Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

KVM 上的 vSRX 虚拟防火墙要求

本节概述了在 KVM 上部署 vSRX 虚拟防火墙实例的要求;

软件规格

下表列出了在 KVM 环境中部署 vSRX 虚拟防火墙时的系统软件要求规范。该表概述了 Junos OS 版本,其中引入了用于在 KVM 上部署 vSRX 虚拟防火墙的特定软件规范。您需要下载特定的 Junos OS 版本才能使用某些功能。

谨慎:

与 KVM 主机内核相关的页面修改日志记录 (PML) 问题可能会阻止 vSRX 虚拟防火墙成功引导。如果您在使用 vSRX 虚拟防火墙时遇到此行为,我们建议您在主机内核级别禁用 PML。有关在启用嵌套虚拟化过程中禁用 PML 的详细信息,请参阅为 vSRX 安装准备服务器

表 1:vSRX 虚拟防火墙上的功能支持
功能 规格 Junos OS 版本介绍
vCPU/内存

2 个 vCPU / 4 GB 内存

Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1(vSRX 虚拟防火墙)

5 个 vCPU / 8 GB 内存

Junos OS 版本 15.1X49-D70 和 Junos OS 版本 17.3R1(vSRX 虚拟防火墙)

9 个 vCPU / 16 GB 内存

Junos OS 版本 18.4R1(vSRX 虚拟防火墙)

Junos OS 版本 19.1R1(vSRX 虚拟防火墙 3.0)

17 个 vCPU / 32 GB 内存

Junos OS 版本 18.4R1(vSRX 虚拟防火墙)

Junos OS 版本 19.1R1(vSRX 虚拟防火墙 3.0)

通过额外的 vRAM 灵活扩展流会话容量

Junos OS 版本 19.1R1(vSRX 虚拟防火墙)

Junos OS 版本 19.2R1(vSRX 虚拟防火墙 3.0)

多核扩展支持(软件 RSS)

Junos OS 19.3R1 版(仅限 vSRX 虚拟防火墙 3.0)

为路由引擎保留额外的 vCPU 核心(vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0)

 

Virtio (virtio-net, vhost-net) (vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0)

 
支持的虚拟机管理程序

Linux KVM 虚拟机管理程序支持

注意:

从此处提到的指定 Junos OS 版本开始,所有后续 Junos OS 版本也支持这些 RHEL 版本及更高版本。

Ubuntu 14.04.5、16.04 和 16.10

Junos OS 18.4R1 版
Ubuntu 18.04 和 20.04 Junos OS 20.4R1 版
Red Hat Enterprise Linux (RHEL) 7.3、7.6 和 7.7 Junos OS 18.4R1 版
Red Hat Enterprise Linux (RHEL) 8.2 Junos OS 19.2R1 版
Red Hat Enterprise Linux (RHEL) 9 Junos OS 23.4R1 版
CentOS 7.1、7.2、7.6 和 7.7 Junos OS 20.4R1 版
其他功能

云初始化

 

电源模式 IPSec (PMI)

 

机箱群集

 

使用软件 RSS 进行基于 GTP TEID 的会话分发

是(Junos OS 19.3R1 及更高版本)

设备上的防病毒扫描引擎 (Avira)

是(Junos OS 19.4R1 及更高版本)

LLDP

是(Junos OS 21.1R1 及更高版本)

Junos 遥测接口

是(Junos OS 20.3R1 版及更高版本)
系统要求

虚拟机管理程序中的硬件加速/已启用 VMX CPU 标志

 

磁盘空间

16 GB(IDE 或 SCSI 驱动器)(vSRX 虚拟防火墙)

Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1

18 GB(vSRX 虚拟防火墙 3.0)

 
表 2:vSRX 虚拟防火墙上的 vNIC 支持
引入 vNIC 版本
Virtio SA 和 HA  
通过英特尔 82599/X520 系列的 SR-IOV SA 和高可用性 Junos OS 15.1X49-D90 版和 Junos OS 17.3R1 版
英特尔 X710/XL710/XXV710 系列上的 SR-IOV SA 和高可用性 Junos OS 版本 15.1X49-D90
英特尔 E810 系列上的 SR-IOV SA 和高可用性 Junos OS 21.2R1 版
注意:

从 Junos OS 23.2R2 版开始,只有 ICE 驱动程序 1.12.7 与带有 vSRX 3.0 的 E810 兼容。低于 1.12.7 的版本会导致兼容性问题,并且不会联机启动 FPC。

Mellanox ConnectX-3 上的 SR-IOV SA 和 HA 不支持
通过 Mellanox ConnectX-4/5/6 的 SR-IOV SA 和 HA(仅限 MLX5 驱动程序)

Junos OS 版本 18.1R1(vSRX 虚拟防火墙)

vSRX 虚拟防火墙 3.0 上的 Junos OS 21.2R1 版本及更高版本

通过英特尔 82599/X520 系列的 PCI 直通 不支持
通过英特尔 X710/XL710 系列的 PCI 直通 不支持

数据平面开发工具包 (DPDK) 版本 17.05

Junos OS 18.2R1 版

数据平面开发工具包 (DPDK) 版本 18.11

从 Junos OS 版本 19.4R1 开始,vSRX 虚拟防火墙支持 DPDK 版本 18.11。借助此功能,vSRX 虚拟防火墙上的 Mellanox Connect 网络接口卡 (NIC) 现在支持 OSPF 组播和 VLAN。

Junos OS 19.4R1 版

数据平面开发工具包 (DPDK) 版本 20.11

从 Junos OS 21.2R1 版开始,我们已将数据平面开发工具包 (DPDK) 从版本 18.11 升级到版本 20.11。新版本支持 ICE 轮询模式驱动程序 (PMD),可在 vSRX 虚拟防火墙 3.0 上启用物理英特尔 E810 系列 100G NIC 支持。
Junos OS 21.2R1 版
注意:

KVM 部署上的 vSRX 虚拟防火墙要求您在包含支持英特尔虚拟化技术 (VT) 的处理器的主机操作系统上启用基于硬件的虚拟化。您可以在此处验证 CPU 兼容性: http://www.linux-kvm.org/page/Processor_support

下表列出了 vSRX 虚拟防火墙虚拟机上的规格。

从 Junos OS 19.1R1 版开始,vSRX 虚拟防火墙实例支持访客操作系统使用 9 或 17 个 vCPU,并通过 Linux KVM 虚拟机管理程序上的英特尔 X710/XL710 进行单根 I/O 虚拟化,以提高可扩展性和性能。

vSRX 虚拟防火墙的 KVM 内核建议

表 3 列出了在 KVM 上部署 vSRX 虚拟防火墙时,为 Linux 主机操作系统推荐的 Linux 内核版本。下表概述了引入了对特定 Linux 内核版本的支持的 Junos OS 版本。

表3:内核对KVM的建议

Linux 发行版

Linux 内核版本

支持的 Junos OS 版本

CentOS

3.10.0.229

升级 Linux 内核以捕获推荐版本。

Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1 或更高版本

乌班图

3.16

Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1 或更高版本

4.4

Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1 或更高版本

18.04

Junos OS 20.4R1 或更高版本

20.04

Junos OS 20.4R1 或更高版本

RHEL

3.10

Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1 或更高版本

适用于 KVM 上的 vSRX 虚拟防火墙的其他 Linux 软件包

表 4 列出了在 KVM 上运行 vSRX 虚拟防火墙所需的 Linux 主机操作系统的其他软件包。请参阅主机操作系统文档,了解如何安装服务器上不存在这些包。

表 4:用于 KVM 的其他 Linux 软件包

版本

下载链接

libvirt

0.10.0

libvirt 下载

virt-manager (推荐)

0.10.0

virt-manager 下载

硬件规格

表 5 列出了运行 vSRX 虚拟防火墙虚拟机的主机的硬件规格。

表 5:主机的硬件规格

元件

规范

主机处理器类型

英特尔x86_64多核 CPU

注意:

DPDK 要求在 CPU 中支持英特尔虚拟化 VT-x/VT-d。请参阅 关于英特尔虚拟化技术

vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 的物理网卡支持

  • 维尔蒂奥

  • SR-IOV(英特尔 X710/XL710、X520/540、82599)

  • SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 和 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)

注意:

如果将 SR-IOV 与 Mellanox ConnectX-3 或 ConnectX-4 系列适配器配合使用,如有必要,请在 Linux 主机上安装最新的 MLNX_OFED Linux 驱动程序。请参阅 Mellanox OpenFabrics Enterprise Distribution for Linux (MLNX_OFED)。

注意:

您必须启用英特尔 VT-d 扩展以提供硬件支持,以便为每个来宾直接分配物理设备。请参阅 在 KVM 上配置 SR-IOV 和 PCI

vSRX 虚拟防火墙 3.0 的物理网卡支持

在英特尔 X710/XL710/XXV710 和英特尔 E810 上支持 SR-IOV。

提高 vSRX 虚拟防火墙性能的最佳实践

查看以下实践以提高 vSRX 虚拟防火墙性能。

NUMA 节点

x86 服务器体系结构由多个套接字和一个套接字内的多个内核组成。每个套接字都有内存,用于在从 NIC 到主机的 I/O 传输期间存储数据包。为了有效地从内存中读取数据包,来宾应用程序和关联的外围设备(如 NIC)应驻留在单个套接字内。跨越 CPU 插槽进行内存访问会产生损失,这可能会导致性能不确定。对于 vSRX 虚拟防火墙,我们建议 vSRX 虚拟防火墙虚拟机的所有 vCPU 都位于同一物理非一致性内存访问 (NUMA) 节点中,以获得最佳性能。

谨慎:

如果在虚拟机管理程序中配置 NUMA 节点拓扑以将实例的 vCPU 分布在多个主机 NUMA 节点上,则 vSRX 虚拟防火墙上的数据包转发引擎 (PFE) 将变得无响应。vSRX 虚拟防火墙要求您确保所有 vCPU 都驻留在同一个 NUMA 节点上。

我们建议您通过设置 NUMA 节点关联性,将 vSRX 虚拟防火墙实例与特定 NUMA 节点绑定。NUMA 节点关联性将 vSRX 虚拟防火墙虚拟机资源调度限制为仅指定的 NUMA 节点。

将虚拟接口映射到 vSRX 虚拟防火墙虚拟机

要确定 Linux 主机操作系统上的哪些虚拟接口映射到 vSRX 虚拟防火墙虚拟机,请执行以下操作:

  1. virsh list在 Linux 主机操作系统上使用命令列出正在运行的虚拟机。

  2. 使用 virsh domiflist vsrx-name 命令列出该 vSRX 虚拟防火墙虚拟机上的虚拟接口。

    注意:

    第一个虚拟接口映射到 Junos OS 中的 fxp0 接口。

KVM 上 vSRX 虚拟防火墙的接口映射

为 vSRX 虚拟防火墙定义的每个网络适配器都映射到特定接口,具体取决于 vSRX 虚拟防火墙实例是独立虚拟机还是群集对之一,以实现高可用性。vSRX 虚拟防火墙中的接口名称和映射如 表 6表 7 所示。

请注意以下几点:

  • 在独立模式下:

    • FXP0 是带外管理接口。

    • ge-0/0/0 是第一个流量(收入)接口。

  • 在群集模式下:

    • FXP0 是带外管理接口。

    • em0 是两个节点的群集控制链路。

    • 可以将任何流量接口指定为结构链路,例如节点 0 上的 fab0 为 ge-0/0/0,节点 1 上的 fab1 为 ge-7/0/0。

表 6 显示了独立 vSRX 虚拟防火墙虚拟机的接口名称和映射。

表 6: 独立 vSRX 虚拟防火墙虚拟机的接口名称

网络 适配器

用于 vSRX 虚拟防火墙的 Junos OS 中的接口名称

1

FXP0

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

表 7 显示了群集(节点 0 和节点 1)中一对 vSRX 虚拟防火墙虚拟机的接口名称和映射。

表 7: vSRX 虚拟防火墙群集对的接口名称

网络 适配器

用于 vSRX 虚拟防火墙的 Junos OS 中的接口名称

1

FXP0(节点 0 和 1)

2

em0(节点 0 和 1)

3

ge-0/0/0 (节点 0)ge-7/0/0 (节点 1)

4

ge-0/0/1 (节点 0)ge-7/0/1 (节点 1)

5

ge-0/0/2(节点 0)ge-7/0/2(节点 1)

6

ge-0/0/3 (节点 0)ge-7/0/3 (节点 1)

7

ge-0/0/4(节点 0)ge-7/0/4(节点 1)

8

ge-0/0/5(节点 0)ge-7/0/5(节点 1)

KVM 上的 vSRX 虚拟防火墙默认设置

vSRX 虚拟防火墙需要以下基本配置设置:

  • 必须为接口分配 IP 地址。

  • 接口必须绑定到区域。

  • 必须在区域之间配置策略以允许或拒绝流量。

表 8 列出了 vSRX 虚拟防火墙上安全策略的出厂默认设置。

表 8:安全策略的出厂默认设置

源区域

目标区域

策略操作

信任

不信任

许可证

信任

信任

许可证

不信任

信任

否认