Hyper-V 中的 vSRX 虚拟防火墙群集分段和调配
在 Hyper-V 主机计算机上暂存和调配 vSRX 虚拟防火墙群集包括以下任务:
从 Junos OS 15.1X49-D100 版和 Junos OS 17.4R1 版开始,仅在 Windows Hyper-V 服务器 2016 上支持机箱群集以提供网络节点冗余。
在 Hyper-V 中部署虚拟机和其他网络适配器
vSRX 虚拟防火墙群集仅使用三个接口进行群集(前两个已预定义):
带外管理接口 (fxp0)。
群集控制链路 (em0)。
群集交换矩阵链路(fab0 和 fab1)。例如,您可以将 ge-0/0/0 指定为节点 0 上的 fab0,将 ge-7/0/0 指定为节点 1 上的 fab1。
群集需要三个接口(两个用于群集,一个用于管理)和其他接口来转发数据。本节概述了如何创建控制链路和交换矩阵链路连接,以及如何将所有数据接口映射到网络适配器。
有关添加虚拟交换机并将虚拟交换机映射到网络适配器的过程的概述,请参阅 添加 vSRX 接口
在 Hyper-V 中创建控制链路连接
要使用 Hyper-V 管理器通过控制链路虚拟交换机连接控制接口:
在 Hyper-V 中创建交换矩阵链路连接
要使用 Hyper-V Manager 通过交换矩阵链路虚拟交换机连接交换矩阵接口
- 如有必要,选择 “开始>管理工具> Hyper-V 管理器”,打开 Hyper-V 管理器。
- 从 Hyper-V 管理器中,选择 “操作>虚拟交换机管理器”。此时将显示虚拟交换机管理器。
- 在虚拟交换机部分下,选择 新虚拟网络交换机。此时将显示“创建虚拟交换机”窗格(请参阅 图 1)。
- 选择 “内部 ”作为虚拟交换机类型。内部允许在同一 Hyper-V 服务器上虚拟机之间,以及虚拟机与管理主机操作系统之间进行通信。
- 选择 创建虚拟交换机。此时将显示虚拟交换机属性页面(请参阅 图 2)。
- 指定交换矩阵链路虚拟交换机的名称。其他虚拟交换机属性保留其默认设置。
- 单击 确定 ,然后单击 是 应用网络更改并关闭虚拟交换机管理器窗口。
- 右键单击 vSRX 虚拟防火墙虚拟机,并从上下文菜单中选择 设置 。在 vSRX 虚拟防火墙虚拟机的“设置”对话框的“硬件”部分,单击“ 网络适配器 ”以访问“网络适配器”窗格。将显示“网卡”窗格(请参阅 图 3)。将网络适配器 3 分配为交换矩阵链路(fab 0 或 fab 1) 虚拟交换机。
- 从虚拟交换机下拉菜单中,将 fab0 或 fab1 分配给交换矩阵链路虚拟交换机。
- 从“网卡”面板中,选择“ 高级功能”。选中 “启用 MAC 地址欺骗 ”复选框,为适配器启用 MAC 地址欺骗功能。MAC 地址欺骗是冗余组中包含的交换矩阵链路接口的要求。
- 单击 确定 ,然后单击 是 以应用网络适配器更改。
使用 Hyper-V 创建数据接口
要将所有数据接口映射到所需的网络适配器:
- 如有必要,选择 “开始>管理工具> Hyper-V 管理器”,打开 Hyper-V 管理器。
- 从 Hyper-V 管理器中,选择 “操作>虚拟交换机管理器”。此时将显示虚拟交换机管理器。
- 在虚拟交换机部分下,选择 新虚拟网络交换机。此时将显示“创建虚拟交换机”窗格(请参阅 图 1)。
- 选择 “内部 ”作为虚拟交换机类型。内部允许在同一 Hyper-V 服务器上虚拟机之间,以及虚拟机与管理主机操作系统之间进行通信。
- 选择 创建虚拟交换机。此时将显示虚拟交换机属性页面(请参阅 图 2)。
- 指定数据接口虚拟交换机的名称。其他虚拟交换机属性保留其默认设置。
- 单击 确定 ,然后单击 是 应用网络更改并关闭虚拟交换机管理器窗口。
- 右键单击 vSRX 虚拟防火墙虚拟机,并从上下文菜单中选择 设置 。在 vSRX 虚拟防火墙虚拟机的“设置”对话框的“硬件”部分,单击“ 网络适配器 ”以访问“网络适配器”窗格。将显示“网卡”窗格(请参阅 图 3)。将网络适配器 3 分配为数据接口(fab 0 或 fab 1) 虚拟交换机。
- 从虚拟交换机下拉菜单中,将数据 接口 分配给虚拟交换机。
- 从“网卡”面板中,选择“ 高级功能”。选中 “启用 MAC 地址欺骗 ”复选框,为适配器启用 MAC 地址欺骗功能。MAC 地址欺骗是冗余组中包含的数据接口的要求。
- 单击 确定 ,然后单击 是 以应用网络适配器更改。数据接口将通过数据虚拟交换机连接。
从控制台预先标记配置
以下过程介绍了设置 vSRX 虚拟防火墙机箱群集所需的配置命令。该过程会为两个节点开机,将配置添加到群集,并允许 SSH 远程访问。
连接和安装分段配置
在 vSRX 虚拟防火墙群集初始设置之后,设置群集 ID 和节点 ID,如在 Junos OS 中配置 vSRX 机箱群集中所述。
重新启动后,可以使用 SSH 在接口 fxp0 上访问这两个节点。如果配置可操作,命令将显示 show chassis cluster status
与以下示例输出中所示的输出类似。
vSRX 虚拟防火墙> show chassis cluster status
Cluster ID: 1 Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 1 node0 100 secondary no no node1 150 primary no no Redundancy group: 1 , Failover count: 1 node0 100 secondary no no node1 150 primary no no
当主节点和辅助节点均存在且优先级均大于 0 时,群集运行正常。