Requisitos para firewall virtual vSRX no VMware
Especificações do software
A tabela abaixo lista as especificações do requisito do software do sistema ao implantar o firewall virtual vSRX no VMware. A tabela descreve a versão do Junos OS na qual foi introduzida uma especificação de software específica para a implantação do firewall virtual vSRX no VMware. Você precisa baixar uma versão específica do Junos OS para aproveitar determinados recursos.
| Especificação dos recursos | Versão do Junos OS introduzida | |
|---|---|---|
| vCPUs/Memória | 2 vCPUs / 4 GB de RAM |
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 (firewall virtual vSRX) |
| 5 vCPUs / 8 GB de RAM |
Versão Junos OS 15.1X49-D70 e Junos OS Versão 17.3R1 (firewall virtual vSRX) |
|
| 9 vCPUs / 16 GB de RAM |
Versão Junos OS 18.4R1 (firewall virtual vSRX) Versão Junos OS 19.1R1 (firewall virtual vSRX 3.0) |
|
| 17 vCPUs / 32 GB de RAM |
Versão Junos OS 18.4R1 (firewall virtual vSRX) Versão Junos OS 19.1R1 (firewall virtual vSRX 3.0) |
|
| Escalabilidade flexível da capacidade da sessão de fluxo por um vRAM adicional |
NA | Versão Junos OS 19.1R1 (firewall virtual vSRX) Versão Junos OS 19.2R1 (firewall virtual vSRX 3.0) |
| Suporte a escala multicore (Software RSS) |
NA | Versão Junos OS 19.3R1 (firewall virtual vSRX apenas 3.0) |
| Reserve núcleos vCPU adicionais para o mecanismo de roteamento (firewall virtual vSRX e firewall virtual vSRX 3.0) |
NA | |
| Virtio (virtio-net, vhost-net) (firewall virtual vSRX e firewall virtual vSRX 3.0) |
NA | |
| Hipervisores suportados | ||
| Suporte ao Hypervisor |
VMware ESXi 5.1, 5.5, 6.0 e 6.5 (firewall virtual vSRX e firewall virtual vSRX 3.0) |
Versão Junos OS 18.4R1 |
| VMware ESXi 6.7 e 7.0 (firewall virtual vSRX 3.0) | Versão Junos OS 19.3R1 em diante | |
| VMware ESXi 8.0 (firewall virtual vSRX apenas 3.0) | Versão Junos OS 24.2R2 em diante | |
| Outros recursos | ||
| Init na nuvem |
NA | |
| IPSec (PMI) powermode |
NA | |
| Cluster de chassi |
NA | |
| Distribuição de sessão baseada em TEID GTP usando software RSS |
NA | Versão Junos OS 19.3R1 em diante |
| Mecanismo de verificação de antivírus no dispositivo (Avira) |
NA | Versão Junos OS 19.4R1 em diante |
| LLDP |
NA | Versão Junos OS 21.1R1 em diante |
| Interface de telemetria Junos |
NA | Versão Junos OS 20.3R1 em diante |
| Requisitos do sistema | ||
| Aceleração de hardware/bandeira de CPU VMX habilitada no hipervisor (apenas firewall virtual vSRX) |
NA | |
| Espaço em disco |
16 GB (drives IDE ou SCSI) (firewall virtual vSRX) |
Versão Junos OS 15.1X49-D15 e Junos OS Versão 17.3R1 |
| 18 GB (Firewall virtual vSRX 3.0) |
||
| do vNICs | Junos OS introduzida |
|---|---|
| VMXNET3 SA e HA | |
| SR-IOV SA e HA sobre a série Intel X710/XL710/XXV710 (firewall virtual vSRX 3.0) | Versão Junos OS 20.4R2 em diante |
| SR-IOV HA na I40E ( X710,X740,X722 e assim por diante) (Firewall virtual vSRX 3.0) | Não suportado |
| SR-IOV SA e HA sobre a série Intel E810 (firewall virtual vSRX 3.0) | Junos versão 21.2R1 em diante |
| SR-IOV SA e HA sobre Mellanox ConnectX-3 | Não suportado |
| SR-IOV SA e HA sobre Mellanox ConnectX-4/5/6 (apenas para driver MLX5) | (SA da versão 21.2R1 do Junos OS) (HA da versão 21.2R2 do Junos OS) |
| Passagem de PCI pela série Intel 82599/X520 | Não suportado |
| Passagem de PCI pela série Intel X710/XL710 | Não é compatível com firewall virtual vSRX 3.0 |
| A versão DPDK foi atualizada de 17.02 para 17.11.2 para oferecer suporte aos Adaptadores da Família Mellanox. |
Versão Junos OS 18.4R1 |
| Kit de desenvolvimento de plano de dados (DPDK) versão 18.11 A versão 18.11 do DPDK tem suporte no firewall virtual vSRX. Com esse recurso, a placa de interface de rede (NIC) Mellanox Connect no firewall virtual vSRX agora oferece suporte a OSPF Multicast e VLANs. |
Versão Junos OS 19.4R1 |
Melhores práticas para melhorar o desempenho do firewall virtual vSRX
Analise as seguintes práticas para melhorar o desempenho do firewall virtual vSRX.
Nós NUMA
A arquitetura do servidor x86 consiste em vários sockets e vários núcleos dentro de um socket. Cada tomada também tem memória usada para armazenar pacotes durante as transferências de E/S da NIC para o host. Para ler pacotes de memória com eficiência, aplicativos de convidados e periféricos associados (como o NIC) devem residir em uma única tomada. Uma penalidade está associada à abrangência de tomadas de CPU para acessos de memória, o que pode resultar em desempenho não determinado. Para o firewall virtual vSRX, recomendamos que todos os vCPUs para o vSRX Virtual Firewall VM estejam no mesmo nó físico de acesso de memória não uniforme (NUMA) para um desempenho ideal.
O mecanismo de encaminhamento de pacotes (PFE) no firewall virtual vSRX ficará sem resposta se a topologia de nós NUMA estiver configurada no hipervisor para espalhar as vCPUs da instância em vários nós NUMA do host. O firewall virtual vSRX exige que você garanta que todos os vCPUs residam no mesmo nó NUMA.
Recomendamos que você vincule a instância de firewall virtual vSRX com um nó NUMA específico, configurando a afinidade do nó NUMA. A afinidade de nó NUMA restringe a programação de recursos VM de firewall virtual vSRX apenas para o nó NUMA especificado.
Mapeamento de PCI NIC para VM
Se o nó em que o firewall virtual vSRX está sendo executado é diferente do nó ao qual o Intel PCI NIC está conectado, então os pacotes terão que atravessar um salto adicional no link QPI, e isso reduzirá a taxa de transferência geral. Use o esxtop comando para visualizar informações sobre locais relativos de NIC física. Em alguns servidores onde essas informações não estão disponíveis, consulte a documentação de hardware para a topologia de nós slot-to-NUMA.
Mapeamento de interface para firewall virtual vSRX no VMware
Cada adaptador de rede definido para um firewall virtual vSRX é mapeado em uma interface específica, dependendo se a instância do firewall virtual vSRX é uma VM independente ou um de um par de clusters para alta disponibilidade. Os nomes e mapeamentos de interface no firewall virtual vSRX são mostrados na Tabela 3 e na Tabela 4.
Observe o seguinte:
No modo autônomo:
o switchp0 é a interface de gerenciamento fora da banda.
ge-0/0/0 é a primeira interface de tráfego (receita).
No modo cluster:
o switchp0 é a interface de gerenciamento fora da banda.
em0 é o link de controle de cluster para ambos os nós.
Qualquer uma das interfaces de tráfego pode ser especificada como links de malha, como ge-0/0/0 para fab0 no nó 0 e ge-7/0/0 para fab1 no nó 1.
A Tabela 3 mostra os nomes e mapeamentos de interface para uma VM vM de firewall virtual vSRX independente.
Adaptador de rede |
Nome de interface no Junos OS |
|---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
A Tabela 4 mostra os nomes e mapeamentos da interface para um par de VMs de firewall virtual vSRX em um cluster (nó 0 e nó 1).
Adaptador de rede |
Nome de interface no Junos OS |
|---|---|
1 |
fxp0 (nó 0 e 1) |
2 |
em0 (nó 0 e 1) |
3 |
ge-0/0/0 (nó 0)ge-7/0/0 (nó 1) |
4 |
ge-0/0/1 (nó 0)ge-7/0/1 (nó 1) |
5 |
ge-0/0/2 (nó 0)ge-7/0/2 (nó 1) |
6 |
ge-0/0/3 (nó 0)ge-7/0/3 (nó 1) |
7 |
ge-0/0/4 (nó 0)ge-7/0/4 (nó 1) |
8 |
ge-0/0/5 (nó 0)ge-7/0/5 (nó 1) |
Configurações padrão do firewall virtual vSRX no VMware
O firewall virtual vSRX requer as seguintes configurações básicas de configuração:
As interfaces devem ser atribuídas a endereços IP.
As interfaces devem estar vinculadas a zonas.
As políticas devem ser configuradas entre zonas para permitir ou negar tráfego.
Com plataformas de firewall virtual vSRX, a VMware usa o vNIC VMXNET 3 e requer modo promíscuo no vSwitch para a interface de gerenciamento, o fxp0.
A Tabela 5 lista as configurações padrão de fábrica para as políticas de segurança do firewall virtual vSRX.
Zona de origem |
Zona de destino |
Ação de política |
|---|---|---|
confiar |
desconfiança |
permitir |
confiar |
confiar |
permitir |
desconfiança |
confiar |
negar |