Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Ensayo y aprovisionamiento de clústeres de firewall virtual vSRX para KVM

Puede aprovisionar las máquinas virtuales y las redes virtuales del firewall virtual vSRX para configurar la agrupación en clústeres del chasis.

El almacenamiento provisional y el aprovisionamiento del clúster de chasis de vSRX Virtual Firewall incluyen las siguientes tareas:

Aprovisionamiento de clústeres de chasis en el firewall virtual vSRX

El clúster de chasis requiere las siguientes conexiones directas entre las dos instancias de vSRX Virtual Firewall:

  • Vínculo de control, o red virtual, que actúa en modo activo/pasivo para el tráfico del plano de control entre las dos instancias de Firewall virtual vSRX

  • Vínculo de estructura, o red virtual, que actúa en modo activo/activo para el tráfico de datos entre las dos instancias de Firewall virtual vSRX

    Nota:

    Opcionalmente, puede crear dos vínculos de estructura para obtener más redundancia.

El clúster de firewall virtual vSRX utiliza las siguientes interfaces:

  • Interfaz de administración fuera de banda (fxp0)

  • Interfaz de control de clúster (em0)

  • Interfaz de estructura de clúster (fab0 en el nodo 0, fab1 en el nodo 1)

Nota:

La interfaz de control debe ser la segunda vNIC. Opcionalmente, puede configurar un segundo vínculo de estructura para aumentar la redundancia.
Figura 1: Clúster de chasis de firewall virtual vSRX vSRX Virtual Firewall Chassis Cluster

El Firewall virtual vSRX admite el clúster de chasis mediante el controlador e interfaces virtio, con las siguientes consideraciones:

  • Cuando habilite el clúster de chasis, también debe habilitar tramas jumbo (tamaño MTU = 9000) para admitir el vínculo de estructura en la interfaz de red virtio.

  • Si configura un clúster de chasis en dos hosts físicos, desactive la supervisión igmp en cada interfaz física de host que utilice el vínculo de control del firewall virtual vSRX para asegurarse de que ambos nodos del clúster de chasis reciban el latido del vínculo de control.

  • Después de habilitar el clúster de chasis, la instancia de Firewall virtual vSRX asigna la segunda vNIC al vínculo de control, em0. Puede asignar cualquier otra vNIC al vínculo de estructura.

Nota:

Para las interfaces virtio, no se admite la actualización del estado del vínculo. El estado del vínculo de las interfaces virtio siempre se indica como Arriba. Por este motivo, una instancia de vSRX Virtual Firewall que utiliza virtio y clúster de chasis no puede recibir mensajes de vínculo hacia arriba y hacia abajo de las interfaces de virtio.

El tiempo de caducidad de MAC de la red virtual determina la cantidad de tiempo que una entrada permanece en la tabla MAC. Se recomienda reducir el tiempo de antigüedad de MAC en las redes virtuales para minimizar el tiempo de inactividad durante la conmutación por error.

Por ejemplo, puede usar el comando para establecer antigüedad brctl setageing bridge 1 en 1 segundo para el puente de Linux.

Configure las redes virtuales para los vínculos de control y estructura y, a continuación, cree y conecte la interfaz de control a la red virtual de control y la interfaz de estructura a la red virtual de estructura.

Creación de redes virtuales de clúster de chasis con virt-manager

En KVM, se crean dos redes virtuales (control y estructura) a las que se puede conectar cada instancia de vSRX Virtual Firewall para la agrupación en clústeres del chasis.

Para crear una red virtual con virt-manager:

  1. Inicie virt-manager y seleccione Editar>Detalles de conexión. Aparecerá el cuadro de diálogo Detalles de conexión.
  2. Seleccione Redes virtuales. Aparecerá la lista de redes virtuales existentes.
  3. Haga clic en + para crear una nueva red virtual para el vínculo de control. Aparecerá el asistente Crear una nueva red virtual.
  4. Establezca la subred para esta red virtual y haga clic en Reenviar.
  5. Seleccione Habilitar DHCP y haga clic en Reenviar.
  6. Seleccione Red virtual aislada y haga clic en adelante.
  7. Compruebe la configuración y haga clic en Finalizar para crear la red virtual.

Creación de redes virtuales de clúster de chasis con virsh

En KVM, se crean dos redes virtuales (control y estructura) a las que se puede conectar cada firewall virtual vSRX para la agrupación en clústeres del chasis.

Para crear la red de control con virsh:

  1. Utilice el virsh net-define comando del sistema operativo host para crear un archivo XML que defina la nueva red virtual. Incluya los campos XML descritos en la tabla 1 para definir esta red.
    Nota:

    Consulte la documentación oficial virsh para obtener una descripción completa de las opciones disponibles.
    Tabla 1: Campos XML virsh net-define

    Campo

    Descripción

    <red>... </red>

    Utilice este elemento contenedor XML para definir una red virtual.

    <nombre>net-name</nombre>

    Especifique el nombre de la red virtual.

    <nombre del puente="bridge-name" />

    Especifique el nombre del puente de host usado para esta red virtual.

    <forward mode="forward-option" />

    Especifique routed o nat. No utilice el elemento <adelante> para el modo aislado.

    <dirección IP="ip-address" netmask="net-mask"

    <intervalo dhcp start="start" end="end" </dhcp> </ip>

    Especifique la dirección IP y la máscara de subred que usa esta red virtual, junto con el intervalo de direcciones DHCP.

    En el ejemplo siguiente se muestra un archivo XML de ejemplo que define una red virtual de control.

  2. Use el virsh net-start comando para iniciar la nueva red virtual.

    hostOS# virsh net-start control

  3. Utilice el virsh net-autostart comando para iniciar automáticamente la nueva red virtual cuando se inicie el sistema operativo host.

    hostOS# virsh net-autostart control

  4. Opcionalmente, use el virsh net-list –all comando en el sistema operativo host para comprobar la nueva red virtual.
  5. Repita este procedimiento para crear la red virtual de estructura.

Configuración de las interfaces de control y estructura con virt-manager

Para configurar las interfaces de control y estructura para clústeres de chasis con virt-manager:

  1. En virt-manager, haga doble clic en la máquina virtual vSRX Virtual Firewall y seleccione Ver>Detalles. Aparecerá el cuadro de diálogo Detalles de la máquina virtual del firewall virtual vSRX.
  2. Seleccione la segunda vNIC y seleccione la red virtual de control en la lista Dispositivo de origen.
  3. Seleccione virtio en la lista Modelo de dispositivo y haga clic en Aplicar.
  4. Seleccione una vNIC posterior y seleccione la red virtual de estructura en la lista Dispositivo de origen.
  5. Seleccione virtio en la lista Modelo de dispositivo y haga clic en Aplicar.
  6. Para la interfaz de estructura, utilice el ifconfig comando en el sistema operativo host para establecer la MTU en 9000.

    hostOS# ifconfig vnet1 mtu 9000

Configuración de las interfaces de control y estructura con virsh

Para configurar interfaces de control y estructura para una máquina virtual vSRX Virtual Firewall con virsh:

  1. Escriba virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio en el sistema operativo host.

    Este comando crea una interfaz virtual denominada control y la conecta a la red virtual de control.

  2. Escriba virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio en el sistema operativo host.

    Este comando crea una interfaz virtual denominada estructura y la conecta a la red virtual de estructura.

  3. Para la interfaz de estructura, utilice el ifconfig comando en el sistema operativo host para establecer la MTU en 9000.

    hostOS# ifconfig vnet1 mtu 9000

Configuración de puertos de estructura de clúster de chasis

Una vez formado el clúster de chasis, debe configurar las interfaces que componen los puertos de estructura (datos).

Asegúrese de haber configurado lo siguiente:

  • Establezca los ID de clúster de chasis en ambas instancias de Firewall virtual vSRX y reinicie las instancias de Firewall virtual vSRX.

  • Se configuraron los vínculos de control y estructura.

  1. En la consola del nodo 0 del firewall virtual vSRX, en modo de configuración, configure los puertos de estructura (datos) del clúster que se utilizan para pasar objetos en tiempo real (RTO). La configuración se sincronizará directamente a través del puerto de control con el nodo 1 del firewall virtual vSRX.
    Nota:

    Un puerto de estructura puede ser cualquier interfaz de ingresos no utilizada.
  2. Reinicie el nodo 0 del Firewall virtual vSRX.

Documentación relacionada