Anforderungen für die virtuelle Firewall vSRX auf VMware
Software-Spezifikationen
In der folgenden Tabelle sind die Spezifikationen aufgeführt, die für die Systemsoftware bei der Bereitstellung der virtuellen Firewall vSRX auf VMware erforderlich sind. Die Tabelle gibt einen Überblick über die Junos OS-Version, in der eine bestimmte Softwarespezifikation für die Bereitstellung der virtuellen Firewall vSRX auf VMware eingeführt wurde. Sie müssen eine bestimmte Version von Junos OS herunterladen, um bestimmte Funktionen nutzen zu können.
| Funktionsspezifikation | Junos OS-Version vorgestellt | |
|---|---|---|
| vCPUs/Arbeitsspeicher | 2 vCPUs/4 GB RAM |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 (Virtuelle Firewall vSRX) |
| 5 vCPUs/8 GB RAM |
Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 (Virtuelle Firewall vSRX) |
|
| 9 vCPUs/16 GB RAM |
Junos OS Version 18.4R1 (Virtuelle Firewall vSRX) Junos OS Version 19.1R1 (Virtuelle Firewall vSRX 3.0) |
|
| 17 vCPUs/32 GB RAM |
Junos OS Version 18.4R1 (Virtuelle Firewall vSRX) Junos OS Version 19.1R1 (Virtuelle Firewall vSRX 3.0) |
|
| Flexible Skalierung der Flow-Session-Kapazität durch einen zusätzlichen vRAM |
NA | Junos OS Version 19.1R1 (Virtuelle Firewall vSRX) Junos OS Version 19.2R1 (Virtuelle Firewall vSRX 3.0) |
| Unterstützung für Multicore-Skalierung (Software-RSS) |
NA | Junos OS Version 19.3R1 (nur Virtuelle Firewall vSRX 3.0) |
| Reservieren zusätzlicher vCPU-Kerne für die Routing-Engine (Virtuelle Firewall vSRX und Virtuelle Firewall vSRX 3.0) |
NA | |
| Virtio (virtio-net, vhost-net) (Virtuelle Firewall vSRX und Virtuelle Firewall vSRX 3.0) |
NA | |
| Unterstützte Hypervisoren | ||
| Hypervisor-Unterstützung |
VMware ESXi 5.1, 5.5, 6.0 und 6.5 (Virtuelle Firewall vSRX und Virtuelle Firewall vSRX 3.0) |
Junos OS Version 18.4R1 |
| VMware ESXi 6.7 und 7.0 (nur Virtuelle Firewall vSRX 3.0) | Junos OS Version 19.3R1 oder höher | |
| VMware ESXi 8.0 (nur Virtuelle Firewall vSRX 3.0) | Junos OS Version 24.2R2 und höher | |
| Weitere Funktionen | ||
| Cloud-init |
NA | |
| Powermode IPSec (PMI) |
NA | |
| Gehäuse-Cluster |
NA | |
| GTP TEID-basierte Sitzungsverteilung über Software-RSS |
NA | Junos OS Version 19.3R1 oder höher |
| Antivirus-Scan-Engine auf dem Gerät (Avira) |
NA | Junos OS Version 19.4R1 und höher |
| LLDP |
NA | Junos OS Version 21.1R1 und höher |
| Junos Telemetry Interface |
NA | Junos OS Version 20.3R1 und höher |
| Systemanforderungen | ||
| Flag für Hardwarebeschleunigung/aktivierte VMX-CPU im Hypervisor (nur virtuelle Firewall vSRX) |
NA | |
| Festplattenspeicher |
16 GB (IDE- oder SCSI-Laufwerke) (Virtuelle Firewall vSRX) |
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 |
| 18 GB (Virtuelle Firewall vSRX 3.0) |
||
| vNICs | Junos OS-Version vorgestellt |
|---|---|
| VMXNET3 SA und HA | |
| SR-IOV SA und HA über Intel X710/XL710/XXV710-Serie (Virtuelle Firewall vSRX 3.0) | Junos OS Version 20.4R2 und höher |
| SR-IOV HA auf I40E (X710, X740, X722 usw.) (Virtuelle Firewall vSRX 3.0) | Nicht unterstützt |
| SR-IOV, SA und HA über Intel E810-Serie (Virtuelle Firewall vSRX 3.0) | Junos Version 21.2R1 und höher |
| SR-IOV SA und HA über Mellanox ConnectX-3 | Nicht unterstützt |
| SR-IOV SA und HA über Mellanox ConnectX-4/5/6 (nur MLX5-Treiber) | (SA ab Junos OS Version 21.2R1 aufwärts) (HA ab Junos OS Version 21.2R2 aufwärts) |
| PCI-Passthrough über Intel 82599/X520-Serie | Nicht unterstützt |
| PCI-Passthrough über Intel X710/XL710-Serie | Wird von Virtuelle Firewall vSRX 3.0 nicht unterstützt |
| Die DPDK-Version wurde von 17.02 auf 17.11.2 aktualisiert, um die Adapter der Mellanox-Familie zu unterstützen. |
Junos OS Version 18.4R1 |
| Data Plane Development Kit (DPDK) Version 18.11 DPDK Version 18.11 wird auf der Virtuelle Firewall vSRX unterstützt. Mit dieser Funktion unterstützt die Mellanox Connect Netzwerkkarte (NIC) der virtuellen Firewall vSRX jetzt OSPF, Multicast und VLANs. |
Junos OS Version 19.4R1 |
Best Practices zur Verbesserung der Leistung der virtuellen Firewall vSRX
Überprüfen Sie die folgenden Vorgehensweisen, um die Leistung der virtuellen Firewall vSRX zu verbessern.
NUMA-Knoten
Die x86-Serverarchitektur besteht aus mehreren Sockets und mehreren Kernen innerhalb eines Sockets. Jeder Socket verfügt außerdem über einen Speicher, der zum Speichern von Paketen während der E/A-Übertragung von der NIC zum Host verwendet wird. Um Pakete effizient aus dem Arbeitsspeicher lesen zu können, sollten sich Gastanwendungen und zugehörige Peripheriegeräte (z. B. die Netzwerkkarte) in einem einzigen Socket befinden. Eine Abstrafung ist mit dem Spanning von CPU-Sockeln für Speicherzugriffe verbunden, was zu einer nicht deterministischen Leistung führen kann. Für die Virtuelle Firewall vSRX empfehlen wir, dass sich alle vCPUs für die VM der Virtuelle Firewall vSRX im selben NUMA-Knoten (Physical Non-Uniform Memory Access) befinden, um eine optimale Leistung zu erzielen.
Die Packet Forwarding Engine (PFE) auf der Virtuelle Firewall vSRX reagiert nicht mehr, wenn die NUMA-Knotentopologie im Hypervisor so konfiguriert ist, dass die vCPUs der Instanz auf mehrere Host-NUMA-Knoten verteilt werden. Für die virtuelle Firewall vSRX müssen Sie sicherstellen, dass sich alle vCPUs auf demselben NUMA-Knoten befinden.
Es wird empfohlen, die virtuelle Firewall vSRX-Instanz an einen bestimmten NUMA-Knoten zu binden, indem Sie die NUMA-Knotenaffinität festlegen. Die NUMA-Knotenaffinität schränkt die Ressourcenplanung für Virtuelle Firewall vSRX VMs auf den angegebenen NUMA-Knoten ein.
PCI-NIC-zu-VM-Zuordnung
Wenn sich der Knoten, auf dem die Virtuelle Firewall vSRX ausgeführt wird, von dem Knoten unterscheidet, mit dem die Intel PCI-Netzwerkkarte verbunden ist, müssen die Pakete einen zusätzlichen Hop in der QPI-Verbindung durchlaufen, wodurch der Gesamtdurchsatz verringert wird. Verwenden Sie den esxtop Befehl, um Informationen zu relativen physischen NIC-Speicherorten anzuzeigen. Auf einigen Servern, auf denen diese Informationen nicht verfügbar sind, finden Sie in der Hardwaredokumentation Informationen zur Slot-to-NUMA-Knotentopologie.
Schnittstellenzuordnung für virtuelle Firewall vSRX auf VMware
Jeder Netzwerkadapter, der für eine virtuelle Firewall vSRX definiert ist, wird einer bestimmten Schnittstelle zugeordnet, je nachdem, ob es sich bei der Instanz der virtuellen Firewall vSRX um eine eigenständige VM oder um eine Instanz eines Clusterpaars für hohe Verfügbarkeit handelt. Die Schnittstellennamen und -zuordnungen in der Virtuelle Firewall vSRX sind in Tabelle 3 und Tabelle 4 aufgeführt.
Beachten Sie Folgendes:
Im Standalone-Modus:
FXP0 ist die Out-of-Band-Managementschnittstelle.
GE-0/0/0 ist die erste Datenverkehrsschnittstelle (Umsatzschnittstelle).
Im Cluster-Modus:
FXP0 ist die Out-of-Band-Managementschnittstelle.
EM0 ist die Cluster-Steuerverbindung für beide Knoten.
Jede der Datenverkehrsschnittstellen kann als Fabric-Links angegeben werden, z. B. ge-0/0/0 für Fab0 auf Knoten 0 und ge-7/0/0 für Fab1 auf Knoten 1.
Tabelle 3 zeigt die Schnittstellennamen und -zuordnungen für eine eigenständige virtuelle Firewall vSRX-VM.
Netzwerkadapter |
Schnittstellenname in Junos OS |
|---|---|
1 |
fxp0-KARTON |
2 |
GE-0/0/0 |
3 |
GE-0/0/1 |
4 |
GE-0/0/2 |
5 |
GE-0/0/3 |
6 |
GE-0/0/4 |
7 |
GE-0/0/5 |
8 |
GE-0/0/6 |
Tabelle 4 zeigt die Schnittstellennamen und -zuordnungen für ein Paar virtuelle Firewall vSRX-VMs in einem Cluster (Knoten 0 und Knoten 1).
Netzwerkadapter |
Schnittstellenname in Junos OS |
|---|---|
1 |
fxp0 (Knoten 0 und 1) |
2 |
EM0 (Knoten 0 und 1) |
3 |
GE-0/0/0 (Knoten 0)GE-7/0/0 (Knoten 1) |
4 |
GE-0/0/1 (Knoten 0)GE-7/0/1 (Knoten 1) |
5 |
GE-0/0/2 (Knoten 0)GE-7/0/2 (Knoten 1) |
6 |
GE-0/0/3 (Knoten 0)GE-7/0/3 (Knoten 1) |
7 |
GE-0/0/4 (Knoten 0)GE-7/0/4 (Knoten 1) |
8 |
GE-0/0/5 (Knoten 0)GE-7/0/5 (Knoten 1) |
Virtuelle Firewall vSRX Standardeinstellungen auf VMware
Für die Virtuelle Firewall vSRX sind die folgenden grundlegenden Konfigurationseinstellungen erforderlich:
Schnittstellen müssen IP-Adressen zugewiesen werden.
Schnittstellen müssen an Zonen gebunden sein.
Richtlinien müssen zwischen den Zonen konfiguriert werden, um Datenverkehr zuzulassen oder abzulehnen.
Mit Virtuelle Firewall vSRX-Plattformen verwendet VMware die vNIC VMXNET 3 und benötigt den promiskuitiven Modus auf dem vSwitch für die Managementschnittstelle fxp0.
In Tabelle 5 sind die werkseitigen Standardeinstellungen für die Sicherheitsrichtlinien der virtuellen Firewall vSRX aufgeführt.
Quellzone |
Zielzone |
Politische Maßnahmen |
|---|---|---|
vertrauen |
Nicht vertrauenswürdig |
erlauben |
vertrauen |
vertrauen |
erlauben |
Nicht vertrauenswürdig |
vertrauen |
leugnen |