SUR CETTE PAGE
Migrer vers vSRX3.0
RÉSUMÉ Découvrez comment migrer l’architecture logicielle vSRX de vSRX2.0 vers vSRX3.0 et comprenez les exigences de licence lors de la mise à niveau de votre vSRX.
Dans la version 18.4R1 de Junos OS, nous avons introduit une nouvelle architecture logicielle vSRX3.0 pour les pare-feu virtuels vSRX. Nous vous recommandons de migrer vers vSRX3.0 pour votre vm vSRX. Si vous utilisez vSRX2.0, vous pouvez migrer vers le nouveau vSRX3.0 en quelques étapes. Notez que l’interface de ligne de commande (CLI) reste la même et que la configuration qui fonctionne sur vSRX2.0 fonctionne également dans vSRX3.0.
- Dernière architecture vSRX (vSRX3.0) en tant que vSRX3.0
- Architecture antérieure à vSRX3.0 en tant que vSRX2.0
Aperçu
Introduction au vSRX3.0
La nouvelle architecture vSRX3.0 est une machine virtuelle (VM) rationalisée utilisant FreeBSD 12.x / Junos OS comme système d’exploitation. Dans vSRX3.0, le moteur de routage et le moteur de transfert de paquets s’exécutent sur FreeBSD 12.x ou version ultérieure en tant que VM unique pour améliorer les performances et l’évolutivité. Le vSRX3.0 utilise DPDK pour traiter les paquets de données du plan de données.
Avantages
La migration vers vSRX3.0 vous permet d’introduire rapidement de nouveaux services, de fournir des solutions personnalisées et de faire évoluer les services de sécurité de manière dynamique grâce à :
-
Accélération du temps de démarrage et amélioration de la réactivité du plan de contrôle pendant les opérations de gestion
-
Avantages opérationnels accrus grâce à des validations et des mises à niveau CLI plus rapides
-
Amélioration de l’agilité et réduction de la taille de l’image grâce à l’élimination du double système d’exploitation et à la virtualisation imbriquée
-
Aucune configuration spéciale requise pour activer le mode promiscuous sur le port de gestion et les liaisons de contrôle du cluster
- Déploiements simplifiés et transparents sur différents environnements hôtes
La figure 1 illustre l’architecture vSRX.
vSRX3.0
Versions Junos OS prises en charge
Le tableau 1 fournit une liste des versions junos OS prises en charge pour vSRX2.0 et vSRX3.0.
| Architectures vSRX | prises en charge junos OS |
|---|---|
| vSRX2.0 | 15.1X49, 17.3 et ultérieures jusqu’à 22.4 inclus. La version 22.4 de Junos OS est la dernière version disponible pour vSRX2.0. Nous vous recommandons d’utiliser vSRX 3.0 à l’avenir. |
| vSRX3.0 | 18.4 et versions ultérieures |
Prise en charge des fonctionnalités de vSRX2.0 et vSRX3.0
Les tableau 2 et 3 répertorient les fonctionnalités prises en charge par vSRX2.0 et vSRX3.0.
| Fonctionnalités de | vSRX2.0 | vSRX3.0 |
|---|---|---|
| 2 processeurs virtuels /4 Go de RAM 5 processeurs virtuels /8 Go DE RAM |
Oui | Oui |
| 9 processeurs virtuels /16 Go de RAM |
Oui | Oui (junos OS version 19.1R1 à partir de) |
| 17 processeurs virtuels /32 Go DE RAM |
Oui | Oui (junos OS version 19.1R1 à partir de) |
| Évolutivité flexible de la capacité des sessions de flux grâce à une vRAM supplémentaire |
Oui (à partir de Junos 19.1R1) | Oui (à partir de la version 19.2R1 de Junos OS) |
| Prise en charge de l’évolutivité multicœur (RSS logiciel) |
Non | Oui (junos OS version 19.3R1 à partir de) |
| Réservez des cœurs vCPU supplémentaires pour le moteur de routage |
Oui | Oui |
| Virtio (virtio-net, vhost-net) |
Oui | Oui |
| Hyperviseurs pris en charge | ||
| VMware ESXi 5.5, 6.0, 6.5, 7.0 |
Oui | Oui |
| VMware ESXi 6.7 |
Non | Oui (junos OS version 19.3R1 à partir de) |
| KVM sur Ubuntu 16.04, Centos 7.1, Redhat 7.2 |
Oui | Oui |
| Hyper-V |
Oui | Oui (junos OS version 19.1R1 à partir de) |
| Prise en charge de l’évolutivité multicœur sur Microsoft Hyper-V | Non | Oui (junos OS version 19.1R1 à partir de) |
| Nutanix |
Oui | Oui (junos OS version 19.1R1 à partir de) |
| Contrail Networking 3.x |
Oui | Oui |
| Contrail Networking 5.x |
Non | Oui (junos OS version 19.3R1 à partir de) |
| AWS |
Oui | Oui |
| Azure |
Oui | Oui (junos OS version 19.1R1 à partir de) |
| Google Cloud Platform (GCP) |
Non | Oui (junos OS version 19.3R1 à partir de) |
| Autres fonctionnalités | ||
| Cloud-init |
Oui | Oui |
| AWS ELB et ENA à l’aide d’instances C5 |
Oui | Oui (à partir de la version 20.1R1 de Junos OS) |
| Powermode IPSec (PMI) |
Oui | Oui |
| Cluster de châssis |
Oui | Oui |
| Distribution de sessions basée sur des TEID GTP à l’aide du logiciel RSS |
Non | Oui (junos OS version 19.3R1 à partir de) |
| Moteur d’analyse antivirus sur l’équipement (Avira) |
Non | Oui (junos OS version 19.4R1 à partir de) |
| LLDP |
Oui | Oui (à partir de la version 21.1R1 de Junos OS) |
| Interface de télémétrie Junos |
Oui | Oui (à partir de la version 20.3R1 de Junos OS) |
| Configuration système requise | ||
| Indicateur d’accélération matérielle/processeur VMX activé dans l’hyperviseur |
Oui | Non |
| Espace disque |
16 Go | 18 Go |
| VNIC | pris en charge sur | vSRX2.0 | vSRX3.0 |
|---|---|---|---|
| VMXNET3 SA et HA | Vmware | Oui | Oui |
| Virtio SA et HA | KVM | Oui | Oui |
| SR-IOV SA et HA sur Intel 82599/X520 Series | VMware et KVM | Oui | Oui |
| SR-IOV SA et HA sur Intel X710/XL710/XXV710 Series | VMware et KVM | Oui | Oui |
| SR-IOV SA sur Intel E810 Series | VMware et KVM | Oui | Oui |
| SR-IOV HA sur Intel E810 Series | VMware et KVM | Non | Non |
| SR-IOV SA et HA sur Mellanox ConnectX-3 | VMware et KVM | Non | Non |
| SR-IOV SA et HA sur Mellanox ConnectX-4/5/6 (pilote MLX5 uniquement) | Vmware | Oui | Oui (SA à partir de la version 21.2R1 de Junos OS) (HA à partir de la version 21.2R2 de Junos OS) |
| SR-IOV SA et HA sur Mellanox ConnectX-4/5/6 (pilote MLX5 uniquement) | KVM | Oui | Oui (à partir de la version 21.2R1 de Junos OS) |
| Passthrough PCI sur Intel 82599/X520 Series | VMware et KVM | Non | Non |
| Passthrough PCI sur Intel X710/XL710 Series | VMware et KVM | Oui | Non |
Exigences de licence pour vSRX3.0
À partir de la version 21.1R1 de Junos OS, nous sommes passés au modèle de licence d'abonnement logiciel Flex pour SRX Series et vSRX3.0. Nous utilisons désormais Juniper Agile Licensing pour prendre en charge l’application logicielle pour l’utilisation de processeurs virtuels (vCPU) sur vSRX. Juniper Agile Licensing offre une administration et un déploiement simplifiés et centralisés des licences.
Les licences d’utilisation de Junos OS antérieures à la version 21.1 d’un système de gestion des licences (LMS) hérité. Si vous appliquez la même licence sur vSRX3.0 avec Junos OS 21.1 ou versions ultérieures, la licence expire après un délai de grâce de 30 jours. Vous devez obtenir une nouvelle licence avec le portail Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/).
Si vous effectuez une mise à niveau de vSRX2.0 (n’importe quelle version Junos OS) vers vSRX3.0 (version Junos OS 21.1 ou supérieure), vous devez obtenir une nouvelle clé de licence. Vous pouvez révoquer la clé de licence actuelle et en générer une nouvelle pour la version Junos OS supérieure. Consultez l’article de la base de connaissances pour plus de détails.
La figure 2 résume les exigences de licence pour différents scénarios de mise à niveau.
| Mise à niveau vers | modification des clés de licence | |
|---|---|---|
| vSRX2.0 avec n’importe quelle version junos OS |
vSRX3.0 avec Junos OS versions 21.1 ou ultérieures (versions 21.1, 21.2, 21.3, 21.4, 22.1 et ultérieures) |
Obtenez une nouvelle licence avec le portail Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/). Consultez les notes de mise à jour : Junos OS version 21.1R1, Licence logicielle Flex pour vSRX et Guide de licence pour plus de détails. Assurez-vous de spécifier le nombre correct de vCPU dans la demande de licence. |
| vSRX2.0 avec n’importe quelle version junos OS |
vSRX3.0 avec Junos OS versions antérieures à 21.1 (18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4) |
Réutilisation de la clé de licence existante en procédant comme suit :
Consultez la procédure de migration dans cette rubrique. |
Nous vous recommandons de passer à vSRX3.0 avec Junos OS version 21.1R1 ou versions ultérieures pour éviter tout problème de licence lorsque vous effectuez des mises à niveau d’image vSRX à l’avenir.
Migrer vers vSRX3.0
Vérifier la version du vSRX
Vérifiez si votre instance vSRX possède vSRX2.0 ou vSRX3.0 à l’aide de la show version commande :
Exemple 1
user@host-01> show version Hostname: host-01 Model: vsrx
Dans la sortie, le champ Modèle:vsrx avec des lettres srx en minuscule représente vSRX2.0.
Exemple 2
user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.1R1.10
Dans la sortie, le champ Modèle:vSRX avec les lettres SRX en majuscule représente vSRX3.0.
Checklist pré-migration
Effectuez les tâches suivantes avant de migrer vers vSRX3.0.
-
Vérifiez la version de Junos OS sur votre instance vSRX.
user@host-01> show version Hostname: host-01 Model: vsrx Junos: 19.4R3.1
L’exemple de sortie indique que votre instance vSRX possède Junos OS version 19.4R3 et vSRX2.0.
-
Enregistrez la configuration active sans aucune modification non validée.
user@host-01> show configuration | save /var/tmp/existingConfig.txt Wrote 273 lines of output to '/var/tmp/existingConfig.txt'
Le système enregistre la configuration active à l’emplacement de fichier spécifié. Copiez le fichier enregistré dans votre espace de travail local pour une utilisation ultérieure.
-
Vérifiez vos exigences en matière de licence comme le figure 2. Vous aurez peut-être besoin d’une nouvelle clé de licence, ou vous pouvez réappreployer la clé existante.
- Si vous avez besoin de nouvelles clés de licence, demandez-les sur le portail Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/)
- Si vous pouvez re-appliquer la clé de licence existante, enregistrez une copie du fichier de licence en suivant les étapes suivantes :
-
Affichez les clés de licence installées sur votre vSRX depuis le mode opérationnel :
user@host-01> show system license keys DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu -
Copiez les clés de licence ou enregistrez les clés de licence dans un fichier ou une URL à l’aide de la commande suivante :
user@host-01> request system license save filename | url
-
-
Sauvegardez tous les autres fichiers sur la vm vSRX2.0, que vous pourriez avoir besoin sur la nouvelle vm vSRX3.0 (tels que les certificats et scripts VPN IPsec) (le cas échéant).
-
Assurez-vous que votre système d’exploitation serveur/hôte est prêt et configurez les réseaux virtuels et le pool de stockage requis dans le système d’exploitation hôte.
-
Éléchez votre vm vSRX2.0 avant de commencer à déployer la nouvelle vm vSRX3.0.
Procédure de migration
Procédez comme suit pour migrer de vSRX2.0 vers vSRX3.0 :
- Accédez à la page d’assistance Juniper Networks pour le vSRX3.0 (https://support.juniper.net/support/downloads/?p=vsrx3), sélectionnez le système d’exploitation vSRX3.0 et sélectionnez les versions requises illustrées en figure 3.
Figure 3 : téléchargement
du vSRX3.0
-
Saisissez vos informations d’identification et examinez/acceptez le contrat de licence de l’utilisateur final. Vous serez guidé vers la page de téléchargement de l’image du logiciel. Suivez les instructions de la page et téléchargez le fichier image Junos OS.
Installez la vm vSRX téléchargée sur votre serveur.
Lorsque vous téléchargez une image vSRX3.0, le nom du fichier image inclut vsrx3. Exemple :junos-install- vsrx3 -x86-64-21.2R3.8.tgz. Consultez le guide de déploiement vSRX pour les plates-formes de cloud privé et public pour plus d’informations sur l’installation et le lancement des VM.-
Vérifiez les versions de Junos OS et vSRX après un redémarrage à l’aide de la
show versioncommande.user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.3R1.1
Tâches post-migration
Effectuez les vérifications suivantes après avoir installé le nouveau système d’exploitation Junos avec vSRX3.0.
-
Lancez la nouvelle instance vSRX avec vSRX3.0 sur votre serveur.
- Activez l’accès au réseau (par exemple en configurant une adresse IP sur l’interface fxp0). Cette étape vous permet de transférer des fichiers vers la nouvelle vm vSRX3.0.
-
Appliquez les clés de licence (les clés existantes ou les nouvelles clés selon la figure 2) sur la nouvelle instance vSRX lancée.
user@host-01# request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu DemolabJUNOS966777536: successfully added add license complete (no errors) -
Si vous utilisez une configuration de cluster de châssis, activez le cluster de châssis sur le nouveau vSRX3.0 à l’aide de la
set chassis cluster cluster-id X node [0|1]commande et redémarrez les machines virtuelles. -
Transférez tous les autres fichiers que vous avez sauvegardés à partir de vm vSRX2.0, tels que les certificats et scripts VPN IPsec (le cas échéant).
-
Copiez le fichier de configuration que vous avez enregistré précédemment dans le dossier /var/tmp .
- Exécutez le remplacement de charge /var/tmp/existingConfig.txt dans le mode de configuration pour remplacer la configuration actuelle par la configuration enregistrée.
user@host-01# load override /var/tmp/existingConfig.txt load complete
- Validez la configuration.
user@host-01# commit
-
Assurez-vous que les paramètres de votre équipement, les paramètres réseau et d’autres configurations sont disponibles à l’aide de la
show configurationcommande.
Modification du comportement par défaut des passerelles de couche application (ALG)
Dans vSRX2.0, les ALG suivants ont été désactivés par défaut ; toutefois, lorsque vous migrez vers vSRX3.0, ces ALG sont activés par défaut :
- H323
- MGCP
- RTSP
- SCCP
- SIP
Si vous n'avez pas activé ces ALG dans votre configuration vSRX2.0, vous pouvez les désactiver dans la configuration vSRX3.0 pour conserver le même comportement ALG.
Pour désactiver une ALG :
[edit] set security alg <alg-name> disable
Utilisez la show security alg status commande pour confirmer les ALG activés/désactivés.
Exemple:
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
Quelle est la prochaine étape ?
Maintenant que vous avez installé le nouveau vSRX3.0, vous pouvez explorer les nouvelles fonctionnalités et améliorations. Découvrez les nouvelles fonctionnalités après la mise à niveau.