Juniper SRX の導入方法と KVM でのテスト

[[331638]]

例示する

仮想化された SRX は、DNS プロキシ、IP in IP トンネル、IPsec VPN などの機能をサポートします。要件が高くない場合は、仮想化環境に展開できます。

この記事では、kvm にデプロイする方法といくつかの機能をテストする方法について説明します。

主にopenvswitch、kvm、junosの基本設定が含まれます

環境の展開

トポロジー

トポロジの説明

1. kvm と openvswitch (以下、ovs と呼びます) がインストールされた Linux ホストが必要です。
2. 2 つの srx が kvm に展開され、それぞれ 2 つのポートを使用して ovs に接続します。
3. 2つの名前空間を追加し、iperf3を使用して安定性をテストします

kvm デプロイ srx

ovs および kvm ネットワークの構成

1. OVSブリッジを追加する

ovs-vsctl add -br example-ovsbr0

KVMネットワークを定義する

xmlファイルを次のように編集します

vim の例-ovsbr0.xml
 <ネットワーク>
 <名前>example-ovsbr0</名前>
 <転送モード = 'ブリッジ' />
 <ブリッジ名= 'example-ovsbr0' />
 <仮想ポートタイプ= 'openvswitch' />
 <ポートグループ名= 'VLAN11' >
   <vlan>¡
     <タグid= '11' />
   </VLAN>
 </ポートグループ>
 <ポートグループ名= 'VLAN12' >
   <VLAN>
     <タグid= '12' />
   </VLAN>
 </ポートグループ>
  <ポートグループ名= 'VLAN13' >
   <VLAN>
     <タグid= '13' />
   </VLAN>
 </ポートグループ>
  <ポートグループ名= 'VLAN14' >
   <VLAN>
     <タグid= '14' />
   </VLAN>
 </ポートグループ>
 </ネットワーク>

3. KVMネットワークを作成する

virsh ネット定義例-ovsbr0.xml

4. ネットワークを起動し、自動的に起動するように設定する

virsh ネットスタート例-ovsbr0 
 
 virsh ネット自動起動の例-ovsbr0

予防

1. ネットワークカードの種類をe1000に変更してください。そうしないと認識されません。
2. srx のポート ge0/0/0、ge0/0/1、ge0/0/2 に対応する 3 つのネットワーク カードを追加する必要があります。このうち ge0/0/0 は使用されません。
3. コマンドは以下のとおりです

virt-install コマンド

仮想インストール\
 --virt-type=kvm \  
 --name=srx-A \  
 --vcpus=2 \  
 --メモリ=2048 \  
 --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN11、モデル=e1000 \  
 --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN11、モデル=e1000 \  
 --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN13、モデル=e1000 \  
 --disk パス=/data/example/vmfiles/srx-A.qcow2、サイズ=40、フォーマット=qcow2 \  
 - 輸入 \  
 --グラフィックスなし\  
 - 力 
 ＃ 別の
仮想インストール\
 --virt-type=kvm \  
 --name=srx-B \  
 --vcpus=2 \  
 --メモリ=2048 \  
 --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN12、モデル=e1000 \  
 --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN12、モデル=e1000 \  
 --network=ネットワーク=example-ovsbr0、ポートグループ=VLAN14、モデル=e1000 \  
 --disk パス=/data/example/vmfiles/srx-B.qcow2、サイズ=40、フォーマット=qcow2 \  
 - 輸入 \  
 --グラフィックスなし\  
 - 力 

srx 構成

便宜上、使用されているすべてのネットワーク ポートを信頼ゾーンに配置しました。

srx-A

 # 基本情報の設定
システムサービスSSHを設定する
ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.11.254に設定します。
インターフェース ge-0/0/1 ユニット 0 ファミリー inet アドレス 172.19.11.100/24 を設定します。
 set system root-authentication plain-text- password # パスワードを 2 回設定するように求められます。
ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.11.254に設定します。
 # DNS プロキシ設定
システムサービス DNS フォワーダー 114.114.114.114を設定します
システム サービス DNS DNS プロキシ インターフェイス ge-0/0/1.0を設定します
set system services dns dns-proxy cache test.houm01.cn inet 99.99.99.99 # ローカル DNS A レコード設定
# ip ipトンネル設定
インターフェースを ip-0/0/0 ユニット 0 トンネルソース 172.19.11.100 に設定します。
インターフェースを ip-0/0/0 ユニット 0 トンネル宛先 172.19.12.100 に設定します。
インターフェースを ip-0/0/0 ユニット 0 ファミリー inet アドレス 1.1.1.1/30 に設定します。
ルーティングオプションを静的ルート 172.19.14.0/24に設定し、ネクストホップ IP を 0/0/0.0 にします。
 # インターフェースゾーンの設定
セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/1.0 ホストインバウンドトラフィック システムサービスすべて 
セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース、IP 0/0/0.0、ホスト着信トラフィック、システムサービスすべて 
セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/0.0 ホストインバウンドトラフィック システムサービスすべて 
 # 設定を送信
専念 

srx-B

 # 基本情報の設定
システムサービスSSHを設定する
ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.12.254に設定します。
インターフェース ge-0/0/1 ユニット 0 ファミリー inet アドレス 172.19.12.100/24 を設定します。
 set system root-authentication plain-text- password # パスワードを 2 回設定するように求められます。
ルーティングオプションを静的ルート 0.0.0.0/0ネクストホップ 172.19.12.254に設定します。
 # ip ipトンネル設定
インターフェースを ip-0/0/0 ユニット 0 トンネルソース 172.19.12.100 に設定します。
インターフェースを ip-0/0/0 ユニット 0 トンネル宛先 172.19.11.100 に設定します。
インターフェースを ip-0/0/0 ユニット 0 ファミリー inet アドレス 1.1.1.2/30 に設定します。
ルーティングオプションを静的ルート 172.19.14.0/24に設定し、ネクストホップ IP を 0/0/0.0 にします。
 # インターフェースゾーンの設定
セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/1.0 ホストインバウンドトラフィック システムサービスすべて 
セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース、IP 0/0/0.0、ホスト着信トラフィック、システムサービスすべて 
セキュリティゾーンを設定します。セキュリティゾーン信頼インターフェース ge-0/0/0.0 ホストインバウンドトラフィック システムサービスすべて 
 # 設定を送信
専念 

名前空間の構成

# nsを追加
ip netns ns1を追加します
ip netns はns2を追加します
# ネットワークケーブルを2本追加
# 次のコマンドは、veth0~veth1 と veth2~veth3 の 2 つのペアを作成します。
 IPリンク追加タイプveth
 IPリンク追加タイプveth
 # 2本のネットワークケーブルの両端を名前空間に追加します
IPリンクセットveth1netnsns1
 IPリンクセットveth3netnsns2
 #アドレスを設定する
ip netns exec ns1 ip addr add 172.19.13.200/24 ​​dev veth1
 ip netns exec ns2 ip addr add 172.19.14.200/24 ​​dev veth3
 # ポートアップ
ip netns exec ns1 ip link set dev veth1 up
 ip netns exec ns2 ip link set dev veth3 up
 # デフォルトルートを追加する
# 次のホップは srx の内部ネットワークポートを指します
ip netns exec ns1 ipルート追加 デフォルト172.19.13.100経由
ip netns exec ns2 ipルート追加 デフォルト172.19.14.100経由

機能テスト

DNS解決テスト

digコマンドを使用して他のホストでテストする

www.baidu.com @172.19.11.100 を掘ってください
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> www.baidu.com @172.19.11.100
 ;;グローバルオプション: +cmd
 ;;回答が得られました:
 ;; ->>HEADER<<- オペコード: QUERY、ステータス: NOERROR、ID: 40389
 ;;フラグ: qr rd ra;質問: 1、回答: 3、権限: 13、追加: 1
 ;; OPT擬似セクション:
 ; EDNS: バージョン: 0、フラグ:;宛先アドレス: 4096
 ;;質問セクション:
 ;www.baidu.com.INA
 ;;回答セクション:
 www.baidu.com.1038INCNAMEwww.a.shifen.com。
 www.a.shifen.com.146INA163.177.151.110
 www.a.shifen.com.146INA163.177.151.109
 ;;権限セクション:
 .2276INNSj.root-servers.net。
 .2276INNSf.root-servers.net。
 .2276INNSc.root-servers.net。
 .2276INNSk.root-servers.net。
 .2276INNSl.root-servers.net.
 .2276INNSg.root-servers.net。
 .2276INNSm.root-servers.net。
 .2276INNSe.root-servers.net。
 .2276INNSd.root-servers.net。
 .2276INNSi.root-servers.net。
 .2276INNSa.root-servers.net。
 .2276INNSh.root-servers.net。
 .2276INNSb.root-servers.net。
 ;;クエリ時間: 55 ミリ秒
;;サーバー: 172.19.11.100#53(172.19.11.100)
 ;;日時: 2020年5月17日(日) 16:56:14 CST
 ;;受信したメッセージサイズ: 312
 --------------------------------  
ディグ test.houm01.cn @172.19.11.100
 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> test.houm01.cn @172.19.11.100
 ;;グローバルオプション: +cmd
 ;;回答が得られました:
 ;; ->>HEADER<<- オペコード: QUERY、ステータス: NOERROR、ID: 49291
 ;;フラグ: qr aa rd ra;質問: 1、回答: 1、権限: 1、追加: 1
 ;; OPT擬似セクション:
 ; EDNS: バージョン: 0、フラグ:;宛先アドレス: 4096
 ;;質問セクション:
 ;test.houm01.cn.INA
 ;;回答セクション:
テスト.houm01.cn.86400INA99.99.99.99
 ;;権限セクション:
 test.houm01.cn.86400INNStest.houm01.cn。
 ;;クエリ時間: 8 ミリ秒
;;サーバー: 172.19.11.100#53(172.19.11.100)
 ;;日時: 2020年5月17日(日) 16:57:01 CST
 ;;受信したメッセージサイズ: 73

ご覧のとおり、パブリック ドメイン名とカスタム ドメイン名の解析には問題はありません。

ip ipトンネルテスト

ns1からns2にpingする

ip netns exec ns1 ping 172.19.14.200
 PING 172.19.14.200 (172.19.14.200) 56(84)バイトのデータ。
 172.19.14.200からの64 バイト: icmp_seq=1 ttl=62 time =66.5 ms
 172.19.14.200からの64 バイト: icmp_seq=2 ttl=62 time =51.7 ms
 ^C
 --- 172.19.14.200 ping 統計 ---  
送信パケット 2 個、受信パケット 2 個、パケット損失 0%、時間1002 ミリ秒
rtt最小/平均/最大/mdev=51.769/59.155/66.542/7.390 ミリ秒

パフォーマンステスト

iperf テスト

次のコマンドを実行してテストします

# ns1をリッスンするサーバーとして使用する
ip netns exec ns1 iperf3 -s
 # ns2をクライアントとして使用し、30分間テストします
ip netns exec ns2 iperf3 -c 172.19.13.100 -t 1800

参考文献

http://www.iwan.wiki/Virtual_router_instances_Juniper_vSRX、_Juniper_vMX_and_GNS3

https://kb.juniper.net/InfoCenter/index?page=content&id=KB23986