Microsoft Hyper-V 上的 vSRX 虚拟防火墙要求

本节概述在 Microsoft Hyper-V 上部署 vSRX 虚拟防火墙实例的要求。

软件要求

表 1 列出了 Microsoft Hyper-V 上 vSRX 虚拟防火墙实例的软件要求。

注意：

Microsoft Hyper-V 仅支持小型 vSRX 虚拟防火墙。Microsoft Hyper-V 支持 vSRX 虚拟防火墙 3.0 多 CPU 版本。

表 1：Microsoft Hyper-V 的 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 规格
组件	规范
虚拟机管理程序支持	从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始，只能在 Microsoft Hyper-V Windows 服务器 2012 R2 或 2012 上部署 vSRX 虚拟防火墙。从 Junos OS 15.1X49-D100 版和 Junos OS 17.4R1 版开始，您可以在 Microsoft Hyper-V Windows 服务器 2016 上部署 vSRX 虚拟防火墙。从 Junos OS 22.3R1 版开始，您可以在 Microsoft Hyper-V Windows Server 2019 和 2022 版本上部署 vSRX 虚拟防火墙 3.0。
记忆	4 GB
磁盘空间	16 GB（IDE 或 SCSI 驱动器）
vCPU	2
虚拟网卡	8 个 Hyper-V 特定网络适配器

表 2：Microsoft Hyper-V 的 vSRX 虚拟防火墙 3.0 规格
组件	规范
虚拟机管理程序支持	Microsoft Hyper-V Windows 服务器 2016 Microsoft Hyper-V Windows 服务器 2019
记忆	4 GB
磁盘空间	18 GB （IDE）
vCPU	2
虚拟网卡	8 个 Hyper-V 特定网络适配器

从 Junos OS 19.1R1 版开始，vSRX 虚拟防火墙 3.0 实例支持在 Microsoft Hyper-V 和 Azure 上具有 2 个 vCPU、4 GB 虚拟 RAM 和 18 GB 磁盘空间的访客操作系统，以提高性能。

硬件要求

表 3 列出了运行 vSRX 虚拟防火墙虚拟机的主计算机的硬件规格。

表 3：主机的硬件规格
组件	规范
主机内存大小	最小 4 GB
主机处理器类型	基于 x86 或 x64 的多核处理器注意： DPDK 需要在 CPU 中支持 Intel 虚拟化 VT-x/VT-d。请参阅 Intel 虚拟化技术。
千兆位（10/100/1000baseT）以太网适配器	模拟多端口 DEC 21140 10/100TX 100 MB 以太网适配器与一到四个网络连接。

提高 vSRX 虚拟防火墙性能的优秀实践

查看以下可提高 vSRX 虚拟防火墙性能的实践。

NUMA 节点

x86 服务器架构由插槽内的多个插槽和多个核心组成。每个插槽都有用于在从 NIC 到主机的 I/O 传输期间存储数据包的内存。要高效从内存中读取数据包，访客应用程序和相关外围设备（如 NIC）应驻留在单个插槽中。为了进行内存访问而跨越 CPU 插槽会受到损失，这可能会导致性能无法确定。对于 vSRX 虚拟防火墙，我们建议 vSRX 虚拟防火墙虚拟机的所有 vCPU 都位于同一个物理非统一内存访问（NUMA）节点中，以获得最佳性能。

谨慎：

如果在虚拟机管理程序中配置 NUMA 节点拓扑来跨多个主机 NUMA 节点传播实例的 vCPU，则 vSRX 虚拟防火墙上的数据包转发引擎（PFE）将变得无响应。vSRX 虚拟防火墙要求您确保所有 vCPU 驻留在相同的 NUMA 节点上。

我们建议通过设置 NUMA 节点关联来将 vSRX 虚拟防火墙实例与特定 NUMA 节点绑定。NUMA 节点关联性将 vSRX 虚拟防火墙虚拟机资源调度限制为仅指定 NUMA 节点。

Microsoft Hyper-V 上 vSRX 虚拟防火墙的接口映射

为 vSRX 虚拟防火墙定义的每个网卡都会映射到特定接口，具体取决于 vSRX 虚拟防火墙实例是独立虚拟机还是群集对之一，以实现高可用性。

注意：

从适用于 vSRX 虚拟防火墙的 Junos OS 15.1X49-D100 版开始，仅在 Microsoft Hyper-V 服务器 2016 年及更高版本上提供对用于提供网络节点冗余的机箱群集支持。

请注意以下几点：

在独立模式下：
- fxp0 是带外管理接口。
- ge-0/0/0 是第一个流量（收入）接口。
在群集模式下：
- fxp0 是带外管理接口。
- em0 是两个节点的群集控制链路。
- 任何流量接口都可以指定为交换矩阵链路，例如，ge-0/0/0（用于节点 0 上的 fab0），ge-7/0/0 用于节点 1 上的 fab1。

表 4 显示了独立 vSRX 虚拟防火墙虚拟机的接口名称和映射。

表 4：独立 vSRX 虚拟防火墙虚拟机的接口名称
网络适配器	Junos OS 中的接口名称
1	fxp0
2	ge-0/0/0
3	ge-0/0/1
4	ge-0/0/2
5	ge-0/0/3
6	ge-0/0/4
7	ge-0/0/5
8	ge-0/0/6

表 5 显示了群集（节点 0 和节点 1）中一对 vSRX 虚拟防火墙虚拟机的接口名称和映射。

表 5：vSRX 虚拟防火墙群集对的接口名称
网络适配器	Junos OS 中的接口名称
1	fxp0（节点 0 和 1）
2	em0（节点 0 和 1）
3	ge-0/0/0（节点 0）ge-7/0/0（节点 1）
4	ge-0/0/1（节点 0）ge-7/0/1（节点 1）
5	ge-0/0/2（节点 0）ge-7/0/2（节点 1）
6	ge-0/0/3 （节点 0）ge-7/0/3（节点 1）
7	ge-0/0/4（节点 0）ge-7/0/4（节点 1）
8	ge-0/0/5 （节点 0）ge-7/0/5（节点 1）

Microsoft Hyper-V 上的 vSRX 虚拟防火墙默认设置

vSRX 虚拟防火墙需要以下基本配置设置：

接口必须分配 IP 地址。
接口必须与区域绑定。
必须在区域之间配置策略，以允许或拒绝流量。

表 6 列出了 vSRX 虚拟防火墙上安全策略的出厂默认设置。

表 6：安全策略的出厂默认设置
源区域	目标区域	策略操作
信任	untrust	许可证
信任	信任	许可证
untrust	信任	否认

版本历史记录表

释放

描述

19.1R1

15.1X49-D80

从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始，只能在 Microsoft Hyper-V 服务器 2012 R2 或 2012 上部署 vSRX 虚拟防火墙。

15.1X49-D100

从 Junos OS 15.1X49-D100 版和 Junos OS 17.4R1 版开始，您可以在 Microsoft Hyper-V 服务器 2016 上部署 vSRX 虚拟防火墙。