Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

vSRX Virtual Firewall Cluster Staging und Bereitstellung für KVM

Sie können die virtuellen vSRX-Firewall-VMs und virtuellen Netzwerke bereitstellen, um Chassis-Clustering zu konfigurieren.

Das Staging und die Bereitstellung des vSRX Virtual Firewall-Chassis-Clusters umfasst die folgenden Aufgaben:

Chassis-Cluster-Bereitstellung auf virtueller vSRX-Firewall

Der Chassis-Cluster erfordert die folgenden direkten Verbindungen zwischen den beiden virtuellen vSRX-Firewall-Instanzen:

  • Control Link oder virtuelles Netzwerk, das im Aktiv/Passiv-Modus für den Datenverkehr der Steuerungsebene zwischen den beiden virtuellen vSRX-Firewall-Instanzen agiert

  • Fabric-Link oder virtuelles Netzwerk, das im Aktiv/Aktiv-Modus für den Datenverkehr zwischen den beiden vSRX Virtual Firewall-Instanzen agiert

    Hinweis:

    Optional können Sie zwei Fabric-Links für mehr Redundanz erstellen.

Der vSRX Virtual Firewall-Cluster verwendet die folgenden Schnittstellen:

  • Out-of-Band-Verwaltungsschnittstelle (fxp0)

  • Cluster-Steuerungsschnittstelle (em0)

  • Cluster-Fabric-Schnittstelle (fab0 auf node0, fab1 auf node1)

Hinweis:

Die Steuerungsschnittstelle muss die zweite vNIC-Schnittstelle sein. Optional können Sie eine zweite Fabric-Verbindung für erhöhte Redundanz konfigurieren.
Abbildung 1: vSRX Virtual Firewall Chassis-Cluster vSRX Virtual Firewall Chassis Cluster

Die virtuelle vSRX-Firewall unterstützt Chassis-Cluster mithilfe des virtio-Treibers und der Schnittstellen unter folgenden Gesichtspunkten:

  • Wenn Sie den Chassis-Cluster aktivieren, müssen Sie auch Jumbo-Frames (MTU-Größe = 9000) aktivieren, um den Fabric-Link auf der virtio-Netzwerkschnittstelle zu unterstützen.

  • Wenn Sie einen Chassis-Cluster über zwei physische Hosts hinweg konfigurieren, deaktivieren Sie igmp-Snooping auf jeder physischen Hostschnittstelle, die der vSRX Virtual Firewall Control Link verwendet, um sicherzustellen, dass der Control Link Heartbeat von beiden Knoten im Chassis-Cluster empfangen wird.

  • Nachdem Sie den Chassis-Cluster aktiviert haben, ordnet die virtuelle vSRX-Firewall-Instanz die zweite vNIC der Steuerungsverbindung em0 zu. Sie können dem Fabric-Link beliebige andere vNICs zuordnen.

Hinweis:

Bei virtio-Schnittstellen wird die Aktualisierung des Linkstatus nicht unterstützt. Der Link-Status von virtio-Schnittstellen wird immer als "Up" gemeldet. Aus diesem Grund kann eine virtuelle vSRX-Firewall-Instanz, die virtio und einen Chassis-Cluster verwendet, keine Link-Up- und Link-Down-Nachrichten von virtio-Schnittstellen empfangen.

Die MAC-Alterungszeit des virtuellen Netzwerks bestimmt die Zeitspanne, die ein Eintrag in der MAC-Tabelle verbleibt. Es wird empfohlen, die MAC-Alterungszeit in den virtuellen Netzwerken zu reduzieren, um die Ausfallzeit während des Failovers zu minimieren.

Sie können z. B. den Befehl verwenden, um die brctl setageing bridge 1 Alterung für die Linux-Bridge auf 1 Sekunde festzulegen.

Sie konfigurieren die virtuellen Netzwerke für die Steuerungs- und Fabric-Verbindungen, erstellen und verbinden dann die Steuerungsschnittstelle mit dem virtuellen Steuerungsnetzwerk und die Fabric-Schnittstelle mit dem virtuellen Fabric-Netzwerk.

Erstellen der virtuellen Chassis-Cluster-Netzwerke mit virt-manager

In KVM erstellen Sie zwei virtuelle Netzwerke (Steuerung und Fabric), mit denen Sie jede vSRX Virtual Firewall-Instanz für Chassis-Clustering verbinden können.

So erstellen Sie ein virtuelles Netzwerk mit virt-manager:

  1. Starten virt-manager Sie und wählen Sie Bearbeiten>Verbindungsdetails aus. Das Dialogfeld Verbindungsdetails wird angezeigt.
  2. Wählen Sie Virtuelle Netzwerke aus. Die Liste der vorhandenen virtuellen Netzwerke wird angezeigt.
  3. Klicken Sie auf + , um ein neues virtuelles Netzwerk für die Steuerungsverknüpfung zu erstellen. Der Assistent zum Erstellen eines neuen virtuellen Netzwerks wird angezeigt.
  4. Legen Sie das Subnetz für dieses virtuelle Netzwerk fest, und klicken Sie auf Weiterleiten.
  5. Wählen Sie DHCP aktivieren und klicken Sie auf Weiterleiten.
  6. Wählen Sie Isoliertes virtuelles Netzwerk aus, und klicken Sie auf Weiter.
  7. Überprüfen Sie die Einstellungen, und klicken Sie auf Fertig stellen , um das virtuelle Netzwerk zu erstellen.

Erstellen der virtuellen Chassis-Cluster-Netzwerke mit virsh

In KVM erstellen Sie zwei virtuelle Netzwerke (Steuerung und Fabric), mit denen Sie jede virtuelle vSRX-Firewall für das Chassis-Clustering verbinden können.

So erstellen Sie den Steuerungsverbund mit virsh:

  1. Verwenden Sie den virsh net-define Befehl auf dem Hostbetriebssystem , um eine XML-Datei zu erstellen, die das neue virtuelle Netzwerk definiert. Fügen Sie die in Tabelle 1 beschriebenen XML-Felder ein, um dieses Netzwerk zu definieren.
    Hinweis:

    Eine vollständige Beschreibung der verfügbaren Optionen finden Sie in der offiziellen virsh Dokumentation.
    Tabelle 1: virsh net-define XML-Felder

    Feld

    Beschreibung

    <Netzwerk>... </Netzwerk>

    Verwenden Sie dieses XML-Wrapperelement, um ein virtuelles Netzwerk zu definieren.

    <Name>net-name</Name>

    Geben Sie den Namen des virtuellen Netzwerks an.

    <bridge name="bridge-name" />

    Geben Sie den Namen der Host-Bridge an, die für dieses virtuelle Netzwerk verwendet wird.

    <forward mode="forward-option" />

    Geben Sie routingd oder nat. Verwenden Sie das Element <forward> nicht für den isolierten Modus.

    <ip address="ip-address" netmask="net-mask"

    <dhcp range start="start" end="end" </dhcp> </ip>

    Geben Sie die IP-Adresse und die Subnetzmaske an, die von diesem virtuellen Netzwerk verwendet werden, zusammen mit dem DHCP-Adressbereich.

    Das folgende Beispiel zeigt eine XML-Beispieldatei, die ein virtuelles Steuerungsnetzwerk definiert.

  2. Verwenden Sie den virsh net-start Befehl, um das neue virtuelle Netzwerk zu starten.

    Hostos# virsh net-start control

  3. Verwenden Sie den virsh net-autostart Befehl, um das neue virtuelle Netzwerk automatisch zu starten, wenn das Hostbetriebssystem gestartet wird.

    Hostos# virsh net-autostart control

  4. Verwenden Sie optional den virsh net-list –all Befehl im Hostbetriebssystem, um das neue virtuelle Netzwerk zu überprüfen.
  5. Wiederholen Sie diesen Vorgang, um das virtuelle Fabric-Netzwerk zu erstellen.

Konfigurieren der Control- und Fabric-Schnittstellen mit virt-manager

So konfigurieren Sie die Steuerungs- und Fabric-Schnittstellen für das Chassis-Clustering mit virt-manager:

  1. Doppelklicken Sie in virt-managerauf die virtuelle vSRX-Firewall-VM, und wählen Sie Ansicht>Details aus. Das Dialogfeld Details der virtuellen Maschine der virtuellen vSRX-Firewall wird angezeigt.
  2. Wählen Sie die zweite vNIC aus, und wählen Sie in der Liste Quellgerät das virtuelle Steuerungsnetzwerk aus.
  3. Wählen Sie virtio aus der Liste Gerätemodell aus und klicken Sie auf Übernehmen.
  4. Wählen Sie eine nachfolgende vNIC und dann das virtuelle Fabric-Netzwerk aus der Liste Quellgerät aus.
  5. Wählen Sie virtio aus der Liste Gerätemodell aus und klicken Sie auf Übernehmen.
  6. Verwenden Sie für die Fabric-Schnittstelle den ifconfig Befehl auf dem Hostbetriebssystem, um die MTU auf 9000 festzulegen.

    Hostos# ifconfig vnet1 mtu 9000

Konfigurieren der Steuerungs- und Fabric-Schnittstellen mit virsh

So konfigurieren Sie Steuerungs- und Fabric-Schnittstellen für eine virtuelle vSRX-Firewall-VM mit virsh:

  1. Geben Sie auf dem Hostbetriebssystem ein virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio .

    Mit diesem Befehl wird eine virtuelle Schnittstelle mit dem Namen "Steuerung" erstellt und mit dem virtuellen Netzwerk "Steuerung" verbunden.

  2. Geben Sie auf dem Hostbetriebssystem ein virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio .

    Mit diesem Befehl wird eine virtuelle Schnittstelle namens Fabric erstellt und mit dem virtuellen Fabric-Netzwerk verbunden.

  3. Verwenden Sie für die Fabric-Schnittstelle den ifconfig Befehl auf dem Hostbetriebssystem, um die MTU auf 9000 festzulegen.

    Hostos# ifconfig vnet1 mtu 9000

Konfigurieren von Chassis-Cluster-Fabric-Ports

Nachdem der Chassis-Cluster gebildet wurde, müssen Sie die Schnittstellen konfigurieren, aus denen die Fabric-Ports (Datenports) bestehen.

Stellen Sie sicher, dass Sie Folgendes konfiguriert haben:

  • Legen Sie die Chassis-Cluster-IDs auf beiden virtuellen vSRX-Firewall-Instanzen fest und starten Sie die virtuellen vSRX-Firewall-Instanzen neu.

  • Konfiguration der Steuerungs- und Fabric-Verbindungen.

  1. Konfigurieren Sie auf der Konsole des vSRX Virtual Firewall-Knotens 0 im Konfigurationsmodus die Fabric-(Daten-)Ports des Clusters, die zum Übergeben von Echtzeitobjekten (RTOs) verwendet werden. Die Konfiguration wird direkt über den Steuerungsport mit dem vSRX Virtual Firewall Node 1 synchronisiert.
    Hinweis:

    Ein Fabric-Port kann eine beliebige ungenutzte Umsatzschnittstelle sein.
  2. Starten Sie den Knoten 0 der virtuellen vSRX-Firewall neu.

Zugehörige Dokumentation