Juniper SRX の導入方法と KVM でのテスト

Juniper SRX の導入方法と KVM でのテスト

[[331638]]

例示する

仮想化された SRX は、DNS プロキシ、IP in IP トンネル、IPsec VPN などの機能をサポートします。要件が高くない場合は、仮想化環境に展開できます。

この記事では、kvm にデプロイする方法といくつかの機能をテストする方法について説明します。

主にopenvswitch、kvm、junosの基本設定が含まれます

環境の展開

トポロジー

トポロジの説明

  1. kvm と openvswitch (以下、ovs と呼びます) がインストールされた Linux ホストが必要です。
  2. 2 つの srx が kvm に展開され、それぞれ 2 つのポートを使用して ovs に接続します。
  3. 2つの名前空間を追加し、iperf3を使用して安定性をテストします

kvm デプロイ srx

ovs および kvm ネットワークの構成

1. OVSブリッジを追加する

  1. ovs-vsctl add -br example-ovsbr0

KVMネットワークを定義する

xmlファイルを次のように編集します

  1. vim の例-ovsbr0.xml
  2. <ネットワーク>
  3. <名前>example-ovsbr0</名前>
  4. <転送モード = 'ブリッジ' />
  5. <ブリッジ= 'example-ovsbr0' />
  6. <仮想ポートタイプ= 'openvswitch' />
  7. <ポートグループ= 'VLAN11' >
  8. <vlan>¡
  9. <タグid= '11' />
  10. </VLAN>
  11. </ポートグループ>
  12. <ポートグループ= 'VLAN12' >
  13. <VLAN>
  14. <タグid= '12' />
  15. </VLAN>
  16. </ポートグループ>
  17. <ポートグループ= 'VLAN13' >
  18. <VLAN>
  19. <タグid= '13' />
  20. </VLAN>
  21. </ポートグループ>
  22. <ポートグループ= 'VLAN14' >
  23. <VLAN>
  24. <タグid= '14' />
  25. </VLAN>
  26. </ポートグループ>
  27. </ネットワーク>

3. KVMネットワークを作成する

  1. virsh ネット定義例-ovsbr0.xml

4. ネットワークを起動し、自動的に起動するように設定する

  1. virsh ネットスタート例-ovsbr0
  2.  
  3. virsh ネット自動起動の例-ovsbr0

予防

  1. ネットワークカードの種類をe1000に変更してください。そうしないと認識されません。
  2. srx のポート ge0/0/0、ge0/0/1、ge0/0/2 に対応する 3 つのネットワーク カードを追加する必要があります。このうち ge0/0/0 は使用されません。
  3. コマンドは以下のとおりです

virt-install コマンド

  1. 仮想インストール\
  2. --virt-type=kvm \  
  3. --name=srx-A \  
  4. --vcpus=2 \  
  5. --メモリ=2048 \  
  6. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN11、モデル=e1000 \  
  7. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN11、モデル=e1000 \  
  8. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN13、モデル=e1000 \  
  9. --disk パス=/data/example/vmfiles/srx-A.qcow2、サイズ=40、フォーマット=qcow2 \  
  10. - 輸入 \  
  11. --グラフィックスなし\  
  12. - 力 
  13. # 別の
  14. 仮想インストール\
  15. --virt-type=kvm \  
  16. --name=srx-B \  
  17. --vcpus=2 \  
  18. --メモリ=2048 \  
  19. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN12、モデル=e1000 \  
  20. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN12、モデル=e1000 \  
  21. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN14、モデル=e1000 \  
  22. --disk パス=/data/example/vmfiles/srx-B.qcow2、サイズ=40、フォーマット=qcow2 \  
  23. - 輸入 \  
  24. --グラフィックスなし\  
  25. - 力 

srx 構成

便宜上、使用されているすべてのネットワーク ポートを信頼ゾーンに配置しました。

srx-A

  1. # 基本情報の設定
  2. システムサービスSSHを設定する
  3. ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.11.254に設定します
  4. インターフェース ge-0/0/1 ユニット 0 ファミリー inet アドレス 172.19.11.100/24 を設定します
  5. set system root-authentication plain-text- password # パスワードを 2 回設定するように求められます。
  6. ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.11.254に設定します
  7. # DNS プロキシ設定
  8. システムサービス DNS フォワーダー 114.114.114.114を設定します
  9. システム サービス DNS DNS プロキシ インターフェイス ge-0/0/1.0を設定します
  10. set system services dns dns-proxy cache test.houm01.cn inet 99.99.99.99 # ローカル DNS A レコード設定
  11. # ip ipトンネル設定
  12. インターフェースを ip-0/0/0 ユニット 0 トンネルソース 172.19.11.100 に設定します
  13. インターフェースを ip-0/0/0 ユニット 0 トンネル宛先 172.19.12.100 に設定します
  14. インターフェースを ip-0/0/0 ユニット 0 ファミリー inet アドレス 1.1.1.1/30 に設定します
  15. ルーティングオプションを静的ルート 172.19.14.0/24に設定しネクストホップ IP を 0/0/0.0 にします。
  16. # インターフェースゾーンの設定
  17. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/1.0 ホストインバウンドトラフィック システムサービスすべて 
  18. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース、IP 0/0/0.0、ホスト着信トラフィック、システムサービスすべて 
  19. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/0.0 ホストインバウンドトラフィック システムサービスすべて 
  20. # 設定を送信
  21. 専念 

srx-B

  1. # 基本情報の設定
  2. システムサービスSSHを設定する
  3. ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.12.254に設定します
  4. インターフェース ge-0/0/1 ユニット 0 ファミリー inet アドレス 172.19.12.100/24 を設定します
  5. set system root-authentication plain-text- password # パスワードを 2 回設定するように求められます。
  6. ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.12.254に設定します
  7. # ip ipトンネル設定
  8. インターフェースを ip-0/0/0 ユニット 0 トンネルソース 172.19.12.100 に設定します
  9. インターフェースを ip-0/0/0 ユニット 0 トンネル宛先 172.19.11.100 に設定します
  10. インターフェースを ip-0/0/0 ユニット 0 ファミリー inet アドレス 1.1.1.2/30 に設定します
  11. ルーティングオプションを静的ルート 172.19.14.0/24に設定しネクストホップ IP を 0/0/0.0 にします。
  12. # インターフェースゾーンの設定
  13. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/1.0 ホストインバウンドトラフィック システムサービスすべて 
  14. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース、IP 0/0/0.0、ホスト着信トラフィック、システムサービスすべて 
  15. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/0.0 ホストインバウンドトラフィック システムサービスすべて 
  16. # 設定を送信
  17. 専念 

名前空間の構成

  1. # nsを追加
  2. ip netns ns1を追加します
  3. ip netns はns2を追加します
  4. # ネットワークケーブルを2本追加
  5. # 次のコマンドは、veth0~veth1 と veth2~veth3 の 2 つのペアを作成します。
  6. IPリンク追加タイプveth
  7. IPリンク追加タイプveth
  8. # 2本のネットワークケーブルの両端を名前空間に追加します
  9. IPリンクセットveth1netnsns1
  10. IPリンクセットveth3netnsns2
  11. #アドレスを設定する
  12. ip netns exec ns1 ip addr add 172.19.13.200/24 ​​dev veth1
  13. ip netns exec ns2 ip addr add 172.19.14.200/24 ​​dev veth3
  14. # ポートアップ
  15. ip netns exec ns1 ip link set dev veth1 up
  16. ip netns exec ns2 ip link set dev veth3 up
  17. # デフォルトルートを追加する
  18. # 次のホップは srx の内部ネットワークポートを指します
  19. ip netns exec ns1 ipルート追加 デフォルト172.19.13.100経由
  20. ip netns exec ns2 ipルート追加 デフォルト172.19.14.100経由

機能テスト

DNS解決テスト

digコマンドを使用して他のホストでテストする

  1. www.baidu.com @172.19.11.100 を掘ってください
  2. ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> www.baidu.com @172.19.11.100
  3. ;;グローバルオプション: +cmd
  4. ;;回答が得られました:
  5. ;; ->>HEADER<<- オペコード: QUERY、ステータス: NOERROR、ID: 40389
  6. ;;フラグ: qr rd ra;質問: 1、回答: 3、権限: 13、追加: 1
  7. ;; OPT擬似セクション:
  8. ; EDNS: バージョン: 0、フラグ:;宛先アドレス: 4096
  9. ;;質問セクション:
  10. ;www.baidu.com.INA
  11. ;;回答セクション:
  12. www.baidu.com.1038INCNAMEwww.a.shifen.com。
  13. www.a.shifen.com.146INA163.177.151.110
  14. www.a.shifen.com.146INA163.177.151.109
  15. ;;権限セクション:
  16. .2276INNSj.root-servers.net。
  17. .2276INNSf.root-servers.net。
  18. .2276INNSc.root-servers.net。
  19. .2276INNSk.root-servers.net。
  20. .2276INNSl.root-servers.net.
  21. .2276INNSg.root-servers.net。
  22. .2276INNSm.root-servers.net。
  23. .2276INNSe.root-servers.net。
  24. .2276INNSd.root-servers.net。
  25. .2276INNSi.root-servers.net。
  26. .2276INNSa.root-servers.net。
  27. .2276INNSh.root-servers.net。
  28. .2276INNSb.root-servers.net。
  29. ;;クエリ時間: 55 ミリ秒
  30. ;;サーバー: 172.19.11.100#53(172.19.11.100)
  31. ;;日時: 2020年5月17日(日) 16:56:14 CST
  32. ;;受信したメッセージサイズ: 312
  33. --------------------------------  
  34. ディグ test.houm01.cn @172.19.11.100
  35. ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> test.houm01.cn @172.19.11.100
  36. ;;グローバルオプション: +cmd
  37. ;;回答が得られました:
  38. ;; ->>HEADER<<- オペコード: QUERY、ステータス: NOERROR、ID: 49291
  39. ;;フラグ: qr aa rd ra;質問: 1、回答: 1、権限: 1、追加: 1
  40. ;; OPT擬似セクション:
  41. ; EDNS: バージョン: 0、フラグ:;宛先アドレス: 4096
  42. ;;質問セクション:
  43. ;test.houm01.cn.INA
  44. ;;回答セクション:
  45. テスト.houm01.cn.86400INA99.99.99.99
  46. ;;権限セクション:
  47. test.houm01.cn.86400INNStest.houm01.cn。
  48. ;;クエリ時間: 8 ミリ秒
  49. ;;サーバー: 172.19.11.100#53(172.19.11.100)
  50. ;;日時: 2020年5月17日(日) 16:57:01 CST
  51. ;;受信したメッセージサイズ: 73

ご覧のとおり、パブリック ドメイン名とカスタム ドメイン名の解析には問題はありません。

ip ipトンネルテスト

ns1からns2にpingする

  1. ip netns exec ns1 ping 172.19.14.200
  2. PING 172.19.14.200 (172.19.14.200) 56(84)バイトデータ。
  3. 172.19.14.200からの64 バイト: icmp_seq=1 ttl=62 time =66.5 ms
  4. 172.19.14.200からの64 バイト: icmp_seq=2 ttl=62 time =51.7 ms
  5. ^C
  6. --- 172.19.14.200 ping 統計 ---  
  7. 送信パケット 2 個、受信パケット 2 個、パケット損失 0%、時間1002 ミリ秒
  8. rtt最小/平均/最大/mdev=51.769/59.155/66.542/7.390 ミリ秒

パフォーマンステスト

iperf テスト

次のコマンドを実行してテストします

  1. # ns1をリッスンするサーバーとして使用する
  2. ip netns exec ns1 iperf3 -s
  3. # ns2をクライアントとして使用し、30分間テストします
  4. ip netns exec ns2 iperf3 -c 172.19.13.100 -t 1800

参考文献

http://www.iwan.wiki/Virtual_router_instances_Juniper_vSRX、_Juniper_vMX_and_GNS3

https://kb.juniper.net/InfoCenter/index?page=content&id=KB23986

<<:  産業用エッジコンピューティングの最終的な勝者は誰になるでしょうか?

>>:  わかった! VMware/KVM/Dockerはこんな感じ

推薦する

検索エンジンが好むウェブサイトレイアウトを作成する

ウェブサイトの構造は SEO の基礎です。SEO に有利なウェブサイトの構造を構築するには、検索エン...

ブランドマーケティングSOP配信レポート

馴染みのない業界に遭遇したときに、市場環境分析、トップ製品分析、ソーシャルメディアマーケティング分析...

ウェブサイトのトラフィックを増やす5つの方法

SEO 担当者なら誰でも、ウェブサイトのトラフィックがウェブサイト存続の基盤であることを知っています...

ランキングアルゴリズムコンテンツの90%は4つの要素で決まる

私の意見 - 4つの要素がランキングアルゴリズムの90%を決定しますランキングのために検索マーケティ...

2018年上海Chinajoyゲーム&アニメーションカンファレンス前の完全ガイド!

「新技術、新エンターテインメント、新価値」をテーマにした第16回ChinaJoy 2018が、8月3...

企業がハイパースケールクラウドプロバイダーになるチャンスは終わりつつある

現在、パブリック クラウドの市場シェアの大部分は、一握りの業界大手企業が占めています。他の大企業の中...

ハイブリッド クラウドの旅は Linux から始まります。

今日の時代では、組織は顧客に価値を提供する方法を変革するために、新しいテクノロジーと実践に継続的に投...

resellerclub - 格安ドメイン名を購入、.com 36元/me 15元/xyz 7元

ご存知のとおり、Resellerclub の主要事業はドメイン名です。 Resellerclub の...

Baidu 6.22 および 6.28 の問題の詳細

百度は6月22日と6月28日の大規模な降格についてすでに公式説明をしており、皆さんも理解していると思...

米国のVPSレンタル、どの米国のVPSが優れているか教えてください

米国で最高の VPS レンタル会社はどれですか?どのアメリカの VPS が優れているかを知るには、ネ...

クラウド コンピューティングに関する現在のビジネス アイデアは何ですか?

まず、クラウド コンピューティングのビジネス アイデアを、クラウド コンピューティングのサービス モ...

SEOプロセスで見落とされがちな詳細をチェックする

現在、インターネット上にはさまざまな SEO トレーニング教材があります。初心者の多くは、いくつかの...

arkecxはどうですか?ベトナムのハノイにあるクラウドサーバーの簡単なレビュー

市場に出回っているベトナムのクラウドサーバーは多くなく、帯域幅が大きく使いやすいものもほとんどありま...

ブログ執筆のための語学力

言語はパンやミルクではありません。どうすればそれを見たり触れたりできるのでしょうか?言語は食べられな...

検索エンジンのランキングは決定事項ですか?

少し前、私のような新人が「検索エンジンで上位にランクするにはどうしたらいいか」という問題について議論...