[[331638]] 例示する 仮想化された SRX は、DNS プロキシ、IP in IP トンネル、IPsec VPN などの機能をサポートします。要件が高くない場合は、仮想化環境に展開できます。 この記事では、kvm にデプロイする方法といくつかの機能をテストする方法について説明します。 主にopenvswitch、kvm、junosの基本設定が含まれます 環境の展開 トポロジー トポロジの説明 - kvm と openvswitch (以下、ovs と呼びます) がインストールされた Linux ホストが必要です。
- 2 つの srx が kvm に展開され、それぞれ 2 つのポートを使用して ovs に接続します。
- 2つの名前空間を追加し、iperf3を使用して安定性をテストします
kvm デプロイ srx ovs および kvm ネットワークの構成 1. OVSブリッジを追加する - ovs-vsctl add -br example-ovsbr0
KVMネットワークを定義する xmlファイルを次のように編集します - vim の例-ovsbr0.xml
- <ネットワーク>
- <名前>example-ovsbr0</名前>
- <転送モード = 'ブリッジ' />
- <ブリッジ名= 'example-ovsbr0' />
- <仮想ポートタイプ= 'openvswitch' />
- <ポートグループ名= 'VLAN11' >
- <vlan>¡
- <タグid= '11' />
- </VLAN>
- </ポートグループ>
- <ポートグループ名= 'VLAN12' >
- <VLAN>
- <タグid= '12' />
- </VLAN>
- </ポートグループ>
- <ポートグループ名= 'VLAN13' >
- <VLAN>
- <タグid= '13' />
- </VLAN>
- </ポートグループ>
- <ポートグループ名= 'VLAN14' >
- <VLAN>
- <タグid= '14' />
- </VLAN>
- </ポートグループ>
- </ネットワーク>
3. KVMネットワークを作成する - virsh ネット定義例-ovsbr0.xml
4. ネットワークを起動し、自動的に起動するように設定する - virsh ネットスタート例-ovsbr0
-
- virsh ネット自動起動の例-ovsbr0
予防 - ネットワークカードの種類をe1000に変更してください。そうしないと認識されません。
- srx のポート ge0/0/0、ge0/0/1、ge0/0/2 に対応する 3 つのネットワーク カードを追加する必要があります。このうち ge0/0/0 は使用されません。
- コマンドは以下のとおりです
virt-install コマンド - 仮想インストール\
-
-
-
-
-
-
-
-
-
-
-
- # 別の
- 仮想インストール\
-
-
-
-
-
-
-
-
-
-
-
srx 構成 便宜上、使用されているすべてのネットワーク ポートを信頼ゾーンに配置しました。 srx-A - # 基本情報の設定
- システムサービスSSHを設定する
- ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.11.254に設定します。
- インターフェース ge-0/0/1 ユニット 0 ファミリー inet アドレス 172.19.11.100/24 を設定します。
- set system root-authentication plain-text- password # パスワードを 2 回設定するように求められます。
- ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.11.254に設定します。
- # DNS プロキシ設定
- システムサービス DNS フォワーダー 114.114.114.114を設定します
- システム サービス DNS DNS プロキシ インターフェイス ge-0/0/1.0を設定します
- set system services dns dns-proxy cache test.houm01.cn inet 99.99.99.99 # ローカル DNS A レコード設定
- # ip ipトンネル設定
- インターフェースを ip-0/0/0 ユニット 0 トンネルソース 172.19.11.100 に設定します。
- インターフェースを ip-0/0/0 ユニット 0 トンネル宛先 172.19.12.100 に設定します。
- インターフェースを ip-0/0/0 ユニット 0 ファミリー inet アドレス 1.1.1.1/30 に設定します。
- ルーティングオプションを静的ルート 172.19.14.0/24に設定し、ネクストホップ IP を 0/0/0.0 にします。
- # インターフェースゾーンの設定
- セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/1.0 ホストインバウンドトラフィック システムサービスすべて
- セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース、IP 0/0/0.0、ホスト着信トラフィック、システムサービスすべて
- セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/0.0 ホストインバウンドトラフィック システムサービスすべて
- # 設定を送信
- 専念
srx-B - # 基本情報の設定
- システムサービスSSHを設定する
- ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.12.254に設定します。
- インターフェース ge-0/0/1 ユニット 0 ファミリー inet アドレス 172.19.12.100/24 を設定します。
- set system root-authentication plain-text- password # パスワードを 2 回設定するように求められます。
- ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.12.254に設定します。
- # ip ipトンネル設定
- インターフェースを ip-0/0/0 ユニット 0 トンネルソース 172.19.12.100 に設定します。
- インターフェースを ip-0/0/0 ユニット 0 トンネル宛先 172.19.11.100 に設定します。
- インターフェースを ip-0/0/0 ユニット 0 ファミリー inet アドレス 1.1.1.2/30 に設定します。
- ルーティングオプションを静的ルート 172.19.14.0/24に設定し、ネクストホップ IP を 0/0/0.0 にします。
- # インターフェースゾーンの設定
- セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/1.0 ホストインバウンドトラフィック システムサービスすべて
- セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース、IP 0/0/0.0、ホスト着信トラフィック、システムサービスすべて
- セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/0.0 ホストインバウンドトラフィック システムサービスすべて
- # 設定を送信
- 専念
名前空間の構成 - # nsを追加
- ip netns ns1を追加します
- ip netns はns2を追加します
- # ネットワークケーブルを2本追加
- # 次のコマンドは、veth0~veth1 と veth2~veth3 の 2 つのペアを作成します。
- IPリンク追加タイプveth
- IPリンク追加タイプveth
- # 2本のネットワークケーブルの両端を名前空間に追加します
- IPリンクセットveth1netnsns1
- IPリンクセットveth3netnsns2
- #アドレスを設定する
- ip netns exec ns1 ip addr add 172.19.13.200/24 dev veth1
- ip netns exec ns2 ip addr add 172.19.14.200/24 dev veth3
- # ポートアップ
- ip netns exec ns1 ip link set dev veth1 up
- ip netns exec ns2 ip link set dev veth3 up
- # デフォルトルートを追加する
- # 次のホップは srx の内部ネットワークポートを指します
- ip netns exec ns1 ipルート追加 デフォルト172.19.13.100経由
- ip netns exec ns2 ipルート追加 デフォルト172.19.14.100経由
機能テスト DNS解決テスト digコマンドを使用して他のホストでテストする - www.baidu.com @172.19.11.100 を掘ってください
- ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> www.baidu.com @172.19.11.100
- ;;グローバルオプション: +cmd
- ;;回答が得られました:
- ;; ->>HEADER<<- オペコード: QUERY、ステータス: NOERROR、ID: 40389
- ;;フラグ: qr rd ra;質問: 1、回答: 3、権限: 13、追加: 1
- ;; OPT擬似セクション:
- ; EDNS: バージョン: 0、フラグ:;宛先アドレス: 4096
- ;;質問セクション:
- ;www.baidu.com.INA
- ;;回答セクション:
- www.baidu.com.1038INCNAMEwww.a.shifen.com。
- www.a.shifen.com.146INA163.177.151.110
- www.a.shifen.com.146INA163.177.151.109
- ;;権限セクション:
- .2276INNSj.root-servers.net。
- .2276INNSf.root-servers.net。
- .2276INNSc.root-servers.net。
- .2276INNSk.root-servers.net。
- .2276INNSl.root-servers.net.
- .2276INNSg.root-servers.net。
- .2276INNSm.root-servers.net。
- .2276INNSe.root-servers.net。
- .2276INNSd.root-servers.net。
- .2276INNSi.root-servers.net。
- .2276INNSa.root-servers.net。
- .2276INNSh.root-servers.net。
- .2276INNSb.root-servers.net。
- ;;クエリ時間: 55 ミリ秒
- ;;サーバー: 172.19.11.100#53(172.19.11.100)
- ;;日時: 2020年5月17日(日) 16:56:14 CST
- ;;受信したメッセージサイズ: 312
-
- ディグ test.houm01.cn @172.19.11.100
- ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> test.houm01.cn @172.19.11.100
- ;;グローバルオプション: +cmd
- ;;回答が得られました:
- ;; ->>HEADER<<- オペコード: QUERY、ステータス: NOERROR、ID: 49291
- ;;フラグ: qr aa rd ra;質問: 1、回答: 1、権限: 1、追加: 1
- ;; OPT擬似セクション:
- ; EDNS: バージョン: 0、フラグ:;宛先アドレス: 4096
- ;;質問セクション:
- ;test.houm01.cn.INA
- ;;回答セクション:
- テスト.houm01.cn.86400INA99.99.99.99
- ;;権限セクション:
- test.houm01.cn.86400INNStest.houm01.cn。
- ;;クエリ時間: 8 ミリ秒
- ;;サーバー: 172.19.11.100#53(172.19.11.100)
- ;;日時: 2020年5月17日(日) 16:57:01 CST
- ;;受信したメッセージサイズ: 73
ご覧のとおり、パブリック ドメイン名とカスタム ドメイン名の解析には問題はありません。 ip ipトンネルテスト ns1からns2にpingする - ip netns exec ns1 ping 172.19.14.200
- PING 172.19.14.200 (172.19.14.200) 56(84)バイトのデータ。
- 172.19.14.200からの64 バイト: icmp_seq=1 ttl=62 time =66.5 ms
- 172.19.14.200からの64 バイト: icmp_seq=2 ttl=62 time =51.7 ms
- ^C
-
- 送信パケット 2 個、受信パケット 2 個、パケット損失 0%、時間1002 ミリ秒
- rtt最小/平均/最大/mdev=51.769/59.155/66.542/7.390 ミリ秒
パフォーマンステスト iperf テスト 次のコマンドを実行してテストします - # ns1をリッスンするサーバーとして使用する
- ip netns exec ns1 iperf3 -s
- # ns2をクライアントとして使用し、30分間テストします
- ip netns exec ns2 iperf3 -c 172.19.13.100 -t 1800
参考文献 http://www.iwan.wiki/Virtual_router_instances_Juniper_vSRX、_Juniper_vMX_and_GNS3 https://kb.juniper.net/InfoCenter/index?page=content&id=KB23986 |