VMware 上的 vSRX 虚拟防火墙要求
软件规格
下表列出了在 VMware 上部署 vSRX 虚拟防火墙时的系统软件要求规范。下表概述了 Junos OS 版本,其中引入了用于在 VMware 上部署 vSRX 虚拟防火墙的特定软件规范。您必须需要下载特定的 Junos OS 版本才能使用某些功能。
| 特性 | 规格 | 引入 Junos OS 版本 |
|---|---|---|
| vCPU/内存 | 2 个 vCPU/4 GB RAM |
Junos OS 15.1X49-D15 版和 Junos OS 17.3R1 版(vSRX 虚拟防火墙) |
| 5 个 vCPU/8 GB RAM |
Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版(vSRX 虚拟防火墙) |
|
| 9 个 vCPU/16 GB RAM |
Junos OS 18.4R1 版(vSRX 虚拟防火墙) Junos OS 19.1R1 版(vSRX 虚拟防火墙 3.0) |
|
| 17 个 vCPU/32 GB RAM |
Junos OS 18.4R1 版(vSRX 虚拟防火墙) Junos OS 19.1R1 版(vSRX 虚拟防火墙 3.0) |
|
| 通过额外的 vRAM 实现灵活流会话容量扩展 |
那 | Junos OS 19.1R1 版(vSRX 虚拟防火墙) Junos OS 19.2R1 版(vSRX 虚拟防火墙 3.0) |
| 多核扩展支持(软件 RSS) |
那 | Junos OS 19.3R1 版(仅限 vSRX 虚拟防火墙 3.0) |
| 为路由引擎预留额外的 vCPU 核心(vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0) |
那 | |
| Virtio (virtio-net, vhost-net)(vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0) |
那 | |
| 支持的虚拟机管理程序 | ||
| 虚拟机管理程序支持 |
VMware ESXi 5.1、5.5、6.0 和 6.5(vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0) |
Junos OS 18.4R1 版 |
| VMware ESXi 6.7 和 7.0(仅限 vSRX 虚拟防火墙 3.0) | Junos OS 19.3R1 及更高版本 | |
| VMware ESXi 8.0(仅限 vSRX 虚拟防火墙 3.0) | Junos OS 24.2R2 及更高版本 | |
| 其他特性 | ||
| 云初始化 |
那 | |
| 功率模式 IPSec (PMI) |
那 | |
| 机箱群集 |
那 | |
| 使用软件 RSS 的基于 TEID 的 GTP 会话分配 |
那 | Junos OS 19.3R1 及更高版本 |
| 设备防病毒扫描引擎 (Avira) |
那 | Junos OS 19.4R1 及更高版本 |
| LLDP |
那 | Junos OS 21.1R1 及更高版本 |
| Junos 遥测接口 |
那 | Junos OS 20.3R1 及更高版本 |
| 系统要求 | ||
| 虚拟机管理程序中的硬件加速/已启用 VMX CPU 标志(仅限 vSRX 虚拟防火墙) |
那 | |
| 磁盘空间 |
16 GB(IDE 或 SCSI 驱动器)(vSRX 虚拟防火墙) |
Junos OS 15.1X49-D15 版和 Junos OS 17.3R1 版 |
| 18 GB(vSRX 虚拟防火墙 3.0) |
||
| vNIC | 推出Junos OS 版本 |
|---|---|
| VMXNET3 SA 和 HA | |
| 基于英特尔 X710/XL710/XXV710 系列的 SR-IOV SA 和 HA(vSRX 虚拟防火墙 3.0) | Junos OS 20.4R2 及更高版本 |
| I40E 上的 SR-IOV HA(X710、X740、X722 等)(vSRX 虚拟防火墙 3.0) | 不支持 |
| 基于英特尔 E810 系列的 SR-IOV SA 和 HA(vSRX 虚拟防火墙 3.0) | Junos 21.2R1 及更高版本 |
| 基于 Mellanox ConnectX-3 的 SR-IOV SA 和 HA | 不支持 |
| 基于 Mellanox ConnectX-4/5/6 的 SR-IOV SA 和 HA(仅限 MLX5 驱动程序) | (从 Junos OS 21.2R1 版开始的 SA) (从 Junos OS 21.2R2 版开始的高可用性) |
| 通过 Intel 82599/X520 系列实现 PCI 直通 | 不支持 |
| 通过英特尔 X710/XL710 系列实现 PCI 直通 | 在 vSRX 虚拟防火墙 3.0 上不受支持 |
| DPDK 版本已从 17.02 升级到 17.11.2,以支持 Mellanox 系列适配器。 |
Junos OS 18.4R1 版 |
| 数据平面开发工具包 (DPDK) 版本 18.11 vSRX 虚拟防火墙支持 DPDK 版本 18.11。借助此功能,vSRX 虚拟防火墙上的 Mellanox Connect 网络接口卡 (NIC) 现在支持 OSPF、组播和 VLAN。 |
Junos OS 19.4R1 版 |
提高 vSRX 虚拟防火墙性能的最佳实践
查看以下可改进 vSRX 虚拟防火墙性能的做法。
NUMA 节点
x86 服务器体系结构由多个套接字和一个套接字内的多个内核组成。每个套接字还具有存储器,用于在从 NIC 到主机的 I/O 传输期间存储数据包。为了有效地从内存中读取数据包,访客应用程序和相关外围设备(如 NIC)应驻留在单个插槽中。与跨越内存访问的 CPU 插槽有关,这可能会导致性能不确定。对于 vSRX 虚拟防火墙,我们建议 vSRX 虚拟防火墙 VM 的所有 vCPU 都位于同一个物理非一致性内存访问 (NUMA) 节点中,以获得最佳性能。
如果在虚拟机管理程序中配置了 NUMA 节点拓扑以将实例的 vCPU 分散到多个主机 NUMA 节点,则vSRX 虚拟防火墙上的数据包转发引擎 (PFE) 将变得无响应。vSRX 虚拟防火墙要求您确保所有 vCPU 都驻留在同一个 NUMA 节点上。
建议通过设置 NUMA 节点关联性,将 vSRX 虚拟防火墙实例与特定 NUMA 节点进行绑定。NUMA 节点关联性将 vSRX 虚拟防火墙 VM 资源调度限制为仅指定的 NUMA 节点。
PCI NIC 到 VM 映射
如果运行 vSRX 虚拟防火墙的节点与英特尔 PCI NIC 连接到的节点不同,则数据包将不得不遍历 QPI 链路中的附加跃点,这将降低整体吞吐量。 esxtop 使用命令可查看有关相对物理 NIC 位置的信息。在某些无法获得此信息的服务器上,请参阅插槽到 NUMA 节点拓扑的硬件文档。
VMware 上 vSRX 虚拟防火墙的接口映射
为 vSRX 虚拟防火墙定义的每个网络适配器都会映射到特定接口,具体取决于 vSRX 虚拟防火墙实例是独立虚拟机还是群集对之一,以实现高可用性。表 3 和 表 4 显示了 vSRX 虚拟防火墙中的接口名称和映射。
请注意以下几点:
在独立模式下:
fxp0 是带外管理接口。
ge-0/0/0 是第一个流量(收入)接口。
在群集模式下:
fxp0 是带外管理接口。
em0 是两个节点的群集控制链路。
可以将任何流量接口指定为交换矩阵链路,例如,节点 0 上的 fab0 为 ge-0/0/0,节点 1 上的 fab1 为 ge-7/0/0。
表 3 显示了独立 vSRX 虚拟防火墙虚拟机的接口名称和映射。
网络 适配器 |
Junos OS 中的接口名称 |
|---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
表 4 显示了群集中一对 vSRX 虚拟防火墙虚拟机(节点 0 和节点 1)的接口名称和映射。
网络 适配器 |
Junos OS 中的接口名称 |
|---|---|
1 |
fxp0(节点 0 和 1) |
2 |
em0(节点 0 和 1) |
3 |
ge-0/0/0 (节点 0)ge-7/0/0 (节点 1) |
4 |
ge-0/0/1 (节点 0)ge-7/0/1 (节点 1) |
5 |
ge-0/0/2 (节点 0)ge-7/0/2 (节点 1) |
6 |
ge-0/0/3 (节点 0)ge-7/0/3 (节点 1) |
7 |
ge-0/0/4 (节点 0)ge-7/0/4 (节点 1) |
8 |
ge-0/0/5 (节点 0)ge-7/0/5 (节点 1) |
VMware 上的 vSRX 虚拟防火墙默认设置
vSRX 虚拟防火墙需要以下基本配置设置:
必须为接口分配 IP 地址。
接口必须绑定到区域。
必须在区域之间配置策略以允许或拒绝流量。
对于 vSRX 虚拟防火墙平台,VMware 使用 VMXNET 3 vNIC,并且需要 vSwitch 上的管理接口 fxp0 采用混合模式。
表 5 列出了 vSRX 虚拟防火墙安全策略的出厂默认设置。
源区 |
目标区域 |
策略作 |
|---|---|---|
信任 |
不信任 |
许可证 |
信任 |
信任 |
许可证 |
不信任 |
信任 |
否认 |