Juniper SRX 在 kvm 中的部署方法与测试

云计算 虚拟化
虚拟化的 SRX 支持 dns 代理、ip in ip tunnel、ipsec VPN 等功能,在要求不高的情况下,可以部署在虚拟化环境中使用。

[[331638]]

说明

虚拟化的 SRX 支持 dns 代理、ip in ip tunnel、ipsec VPN 等功能,在要求不高的情况下,可以部署在虚拟化环境中使用。

本文介绍如何在 kvm 中部署,并且测试了部分功能。

主要涉及知识点 openvswitch、kvm、junos 的基本配置

环境部署

拓扑

拓扑描述

  1. 需要一台 Linux 主机,安装好 kvm 和 openvswitch(以下简称 ovs)
  2. 两台 srx 部署在 kvm 中,每台使用 2 个端口连接 ovs
  3. 添加两个 namespace,使用 iperf3 测试稳定性

kvm 部署 srx

ovs 与 kvm 网络的配置

1.添加 ovs 网桥

  1. ovs-vsctl add-br example-ovsbr0 

定义 kvm 网络

编辑 xml 文件如下

  1. vim example-ovsbr0.xml 
  2. <network> 
  3.  <name>example-ovsbr0</name
  4.  <forward mode='bridge'/> 
  5.  <bridge name='example-ovsbr0'/> 
  6.  <virtualport type='openvswitch'/> 
  7.  <portgroup name='VLAN11'
  8.    <vlan>¡ 
  9.      <tag id='11'/> 
  10.    </vlan> 
  11.  </portgroup> 
  12.  <portgroup name='VLAN12'
  13.    <vlan> 
  14.      <tag id='12'/> 
  15.    </vlan> 
  16.  </portgroup> 
  17.   <portgroup name='VLAN13'
  18.    <vlan> 
  19.      <tag id='13'/> 
  20.    </vlan> 
  21.  </portgroup> 
  22.   <portgroup name='VLAN14'
  23.    <vlan> 
  24.      <tag id='14'/> 
  25.    </vlan> 
  26.  </portgroup> 
  27. </network> 

3.创建 kvm 网络

  1. virsh net-define example-ovsbr0.xml 

4.启动网络并设置为自动启动

  1. virsh net-start example-ovsbr0 
  2.  
  3. virsh net-autostart example-ovsbr0 

注意事项

  1. 将网卡类型改为 e1000,否则会不识别
  2. 需要添加 3 个网卡,分别对应 srx 的端口 ge0/0/0、ge0/0/1、ge0/0/2,其中 ge0/0/0 不使用
  3. 命令如下所示

virt-install 命令

  1. virt-install \ 
  2. --virt-type=kvm \ 
  3. --name=srx-A \ 
  4. --vcpus=2 \ 
  5. --memory=2048 \ 
  6. --network=network=example-ovsbr0,portgroup=VLAN11,model=e1000  \ 
  7. --network=network=example-ovsbr0,portgroup=VLAN11,model=e1000  \ 
  8. --network=network=example-ovsbr0,portgroup=VLAN13,model=e1000  \ 
  9. --disk path=/data/example/vmfiles/srx-A.qcow2,size=40,format=qcow2 \ 
  10. --import \ 
  11. --graphics none \ 
  12. --force 
  13. # 另外一台 
  14. virt-install \ 
  15. --virt-type=kvm \ 
  16. --name=srx-B \ 
  17. --vcpus=2 \ 
  18. --memory=2048 \ 
  19. --network=network=example-ovsbr0,portgroup=VLAN12,model=e1000  \ 
  20. --network=network=example-ovsbr0,portgroup=VLAN12,model=e1000  \ 
  21. --network=network=example-ovsbr0,portgroup=VLAN14,model=e1000  \ 
  22. --disk path=/data/example/vmfiles/srx-B.qcow2,size=40,format=qcow2 \ 
  23. --import \ 
  24. --graphics none \ 
  25. --force 

srx 配置

为了方便,我这里将所有使用到的网口都放在了 trust 区域

srx-A

  1. # 基本信息配置 
  2. set system services ssh 
  3. set routing-options static route 0.0.0.0/0 next-hop 172.19.11.254 
  4. set interfaces ge-0/0/1 unit 0 family inet address 172.19.11.100/24 
  5. set system root-authentication plain-text-password  # 这里会提示设置两遍密码 
  6. set routing-options static route 0.0.0.0/0 next-hop 172.19.11.254 
  7. # dns proxy 配置 
  8. set system services dns forwarders 114.114.114.114 
  9. set system services dns dns-proxy interface ge-0/0/1.0 
  10. set system services dns dns-proxy cache test.houm01.cn inet 99.99.99.99    # 本地DNS  A 记录配置 
  11. # ip ip tunnel 配置 
  12. set interfaces ip-0/0/0 unit 0 tunnel source 172.19.11.100 
  13. set interfaces ip-0/0/0 unit 0 tunnel destination 172.19.12.100 
  14. set interfaces ip-0/0/0 unit 0 family inet address 1.1.1.1/30 
  15. set routing-options static route 172.19.14.0/24 next-hop ip-0/0/0.0 
  16. # 接口区域配置 
  17. set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all 
  18. set security zones security-zone trust interfaces ip-0/0/0.0 host-inbound-traffic system-services all 
  19. set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all 
  20. # 提交配置 
  21. commit 

srx-B

  1. # 基本信息配置 
  2. set system services ssh 
  3. set routing-options static route 0.0.0.0/0 next-hop 172.19.12.254 
  4. set interfaces ge-0/0/1 unit 0 family inet address 172.19.12.100/24 
  5. set system root-authentication plain-text-password  # 这里会提示设置两遍密码 
  6. set routing-options static route 0.0.0.0/0 next-hop 172.19.12.254 
  7. # ip ip tunnel 配置 
  8. set interfaces ip-0/0/0 unit 0 tunnel source 172.19.12.100 
  9. set interfaces ip-0/0/0 unit 0 tunnel destination 172.19.11.100 
  10. set interfaces ip-0/0/0 unit 0 family inet address 1.1.1.2/30 
  11. set routing-options static route 172.19.14.0/24 next-hop ip-0/0/0.0 
  12. # 接口区域配置 
  13. set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services all 
  14. set security zones security-zone trust interfaces ip-0/0/0.0 host-inbound-traffic system-services all 
  15. set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all 
  16. # 提交配置 
  17. commit 

namespace 配置

  1. # 添加 ns 
  2. ip netns add ns1 
  3. ip netns add ns2 
  4. # 添加两条网线 
  5. # 以下命令会创建两对,分别是 veth0~veth1、veth2~veth3 
  6. ip link add type veth 
  7. ip link add type veth 
  8. # 将两条网线的两端添加到 namespace 中 
  9. ip link set veth1 netns ns1 
  10. ip link set veth3 netns ns2 
  11. # 配置地址 
  12. ip netns exec ns1 ip addr add 172.19.13.200/24 dev veth1 
  13. ip netns exec ns2 ip addr add 172.19.14.200/24 dev veth3 
  14. # up 端口 
  15. ip netns exec ns1 ip link set dev veth1 up 
  16. ip netns exec ns2 ip link set dev veth3 up 
  17. # 添加默认路由 
  18. # 下一跳指向 srx 的内网口 
  19. ip netns exec ns1 ip route add default via 172.19.13.100 
  20. ip netns exec ns2 ip route add default via 172.19.14.100 

功能测试

DNS 解析测试

在其他主机使用 dig 命令测试

  1. dig www.baidu.com @172.19.11.100 
  2. ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> www.baidu.com @172.19.11.100 
  3. ;; global options: +cmd 
  4. ;; Got answer: 
  5. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40389 
  6. ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 13, ADDITIONAL: 1 
  7. ;; OPT PSEUDOSECTION: 
  8. ; EDNS: version: 0, flags:; udp: 4096 
  9. ;; QUESTION SECTION
  10. ;www.baidu.com.INA 
  11. ;; ANSWER SECTION
  12. www.baidu.com.1038INCNAMEwww.a.shifen.com. 
  13. www.a.shifen.com.146INA163.177.151.110 
  14. www.a.shifen.com.146INA163.177.151.109 
  15. ;; AUTHORITY SECTION
  16. .2276INNSj.root-servers.net. 
  17. .2276INNSf.root-servers.net. 
  18. .2276INNSc.root-servers.net. 
  19. .2276INNSk.root-servers.net. 
  20. .2276INNSl.root-servers.net. 
  21. .2276INNSg.root-servers.net. 
  22. .2276INNSm.root-servers.net. 
  23. .2276INNSe.root-servers.net. 
  24. .2276INNSd.root-servers.net. 
  25. .2276INNSi.root-servers.net. 
  26. .2276INNSa.root-servers.net. 
  27. .2276INNSh.root-servers.net. 
  28. .2276INNSb.root-servers.net. 
  29. ;; Query time: 55 msec 
  30. ;; SERVER: 172.19.11.100#53(172.19.11.100) 
  31. ;; WHEN: Sun May 17 16:56:14 CST 2020 
  32. ;; MSG SIZE  rcvd: 312 
  33. -------------------------------- 
  34. dig test.houm01.cn @172.19.11.100 
  35. ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.3 <<>> test.houm01.cn @172.19.11.100 
  36. ;; global options: +cmd 
  37. ;; Got answer: 
  38. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49291 
  39. ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 
  40. ;; OPT PSEUDOSECTION: 
  41. ; EDNS: version: 0, flags:; udp: 4096 
  42. ;; QUESTION SECTION
  43. ;test.houm01.cn.INA 
  44. ;; ANSWER SECTION
  45. test.houm01.cn.86400INA99.99.99.99 
  46. ;; AUTHORITY SECTION
  47. test.houm01.cn.86400INNStest.houm01.cn. 
  48. ;; Query time: 8 msec 
  49. ;; SERVER: 172.19.11.100#53(172.19.11.100) 
  50. ;; WHEN: Sun May 17 16:57:01 CST 2020 
  51. ;; MSG SIZE  rcvd: 73 

可以看到,解析公网域名和自定义的域名都没有问题

ip ip tunnel 测试

从 ns1 ping ns2

  1. ip netns exec ns1 ping 172.19.14.200 
  2. PING 172.19.14.200 (172.19.14.200) 56(84) bytes of data. 
  3. 64 bytes from 172.19.14.200: icmp_seq=1 ttl=62 time=66.5 ms 
  4. 64 bytes from 172.19.14.200: icmp_seq=2 ttl=62 time=51.7 ms 
  5. ^C 
  6. --- 172.19.14.200 ping statistics --- 
  7. 2 packets transmitted, 2 received, 0% packet loss, time 1002ms 
  8. rtt min/avg/max/mdev = 51.769/59.155/66.542/7.390 ms 

性能测试

iperf 测试

执行如下命令测试

  1. # 将 ns1 作为服务器端侦听 
  2. ip netns exec ns1 iperf3 -s 
  3. # 将 ns2 作为客户端,测试半小时 
  4. ip netns exec ns2 iperf3 -c 172.19.13.100 -t 1800 

参考资料

http://www.iwan.wiki/Virtual_router_instances_Juniper_vSRX,_Juniper_vMX_and_GNS3

https://kb.juniper.net/InfoCenter/index?page=content&id=KB23986

 

责任编辑:武晓燕 来源: 新钛云服
相关推荐

2009-03-24 08:31:14

SRX3000 服务网关junipe

2011-06-09 22:13:25

2013-03-08 11:00:41

IBMKVM

2022-04-13 11:18:48

渗透测试Mock

2009-12-28 12:47:57

中低端KVM

2009-05-09 08:57:23

2010-09-10 16:07:26

2014-04-25 10:14:39

2010-09-17 16:25:58

2020-06-18 11:10:11

物联网安全人工智能

2020-06-18 15:21:55

银行物联网IOT

2013-05-22 09:23:33

IBMKVM虚拟化

2010-06-21 14:39:56

光纤测试

2010-06-07 16:45:49

Hadoop0.20.

2011-05-16 14:24:02

软件测试

2010-11-17 11:02:49

思科Juniper

2014-08-08 16:50:21

AB 测试安卓推送

2013-05-23 13:40:48

OpenStackKVM区别

2013-01-08 15:11:19

OpenStackKVM

2009-11-30 17:40:05

juniper路由
点赞
收藏

51CTO技术栈公众号