VMware 上的 vSRX 虚拟防火墙要求
软件规格
下表列出了在 VMware 上部署 vSRX 虚拟防火墙时的系统软件要求规范。下表概述了 Junos OS 版本,其中引入了用于在 VMware 上部署 vSRX 虚拟防火墙的特定软件规范。您必须下载特定的 Junos OS 版本才能利用某些功能。
功能 | 规格 | Junos OS 版本介绍 |
---|---|---|
vCPU/内存 | 2 个 vCPU / 4 GB 内存 |
Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1(vSRX 虚拟防火墙) |
5 个 vCPU / 8 GB 内存 |
Junos OS 版本 15.1X49-D70 和 Junos OS 版本 17.3R1(vSRX 虚拟防火墙) |
|
9 个 vCPU / 16 GB 内存 |
Junos OS 版本 18.4R1(vSRX 虚拟防火墙) Junos OS 版本 19.1R1(vSRX 虚拟防火墙 3.0) |
|
17 个 vCPU / 32 GB 内存 |
Junos OS 版本 18.4R1(vSRX 虚拟防火墙) Junos OS 版本 19.1R1(vSRX 虚拟防火墙 3.0) |
|
通过额外的 vRAM 灵活扩展流会话容量 |
那 | Junos OS 版本 19.1R1(vSRX 虚拟防火墙) Junos OS 版本 19.2R1(vSRX 虚拟防火墙 3.0) |
多核扩展支持(软件 RSS) |
那 | Junos OS 19.3R1 版(仅限 vSRX 虚拟防火墙 3.0) |
为路由引擎保留额外的 vCPU 核心(vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0) |
那 | |
Virtio (virtio-net, vhost-net) (vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0) |
那 | |
支持的虚拟机管理程序 | ||
虚拟机管理程序支持 |
VMware ESXi 5.1、5.5、6.0 和 6.5(vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0) |
Junos OS 18.4R1 版 |
VMware ESXi 6.7(仅限 vSRX 虚拟防火墙 3.0) | Junos OS 19.3R1 版 | |
VMware ESXi 7.0(仅限 vSRX 虚拟防火墙 3.0) | Junos OS 20.1R2 版 | |
其他功能 | ||
云初始化 |
那 | |
电源模式 IPSec (PMI) |
那 | |
机箱群集 |
那 | |
使用软件 RSS 进行基于 GTP TEID 的会话分发 |
那 | Junos OS 19.3R1 版本及更高版本 |
设备上的防病毒扫描引擎 (Avira) |
那 | Junos OS 19.4R1 版本及更高版本 |
LLDP |
那 | Junos OS 21.1R1 版本及更高版本 |
Junos 遥测接口 |
那 | Junos OS 20.3R1 版本及更高版本 |
系统要求 | ||
虚拟机管理程序中的硬件加速/已启用 VMX CPU 标志(仅限 vSRX 虚拟防火墙) |
那 | |
磁盘空间 |
16 GB(IDE 或 SCSI 驱动器)(vSRX 虚拟防火墙) |
Junos OS 版本 15.1X49-D15 和 Junos OS 版本 17.3R1 |
18 GB(vSRX 虚拟防火墙 3.0) |
vNIC Junos | OS 版本介绍 |
---|---|
VMXNET3 SA 和 HA | |
通过英特尔 X710/XL710/XXV710 系列(vSRX 虚拟防火墙 3.0)的 SR-IOV SA 和高可用性 | Junos OS 20.4R2 版本及更高版本 |
I40E(X710、X740、X722 等)上的 SR-IOV HA(VSRX 虚拟防火墙 3.0) | 不支持 |
基于英特尔 E810 系列的 SR-IOV SA 和高可用性(vSRX 虚拟防火墙 3.0) | Junos 21.2R1 版本及更高版本 |
Mellanox ConnectX-3 上的 SR-IOV SA 和 HA | 不支持 |
通过 Mellanox ConnectX-4/5/6 的 SR-IOV SA 和 HA(仅限 MLX5 驱动程序) | (从 Junos OS 21.2R1 版开始的 SA) (从 Junos OS 21.2R2 版开始的 HA) |
通过英特尔 82599/X520 系列的 PCI 直通 | 不支持 |
通过英特尔 X710/XL710 系列的 PCI 直通 | 在 vSRX 虚拟防火墙 3.0 上不受支持 |
DPDK 版本已从 17.02 升级到 17.11.2,以支持 Mellanox 系列适配器。 |
Junos OS 18.4R1 版 |
数据平面开发工具包 (DPDK) 版本 18.11 vSRX 虚拟防火墙支持 DPDK 版本 18.11。借助此功能,vSRX 虚拟防火墙上的 Mellanox Connect 网络接口卡 (NIC) 现在支持 OSPF 组播和 VLAN。 |
Junos OS 19.4R1 版 |
提高 vSRX 虚拟防火墙性能的最佳实践
查看以下实践以提高 vSRX 虚拟防火墙性能。
NUMA 节点
x86 服务器体系结构由多个套接字和一个套接字内的多个内核组成。每个套接字还具有内存,用于在从 NIC 到主机的 I/O 传输期间存储数据包。为了有效地从内存中读取数据包,来宾应用程序和关联的外围设备(如 NIC)应驻留在单个套接字内。跨越 CPU 插槽进行内存访问会产生损失,这可能会导致性能不确定。对于 vSRX 虚拟防火墙,我们建议 vSRX 虚拟防火墙虚拟机的所有 vCPU 都位于同一物理非一致性内存访问 (NUMA) 节点中,以获得最佳性能。
如果在虚拟机管理程序中配置 NUMA 节点拓扑以将实例的 vCPU 分布在多个主机 NUMA 节点上,则 vSRX 虚拟防火墙上的数据包转发引擎 (PFE) 将变得无响应。vSRX 虚拟防火墙要求您确保所有 vCPU 都驻留在同一个 NUMA 节点上。
我们建议您通过设置 NUMA 节点关联性,将 vSRX 虚拟防火墙实例与特定 NUMA 节点绑定。NUMA 节点关联性将 vSRX 虚拟防火墙虚拟机资源调度限制为仅指定的 NUMA 节点。
PCI 网卡到虚拟机的映射
如果运行 vSRX 虚拟防火墙的节点与英特尔 PCI NIC 连接的节点不同,则数据包必须遍历 QPI 链路中的额外跃点,这将降低整体吞吐量。使用该 esxtop
命令可查看有关相对物理网卡位置的信息。在某些没有此信息的服务器上,请参阅插槽到 NUMA 节点拓扑的硬件文档。
VMware 上 vSRX 虚拟防火墙的接口映射
为 vSRX 虚拟防火墙定义的每个网络适配器都映射到特定接口,具体取决于 vSRX 虚拟防火墙实例是独立虚拟机还是群集对之一,以实现高可用性。vSRX 虚拟防火墙中的接口名称和映射如 表 3 和 表 4 所示。
请注意以下几点:
在独立模式下:
FXP0 是带外管理接口。
ge-0/0/0 是第一个流量(收入)接口。
在群集模式下:
FXP0 是带外管理接口。
em0 是两个节点的群集控制链路。
可以将任何流量接口指定为结构链路,例如节点 0 上的 fab0 为 ge-0/0/0,节点 1 上的 fab1 为 ge-7/0/0。
表 3 显示了独立 vSRX 虚拟防火墙虚拟机的接口名称和映射。
网络 适配器 |
Junos OS 中的接口名称 |
---|---|
1 |
FXP0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
ge-0/0/5 |
8 |
ge-0/0/6 |
表 4 显示了群集(节点 0 和节点 1)中一对 vSRX 虚拟防火墙虚拟机的接口名称和映射。
网络 适配器 |
Junos OS 中的接口名称 |
---|---|
1 |
FXP0(节点 0 和 1) |
2 |
em0(节点 0 和 1) |
3 |
ge-0/0/0 (节点 0)ge-7/0/0 (节点 1) |
4 |
ge-0/0/1 (节点 0)ge-7/0/1 (节点 1) |
5 |
ge-0/0/2(节点 0)ge-7/0/2(节点 1) |
6 |
ge-0/0/3 (节点 0)ge-7/0/3 (节点 1) |
7 |
ge-0/0/4(节点 0)ge-7/0/4(节点 1) |
8 |
ge-0/0/5(节点 0)ge-7/0/5(节点 1) |
VMware 上的 vSRX 虚拟防火墙默认设置
vSRX 虚拟防火墙需要以下基本配置设置:
必须为接口分配 IP 地址。
接口必须绑定到区域。
必须在区域之间配置策略以允许或拒绝流量。
借助 vSRX 虚拟防火墙平台,VMware 使用 VMXNET 3 虚拟网卡,并且需要在 vSwitch 上对管理接口 fxp0 采用混合模式。
表 5 列出了 vSRX 虚拟防火墙安全策略的出厂默认设置。
源区域 |
目标区域 |
策略操作 |
---|---|---|
信任 |
不信任 |
许可证 |
信任 |
信任 |
许可证 |
不信任 |
信任 |
否认 |