Juniper SRX の導入方法と KVM でのテスト

Juniper SRX の導入方法と KVM でのテスト

[[331638]]

例示する

仮想化された SRX は、DNS プロキシ、IP in IP トンネル、IPsec VPN などの機能をサポートします。要件が高くない場合は、仮想化環境に展開できます。

この記事では、kvm にデプロイする方法といくつかの機能をテストする方法について説明します。

主にopenvswitch、kvm、junosの基本設定が含まれます

環境の展開

トポロジー

トポロジの説明

  1. kvm と openvswitch (以下、ovs と呼びます) がインストールされた Linux ホストが必要です。
  2. 2 つの srx が kvm に展開され、それぞれ 2 つのポートを使用して ovs に接続します。
  3. 2つの名前空間を追加し、iperf3を使用して安定性をテストします

kvm デプロイ srx

ovs および kvm ネットワークの構成

1. OVSブリッジを追加する

  1. ovs-vsctl add -br example-ovsbr0

KVMネットワークを定義する

xmlファイルを次のように編集します

  1. vim の例-ovsbr0.xml
  2. <ネットワーク>
  3. <名前>example-ovsbr0</名前>
  4. <転送モード = 'ブリッジ' />
  5. <ブリッジ= 'example-ovsbr0' />
  6. <仮想ポートタイプ= 'openvswitch' />
  7. <ポートグループ= 'VLAN11' >
  8. <vlan>¡
  9. <タグid= '11' />
  10. </VLAN>
  11. </ポートグループ>
  12. <ポートグループ= 'VLAN12' >
  13. <VLAN>
  14. <タグid= '12' />
  15. </VLAN>
  16. </ポートグループ>
  17. <ポートグループ= 'VLAN13' >
  18. <VLAN>
  19. <タグid= '13' />
  20. </VLAN>
  21. </ポートグループ>
  22. <ポートグループ= 'VLAN14' >
  23. <VLAN>
  24. <タグid= '14' />
  25. </VLAN>
  26. </ポートグループ>
  27. </ネットワーク>

3. KVMネットワークを作成する

  1. virsh ネット定義例-ovsbr0.xml

4. ネットワークを起動し、自動的に起動するように設定する

  1. virsh ネットスタート例-ovsbr0
  2.  
  3. virsh ネット自動起動の例-ovsbr0

予防

  1. ネットワークカードの種類をe1000に変更してください。そうしないと認識されません。
  2. srx のポート ge0/0/0、ge0/0/1、ge0/0/2 に対応する 3 つのネットワーク カードを追加する必要があります。このうち ge0/0/0 は使用されません。
  3. コマンドは以下のとおりです

virt-install コマンド

  1. 仮想インストール\
  2. --virt-type=kvm \  
  3. --name=srx-A \  
  4. --vcpus=2 \  
  5. --メモリ=2048 \  
  6. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN11、モデル=e1000 \  
  7. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN11、モデル=e1000 \  
  8. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN13、モデル=e1000 \  
  9. --disk パス=/data/example/vmfiles/srx-A.qcow2、サイズ=40、フォーマット=qcow2 \  
  10. - 輸入 \  
  11. --グラフィックスなし\  
  12. - 力 
  13. # 別の
  14. 仮想インストール\
  15. --virt-type=kvm \  
  16. --name=srx-B \  
  17. --vcpus=2 \  
  18. --メモリ=2048 \  
  19. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN12、モデル=e1000 \  
  20. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN12、モデル=e1000 \  
  21. --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN14、モデル=e1000 \  
  22. --disk パス=/data/example/vmfiles/srx-B.qcow2、サイズ=40、フォーマット=qcow2 \  
  23. - 輸入 \  
  24. --グラフィックスなし\  
  25. - 力 

srx 構成

便宜上、使用されているすべてのネットワーク ポートを信頼ゾーンに配置しました。

srx-A

  1. # 基本情報の設定
  2. システムサービスSSHを設定する
  3. ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.11.254に設定します
  4. インターフェース ge-0/0/1 ユニット 0 ファミリー inet アドレス 172.19.11.100/24 を設定します
  5. set system root-authentication plain-text- password # パスワードを 2 回設定するように求められます。
  6. ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.11.254に設定します
  7. # DNS プロキシ設定
  8. システムサービス DNS フォワーダー 114.114.114.114を設定します
  9. システム サービス DNS DNS プロキシ インターフェイス ge-0/0/1.0を設定します
  10. set system services dns dns-proxy cache test.houm01.cn inet 99.99.99.99 # ローカル DNS A レコード設定
  11. # ip ipトンネル設定
  12. インターフェースを ip-0/0/0 ユニット 0 トンネルソース 172.19.11.100 に設定します
  13. インターフェースを ip-0/0/0 ユニット 0 トンネル宛先 172.19.12.100 に設定します
  14. インターフェースを ip-0/0/0 ユニット 0 ファミリー inet アドレス 1.1.1.1/30 に設定します
  15. ルーティングオプションを静的ルート 172.19.14.0/24に設定しネクストホップ IP を 0/0/0.0 にします。
  16. # インターフェースゾーンの設定
  17. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/1.0 ホストインバウンドトラフィック システムサービスすべて 
  18. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース、IP 0/0/0.0、ホスト着信トラフィック、システムサービスすべて 
  19. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/0.0 ホストインバウンドトラフィック システムサービスすべて 
  20. # 設定を送信
  21. 専念 

srx-B

  1. # 基本情報の設定
  2. システムサービスSSHを設定する
  3. ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.12.254に設定します
  4. インターフェース ge-0/0/1 ユニット 0 ファミリー inet アドレス 172.19.12.100/24 を設定します
  5. set system root-authentication plain-text- password # パスワードを 2 回設定するように求められます。
  6. ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.12.254に設定します
  7. # ip ipトンネル設定
  8. インターフェースを ip-0/0/0 ユニット 0 トンネルソース 172.19.12.100 に設定します
  9. インターフェースを ip-0/0/0 ユニット 0 トンネル宛先 172.19.11.100 に設定します
  10. インターフェースを ip-0/0/0 ユニット 0 ファミリー inet アドレス 1.1.1.2/30 に設定します
  11. ルーティングオプションを静的ルート 172.19.14.0/24に設定しネクストホップ IP を 0/0/0.0 にします。
  12. # インターフェースゾーンの設定
  13. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/1.0 ホストインバウンドトラフィック システムサービスすべて 
  14. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース、IP 0/0/0.0、ホスト着信トラフィック、システムサービスすべて 
  15. セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/0.0 ホストインバウンドトラフィック システムサービスすべて 
  16. # 設定を送信
  17. 専念 

名前空間の構成

  1. # nsを追加
  2. ip netns ns1を追加します
  3. ip netns はns2を追加します
  4. # ネットワークケーブルを2本追加
  5. # 次のコマンドは、veth0~veth1 と veth2~veth3 の 2 つのペアを作成します。
  6. IPリンク追加タイプveth
  7. IPリンク追加タイプveth
  8. # 2本のネットワークケーブルの両端を名前空間に追加します
  9. IPリンクセットveth1netnsns1
  10. IPリンクセットveth3netnsns2
  11. #アドレスを設定する
  12. ip netns exec ns1 ip addr add 172.19.13.200/24 ​​dev veth1
  13. ip netns exec ns2 ip addr add 172.19.14.200/24 ​​dev veth3
  14. # ポートアップ
  15. ip netns exec ns1 ip link set dev veth1 up
  16. ip netns exec ns2 ip link set dev veth3 up
  17. # デフォルトルートを追加する
  18. # 次のホップは srx の内部ネットワークポートを指します
  19. ip netns exec ns1 ipルート追加 デフォルト172.19.13.100経由
  20. ip netns exec ns2 ipルート追加 デフォルト172.19.14.100経由

機能テスト

DNS解決テスト

digコマンドを使用して他のホストでテストする

  1. www.baidu.com @172.19.11.100 を掘ってください
  2. ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> www.baidu.com @172.19.11.100
  3. ;;グローバルオプション: +cmd
  4. ;;回答が得られました:
  5. ;; ->>HEADER<<- オペコード: QUERY、ステータス: NOERROR、ID: 40389
  6. ;;フラグ: qr rd ra;質問: 1、回答: 3、権限: 13、追加: 1
  7. ;; OPT擬似セクション:
  8. ; EDNS: バージョン: 0、フラグ:;宛先アドレス: 4096
  9. ;;質問セクション:
  10. ;www.baidu.com.INA
  11. ;;回答セクション:
  12. www.baidu.com.1038INCNAMEwww.a.shifen.com。
  13. www.a.shifen.com.146INA163.177.151.110
  14. www.a.shifen.com.146INA163.177.151.109
  15. ;;権限セクション:
  16. .2276INNSj.root-servers.net。
  17. .2276INNSf.root-servers.net。
  18. .2276INNSc.root-servers.net。
  19. .2276INNSk.root-servers.net。
  20. .2276INNSl.root-servers.net.
  21. .2276INNSg.root-servers.net。
  22. .2276INNSm.root-servers.net。
  23. .2276INNSe.root-servers.net。
  24. .2276INNSd.root-servers.net。
  25. .2276INNSi.root-servers.net。
  26. .2276INNSa.root-servers.net。
  27. .2276INNSh.root-servers.net。
  28. .2276INNSb.root-servers.net。
  29. ;;クエリ時間: 55 ミリ秒
  30. ;;サーバー: 172.19.11.100#53(172.19.11.100)
  31. ;;日時: 2020年5月17日(日) 16:56:14 CST
  32. ;;受信したメッセージサイズ: 312
  33. --------------------------------  
  34. ディグ test.houm01.cn @172.19.11.100
  35. ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> test.houm01.cn @172.19.11.100
  36. ;;グローバルオプション: +cmd
  37. ;;回答が得られました:
  38. ;; ->>HEADER<<- オペコード: QUERY、ステータス: NOERROR、ID: 49291
  39. ;;フラグ: qr aa rd ra;質問: 1、回答: 1、権限: 1、追加: 1
  40. ;; OPT擬似セクション:
  41. ; EDNS: バージョン: 0、フラグ:;宛先アドレス: 4096
  42. ;;質問セクション:
  43. ;test.houm01.cn.INA
  44. ;;回答セクション:
  45. テスト.houm01.cn.86400INA99.99.99.99
  46. ;;権限セクション:
  47. test.houm01.cn.86400INNStest.houm01.cn。
  48. ;;クエリ時間: 8 ミリ秒
  49. ;;サーバー: 172.19.11.100#53(172.19.11.100)
  50. ;;日時: 2020年5月17日(日) 16:57:01 CST
  51. ;;受信したメッセージサイズ: 73

ご覧のとおり、パブリック ドメイン名とカスタム ドメイン名の解析には問題はありません。

ip ipトンネルテスト

ns1からns2にpingする

  1. ip netns exec ns1 ping 172.19.14.200
  2. PING 172.19.14.200 (172.19.14.200) 56(84)バイトデータ。
  3. 172.19.14.200からの64 バイト: icmp_seq=1 ttl=62 time =66.5 ms
  4. 172.19.14.200からの64 バイト: icmp_seq=2 ttl=62 time =51.7 ms
  5. ^C
  6. --- 172.19.14.200 ping 統計 ---  
  7. 送信パケット 2 個、受信パケット 2 個、パケット損失 0%、時間1002 ミリ秒
  8. rtt最小/平均/最大/mdev=51.769/59.155/66.542/7.390 ミリ秒

パフォーマンステスト

iperf テスト

次のコマンドを実行してテストします

  1. # ns1をリッスンするサーバーとして使用する
  2. ip netns exec ns1 iperf3 -s
  3. # ns2をクライアントとして使用し、30分間テストします
  4. ip netns exec ns2 iperf3 -c 172.19.13.100 -t 1800

参考文献

http://www.iwan.wiki/Virtual_router_instances_Juniper_vSRX、_Juniper_vMX_and_GNS3

https://kb.juniper.net/InfoCenter/index?page=content&id=KB23986

<<:  産業用エッジコンピューティングの最終的な勝者は誰になるでしょうか?

>>:  わかった! VMware/KVM/Dockerはこんな感じ

推薦する

企業ウェブサイトがネガティブ SEO に遭遇した場合、どうすればよいでしょうか?

ネガティブ SEO は 2013 年に非常に人気の高いトピックです。Google Penguin 2...

WEBデザインのレイアウトでユーザーが関連情報を効率的かつ正確に取得できるようにする方法

まずは、マイクロソフト社が開発し、社内では「タイポグラフィベースのデザイン言語」と呼ばれている「Me...

Duowanゲームユーザー800万人分のデータが漏洩し、多くのゲームサイトが攻撃を受けたと報じられている

写真はDuowan.comの漏洩したユーザー名とパスワードですネットユーザーはデータパケットのスクリ...

検索エンジンに適したドメイン名を作成する

検索エンジンの運営目的は、より正確で有用な情報をユーザーに提供することです。この目的は、検索エンジン...

ブログ最適化仕様ノート

最近、清明節の休暇中に多くの自由時間があったので、有名なブログの多くのガイド記事を参考にし、自分の個...

8000億ドルのクラウドサービス市場:大手企業が覇権を競い、新興企業が「一口かじり取る」

[[228679]]クラウド コンピューティング テクノロジーには明らかな利点があります。企業にとっ...

2018年ダブル11プレセールインサイトレポート

ダブルイレブンのプロモーションに牽引され、ブランド広告も過去半月で小幅な上昇を見せ、特に美容、食品飲...

Qlik: アクティブインテリジェンスで次世代の BI をリード

多くの企業がデータの重要性を認識し、データ処理と分析への投資を増やしていますが、ほとんどの企業が達成...

春節後に企業のウェブサイトランキングがトップ100から落ちた理由と分析

春節も無事に過ぎ、ウェブマスターに贈られるのは春の到来です。多くのウェブマスターも、正月休みの間中、...

SEOオリジナル記事とソフト記事の違いは何ですか?

私たちはオリジナル記事の代筆業を営んでいますが、クライアントからよく「なぜ私たちのために書いてくれる...

ウェブのためのLean UX: 結果重視の仕事からの脱却

[編集者注] この記事はSmashingMagazineから翻訳され、@DamnDigitalによっ...

天猫はユニクロの過剰販売に対応して3つの補償プランを開始し、返金のために赤い封筒を配布

天猫のダブル11ショッピングカーニバルが終了してから10日後、注文して支払いを済ませた消費者に対し、...

アマゾン、10億ドル超でMicrosoft 365クラウドサービスを利用へ

10月18日、Business Insiderは内部文書と関係者の話として、マイクロソフトがクラウド...

ウェブサイトの外部リンクの平均分布は、リソースを節約し、サイト全体の重量を改善するのに役立ちます。

コンテンツが王様で外部リンクが女王だった時代は過ぎ去り、検索エンジンは近年絶えず改良され、外部リンク...

「こんにちは、李華英」という投稿が、昔の写真の波を引き起こした。テンセント微笑みがあなたを時空を超えて、昔の写真の笑顔を取り戻します ?

最近、春節映画「こんにちは、李華英」の人気と、映画に登場した賈玲の母親の若い頃の昔の写真により、多く...