Descripción general de NFX250 NextGen
La plataforma de servicios de red NFX250 de Juniper Networks es una plataforma de equipo en las instalaciones del cliente (CPE) segura, automatizada y basada en software que ofrece servicios de red y seguridad virtualizados bajo demanda. El NFX250 forma parte de la solución CPE en la nube de Juniper, que aprovecha la virtualización de funciones de red (NFV). Permite a los proveedores de servicios desplegar y encadenar múltiples funciones de red virtualizadas (VNF) seguras y de alto rendimiento en un solo dispositivo.
La figura 1 muestra el dispositivo NFX250.
NFX250
El NFX250 es un CPE completo de SD-WAN que proporciona funcionalidad de enrutador seguro y solución de firewall de próxima generación (NGFW).
NGFW incluye características de seguridad tales como:
VPN (consulte la Guía del usuario de VPN para dispositivos de seguridad)
NAT (consulte la Guía del usuario de NAT)
ALG (consulte la Guía del usuario de puertas de enlace de capa de aplicación)
Seguridad de aplicaciones (consulte la Guía del usuario de AppSecure)
Funciones de seguridad de contenido, incluido el filtrado web mejorado y el antivirus (consulte la Guía del usuario de UTM)
El dispositivo NFX250 es adecuado para pequeñas y medianas empresas y grandes empresas multinacionales o distribuidas.
Junos OS versión 19.1R1 presenta una arquitectura reoptimizada para dispositivos NFX250. Esta arquitectura le permite utilizar JCP como único punto de administración para gestionar todos los componentes de la NFX250.
Para fines de documentación, los dispositivos NFX250 que utilizan esta arquitectura se denominan dispositivos NFX250 NextGen.
Arquitectura de software
La figura 2 ilustra la arquitectura de software del NFX250 NextGen. La arquitectura está diseñada para proporcionar un plano de control unificado que funciona como un único punto de gestión. Los componentes clave del software NFX250 NextGen incluyen JCP, JDM, plano de datos de capa 2, plano de datos de capa 3 y VNF.
Los componentes clave del software del sistema incluyen:
Linux: el sistema operativo host, que funciona como hipervisor.
VNF: una VNF es una implementación virtualizada de un dispositivo de red y sus funciones. En la arquitectura NFX250 NextGen, Linux funciona como hipervisor y crea y ejecuta las VNF. Las VNF incluyen funciones como firewalls, enrutadores y aceleradores WAN.
Puede conectar VNF como bloques en una cadena para proporcionar servicios de red.
JCP: máquina virtual (VM) de Junos que se ejecuta en el sistema operativo host, Linux. El JCP funciona como el único punto de gestión para todos los componentes.
El JCP apoya:
Servicios de enrutamiento de capas 2 a 3
Servicios de seguridad de capa 3 a capa 4
Servicios de seguridad avanzados de la capa 4 a la capa 7
Además, el JCP permite la gestión del ciclo de vida de VNF.
JDM: un contenedor de aplicaciones que administra VNF y proporciona servicios de infraestructura. El JDM funciona en segundo plano. Los usuarios no pueden acceder directamente al JDM.
Plano de datos L2: administra el tráfico de la capa 2. El plano de datos de capa 2 reenvía el tráfico LAN al puente Open vSwitch (OVS), que actúa como backplane de NFV. El plano de datos de capa 2 se asigna al FPC0 virtual en el JCP.
Plano de datos L3: proporciona funciones de ruta de datos para los servicios de capa 3 a capa 7. El plano de datos de capa 3 se asigna al FPC1 virtual en el JCP.
Puente de vSwitch abierto (OVS): el puente OVS es un puente de sistema compatible con VLAN que actúa como la placa posterior de NFV a la que se conectan las VNF, FPC1 y FPC0. Además, puede crear puentes OVS personalizados para aislar la conectividad entre diferentes VNF.
Para obtener la lista de características compatibles, consulte Explorador de características.
Modelos NFX250
La Tabla 1 enumera los modelos de dispositivos NFX250 y sus especificaciones. Para obtener más información, consulte la Guía de hardware de NFX250.
Componentes |
NFX250-S1 |
NFX250-S2 |
NFX250-S1E |
|---|---|---|---|
CPU |
CPU Intel de 6 núcleos a 2,0 GHz |
CPU Intel de 6 núcleos a 2,0 GHz |
CPU Intel de 6 núcleos a 2,0 GHz |
RAM |
16 GB |
32 GB |
16 GB |
Almacenamiento |
SSD de 100 GB |
SSD de 400 GB |
SSD de 200 GB |
Factor de forma |
Escritorio |
Escritorio |
Escritorio |
Puertos
|
Ocho puertos de acceso 10/100/1000BASE-T RJ-45 |
Ocho puertos de acceso 10/100/1000BASE-T RJ-45 |
Ocho puertos de acceso 10/100/1000BASE-T RJ-45 |
Dos puertos 10/100/ 1000BASE-T RJ-45 que se pueden utilizar como puertos de acceso o puertos de enlace ascendente |
Dos puertos 10/100/ 1000BASE-T RJ-45 que se pueden utilizar como puertos de acceso o puertos de enlace ascendente |
Dos puertos 10/100/ 1000BASE-T RJ-45 que se pueden utilizar como puertos de acceso o puertos de enlace ascendente |
|
Dos puertos SFP 100/1000BASE-X que se pueden utilizar como enlaces ascendentes |
Dos puertos SFP 100/1000BASE-X que se pueden utilizar como enlaces ascendentes |
Dos puertos SFP 100/1000BASE-X que se pueden utilizar como enlaces ascendentes |
|
Dos puertos de enlace ascendente SFP+ de Ethernet de 1 Gigabit o 10 Gigabit |
Dos puertos de enlace ascendente SFP+ de Ethernet de 1 Gigabit o 10 Gigabit |
Dos puertos de enlace ascendente SFP+ de Ethernet de 1 Gigabit o 10 Gigabit |
|
Un puerto de administración 10/100/1000BASE-T RJ-45 |
Un puerto de administración 10/100/1000BASE-T RJ-45 |
Un puerto de administración 10/100/1000BASE-T RJ-45 |
|
Puertos de consola (RJ-45 y miniUSB) |
Puertos de consola (RJ-45 y miniUSB) |
Puertos de consola (RJ-45 y miniUSB) |
|
Un puerto USB 2.0 |
Un puerto USB 2.0 |
Un puerto USB 2.0 |
Interfaces
El dispositivo NFX250 NextGen incluye las siguientes interfaces de red:
Diez puertos RJ-45 de 1 Gigabit Ethernet y dos puertos de red de 1 Gigabit Ethernet que admiten transceptores conectables de factor de forma pequeño (SFP). Los puertos siguen la convención de nomenclatura, ge-0/0/n, donde n va de 0 a 11. Estos puertos se utilizan para la conectividad LAN.
Dos puertos de enlace ascendente de 1 Gigabit o 10 Gigabit compatibles con transceptores conectables plus de factor de forma pequeño (SFP+). Los puertos siguen la convención de nomenclatura xe-0/0/,n donde el valor de n es 12 o 13. Estos puertos se utilizan como puertos de enlace ascendente WAN.
Un puerto de administración dedicado etiquetado como MGMT (fxp0) funciona como la interfaz de administración fuera de banda. A la interfaz fxp0 se le asigna la dirección IP 192.168.1.1/24.
Dos interfaces estáticas, sxe-0/0/0 y sxe-0/0/1, que conectan el plano de datos de capa 2 (FPC0) con la placa posterior del OVS.
De forma predeterminada, todos los puertos de red se conectan al plano de datos de capa 2.
Los dispositivos NFX250 NextGen no admiten interfaces de enrutamiento y puente integrados (IRB). La funcionalidad IRB es proporcionada por ge-1/0/0, que siempre se asigna a la placa posterior de encadenamiento de servicio (OVS). Tenga en cuenta que esta asignación no se puede cambiar.
Para obtener la lista de transceptores compatibles con su dispositivo, consulte https://apps.juniper.net/hct/product/#prd=NFX250.
Modos de rendimiento
Los dispositivos NFX250 NextGen ofrecen varios modos operativos. Puede seleccionar el modo operativo del dispositivo de una lista predefinida de modos o especificar un modo personalizado.
-
Modo de transferencia de datos: proporciona el máximo de recursos (CPU y memoria) para el software de Junos.
-
Modo híbrido: proporciona una distribución equilibrada de recursos entre el software de Junos y las VNF de terceros.
-
Modo de proceso: proporciona recursos mínimos para el software de Junos y recursos máximos para VNF de terceros.
-
Modo personalizado: ofrece una opción para asignar recursos al plano de datos de capa 3 y al plano posterior de NFV.
Los modos de proceso, híbrido y de transferencia de datos se admiten en Junos OS versión 19.2R1 o posterior. El modo personalizado se admite en Junos OS versión 21.1R1 o posterior.
El modo predeterminado es el rendimiento en las versiones de Junos OS anteriores a 21.4R1. A partir de Junos OS versión 21.4R1, el modo predeterminado es computación.En el modo de transferencia de datos, debe asignar SR-IOV VF a interfaces de plano de datos de capa 3 en un dispositivo NFX250 NextGen. Se reservan tres SR-IOV (VF) de cada NIC (SXE o HSXE) para admitir un máximo de seis interfaces de plano de datos de capa 3. Por ejemplo:
user@host# set vmhost virtualization-options interfaces ge-1/0/1 mapping interface hsxe0
No puede crear VNF en el modo de rendimiento.
A partir de Junos OS versión 21.1R1, la asignación de OVS a la interfaz de plano de datos de capa 3 no se admite en el modo de transferencia de datos en dispositivos NFX250 NextGen. Si la asignación de OVS está presente en versiones anteriores a Junos OS versión 21.1R1, debe cambiar la asignación antes de actualizar el dispositivo a Junos OS versión 21.1R1 para evitar errores de confirmación de configuración.
En los modos híbrido, de cómputo y de rendimiento, puede asignar interfaces de plano de datos de capa 3 a SR-IOV u OVS en un dispositivo NFX250 NextGen. Por ejemplo:
Asigne interfaces de plano de datos de capa 3 a SR-IOV:
user@host# set vmhost virtualization-options interfaces ge-1/0/1 mapping interface hsxe0
Asigne interfaces de plano de datos de capa 3 a cualquiera de los OVS:
user@host# set vmhost virtualization-options interfaces ge-1/0/1
A partir de Junos OS versión 21.1R1, cuando el dispositivo está en modo de rendimiento, puede asignar las interfaces del plano de datos de capa 3 solo a VF de SR-IOV. Cuando el dispositivo está en modo informático o híbrido, puede asignar las interfaces de plano de datos de capa 3 a VF u OVS de SR-IOV.
En el modo híbrido o informático, puede crear VNF con las CPU disponibles en cada modo. Puede comprobar la disponibilidad de la CPU mediante el show vmhost mode comando. Cada VNF puede tener un máximo de interfaces de usuario, aparte de las dos interfaces de administración. Puede adjuntar las interfaces VNF a interfaces OVS o SR-IOV.
No puede conectar una sola interfaz VNF a SR-IOV y OVS. Sin embargo, puede asociar interfaces diferentes desde la misma VNF a SR-IOV y OVS.
Se reservan siete SR-IOV (VF) de cada NIC (SXE o HSXE) para crear interfaces VNF, y admite hasta un máximo de 28 interfaces VNF SR-IOV por dispositivo. Puede ver los VF gratuitos disponibles mediante el show system visibility networkarchivo .
Cuando la asignación a una interfaz de plano de datos de capa 3 determinada cambia entre NIC de SR-IOV (por ejemplo, hsxe0 a hsxe1) o de hsxex a OVS o viceversa, FPC1 se reinicia automáticamente.
Para cambiar el modo actual, ejecute el request vmhost mode mode-name comando. El request vmhost mode ? comando enumera solo los modos predefinidos, como los modos híbrido, de proceso y de rendimiento.
Antes de cambiar a un modo, emita los show system visibility cpu comandos y show vmhost mode para comprobar la disponibilidad de las CPU. Cuando cambie entre modos operativos, asegúrese de que no se produzcan conflictos de recursos y configuración.
Por ejemplo, si pasa del modo de proceso que admite VNF al modo de rendimiento que no admite VNF, se producen conflictos:
user@host# run request vmhost mode throughput error: Mode cannot be changed; Reason: No CPUs are available for VNFs in the desired mode, but there is atleast one VNF currently configured
Si el plano de datos de capa 3 no está asignado a SR-IOV, se produce un error al cambio del modo híbrido o de cómputo al modo de procesamiento.
Puede definir una plantilla de modo personalizado en la configuración de Junos mediante los siguientes comandos:
user@host# set vmhost mode custom custom-mode-name layer-3-infrastructure cpu count countuser@host# set vmhost mode custom custom-mode-name layer-3-infrastructure memory size mem-sizeuser@host# set vmhost mode custom custom-mode-name nfv-back-plane cpu count countuser@host# set vmhost mode custom custom-mode-name nfv-back-plane memory size mem-size
A partir de Junos OS versión 22.1R1, puede optar por configurar la cuota de CPU para el plano de datos de capa 3 mediante el set vmhost mode custom custom-mode-name layer-3-infrastructure cpu colocation quota quota-value comando, donde quota-value puede variar del 1 al 99. Si configura cpu colocation quota, la suma total de las cuotas de CPU de los componentes de colocación de CPU debe ser menor o igual que 100. Debe configurar cpu count utilizando valores numéricos y no palabras clave como MIN, ya que MIN puede tener valores diferentes para diferentes componentes.
El número de CPU y las CPU específicas (por ID de CPU) disponibles para el uso de VNF en un modo personalizado se determina automáticamente en función de la configuración del modo personalizado y cpu colocation quota de la cpu count asignación de CPU fijada internamente para otros componentes del sistema Juniper.
La cantidad de memoria, en términos de unidades de 1G, disponible para el uso de VNF en un modo personalizado se determina automáticamente en función de la configuración del tamaño de memoria específico del modo personalizado y la asignación de memoria fija internamente por SKU para otros componentes del sistema Juniper. Tenga en cuenta que este número es solo un valor aproximado y que la asignación de memoria máxima real para VNF puede ser menor que eso.
Si no configura el tamaño de memoria para una VNF, la memoria se considera como 1G (valor predeterminado).
El recuento de CPU tanto para la placa posterior NFV como para el plano de datos de capa 3 debe configurarse en números integrales.
La memoria para el plano de datos de capa 3 y el backplane NFV debe especificarse en gigabytes en modo personalizado. La memoria especificada a través de un modo personalizado se crea y está respaldada por páginas enormes de 1G para el uso de la placa posterior de NFV y 2M de páginas enormes para el uso del plano de datos de la capa 3. Se recomienda configurar el tamaño de la memoria backplane NFV en números integrales, mientras que la memoria del plano de datos de capa 3 se puede configurar en decimales.
Debe configurar el recuento de CPU y la memoria tanto para el plano de datos de capa 3 como para el plano posterior de NFV. El dispositivo determina internamente los recursos de CPU y memoria para el resto de la infraestructura de software de Junos.
La plantilla de modo personalizado admite una palabra clave MIN, que es un valor predefinido específico del dispositivo para asignar recursos mínimos.
flex y perf son las plantillas de modo personalizado presentes en la configuración predeterminada de Junos.
- flex modo: utiliza la palabra clave MIN para asignar recursos a componentes del sistema, como el plano de datos de capa 3 y el plano posterior de NFV. En este modo, el dispositivo proporciona la máxima memoria y CPU a las VNF de terceros.
Para asignar recursos en flex modo:
user@host# set vmhost mode custom custom-mode-name layer-3-infrastructure cpu count MINuser@host# set vmhost mode custom custom-mode-name layer-3-infrastructure memory size MINuser@host# set vmhost mode custom custom-mode-name nfv-back-plane cpu count MINuser@host# set vmhost mode custom custom-mode-name nfv-back-plane memory size MIN
En el modo flexible, puede configurar un máximo de:
-
8 túneles VPN IPSec
-
16 PFI
-
4 IFD
- perf mode: otra plantilla de modo personalizado de ejemplo que está disponible en la configuración predeterminada de Junos.
Actualmente, el plano de datos de capa 3 solo admite MIN en un modo personalizado tanto para el recuento de CPU como para el tamaño de la memoria.
Cuando el dispositivo está en modo personalizado con la palabra clave MIN , solo se admiten las funciones básicas de firewall y puede usar el plano de datos de capa 3 solo para la terminación IPsec.
Cuando se asignan CPU a la placa posterior NFV y al plano de datos de capa 3, el dispositivo asigna núcleos completos. Cuando se asigna un núcleo completo a la placa posterior de NFV, se le asignan las CPU lógicas de ese núcleo hiperproceso. Sin embargo, para obtener un rendimiento óptimo, el dispositivo deshabilita una de las CPU lógicas y todavía se cuenta como 2 CPU asignadas. Cuando no hay núcleos completos disponibles, el dispositivo asigna CPU individuales de diferentes núcleos.
Al asignar CPU para el uso de VNF, el dispositivo asigna núcleos completos. Ambas CPU lógicas de ese núcleo están habilitadas. Cuando no hay núcleos completos disponibles, el dispositivo asigna CPU individuales de diferentes núcleos.
El recuento de CPU y la memoria solicitados no deben exceder el recuento total de CPU y la memoria disponibles en el sistema.
Cuando el dispositivo funciona en modo personalizado, puede realizar cambios en la configuración del modo personalizado. Reinicie el dispositivo para que los cambios surtan efecto.
Las comprobaciones de confirmación se realizan para la validación básica cuando se define un modo personalizado en la configuración y cuando se cambia el modo de dispositivo a un modo personalizado.
No puede eliminar una configuración de modo personalizado cuando el dispositivo funciona en el mismo modo.
Para eliminar una configuración de modo personalizado cuando el dispositivo funciona en modo personalizado:
-
Cambie el modo de dispositivo de modo personalizado a otro modo.
-
Elimine la configuración del modo personalizado.
Cuando el dispositivo en modo personalizado se degrada a una imagen que no admite el modo personalizado, se aplica el modo de transferencia de datos predeterminado en el dispositivo.
Antes de realizar dicho proceso de degradación de imagen, debe eliminar todas las configuraciones de VNF del dispositivo.
Cuando se configuran varios modos personalizados en el dispositivo y cuando el dispositivo está en un modo personalizado distinto del modo o personalizado, que se definen en la configuración predeterminada de fábrica de Junos, no puede restablecer la configuración del flex perf dispositivo a la configuración predeterminada de fábrica. Antes de restablecer un dispositivo de este tipo a la configuración predeterminada de fábrica de Junos, debe cambiar el modo de dispositivo a uno de los modos predefinidos, como cómputo, híbrido, rendimiento o al flex modo personalizado que perf ya están definidos en la configuración predeterminada de fábrica.
Mapeo del núcleo a la CPU en NFX250
En las tablas siguientes se enumeran las asignaciones de CPU a núcleo para los modelos NFX250:
| NFX250-LS1 | ||||
| Núcleo | 0 | 1 | 2 | 3 |
| CPU | 0, 4 | 1, 5 | 2, 6 | 3, 7 |
| NFX250-S1 y NFX250-S2 | ||||||
| Núcleo | 0 | 1 | 2 | 3 | 4 | 5 |
| CPU | 0, 6 | 1, 7 | 2, 8 | 3, 9 | 4, 10 | 5, 11 |
Beneficios y usos
La NFX250 NextGen ofrece los siguientes beneficios:
Arquitectura altamente escalable que admite varias VNF de Juniper y VNF de terceros en un solo dispositivo. La arquitectura de software modular ofrece un alto rendimiento y escalabilidad para enrutamiento, conmutación y seguridad mejorados por la confiabilidad carrier-class.
La funcionalidad integrada de seguridad, enrutamiento y conmutación en un solo plano de control simplifica la administración y el despliegue.
Una variedad de implementaciones flexibles. Un modelo de despliegue de servicios distribuidos garantiza una alta disponibilidad, rendimiento y cumplimiento. El dispositivo proporciona un marco abierto que admite estándares de la industria, protocolos e integración perfecta de API.
La función de arranque seguro protege las credenciales del dispositivo, autentica automáticamente la integridad del sistema, verifica la configuración del sistema y mejora la seguridad general de la plataforma.
La configuración automatizada elimina la configuración compleja del dispositivo y ofrece una experiencia plug-and-play.
Versiones de Junos OS compatibles con hardware de la serie NFX
La Tabla 2 proporciona detalles de las versiones de software de Junos OS compatibles con los dispositivos de la serie NFX.
La compatibilidad con el modo de puente de Linux en dispositivos NFX250 finalizó en Junos OS versión 18.4.
El soporte para la arquitectura de software nfx-2 en dispositivos NFX250 finalizó en Junos OS versión 19.1R1.
Plataforma de la serie NFX |
Versión de Junos OS compatible |
Paquete de software |
Página de descargas de software |
|---|---|---|---|
NFX150 |
18.1R1 o posterior |
NFX-3 jinstall-host-nfx-3-x86-64-<release-number>- secure-signed.tgz install-media-host-usb-nfx-3-x86-64-<release-number>- secure.img |
|
NFX250 |
15,1 X 53-D45, 15,1 X 53-D47, 15,1 X 53-D470 y 15,1 X 53-D471 |
NFX-2 jinstall-host-nfx-2-flex-x86-64-<release-number >-secure-signed.tgz install-media-host-usb-nfx-2-flex-x86-64-<release-number>- secure.img |
|
17.2R1 a 19.1R1 |
|||
19.1 R1 o posterior |
NFX-3 jinstall-host-nfx-3-x86-64-<release-number>-secure-signed.tgz install-media-host-usb-nfx-3-x86-64-<release-number>-secure.img |
||
NFX350 |
19.4 R1 o posterior |
NFX-3 jinstall-host-nfx-3-x86-64-<release-number>-secure-signed.tgz install-media-host-usb-nfx-3-x86-64-<release-number>-secure.img |