使用 dvSwitch 在不同的 ESXi 主机之间部署 vSRX 虚拟防火墙机箱群集节点
在使用分布式虚拟交换机 (dvSwitch) 为 ESXi 6.0(或更高版本)主机部署 vSRX 虚拟防火墙机箱群集节点之前,请确保从 vSphere Web Client 进行以下配置设置,以确保高可用性群集控制链路在两个节点之间正常工作:
在 vSphere Web Client 的 dvSwitch 交换机设置中,禁用组播过滤模式下的 IGMP 侦听(请参见 vSphere 分布式交换机上的组播侦听)。
在 vSphere Web Client 的 dvSwitch 端口组配置中,启用混合模式(请参见为分布式 端口组或分布式端口配置安全策略)。
此机箱群集方法使用 dvSwitch 的专用虚拟 LAN (PVLAN) 功能在不同的 ESXi 主机上部署 vSRX 虚拟防火墙机箱群集节点。无需更改外部交换机配置。
在 VMware vSphere Web Client 上,对于 dvSwitch,有两个用于主 VLAN 和辅助 VLAN 的 PVLAN ID。在菜单中选择辅助 VLAN ID 类型的公共 组 。
将两个辅助 PVLAN ID 用于 vSRX 虚拟防火墙控制和交换矩阵链路。请参阅图 1 和 图 2。
上述配置必须驻留在分布式交换机上行链路连接的外部交换机上。如果外部交换机上的链路支持本机 VLAN,则可以在分布式交换机端口组配置中将 VLAN 设置为 none。如果链路不支持本机 VLAN,则此配置应启用 VLAN。
您还可以在分布式交换机上使用常规 VLAN,通过 dvSwitch 在不同的 ESXi 主机上部署 vSRX 虚拟防火墙机箱群集节点。常规 VLAN 的工作方式与物理交换机类似。如果要使用常规 VLAN 而不是 PVLAN,请禁用机箱群集链路的 IGMP 侦听。
但是,建议使用 PVLAN,因为:
PVLAN 不会强制实施 IGMP 侦听。
PVLAN 可以保存 VLAN ID。
当跨多个 ESXi 主机的 vSRX 虚拟防火墙群集通过物理交换机进行通信时,您需要在以下位置考虑其他第 2 层参数: 对通过第 2 层交换机连接的 SRX 机箱群集进行故障排除。