使用 dvSwitch 在不同的 ESXi 主机之间部署 vSRX 虚拟防火墙机箱群集节点
在为使用分布式虚拟交换机 (dvSwitch) 的 ESXi 6.0(或更高版本)主机部署 vSRX 虚拟防火墙机箱群集节点之前,请确保从 vSphere Web Client 进行以下配置设置,以确保高可用性群集控制链路在两个节点之间正常工作:
在 vSphere Web Client 的 dvSwitch 交换机设置中,禁用组播过滤模式的 IGMP 侦听。
在 vSphere Web Client 的 dvSwitch 端口组配置中,启用混合模式。
有关详细信息,请参见 VMware vSphere 文档。
此机箱群集方法使用 dvSwitch 的专用虚拟 LAN (PVLAN) 功能将 vSRX 虚拟防火墙机箱群集节点部署在不同的 ESXi 主机上。无需更改外部交换机配置。
在 VMware vSphere Web Client 上,对于 dvSwitch,主 VLAN 和辅助 VLAN 有两个 PVLAN ID。在辅助 VLAN ID 类型的菜单中选择 社区 。
将两个辅助 PVLAN ID 用于 vSRX 虚拟防火墙控制和结构链路。请参阅 图 1 和 图 2。
上述配置必须驻留在连接到 Distributed Switch 上行链路的外部交换机上。如果外部交换机上的链路支持本机 VLAN,则可以在 Distributed Switch 端口组配置中将 VLAN 设置为无。如果链路不支持本机 VLAN,则此配置应启用 VLAN。
您还可以在分布式交换机上使用常规 VLAN,通过 dvSwitch 在不同的 ESXi 主机上部署 vSRX 虚拟防火墙机箱群集节点。常规 VLAN 的工作方式类似于物理交换机。如果要使用常规 VLAN 而非 PVLAN,请禁用机箱群集链路的 IGMP 侦听。
但是,建议使用 PVLAN,因为:
PVLAN 不会强制执行 IGMP 侦听。
PVLAN 可以保存 VLAN ID。
当跨多个 ESXi 主机的 vSRX 虚拟防火墙群集通过物理交换机进行通信时,您需要考虑第 2 层的其他参数,请参阅: 对通过第 2 层交换机连接的 SRX 机箱群集进行故障排除。