Requisitos para el firewall virtual vSRX en KVM
En esta sección se presenta una descripción general de los requisitos para implementar una instancia de vSRX Virtual Firewall en KVM;
Especificaciones de software
En la tabla siguiente se enumeran las especificaciones de requisitos de software del sistema al implementar el firewall virtual vSRX en un entorno KVM. La tabla describe la versión de Junos OS en la que se introdujo una especificación de software particular para implementar vSRX Virtual Firewall en KVM. Deberá descargar una versión específica de Junos OS para aprovechar determinadas funciones.
Un problema de registro de modificación de página (PML) relacionado con el kernel del host KVM podría impedir que el firewall virtual vSRX se inicie correctamente. Si experimenta este comportamiento con el firewall virtual vSRX, se recomienda deshabilitar la PML en el nivel de kernel de host. Consulte Preparar el servidor para la instalación de vSRX para obtener más información sobre cómo deshabilitar la PML como parte de la habilitación de la virtualización anidada.
| Especificación de | características | Introducción de la versión de Junos OS |
|---|---|---|
| vCPUs/Memoria | 2 vCPU / 4 GB RAM |
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 (Firewall virtual vSRX) |
| 5 vCPU / 8 GB RAM |
Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1 (Firewall virtual vSRX) |
|
| 9 vCPU / 16 GB RAM |
Junos OS versión 18.4R1 (Firewall virtual vSRX) Junos OS versión 19.1R1 (Firewall virtual vSRX 3.0) |
|
| 17 vCPU / 32 GB RAM |
Junos OS versión 18.4R1 (Firewall virtual vSRX) Junos OS versión 19.1R1 (Firewall virtual vSRX 3.0) |
|
| Escalado flexible de la capacidad de la sesión de flujo mediante una vRAM adicional |
NA | Junos OS versión 19.1R1 (Firewall virtual vSRX) Junos OS versión 19.2R1 (Firewall virtual vSRX 3.0) |
| Soporte de escalado multinúcleo (Software RSS) |
NA | Junos OS versión 19.3R1 (sólo firewall virtual vSRX 3.0) |
| Reserve núcleos de vCPU adicionales para el motor de enrutamiento (firewall virtual vSRX y firewall virtual vSRX 3.0) |
NA | |
| Virtio (virtio-net, vhost-net) (Firewall virtual vSRX y Firewall virtual vSRX 3.0) |
NA | |
| Hipervisores compatibles | ||
| Compatibilidad con el hipervisor KVM Linux
Nota:
A partir de las versiones de Junos OS especificadas que se mencionan aquí, todas las versiones posteriores de Junos OS también son compatibles con estas versiones de RHEL y versiones posteriores. |
Ubuntu 14.04.5, 16.04 y 16.10 |
Junos OS versión 18.4R1 |
| Ubuntu 18.04 y 20.04 | Junos OS versión 20.4R1 | |
| Red Hat Enterprise Linux (RHEL) 7.3, 7.6 y 7.7 | Junos OS versión 18.4R1 | |
| Red Hat Enterprise Linux (RHEL) 8.2 | Junos OS versión 19.2R1 | |
| Red Hat Enterprise Linux (RHEL) 9 | Junos OS versión 23.4R1 | |
| CentOS 7.1, 7.2, 7.6 y 7.7 | Junos OS versión 20.4R1 | |
| Otras características | ||
| Cloud-init |
NA | |
| IPSec (PMI) de modo de potencia |
NA | |
| Clúster de chasis |
NA | |
| Distribución de sesiones basada en GTP TEID mediante software RSS |
NA | Sí (Junos OS versión 19.3R1 en adelante) |
| Motor de análisis antivirus en el dispositivo (Avira) |
NA | Sí (Junos OS versión 19.4R1 en adelante) |
| LLDP |
NA | Sí (Junos OS versión 21.1R1 en adelante) |
| Interfaz de telemetría de Junos |
NA | Sí (Junos OS versión 20.3R1 en adelante) |
| Requisitos del sistema | ||
| Indicador de CPU VMX habilitado o aceleración de hardware en el hipervisor |
NA | |
| Espacio en disco |
16 GB (unidades IDE o SCSI) (Firewall virtual vSRX) |
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 |
| 18 GB (Firewall virtual vSRX 3.0) |
||
| Introducción | de la versión de vNIC |
|---|---|
| Virtio SA y HA | |
| SR-IOV SA y HA a través de Intel serie 82599/X520 | Junos OS versión 15.1X49-D90 y Junos OS versión 17.3R1 |
| SR-IOV SA y HA sobre Intel serie X710/XL710/XXV710 | Junos OS versión 15.1X49-D90 |
| SR-IOV SA y HA a través de la serie Intel E810 | Junos OS versión 21.2R1
Nota:
A partir de Junos OS versión 23.2R2, solo el controlador ICE 1.12.7 es compatible con E810 con vSRX 3.0. La versión anterior a 1.12.7 causa problemas de compatibilidad y no mostrará el FPC en línea. |
| SR-IOV SA y HA sobre Mellanox ConnectX-3 | No compatible |
| SR-IOV SA y HA a través de Mellanox ConnectX-4/5/6 (solo controlador MLX5) | Junos OS versión 18.1R1 (Firewall virtual vSRX) Junos OS versión 21.2R1 en adelante en vSRX Virtual Firewall 3.0 |
| Paso a través de PCI a través de la serie Intel 82599/X520 | No compatible |
| Paso a través de PCI a través de la serie Intel X710/XL710 | No compatible |
| Kit de desarrollo de plano de datos (DPDK) versión 17.05 |
Junos OS versión 18.2R1 |
| Kit de desarrollo de plano de datos (DPDK) versión 18.11 A partir de Junos OS versión 19.4R1, DPDK versión 18.11 es compatible con el firewall virtual vSRX. Con esta característica, la tarjeta de interfaz de red (NIC) Mellanox Connect en el firewall virtual vSRX ahora admite multidifusión OSPF y VLAN. |
Junos OS versión 19.4R1 |
Kit de desarrollo de plano de datos (DPDK) versión 20.11 A partir de la versión 21.2R1 de Junos OS, actualizamos el kit de desarrollo de plano de datos (DPDK) de la versión 18.11 a la versión 20.11. La nueva versión es compatible con el controlador de modo de sondeo (PMD) ICE, que permite la compatibilidad física de la NIC de 100G de la serie Intel E810 en el firewall virtual vSRX 3.0. |
Junos OS versión 21.2R1 |
Un firewall virtual vSRX en la implementación de KVM requiere que habilite la virtualización basada en hardware en un sistema operativo host que contenga un procesador compatible con la tecnología de virtualización Intel (VT). Puede verificar la compatibilidad de la CPU aquí: http://www.linux-kvm.org/page/Processor_support
En la tabla siguiente se enumeran las especificaciones de la máquina virtual del firewall virtual vSRX.
A partir de Junos OS versión 19.1R1, la instancia de firewall virtual vSRX admite SO invitado que utiliza 9 o 17 vCPU con virtualización de E/S de raíz única a través de Intel X710/XL710 en hipervisor KVM Linux para mejorar la escalabilidad y el rendimiento.
- Recomendaciones del kernel KVM para el firewall virtual vSRX
- Paquetes Linux adicionales para el firewall virtual vSRX en KVM
Recomendaciones del kernel KVM para el firewall virtual vSRX
En la tabla 3 se enumera la versión recomendada del kernel de Linux para el sistema operativo host Linux al implementar el firewall virtual vSRX en KVM. La tabla describe la versión de Junos OS en la que se introdujo el soporte para una versión particular del kernel de Linux.
| Distribución de Linux |
Versión del kernel de Linux |
Versión de Junos OS compatible |
|---|---|---|
| Centos |
3.10.0.229 Actualice el kernel de Linux para capturar la versión recomendada. |
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 o posterior |
| Ubuntu (en inglés) |
3.16 |
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 o posterior |
| 4.4 |
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 o posterior |
|
| 18.04 | Junos OS versión 20.4R1 o posterior |
|
| 20.04 | Junos OS versión 20.4R1 o posterior |
|
| RHEL |
3.10 |
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 o posterior |
Paquetes Linux adicionales para el firewall virtual vSRX en KVM
En la Tabla 4 se enumeran los paquetes adicionales que necesita en el sistema operativo host Linux para ejecutar el firewall virtual vSRX en KVM. Consulte la documentación del sistema operativo host para saber cómo instalar estos paquetes si no están presentes en el servidor.
| Paquete |
Versión |
Enlace de descarga |
|---|---|---|
| libvirt |
0.10.0 |
|
| virt-manager (recomendado) |
0.10.0 |
Especificaciones de hardware
En la tabla 5 se enumeran las especificaciones de hardware para la máquina host que ejecuta la máquina virtual del firewall virtual vSRX.
Componente |
Especificación |
|---|---|
Tipo de procesador de host |
CPU Intel x86_64 multinúcleo
Nota:
DPDK requiere compatibilidad con Intel Virtualization VT-x/VT-d en la CPU. Consulte Acerca de la tecnología de virtualización Intel. |
Compatibilidad con NIC física para firewall virtual vSRX y firewall virtual vSRX 3.0 |
Nota:
Si utiliza SR-IOV con los adaptadores de la familia Mellanox ConnectX-3 o ConnectX-4, en el host Linux, si es necesario, instale el controlador MLNX_OFED Linux más reciente. Consulte Distribución empresarial de Mellanox OpenFabrics para Linux (MLNX_OFED).
Nota:
Debe habilitar las extensiones Intel VT-d para proporcionar compatibilidad de hardware para la asignación directa de dispositivos físicos por invitado. Consulte Configurar SR-IOV y PCI en KVM. |
Compatibilidad de NIC física con vSRX Virtual Firewall 3.0 |
Admite SR-IOV en Intel X710/XL710/XXV710 e Intel E810. |
Prácticas recomendadas para mejorar el rendimiento del firewall virtual vSRX
Revise las siguientes prácticas para mejorar el rendimiento del firewall virtual vSRX.
Nodos NUMA
La arquitectura de servidor x86 consta de varios sockets y varios núcleos dentro de un socket. Cada socket tiene memoria que se utiliza para almacenar paquetes durante las transferencias de E/S desde la NIC al host. Para leer paquetes de forma eficaz desde la memoria, las aplicaciones invitadas y los periféricos asociados (como la NIC) deben residir dentro de un único zócalo. Una penalización se asocia con la expansión de zócalos de CPU para accesos a memoria, lo que puede dar lugar a un rendimiento no determinista. Para Firewall virtual vSRX, se recomienda que todas las vCPU de la máquina virtual del firewall virtual vSRX estén en el mismo nodo de acceso físico no uniforme a memoria (NUMA) para un rendimiento óptimo.
El motor de reenvío de paquetes (PFE) del firewall virtual vSRX dejará de responder si la topología de nodos NUMA está configurada en el hipervisor para distribuir las vCPU de la instancia entre varios nodos NUMA de host. Firewall virtual vSRX requiere que se asegure de que todas las vCPU residan en el mismo nodo NUMA.
Se recomienda enlazar la instancia de Firewall virtual de vSRX con un nodo NUMA específico estableciendo la afinidad de nodo NUMA. La afinidad del nodo NUMA restringe la programación de recursos de máquina virtual del firewall virtual vSRX solo al nodo NUMA especificado.
Asignación de interfaces virtuales a una máquina virtual de firewall virtual vSRX
Para determinar qué interfaces virtuales del sistema operativo host Linux se asignan a una máquina virtual vSRX Virtual Firewall:
Use el
virsh listcomando en su sistema operativo host Linux para enumerar las máquinas virtuales en ejecución.hostOS# virsh list
Id Name State ---------------------------------------------------- 9 centos1 running 15 centos2 running 16 centos3 running 48 vsrx running 50 1117-2 running 51 1117-3 running
-
Utilice el
virsh domiflist vsrx-namecomando para enumerar las interfaces virtuales en esa máquina virtual del firewall virtual vSRX.hostOS# virsh domiflist vsrx
Interface Type Source Model MAC ------------------------------------------------------- vnet1 bridge brem2 virtio 52:54:00:8f:75:a5 vnet2 bridge br1 virtio 52:54:00:12:37:62 vnet3 bridge brconnect virtio 52:54:00:b2:cd:f4
Nota:La primera interfaz virtual se asigna a la interfaz fxp0 en Junos OS.
Asignación de interfaz para el firewall virtual vSRX en KVM
Cada adaptador de red definido para un firewall virtual vSRX se asigna a una interfaz específica, dependiendo de si la instancia de firewall virtual vSRX es una máquina virtual independiente o una de un par de clústeres para alta disponibilidad. Los nombres y las asignaciones de interfaz en el firewall virtual vSRX se muestran en las tablas 6 y 7.
Tenga en cuenta lo siguiente:
En modo independiente:
FXP0 es la interfaz de administración fuera de banda.
ge-0/0/0 es la primera interfaz de tráfico (ingresos).
En modo clúster:
FXP0 es la interfaz de administración fuera de banda.
EM0 es el vínculo de control de clúster para ambos nodos.
Cualquiera de las interfaces de tráfico se puede especificar como vínculos de estructura, como ge-0/0/0 para fab0 en el nodo 0 y ge-7/0/0 para fab1 en el nodo 1.
En la tabla 6 se muestran los nombres de interfaz y las asignaciones de una máquina virtual vSRX Virtual Firewall independiente.
Adaptador de red |
Nombre de interfaz en Junos OS para firewall virtual vSRX |
|---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
GE-0/0/5 |
8 |
GE-0/0/6 |
En la tabla 7 se muestran los nombres de interfaz y las asignaciones de un par de máquinas virtuales vSRX Virtual Firewall en un clúster (nodo 0 y nodo 1).
Adaptador de red |
Nombre de interfaz en Junos OS para firewall virtual vSRX |
|---|---|
1 |
FXP0 (nodo 0 y 1) |
2 |
EM0 (nodo 0 y 1) |
3 |
ge-0/0/0 (nodo 0)ge-7/0/0 (nodo 1) |
4 |
ge-0/0/1 (nodo 0)ge-7/0/1 (nodo 1) |
5 |
ge-0/0/2 (nodo 0)ge-7/0/2 (nodo 1) |
6 |
ge-0/0/3 (nodo 0)ge-7/0/3 (nodo 1) |
7 |
ge-0/0/4 (nodo 0)ge-7/0/4 (nodo 1) |
8 |
ge-0/0/5 (nodo 0)ge-7/0/5 (nodo 1) |
Configuración predeterminada del firewall virtual vSRX en KVM
El Firewall virtual vSRX requiere las siguientes opciones de configuración básicas:
A las interfaces se les deben asignar direcciones IP.
Las interfaces deben estar enlazadas a zonas.
Las políticas deben configurarse entre zonas para permitir o denegar el tráfico.
En la tabla 8 se enumera la configuración predeterminada de fábrica para las políticas de seguridad en el firewall virtual vSRX.
Zona de origen |
Zona de destino |
Acción política |
|---|---|---|
confianza |
desconfianza |
permitir |
confianza |
confianza |
permitir |
desconfianza |
confianza |
negar |