이 페이지에서
vSRX3.0으로 마이그레이션
요약 vSRX2.0에서 vSRX3.0으로 vSRX 소프트웨어 아키텍처를 마이그레이션하는 방법을 알아보고 vSRX 업그레이드할 때 라이선스 요구 사항에 대해 알아보십시오.
Junos OS 릴리스 18.4R1에서는 vSRX 가상 방화벽용 새로운 소프트웨어 아키텍처 vSRX3.0을 출시했습니다. vSRX VM을 위해 vSRX3.0으로 마이그레이션하는 것이 좋습니다. vSRX2.0을 사용하는 경우 몇 단계로 새 vSRX3.0으로 마이그레이션할 수 있습니다. 명령줄 인터페이스(CLI)는 동일하게 유지되며 vSRX2.0에서 작동하는 구성도 vSRX3.0에서 작동합니다.
- vSRX3.0으로 최신 vSRX 아키텍처(vSRX3.0)
- vSRX3.0 이전의 아키텍처(vSRX2.0으로)
개요
vSRX3.0 소개
새로운 vSRX3.0 아키텍처는 FreeBSD 12.x / Junos OS 운영 체제로 사용하는 간소화된 가상 머신(VM)입니다. vSRX3.0에서는 라우팅 엔진 및 패킷 전달 엔진 FreeBSD 12.x 이상 버전에서 단일 VM으로 실행되어 성능과 확장성을 개선합니다. vSRX3.0은 DPDK를 사용하여 데이터 플레인에서 데이터 패킷을 처리합니다.
혜택
vSRX3.0으로 마이그레이션하면 새로운 서비스를 신속하게 도입하고 맞춤형 솔루션을 제공하며 다음과 같은 방식으로 보안 서비스를 동적으로 확장할 수 있습니다.
-
보다 빠른 부팅 시간 및 관리 작업 중 컨트롤 플레인의 반응성 향상
-
더 빠른 커밋 및 CLI 업그레이드로 운영 이점 증가
-
이중 OS 및 중첩 가상화 제거로 인해 민첩성 및 이미지 크기 증대
-
관리 포트 및 클러스터 제어 링크에서 무차별 모드를 활성화하는 데 특별한 구성이 필요하지 않습니다.
- 다양한 호스트 환경 전반에서 Simplified 원활한 구축
그림 1 은 vSRX 아키텍처를 보여줍니다.
지원되는 Junos OS 릴리스
표 1은 vSRX2.0 및 vSRX3.0에 대해 지원되는 Junos OS 릴리스 목록을 제공합니다.
| vSRX 지원 Junos OS 아키텍처 | |
|---|---|
| vSRX2.0 | 15.1X49, 17.3 이상에서 22.4 포함. Junos OS 릴리스 22.4는 vSRX2.0에서 사용할 수 있는 마지막 버전입니다. vSRX 3.0을 사용하는 것을 권장합니다. |
| vSRX3.0 | 18.4 이상 |
vSRX2.0 및 vSRX3.0의 기능 지원
표 2와 표 3은 vSRX2.0 및 vSRX3.0에서 지원되는 기능을 나열합니다.
| 기능 | vSRX2.0 | vSRX3.0 |
|---|---|---|
| 2 vCPU / 4GB RAM 5 vCPU / 8GB RAM |
예 | 예 |
| 9 vCPU / 16GB RAM |
예 | 예(Junos OS 릴리스 19.1R1 이후) |
| 17 vCPU / 32GB RAM |
예 | 예(Junos OS 릴리스 19.1R1 이후) |
| 추가 vRAM을 통해 유연한 플로우 세션 용량 확장 |
예(Junos 19.1R1 이후부터) | 예(Junos OS 릴리스 19.2R1 이후) |
| 멀티코어 확장 지원(소프트웨어 RSS) |
아니요 | 예(Junos OS 릴리스 19.3R1 이후) |
| 라우팅 엔진 위해 추가 vCPU 코어를 예약합니다. |
예 | 예 |
| Virtio(virtio-net, vhost-net) |
예 | 예 |
| 지원되는 하이퍼바이저 | ||
| VMware ESXi 5.5, 6.0, 6.5, 7.0 |
예 | 예 |
| VMware ESXi 6.7 |
아니요 | 예(Junos OS 릴리스 19.3R1 이후) |
| Ubuntu 16.04, Centos 7.1, Redhat 7.2의 KVM |
예 | 예 |
| 하이퍼 V |
예 | 예(Junos OS 릴리스 19.1R1 이후) |
| Microsoft Hyper-V에서 멀티코어 확장 지원 | 아니요 | 예(Junos OS 릴리스 19.1R1 이후) |
| Nutanix |
예 | 예(Junos OS 릴리스 19.1R1 이후) |
| Contrail Networking 3.x |
예 | 예 |
| Contrail Networking 5.x |
아니요 | 예(Junos OS 릴리스 19.3R1 이후) |
| Aws |
예 | 예 |
| Azure |
예 | 예(Junos OS 릴리스 19.1R1 이후) |
| GCP(Google Cloud Platform) |
아니요 | 예(Junos OS 릴리스 19.3R1 이후) |
| 기타 기능 | ||
| Cloud-init |
예 | 예 |
| C5 인스턴스를 사용하는 AWS ELB 및 ENA |
예 | 예(Junos OS 릴리스 20.1R1 이후) |
| Powermode IPSec(PMI) |
예 | 예 |
| 섀시 클러스터 |
예 | 예 |
| 소프트웨어 RSS를 사용한 GTP TEID 기반 세션 배포 |
아니요 | 예(Junos OS 릴리스 19.3R1 이후) |
| 온 디바이스 바이러스 차단 검사 엔진(Avira) |
아니요 | 예(Junos OS 릴리스 19.4R1 이후) |
| Lldp |
예 | 예(Junos OS 릴리스 21.1R1 이후) |
| Junos 텔레메트리 인터페이스 |
예 | 예(Junos OS 릴리스 20.3R1 이후) |
| 시스템 요구 사항 | ||
| 하이퍼바이저의 하드웨어 가속화/지원 VMX CPU 플래그 |
예 | 아니요 |
| 디스크 공간 |
16GB | 18GB |
| vSRX2.0 vSRX3.0 | 에서 지원되는 | vNIC | |
|---|---|---|---|
| VMXNET3 SA 및 HA | Vm 웨어 | 예 | 예 |
| Virtio SA 및 HA | Kvm | 예 | 예 |
| Intel 82599/X520 시리즈를 통해 SR-IOV SA 및 HA | VMware 및 KVM | 예 | 예 |
| Intel X710/XL710/XXV710 시리즈를 통해 SR-IOV SA 및 HA | VMware 및 KVM | 예 | 예 |
| Intel E810 시리즈를 통해 SR-IOV SA | VMware 및 KVM | 예 | 예 |
| Intel E810 시리즈를 통해 SR-IOV HA | VMware 및 KVM | 아니요 | 아니요 |
| Mellanox ConnectX-3을 통해 SR-IOV SA 및 HA | VMware 및 KVM | 아니요 | 아니요 |
| Mellanox ConnectX-4/5/6을 통해 SR-IOV SA 및 HA(MLX5 드라이버만 해당) | Vm 웨어 | 예 | 예 (Junos OS 릴리스 21.2R1 이후의 SA) (Junos OS 릴리스 21.2R2 이후의 HA) |
| Mellanox ConnectX-4/5/6을 통해 SR-IOV SA 및 HA(MLX5 드라이버만 해당) | Kvm | 예 | 예 (Junos OS 릴리스 21.2R1 이후) |
| Intel 82599/X520 시리즈를 통해 PCI 통과 | VMware 및 KVM | 아니요 | 아니요 |
| Intel X710/XL710 시리즈를 통해 PCI 통과 | VMware 및 KVM | 예 | 아니요 |
vSRX3.0에 대한 라이선스 요구 사항
릴리스 21.1R1 Junos OS SRX 시리즈 및 vSRX3.0용 Flex 소프트웨어 구독 라이선싱 모델로 전환했습니다. 이제 Juniper Agile Licensing을 사용하여 vSRX 가상 CPU(vCPU) 사용에 대한 소프트 실행을 지원합니다. Juniper Agile Licensing은 간소화된 중앙 집중식 라이선스 관리 및 구축을 제공합니다.
Junos OS 기존 LMS(Licensing Management System)의 라이선스를 21.1 사용 전에 릴리스합니다. vSRX3.0에 Junos OS 21.1 이상 릴리스와 동일한 라이선스를 적용하는 경우, 30일의 유예 기간 이후에 라이선스가 만료됩니다. Juniper JAL(Agile Licensing) 포털(https://license.juniper.net/licensemanage/)을 통해 새 라이선스를 취득해야 합니다.
vSRX2.0(모든 Junos OS 릴리스)에서 vSRX3.0(Junos OS 릴리스 21.1 이상)으로 업그레이드하는 경우 새 라이선스 키를 받아야 합니다. 현재 라이선스 키를 취소하고 상위 Junos OS 릴리스를 위한 새 라이선스 키를 생성할 수 있습니다. 자세한 내용은 기술 자료 문서를 참조하십시오.
그림 2 는 다양한 업그레이드 시나리오에 대한 라이선스 요구 사항을 요약합니다.
의 라이선스 요구 사항
| 업그레이드에서 | 라이선스 키 변경으로 | 업그레이드|
|---|---|---|
| vSRX2.0(모든 Junos OS 릴리스 포함) |
vSRX3.0 및 Junos OS 릴리스 21.1 이상 릴리스 (21.1, 21.2, 21.3, 21.4, 22.1 이상 릴리스) |
Juniper JAL(Agile Licensing) 포털(https://license.juniper.net/licensemanage/)을 통해 새 라이선스를 받으십시오. 릴리스 노트: Junos OS 릴리스 21.1R1, Flex 소프트웨어 라이선스 vSRX, 자세한 내용은 라이선싱 가이드를 참조하십시오. 라이선스 요청에 정확한 vCPU 수를 지정해야 합니다. |
| vSRX2.0(모든 Junos OS 릴리스 포함) |
vSRX3.0(Junos OS 릴리스 포함) 21.1 이전 (18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4) |
다음 단계를 통해 기존 라이선스 키를 다시 사용합니다.
이 항목에서 마이그레이션 절차를 참조하십시오. |
향후 이미지 업그레이드를 vSRX 경우 라이선스 문제를 방지하기 위해 Junos OS 릴리스 21.1R1 이상의 버전으로 vSRX3.0으로 업그레이드하는 것이 좋습니다.
vSRX3.0으로 마이그레이션
vSRX 버전 확인
vSRX 인스턴스에 명령을 사용하여 vSRX2.0 또는 vSRX3.0이 show version 있는지 확인합니다.
예-1
user@host-01> show version Hostname: host-01 Model: vsrx
출력에서 필드 모델: 소문자로 srx가 있는 vsrx는 vSRX2.0을 나타냅니다.
예-2
user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.1R1.10
출력에서 필드 모델: 대 문자로 SRX 라는 문자가 있는 vSRX vSRX3.0을 나타냅니다.
사전 마이그레이션 체크리스트
vSRX3.0으로 마이그레이션하기 전에 다음 작업을 완료합니다.
-
vSRX 인스턴스에서 Junos OS 버전을 확인합니다.
user@host-01> show version Hostname: host-01 Model: vsrx Junos: 19.4R3.1
샘플 출력은 vSRX 인스턴스가 Junos OS 버전 19.4R3과 vSRX2.0을 가지고 있음을 나타냅니다.
-
커밋되지 않은 변경 없이 활성 구성을 저장합니다.
user@host-01> show configuration | save /var/tmp/existingConfig.txt Wrote 273 lines of output to '/var/tmp/existingConfig.txt'
시스템은 지정된 파일 위치에 활성 구성을 저장합니다. 나중에 사용하기 위해 저장된 파일을 로컬 작업 공간에 복사합니다.
-
그림 2에 따라 라이선스 요구 사항을 확인합니다. 새 라이선스 키가 필요하거나 기존 라이선스 키를 다시 적용할 수 있습니다.
- 새 라이선스 키가 필요한 경우 Juniper JAL(Agile Licensing) 포털(https://license.juniper.net/licensemanage/)에서 이를 구하십시오.
- 기존 라이선스 키를 다시 적용할 수 있는 경우 다음 단계를 사용하여 라이선스 파일 사본을 저장합니다.
-
운영 모드에서 vSRX 설치된 라이선스 키를 표시합니다.
user@host-01> show system license keys DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu -
라이선스 키를 복사하거나 다음 명령을 사용하여 파일 또는 URL에 라이선스 키를 저장합니다.
user@host-01> request system license save filename | url
-
-
새로운 vSRX3.0 VM(예: IPsec VPN 인증서 및 스크립트)에 필요할 수 있는 vSRX2.0 VM의 다른 파일을 백업합니다(해당하는 경우).
-
서버/호스트 OS를 준비하고 호스트 OS에서 필요한 가상 네트워크 및 스토리지 풀을 설정해야 합니다.
-
새로운 vSRX3.0 VM 구축을 시작하기 전에 vSRX2.0 VM의 전원을 끕니다.
마이그레이션 절차
vSRX2.0에서 vSRX3.0으로 마이그레이션하려면 다음 단계를 따르십시오.
- vSRX3.0(https://support.juniper.net/support/downloads/?p=vsrx3)에 대한 주니퍼 네트웍스 지원 페이지로 이동하여 OS를 vSRX3.0으로 선택하고 그림 3에 표시된 필수 버전을 선택합니다.
그림 3: vSRX3.0 다운로드
-
자격 증명을 입력하고 최종 사용자 라이선스 계약을 검토/수락합니다. 소프트웨어 이미지 다운로드 페이지로 안내해 드리겠습니다. 페이지의 지침을 따라 Junos OS 이미지 파일을 다운로드합니다.
다운로드한 vSRX VM을 서버에 설치합니다.
vSRX3.0 이미지를 다운로드하면 이미지 파일 이름에 vsrx3이 포함됩니다. 예:junos-install- vsrx3 -x86-64-21.2R3.8.tgz. VM 의 설치 및 출시에 대한 자세한 내용은 프라이빗 및 퍼블릭 클라우드 플랫폼에 대한 vSRX 구축 가이드 를 참조하십시오.-
명령을 사용하여 재부팅한 후 Junos OS 및 vSRX 버전을 확인합니다
show version.user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.3R1.1
마이그레이션 후 작업
vSRX3.0으로 새로운 Junos OS 설치한 후 다음 검사를 완료합니다.
-
서버에서 vSRX3.0으로 새로운 vSRX 인스턴스를 시작합니다.
- 네트워크 액세스를 활성화합니다(예: fxp0 인터페이스에서 IP 주소를 구성함). 이 단계를 사용하면 파일을 새 vSRX3.0 VM으로 전송할 수 있습니다.
-
새로 출시된 vSRX 인스턴스에 라이선스 키( 그림 2에 따라 기존 키 또는 새 키)를 적용합니다.
user@host-01# request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu DemolabJUNOS966777536: successfully added add license complete (no errors) -
섀시 클러스터 설정을 사용하는 경우 명령을 사용하여 새로운 vSRX3.0에서 섀시 클러스터를 활성화하고 VM을
set chassis cluster cluster-id X node [0|1]재부팅합니다. -
IPsec VPN 인증서 및 스크립트(해당하는 경우)와 같은 vSRX2.0 VM에서 백업을 수행한 다른 파일을 전송합니다.
-
앞서 저장한 구성 파일을 /var/tmp 폴더로 다시 복사합니다.
- 구성 모드에서 로드 재정의 /var/tmp/기존Config.txt 를 실행하여 현재 구성을 저장된 구성으로 대체합니다.
user@host-01# load override /var/tmp/existingConfig.txt load complete
- 구성을 커밋합니다.
user@host-01# commit
-
명령을 사용하여
show configuration디바이스 설정, 네트워크 설정 및 기타 구성을 사용할 수 있는지 확인합니다.
애플리케이션 레이어 게이트웨이(ALG) 기본 동작의 변경 사항
vSRX2.0에서 다음 ALG는 기본적으로 비활성화되었습니다. 그러나 vSRX3.0으로 마이그레이션할 때 이러한 ALG는 기본적으로 활성화됩니다.
- H323
- MGCP
- Rtsp
- Sccp
- Sip
vSRX2.0 구성에서 이러한 ALG를 활성화하지 않은 경우, 동일한 ALG 동작을 유지하기 위해 vSRX3.0 구성에서 이러한 ALG를 비활성화할 수 있습니다.
ALG를 비활성화하려면:
[edit] set security alg <alg-name> disable
show security alg status 명령을 사용하여 어떤 ALG가 활성화/비활성화되었는지 확인합니다.
예제:
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
다음 단계는 무엇일까요?
이제 새로운 vSRX3.0을 설치했으면 새로운 기능과 개선 사항을 살펴볼 수 있습니다. 업그레이드 후 새로운 기능에 대해 알아보십시오.