Requisitos para el firewall virtual vSRX en VMware
Especificaciones de software
En la tabla siguiente se enumeran las especificaciones de requisitos de software del sistema al implementar el firewall virtual vSRX en VMware. En la tabla se describe la versión de Junos OS en la que se introdujo una especificación de software específica para implementar vSRX Virtual Firewall en VMware. Debe descargar una versión específica de Junos OS para aprovechar determinadas funciones.
| Especificación de | características | Introducción de la versión de Junos OS |
|---|---|---|
| vCPUs/Memoria | 2 vCPU / 4 GB RAM |
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 (Firewall virtual vSRX) |
| 5 vCPU / 8 GB RAM |
Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1 (Firewall virtual vSRX) |
|
| 9 vCPU / 16 GB RAM |
Junos OS versión 18.4R1 (Firewall virtual vSRX) Junos OS versión 19.1R1 (Firewall virtual vSRX 3.0) |
|
| 17 vCPU / 32 GB RAM |
Junos OS versión 18.4R1 (Firewall virtual vSRX) Junos OS versión 19.1R1 (Firewall virtual vSRX 3.0) |
|
| Escalado flexible de la capacidad de la sesión de flujo mediante una vRAM adicional |
NA | Junos OS versión 19.1R1 (Firewall virtual vSRX) Junos OS versión 19.2R1 (Firewall virtual vSRX 3.0) |
| Soporte de escalado multinúcleo (Software RSS) |
NA | Junos OS versión 19.3R1 (sólo firewall virtual vSRX 3.0) |
| Reserve núcleos de vCPU adicionales para el motor de enrutamiento (firewall virtual vSRX y firewall virtual vSRX 3.0) |
NA | |
| Virtio (virtio-net, vhost-net) (Firewall virtual vSRX y Firewall virtual vSRX 3.0) |
NA | |
| Hipervisores compatibles | ||
| Compatibilidad con hipervisores |
VMware ESXi 5.1, 5.5, 6.0 y 6.5 (Firewall virtual vSRX y Firewall virtual vSRX 3.0) |
Junos OS versión 18.4R1 |
| VMware ESXi 6.7 y 7.0 (solo firewall virtual vSRX 3.0) | Junos OS versión 19.3R1 en adelante | |
| VMware ESXi 8.0 (solo firewall virtual vSRX 3.0) | Junos OS versión 24.2R2 en adelante | |
| Otras características | ||
| Cloud-init |
NA | |
| IPSec (PMI) de modo de potencia |
NA | |
| Clúster de chasis |
NA | |
| Distribución de sesiones basada en GTP TEID mediante software RSS |
NA | Junos OS versión 19.3R1 en adelante |
| Motor de análisis antivirus en el dispositivo (Avira) |
NA | Junos OS versión 19.4R1 en adelante |
| LLDP |
NA | Junos OS versión 21.1R1 en adelante |
| Interfaz de telemetría de Junos |
NA | Junos OS versión 20.3R1 en adelante |
| Requisitos del sistema | ||
| Indicador de CPU VMX habilitado o aceleración de hardware en el hipervisor (solo firewall virtual vSRX) |
NA | |
| Espacio en disco |
16 GB (unidades IDE o SCSI) (Firewall virtual vSRX) |
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 |
| 18 GB (Firewall virtual vSRX 3.0) |
||
| vNIC Introducción de | la versión de Junos OS |
|---|---|
| VMXNET3 SA y HA | |
| SR-IOV SA y HA a través de la serie Intel X710/XL710/XXV710 (firewall virtual vSRX 3.0) | Junos OS versión 20.4R2 en adelante |
| SR-IOV HA en I40E (X710, X740, X722, etc.) (vSRX Virtual Firewall 3.0) | No compatible |
| SR-IOV SA y HA a través de la serie Intel E810 (Firewall virtual vSRX 3.0) | Junos versión 21.2R1 en adelante |
| SR-IOV SA y HA sobre Mellanox ConnectX-3 | No compatible |
| SR-IOV SA y HA a través de Mellanox ConnectX-4/5/6 (solo controlador MLX5) | (SA a partir de la versión 21.2R1 de Junos OS) (HA desde Junos OS versión 21.2R2 en adelante) |
| Paso a través de PCI a través de la serie Intel 82599/X520 | No compatible |
| Paso a través de PCI a través de la serie Intel X710/XL710 | No se admite en vSRX Virtual Firewall 3.0 |
| La versión DPDK se ha actualizado de 17.02 a 17.11.2 para admitir los adaptadores de la familia Mellanox. |
Junos OS versión 18.4R1 |
| Kit de desarrollo de plano de datos (DPDK) versión 18.11 DPDK versión 18.11 es compatible con el firewall virtual vSRX. Con esta característica, la tarjeta de interfaz de red (NIC) Mellanox Connect en el firewall virtual vSRX ahora admite multidifusión OSPF y VLAN. |
Junos OS versión 19.4R1 |
Prácticas recomendadas para mejorar el rendimiento del firewall virtual vSRX
Revise las siguientes prácticas para mejorar el rendimiento del firewall virtual vSRX.
Nodos NUMA
La arquitectura de servidor x86 consta de varios sockets y varios núcleos dentro de un socket. Cada socket también tiene memoria que se utiliza para almacenar paquetes durante las transferencias de E/S desde la NIC al host. Para leer paquetes de forma eficaz desde la memoria, las aplicaciones invitadas y los periféricos asociados (como la NIC) deben residir dentro de un único zócalo. Una penalización se asocia con la expansión de zócalos de CPU para accesos a memoria, lo que puede dar lugar a un rendimiento no determinista. Para Firewall virtual vSRX, se recomienda que todas las vCPU de la máquina virtual del firewall virtual vSRX estén en el mismo nodo de acceso físico no uniforme a memoria (NUMA) para un rendimiento óptimo.
El motor de reenvío de paquetes (PFE) del firewall virtual vSRX dejará de responder si la topología de nodos NUMA está configurada en el hipervisor para distribuir las vCPU de la instancia entre varios nodos NUMA de host. Firewall virtual vSRX requiere que se asegure de que todas las vCPU residan en el mismo nodo NUMA.
Se recomienda enlazar la instancia de Firewall virtual de vSRX con un nodo NUMA específico estableciendo la afinidad de nodo NUMA. La afinidad del nodo NUMA restringe la programación de recursos de máquina virtual del firewall virtual vSRX solo al nodo NUMA especificado.
Mapeo PCI NIC a VM
Si el nodo en el que se ejecuta el firewall virtual vSRX es diferente del nodo al que está conectada la NIC PCI Intel, los paquetes tendrán que atravesar un salto adicional en el vínculo QPI, lo que reducirá el rendimiento general. Utilice el esxtop comando para ver información acerca de las ubicaciones físicas relativas de NIC. En algunos servidores donde esta información no está disponible, consulte la documentación de hardware para la topología de nodo de ranura a NUMA.
Asignación de interfaz para el firewall virtual vSRX en VMware
Cada adaptador de red definido para un firewall virtual vSRX se asigna a una interfaz específica, dependiendo de si la instancia de firewall virtual vSRX es una máquina virtual independiente o una de un par de clústeres para alta disponibilidad. Los nombres de interfaz y las asignaciones en el firewall virtual vSRX se muestran en las tablas 3 y 4.
Tenga en cuenta lo siguiente:
En modo independiente:
FXP0 es la interfaz de administración fuera de banda.
ge-0/0/0 es la primera interfaz de tráfico (ingresos).
En modo clúster:
FXP0 es la interfaz de administración fuera de banda.
EM0 es el vínculo de control de clúster para ambos nodos.
Cualquiera de las interfaces de tráfico se puede especificar como vínculos de estructura, como ge-0/0/0 para fab0 en el nodo 0 y ge-7/0/0 para fab1 en el nodo 1.
En la tabla 3 se muestran los nombres de interfaz y las asignaciones de una máquina virtual vSRX Virtual Firewall independiente.
Adaptador de red |
Nombre de interfaz en Junos OS |
|---|---|
1 |
fxp0 |
2 |
ge-0/0/0 |
3 |
ge-0/0/1 |
4 |
ge-0/0/2 |
5 |
ge-0/0/3 |
6 |
ge-0/0/4 |
7 |
GE-0/0/5 |
8 |
GE-0/0/6 |
En la tabla 4 se muestran los nombres y las asignaciones de interfaz para un par de máquinas virtuales vSRX Virtual Firewall en un clúster (nodo 0 y nodo 1).
Adaptador de red |
Nombre de interfaz en Junos OS |
|---|---|
1 |
FXP0 (nodo 0 y 1) |
2 |
EM0 (nodo 0 y 1) |
3 |
ge-0/0/0 (nodo 0)ge-7/0/0 (nodo 1) |
4 |
ge-0/0/1 (nodo 0)ge-7/0/1 (nodo 1) |
5 |
ge-0/0/2 (nodo 0)ge-7/0/2 (nodo 1) |
6 |
ge-0/0/3 (nodo 0)ge-7/0/3 (nodo 1) |
7 |
ge-0/0/4 (nodo 0)ge-7/0/4 (nodo 1) |
8 |
ge-0/0/5 (nodo 0)ge-7/0/5 (nodo 1) |
Configuración predeterminada del firewall virtual vSRX en VMware
El Firewall virtual vSRX requiere las siguientes opciones de configuración básicas:
A las interfaces se les deben asignar direcciones IP.
Las interfaces deben estar enlazadas a zonas.
Las políticas deben configurarse entre zonas para permitir o denegar el tráfico.
Con las plataformas de firewall virtual vSRX, VMware usa vNIC VMXNET 3 y requiere el modo promiscuo en el vSwitch para la interfaz de administración, fxp0.
En la tabla 5 se enumera la configuración predeterminada de fábrica para las políticas de seguridad del firewall virtual vSRX.
Zona de origen |
Zona de destino |
Acción política |
|---|---|---|
confianza |
desconfianza |
permitir |
confianza |
confianza |
permitir |
desconfianza |
confianza |
negar |