Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Virtuelle Firewall vSRX Cluster-Staging und -Bereitstellung für KVM

Sie können die virtuelle Firewall vSRX, VMs und virtuelle Netzwerke bereitstellen, um Chassis-Clustering zu konfigurieren.

Das Staging und die Provisioning des Chassis-Clusters der virtuellen Firewall vSRX umfasst die folgenden Aufgaben:

Chassis-Cluster-Bereitstellung auf Virtuelle Firewall vSRX

Für den Chassis-Cluster sind die folgenden direkten Verbindungen zwischen den beiden Instanzen der virtuellen Firewall vSRX erforderlich:

  • Control Link oder virtuelles Netzwerk, das im aktiven/passiven Modus für den Control Plane-Datenverkehr zwischen den beiden Instanzen der Virtuelle Firewall vSRX agiert

  • Fabric-Link oder virtuelles Netzwerk, das im Aktiv/Aktiv-Modus für den Datenverkehr zwischen den beiden Instanzen der Virtuelle Firewall vSRX agiert

    Anmerkung:

    Optional können Sie zwei Fabric-Links für mehr Redundanz erstellen.

Der Virtuelle Firewall vSRX-Cluster verwendet die folgenden Schnittstellen:

  • Out-of-Band-Managementschnittstelle (fxp0)

  • Cluster-Steuerschnittstelle (em0)

  • Cluster-Fabric-Schnittstelle (fab0 auf node0, fab1 auf node1)

Anmerkung:

Bei der Steuerschnittstelle muss es sich um die zweite vNIC handeln. Optional können Sie einen zweiten Fabric-Link für mehr Redundanz konfigurieren.
Abbildung 1: Gehäuse-Cluster vSRX Virtual Firewall Chassis Cluster der virtuellen Firewall vSRX

Die virtuelle Firewall vSRX unterstützt Chassis-Cluster mit dem Virtio-Treiber und den Schnittstellen, wobei die folgenden Überlegungen angestellt werden müssen:

  • Wenn Sie den Chassis-Cluster aktivieren, müssen Sie auch Jumbo-Frames (MTU-Größe = 9000) aktivieren, um den Fabric-Link auf der virtio-Netzwerkschnittstelle zu unterstützen.

  • Wenn Sie einen Chassis-Cluster über zwei physische Hosts hinweg konfigurieren, deaktivieren Sie igmp-snooping auf jeder physischen Host-Schnittstelle, die die virtuelle Firewall vSRX-Steuerverbindung verwendet, um sicherzustellen, dass der Heartbeat der Steuerverbindung von beiden Knoten im Chassis-Cluster empfangen wird.

  • Nachdem Sie den Chassis-Cluster aktiviert haben, ordnet die Instanz der virtuellen Firewall vSRX die zweite vNIC dem Steuerlink em0 zu. Sie können dem Fabric-Link beliebige andere vNICs zuordnen.

Anmerkung:

Für virtio-Schnittstellen wird die Aktualisierung des Verbindungsstatus nicht unterstützt. Der Verbindungsstatus von virtio-Schnittstellen wird immer als "Aktiv" gemeldet. Aus diesem Grund kann eine virtuelle Firewall vSRX-Instanz, die virtio und Chassis-Cluster verwendet, keine Link-up- und Link-down-Nachrichten von virtio-Schnittstellen empfangen.

Die MAC-Alterungszeit des virtuellen Netzwerks bestimmt die Zeitspanne, die ein Eintrag in der MAC-Tabelle verbleibt. Es wird empfohlen, die MAC-Alterungszeit in den virtuellen Netzwerken zu reduzieren, um die Ausfallzeit während des Failovers zu minimieren.

Sie können den brctl setageing bridge 1 Befehl z. B. verwenden, um die Alterung für die Linux-Bridge auf 1 Sekunde festzulegen.

Sie konfigurieren die virtuellen Netzwerke für die Steuerungs- und Fabric-Verbindungen, erstellen und verbinden dann die Steuerungsschnittstelle mit dem virtuellen Steuerungsnetzwerk und die Fabric-Schnittstelle mit dem virtuellen Fabric-Netzwerk.

Erstellen der virtuellen Chassis-Cluster-Netzwerke mit virt-manager

In KVM erstellen Sie zwei virtuelle Netzwerke (Steuerung und Fabric), mit denen Sie jede Instanz der virtuellen Firewall vSRX für Chassis-Clustering verbinden können.

So erstellen Sie ein virtuelles Netzwerk mit virt-manager:

  1. Starten virt-manager Sie, und wählen Sie Bearbeiten>Verbindungsdetails aus. Das Dialogfeld Verbindungsdetails wird angezeigt.
  2. Wählen Sie Virtuelle Netzwerke aus. Die Liste der vorhandenen virtuellen Netzwerke wird angezeigt.
  3. Klicken Sie auf + , um ein neues virtuelles Netzwerk für die Steuerverbindung zu erstellen. Der Assistent zum Erstellen eines neuen virtuellen Netzwerks wird angezeigt.
  4. Legen Sie das Subnetz für dieses virtuelle Netzwerk fest, und klicken Sie auf Weiterleiten.
  5. Wählen Sie DHCP aktivieren und klicken Sie auf Weiterleiten.
  6. Wählen Sie Isoliertes virtuelles Netzwerk aus, und klicken Sie auf Weiterleiten.
  7. Überprüfen Sie die Einstellungen, und klicken Sie auf Fertig stellen , um das virtuelle Netzwerk zu erstellen.

Erstellen des Chassis-Clusters Virtuelle Netzwerke mit virsh

In KVM erstellen Sie zwei virtuelle Netzwerke (Control und Fabric), mit denen Sie jede virtuelle Firewall vSRX für Chassis-Clustering verbinden können.

So erstellen Sie das Steuerungsnetzwerk mit virsh:

  1. Verwenden Sie den virsh net-define Befehl auf dem Hostbetriebssystem , um eine XML-Datei zu erstellen, die das neue virtuelle Netzwerk definiert. Schließen Sie die in Tabelle 1 beschriebenen XML-Felder ein, um dieses Netzwerk zu definieren.
    Anmerkung:

    Eine vollständige Beschreibung der verfügbaren Optionen finden Sie in der offiziellen virsh Dokumentation.
    Tabelle 1: virsh net-define XML-Felder

    Feld

    Beschreibung

    <Netzwerk> ... </Netzwerk>

    Verwenden Sie dieses XML-Wrapperelement, um ein virtuelles Netzwerk zu definieren.

    <Name>net-name</Name>

    Geben Sie den Namen des virtuellen Netzwerks an.

    <bridge name="bridge-name" />

    Geben Sie den Namen der Hostbrücke an, die für dieses virtuelle Netzwerk verwendet wird.

    <forward mode="forward-option" />

    Geben Sie "Routing" oder "Nat" an. Verwenden Sie das Element <forward> nicht für den isolierten Modus.

    <ip address="ip-address" netmask="net-mask"

    <dhcp range start="start" end="end" </dhcp> </ip>

    Geben Sie die IP-Adresse und die Subnetzmaske an, die von diesem virtuellen Netzwerk verwendet werden, sowie den DHCP-Adressbereich.

    Das folgende Beispiel zeigt eine XML-Beispieldatei, die ein virtuelles Steuerungsnetzwerk definiert.

  2. Verwenden Sie den virsh net-start Befehl, um das neue virtuelle Netzwerk zu starten.

    hostOS# virsh net-start control

  3. Verwenden Sie den virsh net-autostart Befehl, um das neue virtuelle Netzwerk automatisch zu starten, wenn das Hostbetriebssystem gestartet wird.

    hostOS# virsh net-autostart control

  4. Verwenden Sie optional den virsh net-list –all Befehl im Hostbetriebssystem, um das neue virtuelle Netzwerk zu überprüfen.
  5. Wiederholen Sie diesen Vorgang, um das virtuelle Fabric-Netzwerk zu erstellen.

Konfiguration der Control- und Fabric-Schnittstellen mit virt-manager

So konfigurieren Sie die Steuerungs- und Fabric-Schnittstellen für das Chassis-Clustering mit virt-manager:

  1. Doppelklicken Sie unter virt-managerauf die Virtuelle Firewall vSRX VM, und wählen Sie Ansicht>Details aus. Das Dialogfeld Details zur virtuellen Virtuelle Firewall vSRX wird angezeigt.
  2. Wählen Sie die zweite vNIC aus, und wählen Sie das virtuelle Netzwerk zur Steuerung aus der Liste Quellgerät aus.
  3. Wählen Sie virtio aus der Liste Gerätemodell aus, und klicken Sie auf Übernehmen.
  4. Wählen Sie eine nachfolgende vNIC aus, und wählen Sie das virtuelle Fabric-Netzwerk aus der Liste Quellgerät aus.
  5. Wählen Sie virtio aus der Liste Gerätemodell aus, und klicken Sie auf Übernehmen.
  6. Verwenden Sie für die Fabric-Schnittstelle den ifconfig Befehl auf dem Hostbetriebssystem, um die MTU auf 9000 festzulegen.

    hostOS# ifconfig vnet1 mtu 9000

Konfigurieren der Steuerungs- und Fabric-Schnittstellen mit virsh

So konfigurieren Sie Steuerungs- und Fabric-Schnittstellen zu einer VM mit Virtuelle Firewall vSRX wie virshfolgt:

  1. Geben Sie den Text auf dem Hostbetriebssystem ein virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio .

    Mit diesem Befehl wird eine virtuelle Schnittstelle namens control erstellt und mit dem virtuellen Steuerungsnetzwerk verbunden.

  2. Geben Sie den Text auf dem Hostbetriebssystem ein virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio .

    Mit diesem Befehl wird eine virtuelle Schnittstelle namens fabric erstellt und mit dem virtuellen Fabric-Netzwerk verbunden.

  3. Verwenden Sie für die Fabric-Schnittstelle den ifconfig Befehl auf dem Hostbetriebssystem, um die MTU auf 9000 festzulegen.

    hostOS# ifconfig vnet1 mtu 9000

Konfigurieren von Chassis-Cluster-Fabric-Ports

Nachdem der Chassis-Cluster gebildet wurde, müssen Sie die Schnittstellen konfigurieren, aus denen die Fabric-Ports (Datenports) bestehen.

Stellen Sie sicher, dass Sie Folgendes konfiguriert haben:

  • Legen Sie die Chassis-Cluster-IDs auf beiden Instanzen der virtuellen Firewall vSRX fest und starten Sie die Instanzen der virtuellen Firewall vSRX neu.

  • Konfiguration der Steuerungs- und Fabric-Verbindungen.

  1. Konfigurieren Sie auf der Konsole des Virtuelle Firewall vSRX-Knoten 0 im Konfigurationsmodus die Fabric-Ports (Datenports) des Clusters, die für die Übergabe von Echtzeitobjekten (RTOs) verwendet werden. Die Konfiguration wird direkt über den Steuerport mit Knoten 1 der Virtuellen Firewall vSRX synchronisiert.
    Anmerkung:

    Bei einem Fabric-Port kann es sich um eine beliebige ungenutzte Umsatzschnittstelle handeln.
  2. Starten Sie virtuelle Firewall vSRX-Knoten 0 neu.

Zugehörige Dokumentation