迁移到 vSRX3.0
了解如何将 vSRX 虚拟防火墙软件架构从 vSRX2.0 迁移到 vSRX3.0,并了解升级 vSRX 虚拟防火墙时的许可证要求。
在 Junos OS 18.4R1 版中,我们为 vSRX 虚拟防火墙引入了新的软件架构 vSRX3.0。我们建议您为 vSRX 虚拟防火墙 VM 迁移到 vSRX3.0。如果您使用的是 vSRX2.0,则可以通过几个步骤迁移到新的 vSRX3.0。请注意,命令行界面 (CLI) 保持不变,并且适用于 vSRX2.0 的配置也适用于 vSRX3.0。
在本文档中,我们将以下术语用于 vSRX 虚拟防火墙架构:
- 最新的 vSRX 虚拟防火墙架构 (vSRX3.0) 作为 vSRX3.0
- vSRX3.0 之前的架构即 vSRX2.0 或 vSRX
概述
vSRX3.0 简介
新的 vSRX3.0 架构是一个使用 FreeBSD 12.x / Junos OS 作为作系统的简化虚拟机 (VM)。在 vSRX3.0 中,路由引擎和数据包转发引擎在 FreeBSD 12.x 或更高版本上作为单个虚拟机运行,以提高性能和可扩展性。vSRX3.0 使用 DPDK 处理数据平面中的数据包。
好处
迁移到 vSRX3.0 后,您可以快速引入新服务、交付自定义解决方案并动态扩展安全服务,这是因为:
-
在管理作期间,控制平面的启动时间更快,响应更迅速
-
更快的提交和 CLI 升级,运维效益增加
-
由于消除了双作系统和嵌套虚拟化,提高了敏捷性并减小了映像大小
-
无需特殊配置即可在管理端口和群集控制链路上启用混合模式
- 简化跨不同主机环境的无缝部署
图 1 显示了 vSRX 虚拟防火墙架构。
受支持的 Junos OS 版本
表 1 列出了 vSRX2.0 和 vSRX3.0 支持的 Junos OS 版本。
| vSRX 虚拟防火墙架构 | 支持的 Junos OS 版本 |
|---|---|
| vSRX2.0 | 15.1X49、17.3 及更高版本,最高可达 22.4(包括 22.4)。Junos OS 22.4 版是可用于 vSRX2.0 的最后一个版本。我们建议以后使用 vSRX 虚拟防火墙 3.0。 |
| vSRX3.0 | 18.4 及更高版本 |
vSRX2.0 和 vSRX3.0 中的功能支持
表 2 和表 3 列出了 vSRX2.0 和 vSRX3.0 中支持的功能。
| 功能: | vSRX2.0 | 、vSRX3.0 |
|---|---|---|
| 2 个 vCPU / 4 GB RAM 5 个 vCPU / 8 GB RAM |
是的 | 是的 |
| 9 个 vCPU / 16 GB RAM |
是的 | 是(Junos OS 19.1R1 及更高版本) |
| 17 vCPU / 32 GB RAM |
是的 | 是(Junos OS 19.1R1 及更高版本) |
| 通过额外的 vRAM 实现灵活流会话容量扩展 |
是(从 Junos 19.1R1 开始) | 是(Junos OS 19.2R1 及更高版本) |
| 多核扩展支持(软件 RSS) |
不 | 是(Junos OS 19.3R1 及更高版本) |
| 为路由引擎预留额外的 vCPU 内核 |
是的 | 是的 |
| Virtio (virtio-net, vhost-net) |
是的 | 是的 |
| 支持的虚拟机管理程序 | ||
| VMware ESXi 5.5、6.0 和 6.5 |
是的 | 是的 |
| VMware ESXi 6.7 和 7.0 |
不 | 是(Junos OS 19.3R1 及更高版本) |
| Ubuntu 16.04、Centos 7.1、Redhat 7.2 上的 KVM |
是的 | 是的 |
| Hyper-V |
是的 | 是(Junos OS 19.1R1 及更高版本) |
| Microsoft Hyper-V 上的多核扩展支持 | 不 | 是(Junos OS 19.1R1 及更高版本) |
| Nutanix |
是的 | 是(Junos OS 19.1R1 及更高版本) |
| Contrail 网络 3.x |
是的 | 是的 |
| Contrail 网络 5.x |
不 | 是(Junos OS 19.3R1 及更高版本) |
| AWS |
是的 | 是的 |
| 天蓝色 |
是的 | 是(Junos OS 19.1R1 及更高版本) |
| Google Cloud Platform (GCP) |
不 | 是(Junos OS 19.3R1 及更高版本) |
| 其他特性 | ||
| 云初始化 |
是的 | 是的 |
| 使用 C5 实例的 AWS ELB 和 ENA |
是的 | 是(Junos OS 20.1R1 及更高版本) |
| 功率模式 IPSec (PMI) |
是的 | 是的 |
| 机箱群集 |
是的 | 是的 |
| 使用软件 RSS 的基于 TEID 的 GTP 会话分配 |
不 | 是(Junos OS 19.3R1 及更高版本) |
| 设备防病毒扫描引擎 (Avira) |
不 | 是(Junos OS 19.4R1 及更高版本) |
| LLDP |
是的 | 是(Junos OS 21.1R1 及更高版本) |
| Junos 遥测接口 |
是的 | 是(Junos OS 20.3R1 及更高版本) |
| 系统要求 | ||
| 虚拟机管理程序中的硬件加速/启用 VMX CPU 标志 |
是的 | 不 |
| 磁盘空间 |
16 千兆字节 | 18 千兆字节 |
| vSRX2.0 | 、vSRX3.0 | 上支持 | 的 vNIC |
|---|---|---|---|
| VMXNET3 SA 和 HA | VMware | 是的 | 是的 |
| Virtio SA 和 HA | KVM的 | 是的 | 是的 |
| 基于英特尔 82599/X520 系列的 SR-IOV SA 和 HA | VMware 和 KVM | 是的 | 是的 |
| 基于 Intel X710/XL710/XXV710 系列的 SR-IOV SA 和 HA | VMware 和 KVM | 是的 | 是的 |
| 基于英特尔 E810 系列的 SR-IOV SA | VMware 和 KVM | 是的 | 是的 |
| 基于英特尔 E810 系列的 SR-IOV HA | VMware 和 KVM | 不 | 不 |
| 基于 Mellanox ConnectX-3 的 SR-IOV SA 和 HA | VMware 和 KVM | 不 | 不 |
| 基于 Mellanox ConnectX-4/5/6 的 SR-IOV SA 和 HA(仅限 MLX5 驱动程序) | VMware | 是的 | 是的 (从 Junos OS 21.2R1 版开始的 SA) (从 Junos OS 21.2R2 版开始的高可用性) |
| 基于 Mellanox ConnectX-4/5/6 的 SR-IOV SA 和 HA(仅限 MLX5 驱动程序) | KVM的 | 是的 | 是的 (Junos OS 21.2R1 及更高版本) |
| 通过 Intel 82599/X520 系列实现 PCI 直通 | VMware 和 KVM | 不 | 不 |
| 通过英特尔 X710/XL710 系列实现 PCI 直通 | VMware 和 KVM | 是的 | 不 |
vSRX3.0 的许可证要求
从 Junos OS 21.1R1 版开始,我们已过渡到 SRX 系列和 vSRX3.0 的 Flex 软件订阅许可模式。现在,我们使用瞻博网络敏捷许可来支持在 vSRX 虚拟防火墙上对虚拟 CPU (vCPU) 使用情况进行软实施。瞻博网络敏捷许可提供简化且集中的许可证管理和部署。
Junos OS 21.1 之前的版本使用旧版许可管理系统 (LMS) 中的许可证。如果在装有 Junos OS 21.1 或更高版本的 vSRX3.0 上应用相同的许可证,则许可证将在 30 天的宽限期后过期。您必须通过瞻博网络敏捷许可 (JAL) 门户 (https://license.juniper.net/licensemanage/) 获取新的许可证。
如果从 vSRX2.0(任何 Junos OS 版本)升级到 vSRX3.0(Junos OS 21.1 或更高版本),则必须获取新的许可证密钥。您可以撤消当前许可证密钥,并为更高版本的 Junos OS 生成新的许可证密钥。有关详细信息,请参阅 知识库文章 。
图 2 总结了不同升级方案的许可证要求。
的许可证要求
| 从 | 升级升级到 | 许可证密钥更改 |
|---|---|---|
| vSRX2.0(任何 Junos OS 版本) |
vSRX3.0 Junos OS 21.1 或更高版本 (21.1、21.2、21.3、21.4、22.1 及更高版本) |
通过瞻博网络敏捷许可 (JAL) 门户 (https://license.juniper.net/licensemanage/) 获取新许可证。 有关详细信息,请参阅 发行说明:Junos OS 21.1R1 版、 vSRX 的 Flex 软件许可证和 许可指南 。请确保在许可证请求中指定正确数量的 vCPU。 |
| vSRX2.0(任何 Junos OS 版本) |
vSRX3.0(低于 21.1 的 Junos OS 版本) (18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4) |
通过以下步骤重复使用现有许可证密钥:
请参阅本主题中的 迁移过程 。 |
我们建议您升级到 Junos OS 21.1R1 或更高版本的 vSRX3.0,以避免将来升级 vSRX 虚拟防火墙映像时出现许可问题。
迁移
检查 vSRX 虚拟防火墙版本
使用 show version 以下命令检查您的 vSRX 虚拟防火墙实例是否具有 vSRX2.0 或 vSRX3.0:
示例-1
user@host-01> show version Hostname: host-01 Model: vsrx
在输出中,字段 Model: vsrx (字母 srx ) 小写表示 vSRX2.0。
示例-2
user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.1R1.10
在输出中,字段 Model: vSRX (字母 SRX ) 大写代表 vSRX3.0。
迁移前检查清单
在迁移到 vSRX3.0 之前,请完成以下任务。
-
检查 vSRX 虚拟防火墙实例上的 Junos OS 版本。
user@host-01> show version Hostname: host-01 Model: vsrx Junos: 19.4R3.1
示例输出指示您的 vSRX 虚拟防火墙实例具有 Junos OS 版本 19.4R3 和 vSRX2.0。
-
保存活动配置,不进行任何未提交的更改。
user@host-01> show configuration | save /var/tmp/existingConfig.txt Wrote 273 lines of output to '/var/tmp/existingConfig.txt'
系统将活动配置保存在指定的文件位置。将保存的文件复制到本地工作区以供以后使用。
-
按照 图 2 检查您的许可证要求。您可能需要一个新的许可证密钥,也可以重新应用现有密钥。
- 如果需要新的许可证密钥,请从瞻博网络敏捷许可 (JAL) 门户 (https://license.juniper.net/licensemanage/) 获取
- 如果可以重新应用现有许可证密钥,请使用以下步骤保存许可证文件的副本:
-
在作模式下显示安装在 vSRX 虚拟防火墙上的许可证密钥:
user@host-01> show system license keys DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu -
使用以下命令复制许可证密钥或将许可证密钥保存到文件或 URL:
user@host-01> request system license save filename | url
-
-
备份 vSRX2.0 VM 上可能需要的新 vSRX3.0 VM 上可能需要的任何其他文件(例如 IPsec VPN 证书和脚本)(如果适用)。
-
确保已准备好服务器/主机作系统,并在主机作系统中设置所需的虚拟网络和存储池。
-
在开始部署新的 vSRX3.0 VM 之前,请关闭 vSRX2.0 VM 的电源。
迁移过程
使用以下步骤从 vSRX2.0 迁移到 vSRX3.0:
- 导航到 vSRX3.0 (https://support.juniper.net/support/downloads/?p=vsrx3) 的瞻博网络支持页面,选择作系统作为 vSRX3.0,然后选择所需的版本,如 图 3 所示。
图 3:vSRX3.0 下载
-
输入您的证书并查看/接受最终用户许可协议。您将被引导至软件映像下载页面。按照页面上的说明下载 Junos OS 映像文件。
在服务器上安装下载的 vSRX 虚拟防火墙 VM。
下载 vSRX3.0 映像时,映像文件名包括 vsrx3。示例:junos-install- vsrx3 -x86-64-21.2R3.8.tgz.有关安装和启动 VM 的详细信息 ,请参阅适用于私有和公共云平台的 vSRX 部署指南 。-
使用
show version命令重新启动后检查 Junos OS 和 vSRX 虚拟防火墙版本。user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.3R1.1
迁移后任务
安装带有 vSRX3.0 的新 Junos OS 后,请完成以下检查。
-
在服务器上使用 vSRX3.0 启动新的 vSRX 虚拟防火墙实例。
- 启用网络访问(例如,通过在 fxp0 接口上配置 IP 地址)。通过此步骤,您可以将文件传输到新的 vSRX3.0 VM。
-
在新启动的 vSRX 虚拟防火墙实例上应用许可证密钥(现有密钥或新密钥,如 图 2 所示)。
user@host-01# request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu DemolabJUNOS966777536: successfully added add license complete (no errors) -
如果使用的是机箱群集设置,请使用
set chassis cluster cluster-id X node [0|1]命令在新的 vSRX3.0 上启用机箱群集,然后重新启动虚拟机。 -
传输从 vSRX2.0 VM 备份的任何其他文件,如 IPsec VPN、证书和脚本(如果适用)。
-
将之前保存的配置文件复制回 /var/tmp 文件夹。
- 在配置模式下运行 负载覆盖 /var/tmp/existingConfig.txt ,将当前配置替换为保存的配置。
user@host-01# load override /var/tmp/existingConfig.txt load complete
- 提交配置。
user@host-01# commit
-
确保您的设备设置、网络设置和其他配置都可以使用命令
show configuration使用。
应用层网关 (ALG) 默认行为中的更改
在 vSRX2.0 中,以下 ALG 默认处于禁用状态;但是,迁移到 vSRX3.0 时,默认情况下会启用以下 ALG:
- H323型
- MGCP (英语)
- RTSP
- 短链氯化石蜡
- 啜
如果尚未在 vSRX2.0 配置中启用这些 ALG,则可能需要在 vSRX3.0 配置中禁用它们,以保持相同的 ALG 行为。
要禁用 ALG,请执行以下作:
[edit] set security alg <alg-name> disable
show security alg status使用命令确认已启用/禁用哪些 ALG。
例:
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
下一步是什么?
现在,您已经安装了新的 vSRX3.0,可以探索新的功能和增强功能。请参阅 发行说明。