Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Virtuelle Firewall-Schnittstellen der vSRX-Serie hinzufügen

Der Netzwerkadapter für jede Schnittstelle verwendet SR-IOV oder VMXNET 3 als Adaptertyp. Der erste Netzwerkadapter ist für die Verwaltungsschnittstelle (fxp0) und muss VMXNET 3 verwenden. Alle zusätzlichen Netzwerkadapter sollten denselben Adaptertyp haben. Die drei erstellten Netzwerkadapter verwenden standardmäßig VMXNET 3.

Hinweis:

Ab Junos OS Version 18.4R1:

  • Sr-IOV (Mellanox ConnectX-3/ConnectX-3 Pro und Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) ist erforderlich, wenn Sie die Leistung und Kapazität einer virtuellen vSRX-Firewall-VM auf 9 oder 17 vCPUs und 16 oder 32 GB vRAM skalieren möchten.

  • Die DPDK-Version wurde von 17.02 auf 17.11.2 aktualisiert, um die Adapter der Mellanox-Familie zu unterstützen.

Ab Junos OS Version 19.4R1 wird DPDK-Version 18.11 auf der virtuellen Firewall vSRX unterstützt. Mit dieser Funktion unterstützt die Mellanox Connect Network Interface Card (NIC) auf der virtuellen vSRX-Firewall jetzt OSPF-Multicast und VLANs.

Die Netzwerkadapter werden sequenziell den virtuellen vSRX-Firewall-Schnittstellen zugeordnet, wie in Anforderungen für vSRX auf VMware dargestellt.

Hinweis:

Wenn Sie die für frühere Junos-Versionen erforderliche Problemumgehung zur Schnittstellenzuordnung verwendet haben, müssen Sie beim Upgrade auf Junos Version 15.1X49-D70 für virtuelle vSRX-Firewall keine Änderungen vornehmen.

In den folgenden Verfahren wird das Hinzufügen weiterer Netzwerkadapter beschrieben:

SR-IOV-Schnittstellen hinzufügen

SR-IOV-Schnittstellen müssen als PCI-Geräte auf VMware hinzugefügt werden. Um eine SR-IOV-Schnittstelle als PCI-Gerät hinzuzufügen, müssen Sie zuerst eine auf dem Gerät verfügbare virtuelle Funktion (VF) auswählen.

Hinweis:

Bei neuen vSRX Virtual Firewall-Installationen mit SR-IOV auf VMWare muss die virtuelle vSRX-Firewall zuerst bereitgestellt werden, ohne SR-IOV hinzuzufügen oder die VMXNET3-NICs zu ändern. Später kann die virtuelle Firewall vSRX ausgeschaltet und ein neuer SR-IOV-Adapter hinzugefügt werden.

Verwenden Sie das folgende Verfahren, um verfügbare VFs zu finden und PCI-Geräte hinzuzufügen:

  1. So finden Sie eine oder mehrere VFs:
    1. Verwenden Sie SSH, um sich beim ESXi-Server anzumelden, und geben Sie den folgenden Befehl ein, um die VFs für vmnic6 (oder eine andere vNIC) anzuzeigen:

      # esxcli network sriovnic vf list -n vmnic6

      Wählen Sie eine oder mehrere nicht aktive VF-IDs aus, z. B. 3 bis 6. Beachten Sie, dass ein VF, der einer ausgeschalteten VM zugewiesen ist, als inaktiv angezeigt wird.

    2. Geben Sie den lspci Befehl ein, um die VF-Nummer der ausgewählten VF-IDs anzuzeigen. Im folgenden Beispiel suchen Sie den Eintrag, der mit [vmnic6 endet], scrollen Sie nach unten zu dem nächsten Eintrag, der mit VF_3 endet, und notieren Sie sich die zugehörige VF-Nummer 05:10.6. Beachten Sie, dass der nächste VF_3 Eintrag für vmnic7 ist.

      # lspci

  2. So fügen Sie SR-IOV-Schnittstellen zur virtuellen vSRX-Firewall-VM hinzu:
    1. Schalten Sie die virtuelle vSRX-Firewall-VM aus, und öffnen Sie die Seite "Einstellungen bearbeiten". Standardmäßig gibt es drei Netzwerkadapter, die VMXNET 3 verwenden.
    2. Fügen Sie ein oder mehrere PCI-Geräte auf der Seite "Virtuelle Hardware" hinzu. Für jedes Gerät müssen Sie einen Eintrag mit einer verfügbaren VF-Nummer aus Schritt 1 auswählen. Zum Beispiel:

      05:10.6 | Intel Corporation 82599 Ethernet-Controller Virtual Function

    3. Klicken Sie auf OK , und öffnen Sie die Seite "Einstellungen bearbeiten", um zu überprüfen, ob die neuen Netzwerkadapter auf der Seite virtuelle Hardware angezeigt werden (ein VMXNET 3-Netzwerkadapter und bis zu neun SR-IOV-Schnittstellen als PCI-Geräte).

      Um die MAC-Adressen der SR-IOV-Schnittstelle anzuzeigen, wählen Sie die Registerkarte VM-Optionen aus, klicken Sie im linken Frame auf Erweitert , und klicken Sie dann auf Konfiguration bearbeiten. In den Parametern pciPassthruN.generatedMACAddressgibt N die PCI-Gerätenummer an (0 bis 9).

    4. Schalten Sie die virtuelle vSRX-Firewall-VM ein und melden Sie sich bei der VM an, um zu überprüfen, ob der VMXNET 3-Netzwerkadapter 1 auf fxp0, PCI-Gerät 0 auf Ge-0/0/0, PCI-Gerät 1 auf ge-0/0/1 zugeordnet ist usw.
Hinweis:

Eine virtuelle vSRX-Firewall-VM mit SR-IOV-Schnittstellen kann nicht geklont werden. Sie müssen eine neue virtuelle vSRX-Firewall-VM bereitstellen und die SR-IOV-Schnittstellen hinzufügen, wie hier beschrieben.

VMXNET 3-Schnittstellen hinzufügen

Verwenden Sie die folgende Prozedur, um VMXNET 3-Schnittstellen hinzuzufügen:

  1. Schalten Sie die virtuelle vSRX-Firewall-VM aus, und öffnen Sie die Seite "Einstellungen bearbeiten" auf vSphere Web Client.
  2. Fügen Sie Auf der Seite "Virtuelle Hardware" Netzwerkadapter hinzu. Wählen Sie für jeden Netzwerkadapter die Option Netzwerk aus der Liste Neue Geräte unten auf der Seite, erweitern Sie Neues Netzwerk, und wählen Sie VMXNET 3 als Adaptertyp aus.
  3. Klicken Sie auf OK , und öffnen Sie die Seite "Einstellungen bearbeiten", um zu überprüfen, ob die neuen Netzwerkadapter auf der Seite virtuelle Hardware angezeigt werden.
  4. Schalten Sie die virtuelle vSRX-Firewall-VM ein und melden Sie sich bei der VM an, um zu überprüfen, ob Der Netzwerkadapter 1 auf fxp0, der Netzwerkadapter 2 auf Ge-0/0/0 usw. abgebildet ist. Verwenden Sie den show interfaces terse CLI-Befehl, um zu überprüfen, ob die Schnittstellen fxp0 und ge-0/0/n verfügbar sind.