vSRX3.0への移行
vSRX仮想ファイアウォールソフトウェアアーキテクチャをvSRX2.0からvSRX3.0に移行する方法と、vSRX仮想ファイアウォールをアップグレードする際のライセンス要件について説明します。
Junos OS リリース 18.4R1 では、vSRX仮想ファイアウォール仮想ファイアウォール向けの新しいソフトウェアアーキテクチャ vSRX3.0 を導入しました。お使いのvSRX仮想ファイアウォールVMは、vSRX3.0に移行することをお勧めします。vSRX2.0を使用している場合は、いくつかの手順で新しいvSRX3.0に移行できます。CLI(コマンドライン インターフェイス)は同じままで、vSRX2.0 で動作する設定は vSRX3.0 でも機能することに注意してください。
このドキュメントでは、vSRX仮想ファイアウォールアーキテクチャに次の用語を使用します。
- vSRX3.0としての最新のvSRX仮想ファイアウォールアーキテクチャ(vSRX3.0)
- vSRX2.0またはvSRXとしてのvSRX3.0より前のアーキテクチャ
概要
vSRX3.0の概要
新しいvSRX3.0アーキテクチャは、FreeBSD 12.x/Junos OSをオペレーティングシステムとして使用した合理化されたVM(仮想マシン)です。vSRX3.0では、パフォーマンスと拡張性を向上させるため、ルーティングエンジンとパケット転送エンジンは、FreeBSD 12.x以降のバージョンで単一のVMとして実行されます。vSRX3.0は、DPDKを使用してデータプレーンでデータパケットを処理します。
利点
vSRX3.0に移行することで、新しいサービスの迅速な導入、カスタマイズされたソリューションの提供、セキュリティサービスの動的な拡張が可能になります。
-
起動時間の短縮と管理運用時のコントロールプレーンの応答性の向上
-
コミットとCLIアップグレードの高速化による運用上のメリットの増加
-
デュアルOSとネストされた仮想化の排除による俊敏性の向上とイメージサイズの縮小
-
管理ポートおよびクラスタ制御リンクで無作為検出モードを有効にするのに特別な設定は不要
- 異なるホスト環境への簡素化されたシームレスな導入
図1 は、vSRX仮想ファイアウォールのアーキテクチャを示しています。
サポートされている Junos OS リリース
表 1 は、vSRX2.0 および vSRX3.0 でサポートされている Junos OS リリースの一覧です。
| vSRX仮想ファイアウォール | アーキテクチャJunos OSリリース |
|---|---|
| vSRX2.0の場合 | 15.1X49、17.3 以降から 22.4 まで。Junos OS リリース 22.4 は、vSRX2.0 で使用可能な最後のバージョンです。今後は、vSRX仮想ファイアウォール3.0の使用をお勧めします。 |
| vSRX3.0 | 18.4 以降 |
vSRX2.0およびvSRX3.0でサポートされる機能
表 2 と 表 3 は、vSRX2.0 および vSRX3.0 でサポートされる機能を示しています。
| vSRX2.0 | 、vSRX3.0 | を搭載 |
|---|---|---|
| 2 vCPU / 4 GB RAM 5 vCPU / 8 GB RAM |
はい | はい |
| 9 vCPU / 16 GB RAM |
はい | ○(Junos OS リリース 19.1R1 以降) |
| 17 vCPU / 32 GB RAM |
はい | ○(Junos OS リリース 19.1R1 以降) |
| vRAMの追加による柔軟なフローセッション容量の拡張 |
○(Junos 19.1R1以降) | ○(Junos OS リリース 19.2R1 以降) |
| マルチコアスケーリングサポート(ソフトウェアRSS) |
いいえ | ○(Junos OS リリース 19.3R1 以降) |
| ルーティングエンジン用の追加vCPUコアの予約 |
はい | はい |
| Virtio (virtio-net, vhost-net) |
はい | はい |
| サポートされているハイパーバイザー | ||
| VMware ESXi 5.5、6.0、および 6.5 |
はい | はい |
| VMware ESXi 6.7および7.0 |
いいえ | ○(Junos OS リリース 19.3R1 以降) |
| Ubuntu 16.04、Centos 7.1、Redhat 7.2上のKVM |
はい | はい |
| Hyper-V |
はい | ○(Junos OS リリース 19.1R1 以降) |
| Microsoft Hyper-V でのマルチコア スケーリングのサポート | いいえ | ○(Junos OS リリース 19.1R1 以降) |
| Nutanix(ヌータニックス) |
はい | ○(Junos OS リリース 19.1R1 以降) |
| Contrail Networking 3.x |
はい | はい |
| Contrail Networking 5.x |
いいえ | ○(Junos OS リリース 19.3R1 以降) |
| AWS |
はい | はい |
| 紺碧 |
はい | ○(Junos OS リリース 19.1R1 以降) |
| Google Cloud Platform(GCP) |
いいえ | ○(Junos OS リリース 19.3R1 以降) |
| その他の機能 | ||
| cloud-init |
はい | はい |
| C5インスタンスを使用したAWS ELBおよびENA |
はい | ○(Junos OS リリース 20.1R1 以降) |
| Powermode IPSec(PMI) |
はい | はい |
| シャーシ クラスタ |
はい | はい |
| ソフトウェアRSSを使用したGTP TEIDベースのセッション配信 |
いいえ | ○(Junos OS リリース 19.3R1 以降) |
| デバイス上のウイルス対策スキャン エンジン (Avira) |
いいえ | ○(Junos OS リリース 19.4R1 以降) |
| LLDP |
はい | ○(Junos OS リリース 21.1R1 以降) |
| Junos Telemetry Interface |
はい | ○(Junos OS リリース 20.3R1 以降) |
| システム要件 | ||
| ハイパーバイザーのハードウェアアクセラレーション/有効なVMX CPUフラグ |
はい | いいえ |
| ディスク容量 |
16GB | 18GB |
| vSRX2.0 | 、vSRX3.0 | でサポートされる | vNIC |
|---|---|---|---|
| VMXNET3 SA と HA | ヴイエムウェア | はい | はい |
| Virtio SA と HA | KVMの | はい | はい |
| Intel 82599/X520 シリーズを介した SR-IOV SA と HA | VMwareとKVM | はい | はい |
| Intel X710/XL710/XXV710シリーズを介したSR-IOV SAおよびHA | VMwareとKVM | はい | はい |
| Intel E810 シリーズ上の SR-IOV SA | VMwareとKVM | はい | はい |
| Intel E810シリーズ上のSR-IOV HA | VMwareとKVM | いいえ | いいえ |
| Mellanox ConnectX-3 による SR-IOV SA と HA | VMwareとKVM | いいえ | いいえ |
| Mellanox ConnectX-4/5/6 を介した SR-IOV SA および HA (MLX5 ドライバーのみ) | ヴイエムウェア | はい | はい (Junos OS リリース 21.2R1 以降の SA) (Junos OS リリース 21.2R2 以降の HA) |
| Mellanox ConnectX-4/5/6 を介した SR-IOV SA および HA (MLX5 ドライバーのみ) | KVMの | はい | はい (Junos OS リリース 21.2R1 以降) |
| Intel 82599/X520 シリーズ上の PCI パススルー | VMwareとKVM | いいえ | いいえ |
| Intel X710/XL710シリーズ上のPCIパススルー | VMwareとKVM | はい | いいえ |
vSRX3.0のライセンス要件
Junos OS リリース 21.1R1 より、ジュニパーは SRXシリーズおよび vSRX3.0 向けフレックス ソフトウェア サブスクリプション ライセンス モデルに移行しました。現在はジュニパーアジャイルライセンシングを使用して、vSRX仮想ファイアウォール上の仮想CPU(vCPU)使用率のソフトエンフォースメントをサポートしています。ジュニパーアジャイルライセンシングは、ライセンス管理と導入を簡素化し、一元化します。
21.1より前のJunos OSリリースでは、レガシーLMS(ライセンス管理システム)のライセンスを使用します。Junos OS 21.1以降のリリースを搭載したvSRX3.0に同じライセンスを適用すると、ライセンスは30日間の猶予期間後に期限切れになります。ジュニパーアジャイルライセンシング(JAL)ポータル(https://license.juniper.net/licensemanage/)で新しいライセンスを取得する必要があります。
vSRX2.0(すべてのJunos OSリリース)からvSRX3.0(Junos OS リリース21.1以降)にアップグレードする場合は、新しいライセンスキーを取得する必要があります。現在のライセンスキーを取り消して、上位のJunos OSリリース用に新しいライセンスキーを生成できます。詳細については、 ナレッジベース記事 を参照してください。
図 2 は、さまざまなアップグレード シナリオのライセンス要件をまとめたものです。
のライセンス要件
| アップグレードからライセンスキーの変更 | への | アップグレード |
|---|---|---|
| 任意のJunos OS リリースのvSRX2.0 |
Junos OSリリース21.1以降のリリースを搭載したvSRX3.0 (21.1、21.2、21.3、21.4、22.1 以降のリリース) |
ジュニパーアジャイルライセンシング(JAL)ポータル(https://license.juniper.net/licensemanage/)で新しいライセンスを取得します。 詳細については、 リリース ノート:Junos OS リリース 21.1R1、 vSRX 用フレックス ソフトウェア ライセンス、 およびライセンス ガイド を参照してください。ライセンス要求で正しい数のvCPUを指定していることを確認してください。 |
| 任意のJunos OS リリースのvSRX2.0 |
21.1より前のJunos OSリリースを搭載したvSRX3.0 (18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4) |
次の手順で、既存のライセンスキーを再利用します。
このトピックの 「移行手順 」を参照してください。 |
今後Junos OS リリース 21.1R1 以降のバージョンを持つ vSRX3.0 にアップグレードして、vSRX仮想ファイアウォール イメージのアップグレードを行う際のライセンスの問題を回避することをお勧めします。
移動
vSRX仮想ファイアウォールのバージョンを確認する
vSRX仮想ファイアウォール インスタンスに vSRX2.0 または vSRX3.0 があるかどうかを確認するには、 show version コマンドを使用します。
例-1
user@host-01> show version Hostname: host-01 Model: vsrx
出力では、小文字のsrxの文字が付いたフィールドModel: vsrxはvSRX2.0を表しています。
例-2
user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.1R1.10
出力では、大文字がSRXの文字が付いたフィールドModel: vSRXはvSRX3.0を表しています。
移行前のチェックリスト
vSRX3.0に移行する前に、以下のタスクを完了してください。
-
vSRX仮想ファイアウォールインスタンスのJunos OSバージョンを確認します。
user@host-01> show version Hostname: host-01 Model: vsrx Junos: 19.4R3.1
サンプル出力は、vSRX仮想ファイアウォールインスタンスにJunos OSバージョン19.4R3があり、vSRX2.0であることを示しています。
-
コミットされていない変更を行わずに、アクティブな設定を保存します。
user@host-01> show configuration | save /var/tmp/existingConfig.txt Wrote 273 lines of output to '/var/tmp/existingConfig.txt'
アクティブなコンフィギュレーションが、指定されたファイルの場所に保存されます。後で使用するために、保存したファイルをローカル ワークスペースにコピーします。
-
図 2 のライセンス要件を確認します。新しいライセンス キーが必要な場合もあれば、既存のライセンス キーを再適用することもできます。
- 新しいライセンスキーが必要な場合は、ジュニパーアジャイルライセンシング(JAL)ポータル(https://license.juniper.net/licensemanage/)から取得してください
- 既存のライセンス キーを再適用できる場合は、次の手順に従ってライセンス ファイルのコピーを保存します。
-
vSRX仮想ファイアウォールにインストールされているライセンスキーを動作モードから表示します。
user@host-01> show system license keys DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu -
次のコマンドを使用して、ライセンス キーをコピーするか、ライセンス キーをファイルまたはURLに保存します。
user@host-01> request system license save filename | url
-
-
該当する場合、新しいvSRX3.0仮想マシンで必要になる可能性のある、vSRX2.0仮想マシン上のその他のファイル(IPSec VPN証明書やスクリプトなど)をバックアップします。
-
サーバー/ホストOSの準備ができていることを確認し、ホストOSに必要な仮想ネットワークとストレージプールを設定します。
-
新しいvSRX3.0仮想マシンの展開を開始する前に、vSRX2.0仮想マシンの電源をオフにしてください。
移行手順
vSRX2.0からvSRX3.0に移行するには、次の手順に従います。
- vSRX3.0(https://support.juniper.net/support/downloads/?p=vsrx3)のジュニパーネットワークスサポートページに移動し、OSとしてvSRX3.0を選択し、 図3に示す必要なバージョンを選択します。
図3:vSRX3.0のダウンロード
-
資格情報を入力し、使用許諾契約書を確認または同意します。ソフトウェアイメージのダウンロードページに移動します。ページの指示に従って、Junos OSイメージファイルをダウンロードします。
ダウンロードしたvSRX仮想ファイアウォールVMをサーバーにインストールします。
vSRX3.0イメージをダウンロードすると、イメージファイル名に vsrx3が含まれます。例:junos-install- vsrx3 -x86-64-21.2R3.8.tgz。VMのインストールと起動の詳細については、 プライベートおよびパブリッククラウドプラットフォーム向けvSRX導入ガイド を参照してください。-
show versionコマンドを使用して、再起動後にJunos OSとvSRX仮想ファイアウォールのバージョンを確認します。user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.3R1.1
移行後のタスク
vSRX3.0で新しいJunos OSをインストールした後、以下のチェックを完了してください。
-
サーバー上でvSRX3.0を使用して、新しいvSRX仮想ファイアウォールインスタンスを起動します。
- ネットワークアクセスを有効にします(たとえば、fxp0インターフェイスにIPアドレスを設定します)。この手順により、新しい vSRX3.0 VM にファイルを転送できます。
-
新しく起動したvSRX仮想ファイアウォールインスタンスにライセンスキー( 図2の既存のキーまたは新しいキー)を適用します。
user@host-01# request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu DemolabJUNOS966777536: successfully added add license complete (no errors) -
シャーシ クラスタ セットアップを使用している場合は、
set chassis cluster cluster-id X node [0|1]コマンドを使用して新しい vSRX3.0 でシャーシ クラスタを有効にし、仮想マシンを再起動します。 -
IPSec VPN 証明書やスクリプト(該当する場合)など、vSRX2.0 VM からバックアップを取ったその他のファイルを転送します。
-
先ほど保存した構成ファイルを /var/tmp フォルダーにコピーして戻します。
- 設定モードで ロードオーバーライド/var/tmp/existingConfig.txt を実行し、現在の設定を保存した設定に置き換えます。
user@host-01# load override /var/tmp/existingConfig.txt load complete
- 設定をコミットします。
user@host-01# commit
-
show configurationコマンドを使用して、デバイス設定、ネットワーク設定、およびその他の構成が使用可能であることを確認します。
アプリケーション層ゲートウェイ(ALG)のデフォルト動作の変更
vSRX2.0では、次のALGがデフォルトで無効になっています。ただし、vSRX3.0に移行すると、これらのALGがデフォルトで有効になります。
- H323-J
- MGCP
- RTSP
- SCCPの
- 一口
vSRX2.0設定でこれらのALGを有効にしていない場合は、vSRX3.0設定で無効にして、同じALG動作を維持することができます。
ALG を無効にするには:
[edit] set security alg <alg-name> disable
show security alg statusコマンドを使用して、どのALGが有効/無効かを確認します。
例:
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
【今後の予定】
新しいvSRX3.0をインストールしたので、新機能と拡張機能を確認できます。 リリースノートを参照してください。