniperL3Plugin,
neutron_fwaas.services.juniper_fwaas.dmi.fwaas.JuniperFwaaS, neutron_vpnaas.services.vpn.juniper.vpnaas.JuniperVPNaaS
注意:
如果 FWaaS 插件已配置,则以下步骤为可选。
- 向拓扑中添加防火墙:
admin@controller:~$ jnpr_device add -d device-name -c firewall -u root-user -p root-password
- 定义插件在 SRX 设备上创建 RVIS 的下行链路中继端口。
使用连接到聚合交换机的 SRX 设备的端口更新插件数据库:
admin@controller:~$ jnpr_device_port -d srx-device-name-or-switch-ip-address -p port-on-the-srx -t port-type
例如:
admin@controller:~$ jnpr_device_port add -d srx1 –p ge-0/0/1 –t Downlink
- 将防火墙分配给租户,或者作为所有租户的默认设置:
admin@controller:~$ jnpr_allocate_device add -t project-id -d srx-or-vsrx-ip-address
要向未分配防火墙的所有租户分配防火墙,将防火墙分配为默认设置:
admin@controller:~$ jnpr_allocate_device add -t default -d srx-or-vsrx-ip-address
- 完成 FWaaS 插件配置后,重新启动以下操作:
Neutron-Server
Apache(重新启动 Horizon)
- 从 Horizon GUI 创建 VPN IPSEC 站点连接及其关联的IKE、IPSEC 和 VPNService 组件。您可以查看在 SRX/IKE 上IKE对应的安全接口 、IPSEC vSRX。