Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Preparación y aprovisionamiento de clústeres de firewall virtual vSRX para KVM

Puede aprovisionar las máquinas virtuales del firewall virtual vSRX y las redes virtuales para configurar la agrupación en clústeres de chasis.

El ensayo y el aprovisionamiento del clúster de chasis del firewall virtual vSRX incluye las siguientes tareas:

Aprovisionamiento de clústeres de chasis en firewall virtual vSRX

El clúster de chasis requiere las siguientes conexiones directas entre las dos instancias del firewall virtual vSRX:

  • Vínculo de control o red virtual, que actúa en modo activo/pasivo para el tráfico del plano de control entre las dos instancias del firewall virtual vSRX

  • Vínculo de estructura o red virtual, que actúa en modo activo/activo para el tráfico de datos entre las dos instancias del firewall virtual vSRX

    Nota:

    Opcionalmente, puede crear dos vínculos de estructura para obtener más redundancia.

El clúster de firewall virtual vSRX utiliza las siguientes interfaces:

  • Interfaz de administración fuera de banda (fxp0)

  • Interfaz de control de clúster (em0)

  • Interfaz de estructura de clúster (fab0 en el nodo0, fab1 en el nodo1)

Nota:

La interfaz de control debe ser la segunda vNIC. Opcionalmente, puede configurar un segundo vínculo de estructura para aumentar la redundancia.
Figura 1: Clúster de chasis de firewall virtual vSRX vSRX Virtual Firewall Chassis Cluster

El firewall virtual vSRX admite clústeres de chasis mediante el controlador y las interfaces virtio, con las siguientes consideraciones:

  • Cuando habilite el clúster de chasis, también debe habilitar tramas jumbo (tamaño de MTU = 9000) para admitir el vínculo de estructura en la interfaz de red virtio.

  • Si configura un clúster de chasis en dos hosts físicos, desactive la igmp-snooping en cada interfaz física de host que utilice el vínculo de control del firewall virtual vSRX para garantizar que los latidos del vínculo de control sean recibidos por ambos nodos del clúster de chasis.

  • Después de habilitar el clúster de chasis, la instancia del firewall virtual vSRX asigna la segunda vNIC al vínculo de control, em0. Puede asignar cualquier otro vNIC al vínculo de estructura.

Nota:

En el caso de las interfaces virtio, no se admite la actualización del estado del vínculo. El estado del vínculo de las interfaces virtio siempre se informa como Up. Por esta razón, una instancia de firewall virtual vSRX que usa virtio y clúster de chasis no puede recibir mensajes de vínculo arriba y abajo de interfaces de virtio.

El tiempo de antigüedad de MAC de red virtual determina la cantidad de tiempo que permanece una entrada en la tabla MAC. Recomendamos que reduzca el tiempo de antigüedad de MAC en las redes virtuales para minimizar el tiempo de inactividad durante la conmutación por error.

Por ejemplo, puede usar el comando para establecer el brctl setageing bridge 1 envejecimiento en 1 segundo para el puente Linux.

Configure las redes virtuales para los vínculos de control y estructura, luego cree y conecte la interfaz de control a la red virtual de control y la interfaz de estructura a la red virtual de estructura.

Creación de redes virtuales de clúster de chasis con virt-manager

En KVM, puede crear dos redes virtuales (control y estructura) a las que puede conectar cada instancia del firewall virtual vSRX para la agrupación de chasis.

Para crear una red virtual con virt-manager:

  1. Inicie virt-manager y seleccione Editar> Detalles de conexión. Aparecerá el cuadro de diálogo Detalles de la conexión.
  2. Seleccione Redes virtuales. Aparecerá la lista de redes virtuales existentes.
  3. Haga clic en + para crear una nueva red virtual para el vínculo de control. Aparecerá el Asistente para crear una nueva red virtual.
  4. Establezca la subred para esta red virtual y haga clic en Reenviar.
  5. Seleccione Habilitar DHCP y haga clic en Reenviar.
  6. Seleccione Red virtual aislada y haga clic en reenviar.
  7. Compruebe la configuración y haga clic en Finalizar para crear la red virtual.

Creación de redes virtuales de clúster de chasis con virsh

En KVM, puede crear dos redes virtuales (control y estructura) a las que puede conectar cada firewall virtual vSRX para la agrupación de chasis.

Para crear la red de control con virsh:

  1. Utilice el virsh net-define comando en el sistema operativo del host para crear un archivo XML que defina la nueva red virtual. Incluya los campos XML descritos en la tabla 1 para definir esta red.
    Nota:

    Consulte la documentación oficial virsh para obtener una descripción completa de las opciones disponibles.
    Tabla 1: campos XML de definición de red virsh

    Campo

    Descripción

    <red>... </red>

    Use este elemento de contenedor XML para definir una red virtual.

    <name>net-name</name>

    Especifique el nombre de la red virtual.

    <bridge name="bridge-name" />

    Especifique el nombre del puente de host utilizado para esta red virtual.

    <forward mode="forward-option" />

    Especifique el enrutado o nat. No utilice el elemento <forward> para el modo aislado.

    <ip address="ip-address" netmask="net-mask"

    < rangodhcp start="start" end="end" </dhcp> </ip>

    Especifique la dirección IP y la máscara de subred que usa esta red virtual, junto con el intervalo de direcciones DHCP.

    En el siguiente ejemplo, se muestra un archivo XML de ejemplo que define una red virtual de control.

  2. Utilice el virsh net-start comando para iniciar la nueva red virtual.

    Hostos# virsh net-start control

  3. Utilice el virsh net-autostart comando para iniciar automáticamente la nueva red virtual cuando se inicie el sistema operativo host.

    Hostos# virsh net-autostart control

  4. Opcionalmente, utilice el virsh net-list –all comando en el sistema operativo host para comprobar la nueva red virtual.
  5. Repita este procedimiento para crear la red virtual de estructura.

Configuración de las interfaces de control y estructura con virt-manager

Para configurar las interfaces de control y estructura para la agrupación de chasis con virt-manager:

  1. En virt-manager, haga doble clic en la vm del firewall virtual vSRX y seleccione Ver>Details. Aparecerá el cuadro de diálogo de detalles de la máquina virtual del firewall virtual vSRX.
  2. Seleccione la segunda vNIC y seleccione la red virtual de control en la lista de dispositivos de origen.
  3. Seleccione virtio de la lista Modelo de dispositivo y haga clic en Aplicar.
  4. Seleccione una vNIC posterior y seleccione la red virtual de estructura en la lista de dispositivos de origen.
  5. Seleccione virtio de la lista Modelo de dispositivo y haga clic en Aplicar.
  6. Para la interfaz de estructura, utilice el ifconfig comando en el sistema operativo host para establecer la MTU en 9000.

    Hostos# ifconfig vnet1 mtu 9000

Configuración de las interfaces de control y estructura con virsh

Para configurar interfaces de control y estructura en una VM de firewall virtual vSRX con virsh:

  1. Escriba virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio en el host OS.

    Este comando crea una interfaz virtual llamada control y la conecta a la red virtual de control.

  2. Escriba virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio en el host OS.

    Este comando crea una interfaz virtual llamada fabric y la conecta a la red virtual de estructura.

  3. Para la interfaz de estructura, utilice el ifconfig comando en el sistema operativo host para establecer la MTU en 9000.

    Hostos# ifconfig vnet1 mtu 9000

Configuración de puertos de estructura de clúster de chasis

Después de formar el clúster de chasis, debe configurar las interfaces que conforman los puertos de estructura (datos).

Asegúrese de que ha configurado lo siguiente:

  • Establezca los IDs del clúster de chasis en ambas instancias del firewall virtual vSRX y reinicie las instancias del firewall virtual vSRX.

  • Configure los vínculos de control y estructura.

  1. En la consola del nodo 0 del firewall virtual vSRX en modo de configuración, configure los puertos de estructura (datos) del clúster que se utilizan para pasar objetos en tiempo real (RTO). La configuración se sincronizará directamente a través del puerto de control al nodo 1 del firewall virtual vSRX.
    Nota:

    Un puerto de estructura puede ser cualquier interfaz de ingresos no uso.
  2. Reinicie el nodo 0 del firewall virtual vSRX.

Documentación relacionada