51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Juniper SRX 在 kvm 中的部署方法与测试

作者:侯明明
云计算 虚拟化
虚拟化的 SRX 支持 dns 代理、ip in ip tunnel、ipsec VPN 等功能,在要求不高的情况下,可以部署在虚拟化环境中使用。

[[331638]]

说明

虚拟化的 SRX 支持 dns 代理、ip in ip tunnel、ipsec VPN 等功能,在要求不高的情况下,可以部署在虚拟化环境中使用。

本文介绍如何在 kvm 中部署,并且测试了部分功能。

主要涉及知识点 openvswitch、kvm、junos 的基本配置

环境部署

拓扑

拓扑描述

  1. 需要一台 Linux 主机,安装好 kvm 和 openvswitch(以下简称 ovs)
  2. 两台 srx 部署在 kvm 中,每台使用 2 个端口连接 ovs
  3. 添加两个 namespace,使用 iperf3 测试稳定性

kvm 部署 srx

ovs 与 kvm 网络的配置

1.添加 ovs 网桥

  1. ovs-vsctl add-br example-ovsbr0 

定义 kvm 网络

编辑 xml 文件如下

  1. vim example-ovsbr0.xml 
  2. <network> 
  3.  <name>example-ovsbr0</name
  4.  <forward mode='bridge'/> 
  5.  <bridge name='example-ovsbr0'/> 
  6.  <virtualport type='openvswitch'/> 
  7.  <portgroup name='VLAN11'
  8.    <vlan>¡ 
  9.      <tag id='11'/> 
  10.    </vlan> 
  11.  </portgroup> 
  12.  <portgroup name='VLAN12'
  13.    <vlan> 
  14.      <tag id='12'/> 
  15.    </vlan> 
  16.  </portgroup> 
  17.   <portgroup name='VLAN13'
  18.    <vlan> 
  19.      <tag id='13'/> 
  20.    </vlan> 
  21.  </portgroup> 
  22.   <portgroup name='VLAN14'
  23.    <vlan> 
  24.      <tag id='14'/> 
  25.    </vlan> 
  26.  </portgroup> 
  27. </network> 

3.创建 kvm 网络

  1. virsh net-define example-ovsbr0.xml 

4.启动网络并设置为自动启动

  1. virsh net-start example-ovsbr0 
  2.  
  3. virsh net-autostart example-ovsbr0 

注意事项

  1. 将网卡类型改为 e1000,否则会不识别
  2. 需要添加 3 个网卡,分别对应 srx 的端口 ge0/0/0、ge0/0/1、ge0/0/2,其中 ge0/0/0 不使用
  3. 命令如下所示

virt-install 命令

  1. virt-install \ 
  2. --virt-type=kvm \ 
  3. --name=srx-A \ 
  4. --vcpus=2 \ 
  5. --memory=2048 \ 
  6. --network=network=example-ovsbr0,portgroup=VLAN11,model=e1000  \ 
  7. --network=network=example-ovsbr0,portgroup=VLAN11,model=e1000  \ 
  8. --network=network=example-ovsbr0,portgroup=VLAN13,model=e1000  \ 
  9. --disk path=/data/example/vmfiles/srx-A.qcow2,size=40,format=qcow2 \ 
  10. --import \ 
  11. --graphics none \ 
  12. --force 
  13. # 另外一台 
  14. virt-install \ 
  15. --virt-type=kvm \ 
  16. --name=srx-B \ 
  17. --vcpus=2 \ 
  18. --memory=2048 \ 
  19. --network=network=example-ovsbr0,portgroup=VLAN12,model=e1000  \ 
  20. --network=network=example-ovsbr0,portgroup=VLAN12,model=e1000  \ 
  21. --network=network=example-ovsbr0,portgroup=VLAN14,model=e1000  \ 
  22. --disk path=/data/example/vmfiles/srx-B.qcow2,size=40,format=qcow2 \ 
  23. --import \ 
  24. --graphics none \ 
  25. --force 

srx 配置

为了方便,我这里将所有使用到的网口都放在了 trust 区域

srx-A

  1. # 基本信息配置 
  2. set system services ssh 
  3. set routing-options static route 0.0.0.0/0 next-hop 172.19.11.254 
  4. set interfaces ge-0/0/1 unit 0 family inet address 172.19.11.100/24 
  5. set system root-authentication plain-text-password  # 这里会提示设置两遍密码 
  6. set routing-options static route 0.0.0.0/0 next-hop 172.19.11.254 
  7. # dns proxy 配置 
  8. set system services dns forwarders 114.114.114.114 
  9. set system services dns dns-proxy interface ge-0/0/1.0 
  10. set system services dns dns-proxy cache test.houm01.cn inet 99.99.99.99    # 本地DNS  A 记录配置 
  11. # ip ip tunnel 配置 
  12. set interfaces ip-0/0/0 unit 0 tunnel source 172.19.11.100 
  13. set interfaces ip-0/0/0 unit 0 tunnel destination 172.19.12.100 
  14. set interfaces ip-0/0/0 unit 0 family inet address 1.1.1.1/30 
  15. set routing-options static route 172.19.14.0/24 next-hop ip-0/0/0.0 
  16. # 接口区域配置 
  17. set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all 
  18. set security zones security-zone trust interfaces ip-0/0/0.0 host-inbound-traffic system-services all 
  19. set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all 
  20. # 提交配置 
  21. commit 

srx-B

  1. # 基本信息配置 
  2. set system services ssh 
  3. set routing-options static route 0.0.0.0/0 next-hop 172.19.12.254 
  4. set interfaces ge-0/0/1 unit 0 family inet address 172.19.12.100/24 
  5. set system root-authentication plain-text-password  # 这里会提示设置两遍密码 
  6. set routing-options static route 0.0.0.0/0 next-hop 172.19.12.254 
  7. # ip ip tunnel 配置 
  8. set interfaces ip-0/0/0 unit 0 tunnel source 172.19.12.100 
  9. set interfaces ip-0/0/0 unit 0 tunnel destination 172.19.11.100 
  10. set interfaces ip-0/0/0 unit 0 family inet address 1.1.1.2/30 
  11. set routing-options static route 172.19.14.0/24 next-hop ip-0/0/0.0 
  12. # 接口区域配置 
  13. set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all 
  14. set security zones security-zone trust interfaces ip-0/0/0.0 host-inbound-traffic system-services all 
  15. set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all 
  16. # 提交配置 
  17. commit 

namespace 配置

  1. # 添加 ns 
  2. ip netns add ns1 
  3. ip netns add ns2 
  4. # 添加两条网线 
  5. # 以下命令会创建两对,分别是 veth0~veth1、veth2~veth3 
  6. ip link add type veth 
  7. ip link add type veth 
  8. # 将两条网线的两端添加到 namespace 中 
  9. ip link set veth1 netns ns1 
  10. ip link set veth3 netns ns2 
  11. # 配置地址 
  12. ip netns exec ns1 ip addr add 172.19.13.200/24 dev veth1 
  13. ip netns exec ns2 ip addr add 172.19.14.200/24 dev veth3 
  14. # up 端口 
  15. ip netns exec ns1 ip link set dev veth1 up 
  16. ip netns exec ns2 ip link set dev veth3 up 
  17. # 添加默认路由 
  18. # 下一跳指向 srx 的内网口 
  19. ip netns exec ns1 ip route add default via 172.19.13.100 
  20. ip netns exec ns2 ip route add default via 172.19.14.100 

功能测试

DNS 解析测试

在其他主机使用 dig 命令测试

  1. dig www.baidu.com @172.19.11.100 
  2. ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> www.baidu.com @172.19.11.100 
  3. ;; global options: +cmd 
  4. ;; Got answer: 
  5. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40389 
  6. ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 13, ADDITIONAL: 1 
  7. ;; OPT PSEUDOSECTION: 
  8. ; EDNS: version: 0, flags:; udp: 4096 
  9. ;; QUESTION SECTION
  10. ;www.baidu.com.INA 
  11. ;; ANSWER SECTION
  12. www.baidu.com.1038INCNAMEwww.a.shifen.com. 
  13. www.a.shifen.com.146INA163.177.151.110 
  14. www.a.shifen.com.146INA163.177.151.109 
  15. ;; AUTHORITY SECTION
  16. .2276INNSj.root-servers.net. 
  17. .2276INNSf.root-servers.net. 
  18. .2276INNSc.root-servers.net. 
  19. .2276INNSk.root-servers.net. 
  20. .2276INNSl.root-servers.net. 
  21. .2276INNSg.root-servers.net. 
  22. .2276INNSm.root-servers.net. 
  23. .2276INNSe.root-servers.net. 
  24. .2276INNSd.root-servers.net. 
  25. .2276INNSi.root-servers.net. 
  26. .2276INNSa.root-servers.net. 
  27. .2276INNSh.root-servers.net. 
  28. .2276INNSb.root-servers.net. 
  29. ;; Query time: 55 msec 
  30. ;; SERVER: 172.19.11.100#53(172.19.11.100) 
  31. ;; WHEN: Sun May 17 16:56:14 CST 2020 
  32. ;; MSG SIZE  rcvd: 312 
  33. -------------------------------- 
  34. dig test.houm01.cn @172.19.11.100 
  35. ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> test.houm01.cn @172.19.11.100 
  36. ;; global options: +cmd 
  37. ;; Got answer: 
  38. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49291 
  39. ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 
  40. ;; OPT PSEUDOSECTION: 
  41. ; EDNS: version: 0, flags:; udp: 4096 
  42. ;; QUESTION SECTION
  43. ;test.houm01.cn.INA 
  44. ;; ANSWER SECTION
  45. test.houm01.cn.86400INA99.99.99.99 
  46. ;; AUTHORITY SECTION
  47. test.houm01.cn.86400INNStest.houm01.cn. 
  48. ;; Query time: 8 msec 
  49. ;; SERVER: 172.19.11.100#53(172.19.11.100) 
  50. ;; WHEN: Sun May 17 16:57:01 CST 2020 
  51. ;; MSG SIZE  rcvd: 73 

可以看到,解析公网域名和自定义的域名都没有问题

ip ip tunnel 测试

从 ns1 ping ns2

  1. ip netns exec ns1 ping 172.19.14.200 
  2. PING 172.19.14.200 (172.19.14.200) 56(84) bytes of data. 
  3. 64 bytes from 172.19.14.200: icmp_seq=1 ttl=62 time=66.5 ms 
  4. 64 bytes from 172.19.14.200: icmp_seq=2 ttl=62 time=51.7 ms 
  5. ^C 
  6. --- 172.19.14.200 ping statistics --- 
  7. 2 packets transmitted, 2 received, 0% packet loss, time 1002ms 
  8. rtt min/avg/max/mdev = 51.769/59.155/66.542/7.390 ms 

性能测试

iperf 测试

执行如下命令测试

  1. # 将 ns1 作为服务器端侦听 
  2. ip netns exec ns1 iperf3 -s 
  3. # 将 ns2 作为客户端,测试半小时 
  4. ip netns exec ns2 iperf3 -c 172.19.13.100 -t 1800 

参考资料

http://www.iwan.wiki/Virtual_router_instances_Juniper_vSRX,_Juniper_vMX_and_GNS3

https://kb.juniper.net/InfoCenter/index?page=content&id=KB23986

 

责任编辑:武晓燕 来源: 新钛云服
kvm部署测试
相关推荐
JuniperSRX系列阵容 新增SRX3000服务网关
SRX3000是可扩展的“毫不妥协、性能卓越”的网络与安全产品,其运行的JUNOS&reg;软件,是整合了路由、安全及交换功能的单一网络操作系统。

2009-03-24 08:31:14

SRX3000 服务网关junipe
神码Juniper召开SRX系列网关推介会
6月9日讯,主题为“商机前瞻博取未来”的2011年神州数码·瞻博网络JuniperSRX全国经销商招募及解决方案推介会在北京隆重召开。会上,来自Juniper和神州数码的多位领导与技术专家,同与会的各位合作伙伴分享了两家公司近年来的发展历程和未来展望,同时重点介绍了JuniperSRX系列业务网关。

2011-06-09 22:13:25

IBMKVM上运行OLTP基准测试
在基于双插槽XeonE5服务器上安装KVM,IBM并没有采取任何TPCVMS动作,这是刻意选择并用于混淆物理和虚拟服务器之间比较的,从而确定虚拟化费用。这种比较是很重要的,特别是对于诸如事务处理这样IO密集型的工作负载。

2013-03-08 11:00:41

IBMKVM
Mock渗透测试
在渗透测试过程中,经常会遇到权限控制,无法访问到某个角色下的功能菜单。因此本文会从两个角度来说明MOCK是如何起作用的,并一起讨论如何通过MOCK挖掘到更多的漏洞。

2022-04-13 11:18:48

渗透测试Mock
高端中低端KVM产品区分方法
无论是数字KVM切换器,还是模拟KVM切换器,是否好用,是否物有所值总是有一定的判断标准的,俗话说一分钱一分货。那么如果区分不同品牌厂家的KVM产品到底哪些品牌真正值得选择呢这里向大家推荐我总结的六条需要做产品比较的技术要点。

2009-12-28 12:47:57

中低端KVM
导购企业级防火墙 Juniper SRX210H-POE注意事项
防火墙在当今Internet上的存在是有生命力的,但它替代不了墙内的安全措施,它不能解决所有网络安全问题,只是网络安全政策和策略中的一个组成部分。

2010-09-10 16:07:26

怎样测试Juniper交换机
笔者用原来测试其他供应商交换机的方法测试瞻博网络(Juniper)的新型企业交换机。如下文所述,唯一的例外是他不再使用IGMPv3转而使用IGMPv2。

2009-05-09 08:57:23

Linux 系统随机数 KVM 应用
随机数在计算机系统中处于非常重要的地位,如果没有随机数,可能很多应用都将陷入麻烦,随机数在密码学和安全领域也是至关重要。本文主要介绍随机数的概念和重要性,Linux系统中随机数是如何产生的,最后介绍在KVM虚拟机中如何添加和使用硬件随机数产生器来产生随机数。

2014-04-25 10:14:39

渗透测试方法标准
成功执行渗透测试的其一个主要因素是底层的方法,本文介绍了渗透测试的方法与标准。

2010-09-17 16:25:58

安全智能:物联网银行部署应用
联网设备和平台对我们的日常生活产生了重大影响,改变了我们彼此之间的交互方式、业务开展方式(如移动银行业务)以及沟通方式。

2020-06-18 15:21:55

银行物联网IOT
安全智能:物联网银行部署应用
联网设备和平台对我们的日常生活产生了重大影响,改变了我们彼此之间的交互方式、业务开展方式(如移动银行业务)以及沟通方式。

2020-06-18 11:10:11

物联网安全人工智能
IBMKVM虚拟化上运行OLTP基准测试
BM公司已进行的基准测试可以解释在真实世界虚拟化环境中是如何执行事务处理的。

2013-05-22 09:23:33

IBMKVM虚拟化
光纤部署测试注意事项
虽然光钎可以提供很大的带宽,但是如果部署不当的话,其性能会打折扣。为此,对于有光钎需求的企业,笔者有如下建议。

2010-06-21 14:39:56

光纤测试
Hadoop0.20.0部署测试单机和伪分布模式操作方法简介
Hadoop经过长期的发展,已经更新了多个版本,这里向大家介绍一下Hadoop0.20.0部署与测试方面的内容,欢迎大家一起来学习,相信本文的介绍一定会让你收获不少。

2010-06-07 16:45:49

Hadoop0.20.
软件测试方法分析研究
软件测试是根据软件开发各阶段的规格说明和程序的内部结构而精心设计一组测试数据,并利用这些测试数据运行程序,以发现程序错误的过程。本文从两个方面介绍了软件测试,一起来看。

2011-05-16 14:24:02

软件测试
思科Juniper十年竞赛
十年来,Juniper和思科一直在互联网路由器技术领域上演着“相互超越”的好戏。思科在今年2月宣布了它所谓“永远改变互联网”的CRS3核心路由器,如今又轮到Juniper发布其下一代核心路由平台T4000了……

2010-11-17 11:02:49

思科Juniper
A/B测试推送应用
AB测试在推送中的应用非常广泛,结合推送服务商提供的智能推送标签等功能可将推送的分组做到更多的细分。提前进行小规模的AB测试,对于拥有庞大用户量的应用非常重要,根据反馈调整推送文案,随后再进行大规模的推送,将比不做AB测试就直接推送可靠许多。

2014-08-08 16:50:21

AB 测试安卓推送
KVMOpenStack前世今生
OpenStack与KVM都是目前IT界比较热门的两个词汇。它们都是开源的,都与Linux有着千丝万缕的关系。但这两者还是有很大的差别呢。

2013-05-23 13:40:48

OpenStackKVM区别
浅谈OpenStackKVM区别联系
OpenStack是一个旨在为公共及私有云的建设与管理提供软件的开源项目,KVM(KernelbasedVirtualMachine)是一个开源的系统虚拟化模块,二者都是开源的,都与Linux有着千丝万缕的关系。但这两者还是有很大的差别呢。

2013-01-08 15:11:19

OpenStackKVM
通过实例讲解juniper路由安全上性能
目前juniper路由的应用很广泛,相信随着通信行业的发展,路由器技术也会更加的完善稳定,给用户带来良好的网络环境。

2009-11-30 17:40:05

juniper路由
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服