Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Déployez des nœuds de cluster de châssis pare-feu virtuel vSRX sur différents hôtes ESXi à l’aide de dvSwitch

Avant de déployer les nœuds de cluster du châssis du pare-feu virtuel vSRX pour les hôtes ESXi 6.0 (ou versions ultérieures) à l’aide d’un commutateur virtuel distribué (dvSwitch), assurez-vous de définir les paramètres de configuration suivants à partir de vSphere Web Client pour vous assurer que la liaison de contrôle de cluster haute disponibilité fonctionne correctement entre les deux nœuds :

  • Dans les paramètres du commutateur dvSwitch de vSphere Web Client, désactivez la surveillance IGMP pour le mode de filtrage multicast.

  • Dans la configuration du groupe de ports dvSwitch de vSphere Web Client, activez le mode de promiscuité.

Pour plus d’informations, reportez-vous à la documentation de VMware vSphere.

Cette méthode de cluster de châssis utilise la fonctionnalité de LAN virtuel privé (PVLAN) de dvSwitch pour déployer les nœuds de cluster de châssis du pare-feu virtuel vSRX sur différents hôtes ESXi. Il n’est pas nécessaire de modifier les configurations des commutateurs externes.

Sur le client Web VMware vSphere, pour dvSwitch, il existe deux ID PVLAN pour les VLAN principal et secondaire. Sélectionnez Communauté dans le menu correspondant au type d’ID de VLAN secondaire.

Utilisez les deux ID PVLAN secondaires pour le contrôle du pare-feu virtuel vSRX et les liaisons de structure. Reportez-vous aux figures 1 et 2.

Figure 1 : paramètres dvPortGroup3 Settings de dvPortGroup3
Figure 2 : paramètres dvPortGroup6 Settings dvPortGroup6
Note:

Les configurations décrites ci-dessus doivent résider au niveau d’un commutateur externe auquel des liaisons montantes de commutateur distribuées sont connectées. Si la liaison au niveau du commutateur externe prend en charge le VLAN natif, le VLAN peut être défini sur aucun dans la configuration du groupe de ports du commutateur distribué. Si le VLAN natif n’est pas pris en charge sur la liaison, le VLAN doit être activé dans cette configuration.

Vous pouvez également utiliser un VLAN standard sur un commutateur distribué pour déployer des nœuds de cluster de châssis pare-feu virtuel vSRX sur différents hôtes ESXi à l’aide de dvSwitch. Un VLAN classique fonctionne de la même manière qu’un commutateur physique. Si vous souhaitez utiliser un VLAN standard au lieu d’un PVLAN, désactivez l’écoute IGMP pour les liens de cluster de châssis.

Cependant, l’utilisation de PVLAN est recommandée pour les raisons suivantes :

  • Le PVLAN n’impose pas la surveillance IGMP.

  • Le PVLAN permet d’enregistrer les ID de VLAN.

Note:

Lorsque le cluster de pare-feu virtuel vSRX sur plusieurs hôtes ESXi communique via des commutateurs physiques, vous devez prendre en compte les autres paramètres de couche 2 à l’adresse suivante : Dépannage d’un cluster de châssis SRX connecté via un commutateur de couche 2.