EN ESTA PÁGINA
Migrar a vSRX3.0
RESUMEN Aprenda a migrar la arquitectura de software vSRX de vSRX2.0 a vSRX3.0 y conozca los requisitos de licencia cuando actualice su vSRX.
En la versión 18.4R1 de Junos OS, presentamos una nueva arquitectura de software vSRX3.0 para firewalls virtuales vSRX. Recomendamos que migre a vSRX3.0 para su máquina virtual vSRX. Si utiliza vSRX2.0, puede migrar al nuevo vSRX3.0 en unos pocos pasos. Tenga en cuenta que la interfaz de línea de comandos (CLI) sigue siendo la misma y que la configuración que funciona en vSRX2.0 también funciona en vSRX3.0.
- Arquitectura vSRX más reciente (vSRX3.0) como vSRX3.0
- Arquitectura anterior a vSRX3.0 como vSRX2.0
Visión general
Introducción a vSRX3.0
La nueva arquitectura vSRX3.0 es una máquina virtual (VM) optimizada que utiliza FreeBSD 12.x / Junos OS como sistema operativo. En vSRX3.0, el motor de enrutamiento y el motor de reenvío de paquetes se ejecutan en FreeBSD 12.x o versión posterior como una sola máquina virtual para mejorar el rendimiento y la escalabilidad. El vSRX3.0 usa DPDK para procesar los paquetes de datos en el plano de datos.
Ventajas
La migración a vSRX3.0 le permite introducir rápidamente nuevos servicios, ofrecer soluciones personalizadas y escalar los servicios de seguridad dinámicamente debido a lo siguiente:
-
Tiempo de inicio más rápido y capacidad de respuesta mejorada del plano de control durante las operaciones de administración
-
Mayores beneficios operativos debido a confirmaciones más rápidas y actualizaciones de CLI
-
Mayor agilidad y menor tamaño de imagen debido a la eliminación del sistema operativo dual y la virtualización anidada
-
No se requiere ninguna configuración especial para habilitar el modo promiscuo en los vínculos de control de clúster y puerto de administración
- Implementaciones simplificadas y fluidas en diferentes entornos de host
La figura 1 muestra la arquitectura vSRX.
vSRX3.0
Versiones compatibles de Junos OS
La tabla 1 proporciona una lista de las versiones compatibles de Junos OS para vSRX2.0 y vSRX3.0.
| Arquitecturas vSRX compatibles | versiones de Junos OS |
|---|---|
| vSRX2.0 | 15.1X49, 17.3 y posteriores hasta e incluyendo 22.4. Junos OS versión 22.4 es la última versión disponible para vSRX2.0. Recomendamos usar vSRX 3.0 en adelante. |
| vSRX3.0 | 18.4 y posteriores |
Compatibilidad con funciones en vSRX2.0 y vSRX3.0
La Tabla 2 y la Tabla 3 enumeran las características compatibles en vSRX2.0 y vSRX3.0.
| Características | vSRX2.0 | vSRX3.0 |
|---|---|---|
| 2 vCPU / 4 GB RAM 5 vCPU / 8 GB RAM |
Sí | Sí |
| 9 vCPU / 16 GB RAM |
Sí | Sí (Junos OS versión 19.1R1 en adelante) |
| 17 vCPU / 32 GB RAM |
Sí | Sí (Junos OS versión 19.1R1 en adelante) |
| Escala de la capacidad de sesión de flujo flexible mediante una vRAM adicional |
Sí (a partir de Junos 19.1R1 en adelante) | Sí (Junos OS versión 19.2R1 en adelante) |
| Compatibilidad con escalabilidad multinúcleo (RSS de software) |
No | Sí (Junos OS versión 19.3R1 en adelante) |
| Reserve núcleos de vCPU adicionales para el motor de enrutamiento |
Sí | Sí |
| Virtio (virtio-net, vhost-net) |
Sí | Sí |
| Hipervisores compatibles | ||
| VMware ESXi 5.5, 6.0, 6.5, 7.0 |
Sí | Sí |
| VMware ESXi 6.7 |
No | Sí (Junos OS versión 19.3R1 en adelante) |
| KVM en Ubuntu 16.04, Centos 7.1, Redhat 7.2 |
Sí | Sí |
| Hyper-V |
Sí | Sí (Junos OS versión 19.1R1 en adelante) |
| Compatibilidad con el escalado multinúcleo en Microsoft Hyper-V | No | Sí (Junos OS versión 19.1R1 en adelante) |
| Nutanix |
Sí | Sí (Junos OS versión 19.1R1 en adelante) |
| Contrail Networking 3.x |
Sí | Sí |
| Contrail Networking 5.x |
No | Sí (Junos OS versión 19.3R1 en adelante) |
| AWS |
Sí | Sí |
| Azul |
Sí | Sí (Junos OS versión 19.1R1 en adelante) |
| Google Cloud Platform (GCP) |
No | Sí (Junos OS versión 19.3R1 en adelante) |
| Otras características | ||
| Cloud-init |
Sí | Sí |
| AWS ELB y ENA mediante instancias C5 |
Sí | Sí (Junos OS versión 20.1R1 en adelante) |
| IPSec de powermode (PMI) |
Sí | Sí |
| Clúster de chasis |
Sí | Sí |
| Distribución de sesión basada en GTP TEID mediante software RSS |
No | Sí (Junos OS versión 19.3R1 en adelante) |
| Motor de análisis antivirus en el dispositivo (Avira) |
No | Sí (Junos OS versión 19.4R1 en adelante) |
| LLDP |
Sí | Sí (Junos OS versión 21.1R1 en adelante) |
| Interfaz de telemetría de Junos |
Sí | Sí (Junos OS versión 20.3R1 en adelante) |
| Requisitos del sistema | ||
| Indicador de CPU VMX habilitado/aceleración de hardware en el hipervisor |
Sí | No |
| Espacio en disco |
16 GB | 18 GB |
| vNICs | compatibles con | vSRX2.0 | vSRX3.0 |
|---|---|---|---|
| SA y AD de VMXNET3 | Vmware | Sí | Sí |
| SA y HA Virtio | KVM | Sí | Sí |
| SA SR-IOV y HA en las series Intel 82599/X520 | VMware y KVM | Sí | Sí |
| SA SR-IOV y HA mediante intel serie X710/XL710/XXV710 | VMware y KVM | Sí | Sí |
| SA SR-IOV mediante la serie Intel E810 | VMware y KVM | Sí | Sí |
| SR-IOV HA sobre la serie Intel E810 | VMware y KVM | No | No |
| SA y HA sr-IOV mediante Mellanox ConnectX-3 | VMware y KVM | No | No |
| SA SR-IOV y HA mediante Mellanox ConnectX-4/5/6 (solo controlador MLX5) | Vmware | Sí | Sí (SA de Junos OS versión 21.2R1 en adelante) (HA desde Junos OS versión 21.2R2 en adelante) |
| SA SR-IOV y HA mediante Mellanox ConnectX-4/5/6 (solo controlador MLX5) | KVM | Sí | Sí (Junos OS versión 21.2R1 en adelante) |
| Paso a través de PCI a través de las series Intel 82599/X520 | VMware y KVM | No | No |
| Paso de PCI por las series Intel X710/XL710 | VMware y KVM | Sí | No |
Requisitos de licencia para vSRX3.0
A partir de Junos OS versión 21.1R1, hemos hecho la transición al modelo de licencia de suscripción de Flex Software para las series SRX y vSRX3.0. Ahora usamos Juniper Agile Licensing para admitir la aplicación suave para el uso de CPU virtual (vCPU) en vSRX. Juniper Agile Licensing ofrece administración e implementación de licencias simplificadas y centralizadas.
Las versiones de Junos OS anteriores a la 21.1 usan licencias de un sistema de administración de licencias (LMS) heredado. Si aplica la misma licencia en vSRX3.0 con Junos OS 21.1 o versiones posteriores, la licencia caduca después de un período de gracia de 30 días. Debe obtener una nueva licencia con el portal Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/).
Si actualiza desde vSRX2.0 (cualquier versión de Junos OS) a vSRX3.0 (Junos OS versión 21.1 o posterior), debe obtener una nueva clave de licencia. Puede revocar la clave de licencia actual y generar una nueva para la versión superior de Junos OS. Consulte el artículo de la Base de conocimientos para obtener más detalles.
La Figura 2 resume los requisitos de licencia para diferentes escenarios de actualización.
| Actualizar de la | actualización a cambios | en las claves de licencia |
|---|---|---|
| vSRX2.0 con cualquier versión de Junos OS |
vSRX3.0 con junos OS versiones 21.1 o posteriores (Versiones 21.1, 21.2, 21.3, 21.4, 22.1 y posteriores) |
Obtenga una nueva licencia con el portal (https://license.juniper.net/licensemanage/) de Juniper Agile Licensing (JAL). Consulte las notas de la versión: Junos OS versión 21.1R1, Flex Software License for vSRX y Licensing Guide para obtener más información. Asegúrese de especificar los números correctos de vCPU en la solicitud de licencia. |
| vSRX2.0 con cualquier versión de Junos OS |
vSRX3.0 con versiones de Junos OS anteriores a la 21.1 (18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3, 20.4) |
Vuelva a usar la clave de licencia existente con los siguientes pasos:
Consulte Procedimiento de migración en este tema. |
Recomendamos que actualice a vSRX3.0 con Junos OS versión 21.1R1 o versiones posteriores para evitar problemas de licencia cuando realice actualizaciones de imagen de vSRX en el futuro.
Migrar a vSRX3.0
- Comprobar la versión vSRX
- Lista de verificación previa a la migración
- Procedimiento de migración
- Tareas posteriores a la migración
- Comprobar la versión vSRX
- Lista de verificación previa a la migración
- Procedimiento de migración
- Tareas posteriores a la migración
Comprobar la versión vSRX
Compruebe si la instancia de vSRX tiene vSRX2.0 o vSRX3.0 mediante el show version comando:
Ejemplo 1
user@host-01> show version Hostname: host-01 Model: vsrx
En la salida, el campo Modelo: vsrx con las letras srx en minúscula representa vSRX2.0.
Ejemplo 2
user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.1R1.10
En la salida, el campo Modelo: vSRX con las letras SRX en mayúsculas representa vSRX3.0.
Lista de verificación previa a la migración
Complete las siguientes tareas antes de migrar a vSRX3.0.
-
Compruebe la versión de Junos OS en su instancia de vSRX.
user@host-01> show version Hostname: host-01 Model: vsrx Junos: 19.4R3.1
La salida de ejemplo indica que la instancia de vSRX tiene Junos OS versión 19.4R3 y con vSRX2.0.
-
Guarde la configuración activa sin cambios no comprometidos.
user@host-01> show configuration | save /var/tmp/existingConfig.txt Wrote 273 lines of output to '/var/tmp/existingConfig.txt'
El sistema guarda la configuración activa en la ubicación del archivo especificada. Copie el archivo guardado en su espacio de trabajo local para su uso posterior.
-
Compruebe los requisitos de su licencia según la Figura 2. Es posible que necesite una nueva clave de licencia o que pueda volver a aplicar la existente.
- Si necesita nuevas claves de licencia, obtengalas en el portal Juniper Agile Licensing (JAL) (https://license.juniper.net/licensemanage/)
- Si puede volver a aplicar la clave de licencia existente, guarde una copia del archivo de licencia mediante los siguientes pasos:
-
Muestra las claves de licencia instaladas en su vSRX desde el modo operativo:
user@host-01> show system license keys DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu -
Copie las claves de licencia o guarde las claves de licencia en un archivo o url con el siguiente comando:
user@host-01> request system license save filename | url
-
-
Haga una copia de seguridad de cualquier otro archivo en la máquina virtual vSRX2.0, que podría requerir en la nueva máquina virtual vSRX3.0 (como scripts y certificados VPN IPsec) (si corresponde).
-
Asegúrese de tener listo el OS servidor/host y configure las redes virtuales y el grupo de almacenamiento necesarios en el OS host.
-
Apague la máquina virtual vSRX2.0 antes de comenzar a implementar la nueva vm vSRX3.0.
Procedimiento de migración
Utilice los pasos siguientes para migrar de vSRX2.0 a vSRX3.0:
- Vaya a la página de soporte de Juniper Networks para vSRX3.0 (https://support.juniper.net/support/downloads/?p=vsrx3) y seleccione SO como vSRX3.0 y seleccione las versiones requeridas que se muestran en la figura 3.
Figura 3: Descarga
de vSRX3.0
-
Ingrese sus credenciales y revise o acepte el Acuerdo de licencia de usuario final. Lo guiaremos a la página de descarga de la imagen del software. Siga las instrucciones que aparecen en la página y descargue el archivo de imagen de Junos OS.
Instale la máquina virtual vSRX descargada en su servidor.
Cuando descarga una imagen vSRX3.0, el nombre del archivo de imagen incluye vsrx3. Ejemplo:junos-install- vsrx3 -x86-64-21.2R3.8.tgz. Consulte la Guía de implementación de vSRX para plataformas de nube pública y privada para obtener más información sobre la instalación y el lanzamiento de vm.-
Compruebe la versión de Junos OS y vSRX después de reiniciar con el
show versioncomando.user@host-01> show version Hostname: host-01 Model: vSRX Junos: 22.3R1.1
Tareas posteriores a la migración
Realice las siguientes comprobaciones después de instalar el nuevo Junos OS con vSRX3.0.
-
Inicie la nueva instancia de vSRX con vSRX3.0 en el servidor.
- Habilite el acceso a la red (por ejemplo, configurando una dirección IP en la interfaz fxp0). Este paso le permite transferir archivos a la nueva máquina virtual vSRX3.0.
-
Aplique las claves de licencia (las claves existentes o las claves nuevas según la figura 2) en la instancia vSRX recién lanzada.
user@host-01# request system license add terminal [Type ^D at a new line to end input, enter blank line between each license key] DemolabJUNOS966777536 aeaqic beain4 vywmka bb3sxc zriaer ok4lgf aattzl rmyuac ipfoft cqaj34 vywmka frembw gaztem bsgiyd gmbzfv 4tkzcw hegbas tvnzux azlseb ew45df ojxgc3 ahfbho wz2j2i fojb6m z2jeif bwbml3 esqdkk dm4jxp j7o35h x6mvei fd3sjp uubu3r udfzu DemolabJUNOS966777536: successfully added add license complete (no errors) -
Si utiliza una configuración de clúster de chasis, habilite el clúster de chasis en el nuevo vSRX3.0 mediante el comando y reinicie máquinas
set chassis cluster cluster-id X node [0|1]virtuales. -
Transfiera cualquier otro archivo que haya tomado una copia de seguridad de vSRX2.0 VM, como scripts y certificados VPN IPsec (si corresponde).
-
Copie el archivo de configuración que guardó anteriormente en la carpeta /var/tmp .
- Ejecute el reemplazo de carga /var/tmp/existingConfig.txt en el modo de configuración para reemplazar la configuración actual por la configuración guardada.
user@host-01# load override /var/tmp/existingConfig.txt load complete
- Confirme la configuración.
user@host-01# commit
-
Asegúrese de que la configuración del dispositivo, la configuración de red y otras configuraciones estén disponibles mediante el
show configurationcomando.
Cambios en el comportamiento predeterminado de las puertas de enlace de capa de aplicación (ALG)
En vSRX2.0, las siguientes ALG se deshabilitaron de forma predeterminada; sin embargo, cuando se migre a vSRX3.0, estas ALG se habilitan de forma predeterminada:
- H323
- MGCP
- RTSP
- SCCP
- SIP
Si no ha habilitado estas ALG en la configuración de vSRX2.0, es posible que desee deshabilitarlas en la configuración vSRX3.0 para mantener el mismo comportamiento ALG.
Para deshabilitar una ALG:
[edit] set security alg <alg-name> disable
Utilice el show security alg status comando para confirmar qué ALG están habilitados o deshabilitados.
Ejemplo:
user@host> show security alg status DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Disabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled TWAMP : Disabled
¿Cuáles son los próximos pasos?
Ahora que instaló el nuevo vSRX3.0, puede explorar las nuevas características y mejoras. Consulte Explorar nuevas funciones después de la actualización.