SUR CETTE PAGE
Migrer vers vSRX3.0
Découvrez comment migrer l’architecture logicielle du pare-feu virtuel vSRX de vSRX2.0 vers vSRX3.0 et comprenez les exigences de licence lorsque vous mettez à niveau votre pare-feu virtuel vSRX.
Dans la version 18.4R1 de Junos OS, nous avons introduit une nouvelle architecture logicielle vSRX3.0 pour les pare-feu virtuels de pare-feu virtuel vSRX. Nous vous recommandons de migrer vers vSRX3.0 pour votre VM de pare-feu virtuel vSRX. Si vous utilisez vSRX2.0, vous pouvez migrer vers la nouvelle version vSRX3.0 en quelques étapes. Notez que l’interface de ligne de commande (CLI) reste la même et que la configuration qui fonctionne sur vSRX2.0 fonctionne également dans vSRX3.0.
Dans ce document, nous utilisons les termes suivants pour désigner les architectures de pare-feu virtuel vSRX :
- Dernière architecture Pare-feu virtuel vSRX (vSRX3.0) comme vSRX3.0
- Architecture antérieure à vSRX3.0 comme vSRX2.0 ou vSRX
Vue d’ensemble
- Présentation de vSRX3.0
- Versions de Junos OS prises en charge
- Prise en charge des fonctionnalités dans vSRX2.0 et vSRX3.0
- Exigences de licence pour vSRX3.0
Présentation de vSRX3.0
La nouvelle architecture vSRX3.0 est une machine virtuelle (VM) simplifiée utilisant FreeBSD 12.x / Junos OS comme système d’exploitation. Dans vSRX3.0, le moteur de routage et le moteur de transfert de paquets s’exécutent sur FreeBSD 12.x ou version ultérieure en tant que machine virtuelle unique pour des performances et une évolutivité améliorées. Le vSRX3.0 utilise DPDK pour traiter les paquets de données dans le plan de données.
Avantages
La migration vers vSRX3.0 vous permet d’introduire rapidement de nouveaux services, de fournir des solutions personnalisées et de faire évoluer les services de sécurité de manière dynamique grâce à :
-
Accélération du démarrage et meilleure réactivité du plan de contrôle pendant les opérations de gestion
-
Avantages opérationnels accrus grâce à des validations et des mises à niveau CLI plus rapides
-
Agilité accrue et taille d’image réduite grâce à l’élimination du double système d’exploitation et de la virtualisation imbriquée
-
Aucune configuration spéciale n’est requise pour activer le mode promiscuité sur les ports de gestion et les liens de contrôle de cluster
- Déploiements simplifiés et transparents sur différents environnements hôtes
La figure 1 illustre l’architecture du pare-feu virtuel vSRX.
vSRX3.0
Versions de Junos OS prises en charge
Le Tableau 1 fournit une liste des versions de Junos OS prises en charge pour vSRX2.0 et vSRX3.0.
| Architectures de pare-feu virtuel vSRX | Versions de Junos OS prises en charge |
|---|---|
| vSRX2.0 | 15.1X49, 17.3 et versions ultérieures jusqu’à 22.4 inclus. Junos OS version 22.4 est la dernière version disponible pour vSRX2.0. Nous vous recommandons d’utiliser le pare-feu virtuel vSRX 3.0 à l’avenir. |
| vSRX3.0 | 18.4 et versions ultérieures |
Prise en charge des fonctionnalités dans vSRX2.0 et vSRX3.0
Les tableaux 2 et 3 répertorient les fonctionnalités prises en charge dans vSRX2.0 et vSRX3.0.
| Caractéristiques | vSRX2.0 | vSRX3.0 |
|---|---|---|
| 2 vCPU / 4 Go de RAM 5 vCPU / 8 Go de RAM |
Oui | Oui |
| 9 vCPU / 16 Go de RAM |
Oui | Oui (Junos OS version 19.1R1 et ultérieure) |
| 17 vCPU / 32 Go de RAM |
Oui | Oui (Junos OS version 19.1R1 et ultérieure) |
| Mise à l’échelle flexible de la capacité des sessions de flux grâce à une vRAM supplémentaire |
Oui (à partir de Junos 19.1R1) | Oui (à partir de la version 19.2R1 de Junos OS) |
| Prise en charge de la mise à l’échelle multicœur (RSS des logiciels) |
Non | Oui (à partir de la version 19.3R1 de Junos OS) |
| Réserver des cœurs vCPU supplémentaires pour le moteur de routage |
Oui | Oui |
| Virtio (virtio-net, vhost-net) |
Oui | Oui |
| Hyperviseurs pris en charge | ||
| VMware ESXi 5.5, 6.0 et 6.5 |
Oui | Oui |
| VMware ESXi 6.7 et 7.0 |
Non | Oui (à partir de la version 19.3R1 de Junos OS) |
| KVM sur Ubuntu 16.04, Centos 7.1, Redhat 7.2 |
Oui | Oui |
| Hyper-V |
Oui | Oui (Junos OS version 19.1R1 et ultérieure) |
| Prise en charge de la mise à l’échelle multicœur sur Microsoft Hyper-V | Non | Oui (Junos OS version 19.1R1 et ultérieure) |
| Nutanix |
Oui | Oui (Junos OS version 19.1R1 et ultérieure) |
| Contrail Networking 3.x |
Oui | Oui |
| Contrail Networking 5.x |
Non | Oui (à partir de la version 19.3R1 de Junos OS) |
| AWS |
Oui | Oui |
| Azure |
Oui | Oui (Junos OS version 19.1R1 et ultérieure) |
| Google Cloud Platform (GCP) |
Non | Oui (à partir de la version 19.3R1 de Junos OS) |
| Autres caractéristiques | ||
| Cloud-init |
Oui | Oui |
| AWS ELB et ENA utilisant des instances C5 |
Oui | Oui (à partir de la version 20.1R1 de Junos OS) |
| Mode d’alimentation IPSec (PMI) |
Oui | Oui |
| cluster de châssis |
Oui | Oui |
| Distribution de sessions basée sur GTP TEID à l’aide de RSS Logiciels |
Non | Oui (à partir de la version 19.3R1 de Junos OS) |
| Moteur d’analyse antivirus sur appareil (Avira) |
Non | Oui (à partir de la version 19.4R1 de Junos OS) |
| LLDP |
Oui | Oui (à partir de la version 21.1R1 de Junos OS) |
| Interface de télémétrie Junos |
Oui | Oui (à partir de la version 20.3R1 de Junos OS) |
| Configuration requise | ||
| Accélération matérielle/activation de l’indicateur de processeur VMX dans l’hyperviseur |
Oui | Non |
| Espace disque |
16 Go | 18 Go |
| vNIC | Pris en charge sur | vSRX2.0 | vSRX3.0 |
|---|---|---|---|
| VMXNET3 SA et HA | VMware (en anglais) | Oui | Oui |
| Virtio SA et HA | KVM | Oui | Oui |
| SR-IOV SA et HA par rapport à Intel 82599/X520 Series | VMware et KVM | Oui | Oui |
| SR-IOV SA et HA par rapport aux séries Intel X710/XL710/XXV710 | VMware et KVM | Oui | Oui |
| SR-IOV SA par rapport à Intel E810 Series | VMware et KVM | Oui | Oui |
| SR-IOV HA par rapport à Intel E810 Series | VMware et KVM | Non | Non |
| SR-IOV SA et HA par rapport à Mellanox ConnectX-3 | VMware et KVM | Non | Non |
| SR-IOV SA et HA sur Mellanox ConnectX-4/5/6 (pilote MLX5 uniquement) | VMware (en anglais) | Oui | Oui (SA à partir de Junos OS version 21.2R1) (HA à partir de Junos OS 21.2R2) |
| SR-IOV SA et HA sur Mellanox ConnectX-4/5/6 (pilote MLX5 uniquement) | KVM | Oui | Oui (à partir de Junos OS 21.2R1) |
| Relais PCI sur les processeurs Intel 82599/X520 Series | VMware et KVM | Non | Non |
| Relais PCI sur les séries Intel X710/XL710 | VMware et KVM | Oui | Non |
Exigences de licence pour vSRX3.0
À partir de la version 21.1R1 de Junos OS, nous sommes passés au modèle de licence par abonnement aux logiciels Flex pour SRX Series et vSRX3.0. Nous utilisons désormais Juniper Agile Licensing pour prendre en charge l’application logicielle de l’utilisation de CPU virtuel (vCPU) sur le pare-feu virtuel vSRX. Juniper Agile Licensing offre une administration et un déploiement simplifiés et centralisés des licences.
Les versions de Junos OS antérieures à 21.1 utilisent des licences provenant d’un ancien système de gestion des licences (LMS). Si vous appliquez la même licence sur vSRX3.0 avec Junos OS 21.1 ou versions ultérieures, la licence expire après une période de grâce de 30 jours. Vous devez obtenir une nouvelle licence sur Juniper portail Agile Licensing (JAL) (https://license.juniper.net/licensemanage/).
Si vous effectuez une mise à niveau de vSRX2.0 (n’importe quelle version de Junos OS) vers vSRX3.0 (Junos OS version 21.1 ou ultérieure), vous devez obtenir une nouvelle clé de licence. Vous pouvez révoquer la clé de licence actuelle et en générer une nouvelle pour la version supérieure de Junos OS. Voir l’article de la base de connaissances pour plus de détails.
La figure 2 résume les exigences de licence pour différents scénarios de mise à niveau.
| Mise à niveau à partir de | Passez à | Modifications des clés de licence |
|---|---|---|
| vSRX2.0 avec n’importe quelle version de Junos OS |
vSRX3.0 avec Junos OS versions 21.1 ou ultérieures (versions 21.1, 21.2, 21.3, 21.4, 22.1 et ultérieures) |
Obtenez une nouvelle licence avec Juniper portail (https://license.juniper.net/licensemanage/) Agile Licensing (JAL). Voir les notes de mise à jour : Junos OS version 21.1R1, Flex Logiciels License for vSRX et Licensing Guide pour plus de détails. Assurez-vous de spécifier le nombre correct de vCPU dans la demande de licence. |
| vSRX2.0 avec n’importe quelle version de Junos OS |
vSRX3.0 avec Junos OS versions antérieures à 21.1 (18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4) |
Réutilisez la clé de licence existante en suivant les étapes suivantes :
Voir Procédure de migration dans cette rubrique. |
Nous vous recommandons d’effectuer une mise à niveau vers vSRX3.0 avec Junos OS version 21.1R1 ou ultérieure afin d’éviter tout problème de licence lors de la mise à niveau des images du pare-feu virtuel vSRX à l’avenir.
Migration
- Vérifier la version du pare-feu virtuel vSRX
- Liste de contrôle avant la migration
- Procédure de migration
- Tâches post-migration
Vérifier la version du pare-feu virtuel vSRX
Vérifiez si votre instance de pare-feu virtuel vSRX dispose de vSRX2.0 ou vSRX3.0 à l’aide de la show version commande :
Exemple-1
user@host-01> show version Hostname: host-01 Model: vsrx
Dans la sortie, le champ Modèle : vsrx avec les lettres srx en minuscules représente vSRX2.0.
Exemple 2
user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.1R1.10
Dans la sortie, le champ Modèle : vSRX avec les lettres SRX en majuscules représente vSRX3.0.
Liste de contrôle avant la migration
Effectuez les tâches suivantes avant de migrer vers vSRX3.0.
-
Vérifiez la version de Junos OS sur votre instance de pare-feu virtuel vSRX.
user@host-01> show version Hostname: host-01 Model: vsrx Junos: 19.4R3.1
L’exemple de sortie indique que votre instance de pare-feu virtuel vSRX dispose de Junos OS version 19.4R3 et de vSRX2.0.
-
Enregistrez la configuration active sans aucune modification non validée.
user@host-01> show configuration | save /var/tmp/existingConfig.txt Wrote 273 lines of output to '/var/tmp/existingConfig.txt'
Le système enregistre la configuration active à l’emplacement de fichier spécifié. Copiez le fichier enregistré dans votre espace de travail local pour une utilisation ultérieure.
-
Vérifiez les exigences de votre licence comme indiqué dans la Figure 2. Vous aurez peut-être besoin d’une nouvelle clé de licence, ou vous pouvez réappliquer la clé existante.
- Si vous avez besoin de nouvelles clés de licence, obtenez-les sur le portail Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/)
- Si vous pouvez réappliquer la clé de licence existante, enregistrez une copie du fichier de licence en procédant comme suit :
-
Afficher les clés de licence installées sur votre pare-feu virtuel vSRX à partir du mode opérationnel :
user@host-01> show system license keys DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu -
Copiez les clés de licence ou enregistrez les clés de licence dans un fichier ou une URL avec la commande suivante :
user@host-01> request system license save filename | url
-
-
Sauvegardez tous les autres fichiers sur la machine virtuelle vSRX2.0 dont vous pourriez avoir besoin sur la nouvelle machine virtuelle vSRX3.0 (tels que les certificats et scripts VPN IPsec) (le cas échéant).
-
Assurez-vous que votre système d’exploitation serveur/hôte est prêt et configurez les réseaux virtuels et le pool de stockage requis dans le système d’exploitation hôte.
-
Mettez hors tension votre machine virtuelle vSRX2.0 avant de commencer à déployer la nouvelle machine virtuelle vSRX3.0.
Procédure de migration
Pour migrer de vSRX2.0 vers vSRX3.0, procédez comme suit :
- Accédez à la page d’assistance Juniper Networks pour vSRX3.0 (https://support.juniper.net/support/downloads/?p=vsrx3) et sélectionnez OS comme vSRX3.0 et sélectionnez les versions requises illustrées à la Figure 3.
Figure 3 : Téléchargement
de vSRX3.0
-
Entrez vos informations d’identification et lisez/acceptez le contrat de licence de l’utilisateur final. Vous serez guidé vers la page de téléchargement d’images du logiciel. Suivez les instructions de la page et téléchargez le fichier image de Junos OS.
Installez la machine virtuelle du pare-feu virtuel vSRX téléchargée sur votre serveur.
Lorsque vous téléchargez une image vSRX3.0, le nom du fichier image inclut vsrx3. Exemple :junos-install- vsrx3 -x86-64-21.2R3.8.tgz. Pour plus d’informations sur l’installation et le lancement de VM, reportez-vous au Guide de déploiement de vSRX pour les plates-formes cloud privées et publiques .-
Vérifiez la version de Junos OS et du pare-feu virtuel vSRX après un redémarrage à l’aide de la
show versioncommande.user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.3R1.1
Tâches post-migration
Effectuez les vérifications suivantes après avoir installé le nouveau système d’exploitation Junos OS avec vSRX3.0.
-
Lancez la nouvelle instance de pare-feu virtuel vSRX avec vSRX3.0 sur votre serveur.
- Activez l’accès réseau (par exemple en configurant une adresse IP sur l’interface fxp0). Cette étape vous permet de transférer des fichiers vers la nouvelle machine virtuelle vSRX3.0.
-
Appliquez les clés de licence (les clés existantes ou les nouvelles clés comme indiqué à la Figure 2) sur la nouvelle instance du pare-feu virtuel vSRX.
user@host-01# request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu DemolabJUNOS966777536: successfully added add license complete (no errors) -
Si vous utilisez une configuration de cluster de châssis, activez le cluster de châssis sur le nouveau vSRX3.0 à l’aide de la
set chassis cluster cluster-id X node [0|1]commande et redémarrez les machines virtuelles. -
Transférez tous les autres fichiers que vous avez sauvegardés à partir de la machine virtuelle vSRX2.0, tels que les certificats et scripts VPN IPsec (le cas échéant).
-
Copiez le fichier de configuration que vous avez enregistré précédemment dans le dossier /var/tmp .
- Exécutez le remplacement de charge /var/tmp/existingConfig.txt en mode de configuration pour remplacer la configuration actuelle par la configuration enregistrée.
user@host-01# load override /var/tmp/existingConfig.txt load complete
- Validez la configuration.
user@host-01# commit
-
Assurez-vous que les paramètres de votre appareil, les paramètres réseau et d’autres configurations sont disponibles à l’aide de la
show configurationcommande.
Changements dans le comportement par défaut des passerelles de couche applicative (ALG)
Dans vSRX2.0, les ALG suivants étaient désactivés par défaut ; toutefois, lorsque vous migrez vers vSRX3.0, les ALG suivants sont activés par défaut :
- H323
- MGCP
- RTSP
- Le SCCP
- SIP
Si vous n’avez pas activé ces ALG dans votre configuration vSRX2.0, vous pouvez les désactiver dans la configuration vSRX3.0 pour conserver le même comportement ALG.
Pour désactiver un ALG :
[edit] set security alg <alg-name> disable
Utilisez la show security alg status commande pour confirmer quels ALG sont activés/désactivés.
Exemple :
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
Prochaine étape ?
Maintenant que vous avez installé la nouvelle version de vSRX3.0, vous pouvez explorer les nouvelles fonctionnalités et améliorations. Voir les notes de mise à jour.