Configuration requise pour le pare-feu virtuel vSRX sur VMware
Spécifications logicielles
Le tableau ci-dessous répertorie les spécifications requises pour le logiciel système lors du déploiement du pare-feu virtuel vSRX sur VMware. Le tableau présente la version de Junos OS dans laquelle une spécification logicielle particulière pour le déploiement du pare-feu virtuel vSRX sur VMware a été introduite. Vous devez télécharger une version spécifique de Junos OS pour profiter de certaines fonctionnalités.
| Spécification des | fonctionnalités | Lancement de la version de Junos OS |
|---|---|---|
| vCPU/Mémoire | 2 vCPU / 4 Go de RAM |
Junos OS version 15.1X49-D15 et Junos OS version 17.3R1 (pare-feu virtuel vSRX) |
| 5 vCPU / 8 Go de RAM |
Junos OS version 15.1X49-D70 et Junos OS version 17.3R1 (pare-feu virtuel vSRX) |
|
| 9 vCPU / 16 Go de RAM |
Junos OS version 18.4R1 (pare-feu virtuel vSRX) Junos OS version 19.1R1 (Pare-feu virtuel vSRX 3.0) |
|
| 17 vCPU / 32 Go de RAM |
Junos OS version 18.4R1 (pare-feu virtuel vSRX) Junos OS version 19.1R1 (Pare-feu virtuel vSRX 3.0) |
|
| Évolutivité de la capacité de session de flux flexible avec une vRAM supplémentaire |
NA | Junos OS version 19.1R1 (pare-feu virtuel vSRX) Junos OS version 19.2R1 (Pare-feu virtuel vSRX 3.0) |
| Prise en charge de la mise à l’échelle multicœur (RSS logiciel) |
NA | Junos OS version 19.3R1 (Pare-feu virtuel vSRX 3.0 uniquement) |
| Réserver des cœurs de vCPU supplémentaires pour le moteur de routage (Pare-feu virtuel vSRX et Pare-feu virtuel vSRX 3.0) |
NA | |
| Virtio (virtio-net, vhost-net) (Pare-feu virtuel vSRX et Pare-feu virtuel vSRX 3.0) |
NA | |
| Hyperviseurs pris en charge | ||
| Prise en charge de l’hyperviseur |
VMware ESXi 5.1, 5.5, 6.0 et 6.5 (Pare-feu virtuel vSRX et Pare-feu virtuel vSRX 3.0) |
Junos OS version 18.4R1 |
| VMware ESXi 6.7 et 7.0 (Pare-feu virtuel vSRX 3.0 uniquement) | Junos OS version 19.3R1 et ultérieure | |
| VMware ESXi 8.0 (Pare-feu virtuel vSRX 3.0 uniquement) | Junos OS version 24.2R2 et ultérieure | |
| Autres caractéristiques | ||
| Cloud-init |
NA | |
| Mode d’alimentation IPSec (PMI) |
NA | |
| Cluster de châssis |
NA | |
| Distribution de sessions basée sur GTP TEID à l’aide du RSS logiciel |
NA | Junos OS version 19.3R1 et ultérieure |
| Moteur d’analyse antivirus sur l’appareil (Avira) |
NA | Junos OS version 19.4R1 et ultérieure |
| LLDP (en anglais seulement) |
NA | Junos OS version 21.1R1 et ultérieure |
| Interface de télémétrie Junos |
NA | Junos OS version 20.3R1 et ultérieure |
| Configuration requise | ||
| Accélération matérielle/indicateur de CPU VMX activé dans l’hyperviseur (Pare-feu virtuel vSRX uniquement) |
NA | |
| Espace disque |
16 Go (disques IDE ou SCSI) (Pare-feu virtuel vSRX) |
Junos OS version 15.1X49-D15 et Junos OS version 17.3R1 |
| 18 Go (Pare-feu virtuel vSRX 3.0) |
||
| de la | version vNIC de Junos OS |
|---|---|
| VMXNET3 SA et HA | |
| SR-IOV SA et HA sur Intel X710/XL710/XXV710 Series (Pare-feu virtuel vSRX 3.0) | Junos OS à partir de 20.4R2 |
| SR-IOV HA sur I40E (X710,X740,X722, etc.) (Pare-feu virtuel vSRX 3.0) | Non pris en charge |
| SR-IOV SA et HA sur Intel E810 Series (Pare-feu virtuel vSRX 3.0) | Junos version 21.2R1 et ultérieure |
| SR-IOV SA et HA sur Mellanox ConnectX-3 | Non pris en charge |
| SR-IOV SA et HA sur Mellanox ConnectX-4/5/6 (pilote MLX5 uniquement) | (SA à partir de la version 21.2R1 de Junos OS) (HA à partir de Junos OS version 21.2R2) |
| Relais PCI sur les séries Intel 82599/X520 | Non pris en charge |
| Relais PCI sur les séries Intel X710/XL710 | Non pris en charge sur le pare-feu virtuel vSRX 3.0 |
| La version DPDK a été mise à niveau de 17.02 à 17.11.2 pour prendre en charge les adaptateurs de la famille Mellanox. |
Junos OS version 18.4R1 |
| Kit de développement de plan de données (DPDK) version 18.11 DPDK version 18.11 est pris en charge sur le pare-feu virtuel vSRX. Grâce à cette fonctionnalité, la carte d’interface réseau (NIC) Mellanox Connect sur le pare-feu virtuel vSRX prend désormais en charge OSPF, Multicast et VLAN. |
Junos OS version 19.4R1 |
Meilleures pratiques pour améliorer les performances du pare-feu virtuel vSRX
Passez en revue les pratiques suivantes pour améliorer les performances du pare-feu virtuel vSRX.
Noeuds NUMA
L’architecture du serveur x86 se compose de plusieurs sockets et de plusieurs cœurs au sein d’un socket. Chaque socket dispose également d’une mémoire qui est utilisée pour stocker les paquets lors des transferts d’E/S de la carte réseau vers l’hôte. Pour lire efficacement les paquets de la mémoire, les applications invitées et les périphériques associés (tels que la carte réseau) doivent résider dans un socket unique. Une pénalité est associée à l’extension des sockets du processeur pour les accès à la mémoire, ce qui peut entraîner des performances non déterministes. Pour le pare-feu virtuel vSRX, nous recommandons que tous les vCPU de la machine virtuelle de pare-feu virtuel vSRX se trouvent dans le même nœud physique NUMA(n’importe quel Uniform Memory Access) pour des performances optimales.
Le moteur de transfert de paquets (PFE) du pare-feu virtuel vSRX ne répond plus si la topologie des nœuds NUMA est configurée dans l’hyperviseur pour répartir les vCPU de l’instance sur plusieurs nœuds NUMA hôtes. Pare-feu virtuel vSRX exige que vous vous assuriez que tous les vCPU résident sur le même nœud NUMA.
Nous vous recommandons de lier l’instance de pare-feu virtuel vSRX à un nœud NUMA spécifique en définissant l’affinité du nœud NUMA. L’affinité de nœud NUMA contraint la planification des ressources de machine virtuelle du pare-feu virtuel vSRX au nœud NUMA spécifié uniquement.
Mappage NIC-VM PCI
Si le nœud sur lequel s’exécute le pare-feu virtuel vSRX est différent de celui auquel la carte réseau PCI Intel est connectée, les paquets devront passer par un saut supplémentaire dans la liaison QPI, ce qui réduira le débit global. Utilisez la esxtop commande pour afficher des informations sur les emplacements physiques relatifs des cartes réseau. Sur certains serveurs pour lesquels ces informations ne sont pas disponibles, reportez-vous à la documentation matérielle relative à la topologie de nœud slot-NUMA.
Mappage d’interface pour le pare-feu virtuel vSRX sur VMware
Chaque carte réseau définie pour un pare-feu virtuel vSRX est mappée à une interface spécifique, selon que l’instance du pare-feu virtuel vSRX est une machine virtuelle autonome ou l’une d’une paire de clusters pour une haute disponibilité. Les noms et mappages des interfaces dans le pare-feu virtuel vSRX sont indiqués dans les Tableaux 3 et 4.
Notez les points suivants :
En mode autonome :
FXP0 est l’interface de gestion hors bande.
GE-0/0/0 est la première interface de trafic (revenus).
En mode cluster :
FXP0 est l’interface de gestion hors bande.
em0 est la liaison de contrôle de cluster pour les deux nœuds.
N’importe laquelle des interfaces de trafic peut être spécifiée en tant que liaisons de structure, par exemple ge-0/0/0 pour fab0 sur le nœud 0 et ge-7/0/0 pour fab1 sur le nœud 1.
Le Tableau 3 présente les noms d’interface et les mappages d’une machine virtuelle de pare-feu virtuel vSRX autonome.
Carte réseau |
Nom de l’interface dans Junos OS |
|---|---|
1 |
fxp0 |
2 |
GE-0/0/0 |
3 |
GE-0/0/1 |
4 |
GE-0/0/2 |
5 |
GE-0/0/3 |
6 |
GE-0/0/4 |
7 |
GE-0/0/5 |
8 |
GE-0/0/6 |
Le Tableau 4 présente les noms d’interface et les mappages d’une paire de machines virtuelles de pare-feu virtuel vSRX dans un cluster (nœud 0 et nœud 1).
Carte réseau |
Nom de l’interface dans Junos OS |
|---|---|
1 |
FXP0 (nœud 0 et 1) |
2 |
em0 (nœud 0 et 1) |
3 |
GE-0/0/0 (nœud 0)GE-7/0/0 (nœud 1) |
4 |
GE-0/0/1 (nœud 0)GE-7/0/1 (nœud 1) |
5 |
GE-0/0/2 (nœud 0)GE-7/0/2 (nœud 1) |
6 |
GE-0/0/3 (nœud 0)GE-7/0/3 (nœud 1) |
7 |
GE-0/0/4 (nœud 0)GE-7/0/4 (nœud 1) |
8 |
GE-0/0/5 (nœud 0)GE-7/0/5 (nœud 1) |
Paramètres par défaut du pare-feu virtuel vSRX sur VMware
Le pare-feu virtuel vSRX requiert les paramètres de configuration de base suivants :
Des adresses IP doivent être attribuées aux interfaces.
Les interfaces doivent être liées à des zones.
Des stratégies doivent être configurées entre les zones pour autoriser ou refuser le trafic.
Avec les plates-formes de pare-feu virtuel vSRX, VMware utilise la carte réseau virtuelle VMXNET 3 et requiert le mode de promiscuité sur le vSwitch pour l’interface de gestion, fxp0.
Le Tableau 5 répertorie les paramètres d’usine par défaut des stratégies de sécurité du pare-feu virtuel vSRX.
Source Zone |
Destination Zone |
Mesures à prendre |
|---|---|---|
confiance |
défiance |
permettre |
confiance |
confiance |
permettre |
défiance |
confiance |
nier |