本页内容
迁移到 vSRX3.0
总结 了解如何将 vSRX 软件架构从 vSRX2.0 迁移到 vSRX3.0,并了解升级 vSRX 时的许可证要求。
在 Junos OS 18.4R1 版中,我们推出了适用于 vSRX 虚拟防火墙的新软件架构 vSRX3.0。我们建议将 vSRX 虚拟机迁移到 vSRX3.0。如果您使用 vSRX2.0,可以通过几个步骤迁移到新的 vSRX3.0。请注意,命令行界面 (CLI) 保持不变,适用于 vSRX2.0 的配置也在 vSRX3.0 中运行。
- 最新的 vSRX 架构 (vSRX3.0) vSRX3.0
- vSRX3.0 之前的架构 作为 vSRX2.0
概述
vSRX3.0 简介
新的 vSRX3.0 架构是使用 FreeBSD 12.x/ Junos OS 作为操作系统的精简虚拟机 (VM)。在 vSRX3.0 中,路由引擎和数据包转发引擎作为单个虚拟机在 FreeBSD 12.x 或更高版本上运行,以提高性能和可扩展性。vSRX3.0 使用 DPDK 来处理数据平面中的数据包。
好处
迁移到 vSRX3.0 后,您将能够快速推出新服务、提供定制解决方案并动态扩展安全服务,原因包括:
-
在管理操作期间加快了启动时间并增强了控制平面的响应能力
-
提交速度更快,CLI 升级提高了运维优势
-
由于消除了双操作系统和嵌套虚拟化,提高了敏捷性和更小的映像大小
-
在管理端口和群集控制链路上启用混杂模式无需特殊配置
- 跨不同主机环境简化无缝部署
图 1 显示了 vSRX 架构。
支持的 Junos OS 版本
表 1 列出了 vSRX2.0 和 vSRX3.0 支持的 Junos OS 版本。
vSRX 架构 | 支持的 Junos OS 版本 |
---|---|
vSRX2.0 | 15.1X49、17.3 及更高版本,包括 22.4。Junos OS 22.4 版是用于 vSRX2.0 的最后一个版本。我们建议未来使用 vSRX 3.0。 |
vSRX3.0 | 18.4 及更高版本 |
vSRX2.0 和 vSRX3.0 中的功能支持
表 2 和表 3 列出了 vSRX2.0 和 vSRX3.0 中支持的功能。
功能 | vSRX2.0 | vSRX3.0 |
---|---|---|
2 个 vCPU/4 GB RAM 5 个 vCPU/8 GB RAM |
是的 | 是的 |
9 个 vCPU/16 GB RAM |
是的 | 是(Junos OS 19.1R1 版起) |
17 个 vCPU/32 GB RAM |
是的 | 是(Junos OS 19.1R1 版起) |
通过附加 vRAM 灵活扩展流会话容量 |
是(从 Junos 19.1R1 开始) | 是(Junos OS 19.2R1 版开始) |
多核扩展支持(软件 RSS) |
不 | 是(Junos OS 19.3R1 版开始) |
为路由引擎保留额外的 vCPU 核心 |
是的 | 是的 |
Virtio(virtio-net、vhost-net) |
是的 | 是的 |
支持的虚拟机管理程序 | ||
VMware ESXi 5.5、6.0、6.5、7.0 |
是的 | 是的 |
VMware ESXi 6.7 |
不 | 是(Junos OS 19.3R1 版开始) |
Ubuntu 16.04、Centos 7.1、Redhat 7.2 上的 KVM |
是的 | 是的 |
Hyper-V |
是的 | 是(Junos OS 19.1R1 版起) |
Microsoft Hyper-V 上的多核扩展支持 | 不 | 是(Junos OS 19.1R1 版起) |
Nutanix |
是的 | 是(Junos OS 19.1R1 版起) |
Contrail 网络 3.x |
是的 | 是的 |
Contrail 网络 5.x |
不 | 是(Junos OS 19.3R1 版开始) |
Aws |
是的 | 是的 |
蔚蓝 |
是的 | 是(Junos OS 19.1R1 版起) |
Google Cloud Platform (GCP) |
不 | 是(Junos OS 19.3R1 版开始) |
其他功能 | ||
云 init |
是的 | 是的 |
使用 C5 实例的 AWS ELB 和 ENA |
是的 | 是(Junos OS 20.1R1 版起) |
电源模式 IPSec (PMI) |
是的 | 是的 |
机箱群集 |
是的 | 是的 |
使用软件 RSS 的 GTP TEID 基于会话分布 |
不 | 是(Junos OS 19.3R1 版开始) |
设备上的防病毒扫描引擎 (Avira) |
不 | 是(Junos OS 19.4R1 版起) |
LLDP |
是的 | 是(Junos OS 21.1R1 版起) |
Junos 遥测接口 |
是的 | 是(Junos OS 20.3R1 版起) |
系统要求 | ||
虚拟机管理程序中的硬件加速/已启用的 VMX CPU 标记 |
是的 | 不 |
磁盘空间 |
16 GB | 18 GB |
vSRX2.0 vSRX3.0 | 上支持的 | vNIC | |
---|---|---|---|
VMXNET3 SA 和 HA | Vmware | 是的 | 是的 |
Virtio SA 和 HA | Kvm | 是的 | 是的 |
Intel 82599/X520 系列的 SR-IOV SA 和 HA | VMware 和 KVM | 是的 | 是的 |
Intel X710/XL710/XXV710 系列的 SR-IOV SA 和 HA | VMware 和 KVM | 是的 | 是的 |
Intel E810 系列的 SR-IOV SA | VMware 和 KVM | 是的 | 是的 |
Intel E810 系列的 SR-IOV HA | VMware 和 KVM | 不 | 不 |
通过 Mellanox ConnectX-3 实现 SR-IOV SA 和 HA | VMware 和 KVM | 不 | 不 |
通过 Mellanox ConnectX-4/5/6 实现 SR-IOV SA 和 HA(仅限 MLX5 驱动程序) | Vmware | 是的 | 是的 (Junos OS 21.2R1 版起的 SA) (从 Junos OS 21.2R2 版起的 HA) |
通过 Mellanox ConnectX-4/5/6 实现 SR-IOV SA 和 HA(仅限 MLX5 驱动程序) | Kvm | 是的 | 是的 (Junos OS 21.2R1 版开始) |
通过 Intel 82599/X520 系列的 PCI 直通 | VMware 和 KVM | 不 | 不 |
Intel X710/XL710 系列的 PCI 直通 | VMware 和 KVM | 是的 | 不 |
vSRX3.0 的许可证要求
从 Junos OS 21.1R1 版开始,我们已过渡到适用于 SRX 系列和 vSRX3.0 的 Flex 软件订阅许可模式。现在,我们使用瞻博网络敏捷许可来支持 vSRX 上使用虚拟 CPU (vCPU) 的软实施。瞻博网络敏捷许可提供简化的集中式许可证管理和部署。
21.1 之前的 Junos OS 版本使用传统许可管理系统 (LMS) 的许可证。如果您在具有 Junos OS 21.1 或更高版本的 vSRX3.0 上应用相同的许可证,则许可证将在 30 天的宽限期后到期。您必须通过瞻博网络敏捷许可 (JAL) 门户 (https://license.juniper.net/licensemanage/) 获取新许可证。
如果您从 vSRX2.0(任何 Junos OS 版本)升级到 vSRX3.0(Junos OS 21.1 或更高版本),则必须获得新的许可证密钥。您可以撤销当前的许可证密钥,并为更高版本的 Junos OS 生成新的许可证密钥。有关详细信息 ,请参阅知识库文章 。
图 2 汇总了不同升级场景的许可证要求。
从 | 升级升级到 | 许可证密钥的更改 |
---|---|---|
具有任何 Junos OS 版本的 vSRX2.0 |
具有 Junos OS 21.1 或更高版本的 vSRX3.0 (21.1、21.2、21.3、21.4、22.1 及更高版本) |
通过瞻博网络敏捷许可 (JAL) 门户 (https://license.juniper.net/licensemanage/ 获取新许可证。 有关详细信息 ,请参阅发行说明:Junos OS 21.1R1 版、 适用于 vSRX 的 Flex 软件许可证和 许可指南 。确保在许可证请求中指定了正确的 vCPU 数量。 |
具有任何 Junos OS 版本的 vSRX2.0 |
vSRX3.0 以及 21.1 之前的 Junos OS 版本 (18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4) |
通过以下步骤重复使用现有许可证密钥:
请参阅本主题中的 迁移过程 。 |
我们建议您使用 Junos OS 21.1R1 或更高版本升级到 vSRX3.0,以避免将来升级 vSRX 映像时出现许可问题。
迁移到 vSRX3.0
检查 vSRX 版本
使用 show version
命令检查您的 vSRX 实例是 vSRX2.0 还是 vSRX3.0:
示例 1
user@host-01> show version Hostname: host-01 Model: vsrx
在输出中,字段 “模型:vsrx ”(小写 字母 srx) 表示 vSRX2.0。
示例 2
user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.1R1.10
在输出中,字段 “模型:vSRX (大写字母 SRX )表示 vSRX3.0。
迁移前检查清单
在迁移到 vSRX3.0 之前,请完成以下任务。
-
检查 vSRX 实例上的 Junos OS 版本。
user@host-01> show version Hostname: host-01 Model: vsrx Junos: 19.4R3.1
示例输出表示您的 vSRX 实例具有 Junos OS 19.4R3 版本和 vSRX2.0。
-
保存活动配置,无需任何未提交的更改。
user@host-01> show configuration | save /var/tmp/existingConfig.txt Wrote 273 lines of output to '/var/tmp/existingConfig.txt'
系统将活动配置保存在指定的文件位置。将保存的文件复制到本地工作区,以便以后使用。
-
检查 图 2 所示的许可证要求。您可能需要新的许可证密钥,也可以重新应用现有许可证密钥。
- 如果您需要新的许可证密钥,请从瞻博网络敏捷许可 (JAL) 门户 (https://license.juniper.net/licensemanage/) 获取这些密钥
- 如果可以重新应用现有许可证密钥,请执行以下步骤保存许可证文件的副本:
-
从操作模式显示 vSRX 上安装的许可证密钥:
user@host-01> show system license keys DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu
-
使用以下命令复制许可证密钥或将许可证密钥保存到文件或 URL:
user@host-01> request system license save filename | url
-
-
备份 vSRX2.0 VM 上的任何其他文件,而您在新的 vSRX3.0 VM 上可能需要这些文件(如 IPsec VPN 证书和脚本)(如果适用)。
-
确保您的服务器/主机操作系统已就绪,并在主机操作系统中设置所需的虚拟网络和存储池。
-
在开始部署新的 vSRX3.0 VM 之前,关闭 vSRX2.0 VM 的电源。
迁移过程
使用以下步骤从 vSRX2.0 迁移到 vSRX3.0:
- 导航至 vSRX3.0 (https://support.juniper.net/support/downloads/?p=vsrx3) 的瞻博网络支持页面,并选择操作系统为 vSRX3.0,然后选择 图 3 所示的所需版本。
图 3:vSRX3.0 下载
-
输入您的证书并查看/接受最终用户许可协议。我们将引导您进入软件图像下载页面。按照页面上的说明下载 Junos OS 映像文件。
在服务器上安装下载的 vSRX 虚拟机。
下载 vSRX3.0 映像时,映像文件名将包含 vsrx3。示例:junos-install- vsrx3 -x86-64-21.2R3.8.tgz
。有关虚拟机的安装和启动的详细信息,请参阅 适用于私有云和公共云平台的 vSRX 部署指南 。-
重新启动后,使用
show version
命令检查 Junos OS 和 vSRX 版本。user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.3R1.1
迁移后任务
使用 vSRX3.0 安装新的 Junos OS 后,完成以下检查。
-
在服务器上启动带有 vSRX3.0 的新 vSRX 实例。
- 启用网络访问(例如,通过在 fxp0 接口上配置 IP 地址)。您可以通过这一步将文件传输到新的 vSRX3.0 VM。
-
在新启动的 vSRX 实例上应用许可证密钥(现有密钥或 图 2 中的新密钥)。
user@host-01# request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu DemolabJUNOS966777536: successfully added add license complete (no errors)
-
如果您使用机箱群集设置,请使用命令在新的 vSRX3.0
set chassis cluster cluster-id X node [0|1]
上启用机箱群集并重新启动虚拟机。 -
传输从 vSRX2.0 虚拟机(如 IPsec VPN 证书和脚本)备份的任何其他文件(如果适用)。
-
将之前保存的配置文件复制回 /var/tmp 文件夹。
- 在配置模式下运行 负载覆盖 /var/tmp/现有Config.txt ,以将当前配置替换为保存的配置。
user@host-01# load override /var/tmp/existingConfig.txt load complete
- 提交配置。
user@host-01# commit
-
使用
show configuration
命令确保您的设备设置、网络设置和其他配置可用。
应用层网关 (ALG) 默认行为的更改
在 vSRX2.0 中,默认禁用以下 ALG:但是,迁移到 vSRX3.0 时,以下 ALG 默认处于启用状态:
- H323
- MGCP
- RTSP
- SCCP
- Sip
如果未在 vSRX2.0 配置中启用这些 ALG,则可能希望在 vSRX3.0 配置中禁用它们,以保持相同的 ALG 行为。
要禁用 ALG:
[edit] set security alg <alg-name> disable
使用 show security alg status
命令确认启用/禁用了哪些 ALG。
例子:
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
下一步是什么?
现在,您已安装新的 vSRX3.0,您可以探索新的功能和增强功能。请参阅 升级后探索新功能。