Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Migrer vers vSRX3.0

RÉSUMÉ  Découvrez comment migrer l’architecture logicielle vSRX de vSRX2.0 vers vSRX3.0 et comprenez les exigences de licence lors de la mise à niveau de votre vSRX.

Dans la version 18.4R1 de Junos OS, nous avons introduit une nouvelle architecture logicielle vSRX3.0 pour les pare-feu virtuels vSRX. Nous vous recommandons de migrer vers vSRX3.0 pour votre vm vSRX. Si vous utilisez vSRX2.0, vous pouvez migrer vers le nouveau vSRX3.0 en quelques étapes. Notez que l’interface de ligne de commande (CLI) reste la même et que la configuration qui fonctionne sur vSRX2.0 fonctionne également dans vSRX3.0.

Dans ce document, nous utilisons les termes suivants pour les architectures vSRX :
  • Dernière architecture vSRX (vSRX3.0) en tant que vSRX3.0
  • Architecture antérieure à vSRX3.0 en tant que vSRX2.0

Aperçu

Introduction au vSRX3.0

La nouvelle architecture vSRX3.0 est une machine virtuelle (VM) rationalisée utilisant FreeBSD 12.x / Junos OS comme système d’exploitation. Dans vSRX3.0, le moteur de routage et le moteur de transfert de paquets s’exécutent sur FreeBSD 12.x ou version ultérieure en tant que VM unique pour améliorer les performances et l’évolutivité. Le vSRX3.0 utilise DPDK pour traiter les paquets de données du plan de données.

Avantages

La migration vers vSRX3.0 vous permet d’introduire rapidement de nouveaux services, de fournir des solutions personnalisées et de faire évoluer les services de sécurité de manière dynamique grâce à :

  • Accélération du temps de démarrage et amélioration de la réactivité du plan de contrôle pendant les opérations de gestion

  • Avantages opérationnels accrus grâce à des validations et des mises à niveau CLI plus rapides

  • Amélioration de l’agilité et réduction de la taille de l’image grâce à l’élimination du double système d’exploitation et à la virtualisation imbriquée

  • Aucune configuration spéciale requise pour activer le mode promiscuous sur le port de gestion et les liaisons de contrôle du cluster

  • Déploiements simplifiés et transparents sur différents environnements hôtes

La figure 1 illustre l’architecture vSRX.

Figure 1 : architecture vSRX3.0 Architecture vSRX3.0

Versions Junos OS prises en charge

Le tableau 1 fournit une liste des versions junos OS prises en charge pour vSRX2.0 et vSRX3.0.

Tableau 1 : Prise en charge de la version Junos OS pour vSRX2.0 et vSRX3.0
Architectures vSRX prises en charge junos OS
vSRX2.0

15.1X49, 17.3, 17.4, 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2

vSRX3.0

18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2

Prise en charge des fonctionnalités de vSRX2.0 et vSRX3.0

Les tableau 2 et 3 répertorient les fonctionnalités prises en charge par vSRX2.0 et vSRX3.0.

Tableau 2 : Prise en charge des fonctionnalités dans vSRX2.0 et vSRX3.0
Fonctionnalités de vSRX2.0 vSRX3.0

2 processeurs virtuels /4 Go de RAM

5 processeurs virtuels /8 Go DE RAM

Oui Oui

9 processeurs virtuels /16 Go de RAM

Oui Oui (junos OS version 19.1R1 à partir de)

17 processeurs virtuels /32 Go DE RAM

Oui Oui (junos OS version 19.1R1 à partir de)

Évolutivité flexible de la capacité des sessions de flux grâce à une vRAM supplémentaire

Oui (à partir de Junos 19.1R1) Oui (à partir de la version 19.2R1 de Junos OS)

Prise en charge de l’évolutivité multicœur (RSS logiciel)

Non Oui (junos OS version 19.3R1 à partir de)

Réservez des cœurs vCPU supplémentaires pour le moteur de routage

Oui Oui

Virtio (virtio-net, vhost-net)

Oui Oui
Hyperviseurs pris en charge

VMware ESXi 5.5, 6.0, 6.5, 7.0

Oui Oui

VMware ESXi 6.7

Non Oui (junos OS version 19.3R1 à partir de)

KVM sur Ubuntu 16.04, Centos 7.1, Redhat 7.2

Oui Oui

Hyper-V

Oui Oui (junos OS version 19.1R1 à partir de)

Nutanix

Oui Oui (junos OS version 19.1R1 à partir de)

Contrail Networking 3.x

Oui Oui

Contrail Networking 5.x

Non Oui (junos OS version 19.3R1 à partir de)

AWS

Oui Oui

Azure

Oui Oui (junos OS version 19.1R1 à partir de)

Google Cloud Platform (GCP)

Non Oui (junos OS version 19.3R1 à partir de)
Autres fonctionnalités

Cloud-init

Oui Oui

AWS ELB et ENA à l’aide d’instances C5

Oui Oui (à partir de la version 20.1R1 de Junos OS)

Powermode IPSec (PMI)

Oui Oui

Cluster de châssis

Oui Oui

Distribution de sessions basée sur des TEID GTP à l’aide du logiciel RSS

Non Oui (junos OS version 19.3R1 à partir de)

Moteur d’analyse antivirus sur l’équipement (Avira)

Non Oui (junos OS version 19.4R1 à partir de)

LLDP

Oui Oui (à partir de la version 21.1R1 de Junos OS)

Interface de télémétrie Junos

Oui Oui (à partir de la version 20.3R1 de Junos OS)
Configuration système requise

Indicateur d’accélération matérielle/processeur VMX activé dans l’hyperviseur

Oui Non

Espace disque

16 Go 18 Go
Tableau 3 : Prise en charge des réseaux réseau virtuels dans vSRX2.0 et vSRX3.0
VNIC pris en charge sur vSRX2.0 vSRX3.0
VMXNET3 SA et HA Vmware Oui Oui
Virtio SA et HA KVM Oui Oui
SR-IOV SA et HA sur Intel 82599/X520 Series VMware et KVM Oui Oui
SR-IOV SA et HA sur Intel X710/XL710/XXV710 Series VMware et KVM Oui Oui
SR-IOV SA sur Intel E810 Series VMware et KVM Oui Oui
SR-IOV HA sur Intel E810 Series VMware et KVM Non Non
SR-IOV SA et HA sur Mellanox ConnectX-3 VMware et KVM Non Non
SR-IOV SA et HA sur Mellanox ConnectX-4/5/6 (pilote MLX5 uniquement) Vmware Oui

Oui

(SA à partir de la version 21.2R1 de Junos OS)

(HA à partir de la version 21.2R2 de Junos OS)

SR-IOV SA et HA sur Mellanox ConnectX-4/5/6 (pilote MLX5 uniquement) KVM Oui

Oui

(à partir de la version 21.2R1 de Junos OS)

Passthrough PCI sur Intel 82599/X520 Series VMware et KVM Non Non
Passthrough PCI sur Intel X710/XL710 Series VMware et KVM Oui Non

Exigences de licence pour vSRX3.0

À partir de la version 21.1R1 de Junos OS, nous sommes passés au modèle de licence d’abonnement logiciel Flex pour SRX Series et vSRX3.0. Nous utilisons désormais Juniper Agile Licensing pour prendre en charge l’application logicielle pour l’utilisation de processeurs virtuels (vCPU) sur vSRX. Juniper Agile Licensing offre une administration et un déploiement simplifiés et centralisés des licences.

Les licences d’utilisation de Junos OS antérieures à la version 21.1 d’un système de gestion des licences (LMS) hérité. Si vous appliquez la même licence sur vSRX3.0 avec Junos OS 21.1 ou versions ultérieures, la licence expire après un délai de grâce de 30 jours. Vous devez obtenir une nouvelle licence avec le portail Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/).

Si vous effectuez une mise à niveau de vSRX2.0 (n’importe quelle version Junos OS) vers vSRX3.0 (version Junos OS 21.1 ou supérieure), vous devez obtenir une nouvelle clé de licence. Vous pouvez révoquer la clé de licence actuelle et en générer une nouvelle pour la version Junos OS supérieure. Consultez l’article de la base de connaissances pour plus de détails.

La figure 2 résume les exigences de licence pour différents scénarios de mise à niveau.

Figure 2 : licence requise pour vSRX3.0 License Requirements for vSRX3.0
Tableau 4 : Licences requises pour vSRX3.0
Mise à niveau vers modification des clés de licence

vSRX2.0 avec n’importe quelle version junos OS

vSRX3.0 avec Junos OS versions 21.1 ou ultérieures

(versions 21.1, 21.2, 21.3, 21.4, 22.1 et ultérieures)

Obtenez une nouvelle licence avec le portail Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/).

Consultez les notes de mise à jour : Junos OS version 21.1R1, Licence logicielle Flex pour vSRX et Guide de licence pour plus de détails. Assurez-vous de spécifier le nombre correct de vCPU dans la demande de licence.

vSRX2.0 avec n’importe quelle version junos OS

vSRX3.0 avec Junos OS versions antérieures à 21.1

(18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4)

Réutilisation de la clé de licence existante en procédant comme suit :

  • Sauvegardez la clé de licence et le fichier de configuration.
  • Installez une nouvelle VM.
  • Réappliquez la clé de licence et le fichier de configuration.

Consultez la procédure de migration dans cette rubrique.

Pointe:

Nous vous recommandons de passer à vSRX3.0 avec Junos OS version 21.1R1 ou versions ultérieures pour éviter tout problème de licence lorsque vous effectuez des mises à niveau d’image vSRX à l’avenir.

Migrer vers vSRX3.0

Vous devez déployer une nouvelle VM vSRX pour migrer de l’ancienne vSRX2.0 vers le nouveau vSRX3.0. Pour ce faire, téléchargez une image vSRX prise en charge à partir de la page d’assistance Juniper et installez-la sur votre serveur. Procédez comme suit pour effectuer une mise à niveau :

Vérifier la version du vSRX

Vérifiez si votre instance vSRX possède vSRX2.0 ou vSRX3.0 à l’aide de la show version commande :

Exemple 1

Dans la sortie, le champ Modèle:vsrx avec des lettres srx en minuscule représente vSRX2.0.

Exemple 2

Dans la sortie, le champ Modèle:vSRX avec les lettres SRX en majuscule représente vSRX3.0.

Checklist pré-migration

Effectuez les tâches suivantes avant de migrer vers vSRX3.0.

  1. Vérifiez la version de Junos OS sur votre instance vSRX.

    L’exemple de sortie indique que votre instance vSRX possède Junos OS version 19.4R3 et vSRX2.0.

  2. Enregistrez la configuration active sans aucune modification non validée.

    Le système enregistre la configuration active à l’emplacement de fichier spécifié. Copiez le fichier enregistré dans votre espace de travail local pour une utilisation ultérieure.

  3. Vérifiez vos exigences en matière de licence comme le figure 2. Vous aurez peut-être besoin d’une nouvelle clé de licence, ou vous pouvez réappreployer la clé existante.

    • Si vous avez besoin de nouvelles clés de licence, demandez-les sur le portail Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/)
    • Si vous pouvez re-appliquer la clé de licence existante, enregistrez une copie du fichier de licence en suivant les étapes suivantes :
      • Affichez les clés de licence installées sur votre vSRX depuis le mode opérationnel :

      • Copiez les clés de licence ou enregistrez les clés de licence dans un fichier ou une URL à l’aide de la commande suivante :

  4. Sauvegardez tous les autres fichiers sur la vm vSRX2.0, que vous pourriez avoir besoin sur la nouvelle vm vSRX3.0 (tels que les certificats et scripts VPN IPsec) (le cas échéant).

  5. Assurez-vous que votre système d’exploitation serveur/hôte est prêt et configurez les réseaux virtuels et le pool de stockage requis dans le système d’exploitation hôte.

  6. Éléchez votre vm vSRX2.0 avant de commencer à déployer la nouvelle vm vSRX3.0.

Procédure de migration

Procédez comme suit pour migrer de vSRX2.0 vers vSRX3.0 :

  1. Accédez à la page d’assistance Juniper Networks pour le vSRX3.0 (https://support.juniper.net/support/downloads/?p=vsrx3), sélectionnez le système d’exploitation vSRX3.0 et sélectionnez les versions requises illustrées en figure 3.
    Figure 3 : téléchargement vSRX3.0 Download du vSRX3.0
  2. Saisissez vos informations d’identification et examinez/acceptez le contrat de licence de l’utilisateur final. Vous serez guidé vers la page de téléchargement de l’image du logiciel. Suivez les instructions de la page et téléchargez le fichier image Junos OS.

  3. Installez la vm vSRX téléchargée sur votre serveur.

    Lorsque vous téléchargez une image vSRX3.0, le nom du fichier image inclut vsrx3. Exemple : junos-install- vsrx3 -x86-64-21.2R3.8.tgz. Consultez le guide de déploiement vSRX pour les plates-formes de cloud privé et public pour plus d’informations sur l’installation et le lancement des VM.
  4. Vérifiez les versions de Junos OS et vSRX après un redémarrage à l’aide de la show version commande.

Tâches post-migration

Effectuez les vérifications suivantes après avoir installé le nouveau système d’exploitation Junos avec vSRX3.0.

  1. Lancez la nouvelle instance vSRX avec vSRX3.0 sur votre serveur.

  2. Activez l’accès au réseau (par exemple en configurant une adresse IP sur l’interface fxp0). Cette étape vous permet de transférer des fichiers vers la nouvelle vm vSRX3.0.
  3. Appliquez les clés de licence (les clés existantes ou les nouvelles clés selon la figure 2) sur la nouvelle instance vSRX lancée.

  4. Si vous utilisez une configuration de cluster de châssis, activez le cluster de châssis sur le nouveau vSRX3.0 à l’aide de la set chassis cluster cluster-id X node [0|1] commande et redémarrez les machines virtuelles.

  5. Transférez tous les autres fichiers que vous avez sauvegardés à partir de vm vSRX2.0, tels que les certificats et scripts VPN IPsec (le cas échéant).

  6. Copiez le fichier de configuration que vous avez enregistré précédemment dans le dossier /var/tmp .

  7. Exécutez le remplacement de charge /var/tmp/existingConfig.txt dans le mode de configuration pour remplacer la configuration actuelle par la configuration enregistrée.
  8. Validez la configuration.
  9. Assurez-vous que les paramètres de votre équipement, les paramètres réseau et d’autres configurations sont disponibles à l’aide de la show configuration commande.

Quelle est la prochaine étape ?

Maintenant que vous avez installé le nouveau vSRX3.0, vous pouvez explorer les nouvelles fonctionnalités et améliorations. Découvrez les nouvelles fonctionnalités après la mise à niveau.