Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bereitstellen von virtuelle Firewall vSRX-Chassis-Cluster-Knoten auf verschiedenen ESXi-Hosts mithilfe von dvSwitch

Bevor Sie die Chassis-Clusterknoten der virtuellen Firewall vSRX für ESXi 6.0-Hosts (oder höher) mit einem verteilten virtuellen Switch (dvSwitch) bereitstellen, stellen Sie sicher, dass Sie die folgenden Konfigurationseinstellungen im vSphere Web Client vornehmen, um sicherzustellen, dass die Steuerverbindung des Hochverfügbarkeits-Clusters zwischen den beiden Knoten ordnungsgemäß funktioniert:

  • Deaktivieren Sie in den dvSwitch-Switch-Einstellungen des vSphere Web Client IGMP-Snooping für den Multicast-Filtermodus.

  • Aktivieren Sie in der dvSwitch-Portgruppenkonfiguration des vSphere Web Client den promiskuitiven Modus.

Weitere Informationen finden Sie in der VMware vSphere-Dokumentation.

Bei dieser Chassis-Cluster-Methode wird die Funktion Private Virtual LAN (PVLAN) von dvSwitch verwendet, um die Chassis-Cluster-Knoten der virtuellen Firewall vSRX auf verschiedenen ESXi-Hosts bereitzustellen. Es ist nicht erforderlich, die externen Switch-Konfigurationen zu ändern.

Auf dem VMware vSphere Web Client für dvSwitch gibt es zwei PVLAN-IDs für das primäre und das sekundäre VLAN. Wählen Sie im Menü für den sekundären VLAN-ID-Typ die Option Community aus.

Verwenden Sie die beiden sekundären PVLAN-IDs für die Steuerung der virtuellen Firewall vSRX und die Fabric-Links. Siehe Abbildung 1 und Abbildung 2.

Abbildung 1: dvPortGroup3-Einstellungen dvPortGroup3 Settings
Abbildung 2: dvPortGroup6-Einstellungen dvPortGroup6 Settings
Anmerkung:

Die oben beschriebenen Konfigurationen müssen sich an einem externen Switch befinden, mit dem verteilte Switch-Uplinks verbunden sind. Wenn der Link am externen Switch natives VLAN unterstützt, kann VLAN in der Konfiguration der verteilten Switch-Portgruppe auf none gesetzt werden. Wenn natives VLAN auf der Verbindung nicht unterstützt wird, sollte für diese Konfiguration VLAN aktiviert sein.

Sie können auch ein reguläres VLAN auf einem verteilten Switch verwenden, um Chassis-Cluster-Knoten der virtuellen Firewall vSRX auf verschiedenen ESXi-Hosts mithilfe von dvSwitch bereitzustellen. Ein normales VLAN funktioniert ähnlich wie ein physischer Switch. Wenn Sie ein reguläres VLAN anstelle von PVLAN verwenden möchten, deaktivieren Sie IGMP-Snooping für Gehäuse-Cluster-Verbindungen.

Die Verwendung von PVLAN wird jedoch aus folgenden Gründen empfohlen:

  • PVLAN erzwingt kein IGMP-Snooping.

  • PVLAN kann VLAN-IDs speichern.

Anmerkung:

Wenn der Virtuelle Firewall vSRX-Cluster über mehrere ESXi-Hosts hinweg über physische Switches kommuniziert, müssen Sie die anderen Layer-2-Parameter berücksichtigen: Fehlerbehebung bei einem SRX-Chassis-Cluster, der über einen Layer-2-Switch verbunden ist.