このページの目次
vSRX3.0への移行
概要 vSRX仮想ファイアウォールソフトウェアアーキテクチャをvSRX2.0からvSRX3.0に移行する方法と、vSRX仮想ファイアウォールをアップグレードする際のライセンス要件についてご確認ください。
Junos OSリリース18.4R1では、vSRX仮想ファイアウォール仮想ファイアウォール向けの新しいソフトウェアアーキテクチャvSRX3.0を導入しました。お使いの vSRX 仮想ファイアウォール VM については、vSRX3.0 に移行することをお勧めします。vSRX2.0を使用している場合は、いくつかの手順で新しいvSRX3.0に移行できます。コマンドラインインターフェイス(CLI)は同じままで、vSRX2.0で動作する設定はvSRX3.0でも機能することに注意してください。
- 最新のvSRX仮想ファイアウォールアーキテクチャ(vSRX3.0)をvSRX3.0として搭載
- vSRX3.0以前のアーキテクチャから vSRX2.0
概要
vSRX3.0の概要
新しい vSRX3.0 アーキテクチャは、オペレーティングシステムとして FreeBSD 12.x / Junos OS を使用した合理化された仮想マシン (VM) です。vSRX3.0 では、ルーティング エンジンとパケット転送エンジンは、FreeBSD 12.x 以降のバージョンで単一の VM として動作し、パフォーマンスとスケーラビリティが向上しています。vSRX3.0では、DPDKを使用してデータプレーン内のデータパケットを処理します。
利点
vSRX3.0に移行すると、新しいサービスを迅速に導入し、カスタマイズされたソリューションを提供し、セキュリティサービスを動的に拡張することができます。
-
起動時間の短縮と管理運用時のコントロールプレーンの応答性の強化
-
コミットとCLIアップグレードの高速化による運用面でのメリットの増加
-
デュアルOSとネストされた仮想化の排除による俊敏性の向上と画像サイズの縮小
-
管理ポートとクラスタ制御リンクでプロミスキャスモードを有効にするための特別な設定は必要ありません
- 異なるホスト環境への簡略化されたシームレスな導入
図1 に、vSRX仮想ファイアウォールのアーキテクチャを示します。
サポートされている Junos OS リリース
表1は、vSRX2.0およびvSRX3.0でサポートされているJunos OSリリースの一覧を示しています。
| vSRX仮想ファイアウォールアーキテクチャ | サポートされるJunos OSリリース |
|---|---|
| vSRX2.0 | 15.1X49、17.3 以降から 22.4 まで。Junos OSリリース22.4は、vSRX2.0で利用可能な最後のバージョンです。今後は、vSRX仮想ファイアウォール3.0の使用を推奨します。 |
| vSRX3.0 | 18.4 以降 |
vSRX2.0およびvSRX3.0でサポートされる機能
表 2、表 3 に、vSRX2.0 および vSRX3.0 でサポートされる機能を示します。
| vSRX2.0 | 、vSRX3.0 | の機能|
|---|---|---|
| 2 vCPU / 4 GB RAM 5 vCPU / 8 GB RAM |
はい | はい |
| 9 vCPU / 16 GB RAM |
はい | ○(Junos OSリリース19.1R1以降) |
| 17 vCPU / 32 GB RAM |
はい | ○(Junos OSリリース19.1R1以降) |
| 追加のvRAMによる柔軟なフローセッション容量拡張 |
○(Junos 19.1R1以降) | ○(Junos OSリリース19.2R1以降) |
| マルチコアスケーリング対応(ソフトウェアRSS) |
いいえ | ○(Junos OSリリース19.3R1以降) |
| ルーティングエンジン用に追加のvCPUコアを予約する |
はい | はい |
| Virtio (virtio-net, vhost-net) |
はい | はい |
| サポートされているハイパーバイザー | ||
| VMware ESXi 5.5、6.0、6.5、7.0 |
はい | はい |
| VMware ESXi 6.7 |
いいえ | ○(Junos OSリリース19.3R1以降) |
| Ubuntu 16.04、Centos 7.1、Redhat 7.2上のKVM |
はい | はい |
| Hyper-V |
はい | ○(Junos OSリリース19.1R1以降) |
| Microsoft Hyper-V でのマルチコア スケーリングのサポート | いいえ | ○(Junos OSリリース19.1R1以降) |
| Nutanix |
はい | ○(Junos OSリリース19.1R1以降) |
| Contrail Networking 3.x |
はい | はい |
| Contrail Networking 5.x |
いいえ | ○(Junos OSリリース19.3R1以降) |
| ティッカー |
はい | はい |
| 紺碧 |
はい | ○(Junos OSリリース19.1R1以降) |
| Google Cloud Platform(GCP) |
いいえ | ○(Junos OSリリース19.3R1以降) |
| その他の機能 | ||
| Cloud-init |
はい | はい |
| C5 インスタンスを使用した AWS ELB および ENA |
はい | ○(Junos OSリリース20.1R1以降) |
| パワーモード IPSec(PMI) |
はい | はい |
| シャーシ クラスタ |
はい | はい |
| ソフトウェアRSSを用いたGTP TEIDベースのセッション配信 |
いいえ | ○(Junos OSリリース19.3R1以降) |
| オンデバイスウイルス対策スキャン エンジン (Avira) |
いいえ | ○(Junos OSリリース19.4R1以降) |
| ティッカー |
はい | ○(Junos OSリリース21.1R1以降) |
| Junos Telemetry Interface |
はい | ○(Junos OSリリース20.3R1以降) |
| システム要件 | ||
| ハイパーバイザーのハードウェアアクセラレーション/有効なVMX CPUフラグ |
はい | いいえ |
| ディスク容量 |
16GB | 18GB |
| vSRX2.0 | 、vSRX3.0 | でサポートされているvNIC | |
|---|---|---|---|
| VMXNET3 SA および HA | ヴイエムウェア | はい | はい |
| Virtio SA および HA | ティッカー | はい | はい |
| SR-IOV SA および HA over Intel 82599/X520 シリーズ | VMwareおよびKVM | はい | はい |
| SR-IOV SA および HA over Intel X710/XL710/XXV710 シリーズ | VMwareおよびKVM | はい | はい |
| SR-IOV SA over Intel E810 シリーズ | VMwareおよびKVM | はい | はい |
| SR-IOV HA over Intel E810シリーズ | VMwareおよびKVM | いいえ | いいえ |
| SR-IOV SA および HA over Mellanox ConnectX-3 | VMwareおよびKVM | いいえ | いいえ |
| SR-IOV SA および HA over Mellanox ConnectX-4/5/6 (MLX5 ドライバーのみ) | ヴイエムウェア | はい | はい (Junos OSリリース21.2R1以降のSA) (Junos OSリリース21.2R2以降のHA) |
| SR-IOV SA および HA over Mellanox ConnectX-4/5/6 (MLX5 ドライバーのみ) | ティッカー | はい | はい (Junos OSリリース21.2R1以降) |
| Intel 82599/X520 シリーズ上の PCI パススルー | VMwareおよびKVM | いいえ | いいえ |
| Intel X710/XL710シリーズを介したPCIパススルー | VMwareおよびKVM | はい | いいえ |
vSRX3.0 のライセンス要件
Junos OSリリース21.1R1より、SRXシリーズおよびvSRX3.0のフレックスソフトウェアサブスクリプションライセンスモデルに移行しました。現在、ジュニパーアジャイルライセンシングを使用して、vSRX仮想ファイアウォールでの仮想CPU(vCPU)使用に対するソフト適用をサポートしています。ジュニパーアジャイルライセンシングは、ライセンス管理と導入を簡素化し、一元化します。
21.1より前のJunos OSリリースでは、レガシーライセンス管理システム(LMS)のライセンスを使用しています。Junos OS 21.1以降のリリースを適用したvSRX3.0で同じライセンスを適用した場合、ライセンスは30日間の猶予期間が経過すると失効します。ジュニパーアジャイルライセンシング(JAL)ポータル(https://license.juniper.net/licensemanage/)で新しいライセンスを取得する必要があります。
vSRX2.0(任意のJunos OSリリース)からvSRX3.0(Junos OSリリース21.1以降)にアップグレードする場合は、新しいライセンスキーを取得する必要があります。現在のライセンスキーを取り消して、上位のJunos OSリリース用に新しいライセンスキーを生成することができます。詳細については、 サポート技術情報の記事 を参照してください。
図 2 は、さまざまなアップグレード シナリオのライセンス要件をまとめたものです。
のライセンス要件
| アップグレードから | ライセンス キーの変更 | への | アップグレード
|---|---|---|
| vSRX2.0とJunos OSリリース |
vSRX3.0(Junos OSリリース21.1以降のリリース適用) (21.1、21.2、21.3、21.4、22.1 以降のリリース) |
ジュニパーアジャイルライセンシング(JAL)ポータル(https://license.juniper.net/licensemanage/)で新しいライセンスを取得します。 詳細については、 リリースノート:Junos OSリリース21.1R1、 vSRX向けフレックスソフトウェアライセンス、および ライセンスガイド を参照してください。ライセンス要求で正しい数の vCPU を指定していることを確認します。 |
| vSRX2.0とJunos OSリリース |
vSRX3.0(Junos OS搭載)21.1より前のリリース (18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4) |
次の手順で既存のライセンス キーを再利用します。
このトピックの「 移行手順 」を参照してください。 |
今後vSRX仮想ファイアウォールのイメージをアップグレードする際に、ライセンスの問題を回避するため、Junos OSリリース21.1R1以降のバージョンを搭載したvSRX3.0にアップグレードすることをお勧めします。
vSRX3.0への移行
vSRX仮想ファイアウォールのバージョンを確認する
show versionコマンドを使用して、vSRX仮想ファイアウォールインスタンスにvSRX2.0またはvSRX3.0がインストールされているかどうかを確認します。
実施例-1
user@host-01> show version Hostname: host-01 Model: vsrx
出力では、 フィールド モデル: vsrx (文字 srx を小文字で表示) は、vSRX2.0 を表しています。
例-2
user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.1R1.10
出力では、 フィールド モデル: vSRX (文字 SRX が大文字) は、vSRX3.0 を表しています。
移行前チェックリスト
vSRX3.0に移行する前に、以下のタスクを完了してください。
-
vSRX仮想ファイアウォールインスタンスのJunos OSバージョンを確認します。
user@host-01> show version Hostname: host-01 Model: vsrx Junos: 19.4R3.1
サンプル出力は、vSRX仮想ファイアウォールインスタンスにJunos OSバージョン19.4R3とvSRX2.0がインストールされていることを示しています。
-
コミットされていない変更なしでアクティブなコンフィギュレーションを保存します。
user@host-01> show configuration | save /var/tmp/existingConfig.txt Wrote 273 lines of output to '/var/tmp/existingConfig.txt'
システムは、指定されたファイルの場所にアクティブなコンフィギュレーションを保存します。保存したファイルを、後で使用するためにローカル ワークスペースにコピーします。
-
図 2 に従ってライセンス要件を確認します。新しいライセンス キーが必要な場合もあれば、既存のライセンス キーを再適用することもできます。
- 新しいライセンスキーが必要な場合は、ジュニパーアジャイルライセンシング(JAL)ポータル(https://license.juniper.net/licensemanage/)から取得してください。
- 既存のライセンス キーを再適用できる場合は、次の手順に従ってライセンス ファイルのコピーを保存します。
-
動作モードからvSRX仮想ファイアウォールにインストールされているライセンスキーを表示します。
user@host-01> show system license keys DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu -
次のコマンドを使用して、ライセンス キーをコピーするか、ライセンス キーをファイルまたは URL に保存します。
user@host-01> request system license save filename | url
-
-
該当する場合、新しい vSRX3.0 VM で必要になる可能性がある、vSRX2.0 VM 上のその他のファイル(IPsec VPN 証明書やスクリプトなど)をバックアップします。
-
サーバー/ホスト OS の準備ができていることを確認し、ホスト OS に必要な仮想ネットワークとストレージ プールをセットアップします。
-
新しい vSRX3.0 VM の導入を開始する前に、vSRX2.0 VM の電源をオフにしてください。
移行手順
vSRX2.0 から vSRX3.0 に移行するには、次の手順に従います。
- ジュニパーネットワークスの vSRX3.0(https://support.juniper.net/support/downloads/?p=vsrx3)のサポート ページに移動し、OSを vSRX3.0 として選択して、 図 3 に示す必要なバージョンを選択します。
図3: vSRX3.0のダウンロード
-
資格情報を入力し、使用許諾契約書を確認または同意します。ソフトウェア イメージのダウンロード ページが表示されます。ページの指示に従って、Junos OSイメージファイルをダウンロードします。
ダウンロードしたvSRX仮想ファイアウォールVMをサーバーにインストールします。
vSRX3.0イメージをダウンロードする場合、イメージ ファイル名に vsrx3 が含まれます。例:junos-install- vsrx3 -x86-64-21.2R3.8.tgz。VMのインストールと起動の詳細については、 プライベートおよびパブリッククラウドプラットフォーム向けvSRX導入ガイド を参照してください。-
再起動後に
show versionコマンドを使用して Junos OS と vSRX 仮想ファイアウォールのバージョンを確認します。user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.3R1.1
移行後のタスク
vSRX3.0で新しいJunos OSをインストールした後、以下のチェックを完了します。
-
サーバーでvSRX3.0で新しいvSRX仮想ファイアウォールインスタンスを起動します。
- ネットワーク アクセスを有効にします (たとえば、fxp0 インターフェイスで IP アドレスを構成します)。この手順により、新しい vSRX3.0 VM にファイルを転送できるようになります。
-
新しく起動したvSRX仮想ファイアウォールインスタンスにライセンスキー( 図2を参照の既存のキーまたは新しいキー)を適用します。
user@host-01# request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu DemolabJUNOS966777536: successfully added add license complete (no errors) -
シャーシ クラスタ設定を使用している場合は、
set chassis cluster cluster-id X node [0|1]コマンドを使用して新しい vSRX3.0 でシャーシ クラスタを有効にし、VM を再起動します。 -
IPsec VPN証明書やスクリプト(該当する場合)など、vSRX2.0 VMからバックアップを取ったその他のファイルを転送します。
-
前に保存した設定ファイルを /var/tmp フォルダにコピーして戻します。
- ロードオーバーライド /var/tmp/existingConfig.txt を設定モードで実行し、現在の設定を保存した設定に置き換えます。
user@host-01# load override /var/tmp/existingConfig.txt load complete
- 設定をコミットします。
user@host-01# commit
-
show configurationコマンドを使用して、デバイス設定、ネットワーク設定、およびその他の構成が使用可能であることを確認します。
アプリケーション層ゲートウェイ (ALG) の既定の動作の変更
vSRX2.0 では、次の ALG はデフォルトで無効になっています。ただし、vSRX3.0に移行すると、次のALGがデフォルトで有効になります。
- H323
- ティッカー
- ティッカー
- ティッカー
- 一口
これらのALGをvSRX2.0設定で有効にしていない場合は、同じALG動作を維持するために、vSRX3.0設定で無効にすることができます。
ALG を無効にするには:
[edit] set security alg <alg-name> disable
show security alg status コマンドを使用して、有効/無効になっている ALG を確認します。
例:
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
次は何ですか?
これで、新しい vSRX3.0 をインストールしたので、新機能と拡張機能を確認できます。 アップグレード後の新機能の探索を参照してください。