Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Requisitos para el firewall virtual vSRX en Microsoft Hyper-V

En esta sección, se presenta una descripción general de los requisitos para implementar una instancia de firewall virtual vSRX en Microsoft Hyper-V.

Requisitos de software

En la tabla 1, se enumeran los requisitos de software para la instancia del firewall virtual vSRX en Microsoft Hyper-V.

Nota:

Solo se admite el sabor pequeño del firewall virtual vSRX en Microsoft Hyper-V. Las versiones multi CPU del firewall virtual vSRX 3.0 se admiten en Microsoft Hyper-V.
Tabla 1: Especificaciones del firewall virtual vSRX y el firewall virtual vSRX 3.0 para Microsoft Hyper-V

Componente

Especificación

Soporte para hipervisor

  • A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, solo puede implementar el firewall virtual vSRX en Microsoft Hyper-V Windows Server 2012 R2 o 2012.

  • A partir de Junos OS versión 15.1X49-D100 y Junos OS versión 17.4R1, puede implementar el firewall virtual vSRX en Microsoft Hyper-V Windows Server 2016.

  • A partir de Junos OS versión 22.3R1, puede implementar el firewall virtual vSRX 3.0 en microsoft Hyper-V Windows Server 2019 y 2022 versiones.

Memoria

4 GB

Espacio en disco

16 GB (unidades IDE o SCSI)

vCPU

2

Adaptadores de red virtuales

8 adaptadores de red específicos de Hyper-V
Tabla 2: Especificaciones del firewall virtual vSRX 3.0 para Microsoft Hyper-V

Componente

Especificación

Soporte para hipervisor

  • Microsoft Hyper-V Windows Server 2016

  • Microsoft Hyper-V Windows Server 2019

Memoria

4 GB

Espacio en disco

18 GB (IDE)

vCPU

2

Adaptadores de red virtuales

8 adaptadores de red específicos de Hyper-V

A partir de Junos OS versión 19.1R1, la instancia del firewall virtual vSRX 3.0 admite el SO invitado con 2 vCPU, RAM virtual de 4 GB y un espacio en disco de 18 GB en Microsoft Hyper-V y Azure para mejorar el rendimiento.

Requisitos de hardware

En la tabla 3, se enumeran las especificaciones de hardware para la máquina host que ejecuta la vm del firewall virtual vSRX.

Tabla 3: Especificaciones de hardware para la máquina host

Componente

Especificación

Tamaño de memoria del host

Mínimo de 4 GB

Tipo de procesador de host

Procesador multinúcleo basado en x86 o x64

Nota:

DPDK requiere compatibilidad con VT-x/VT-d de virtualización Intel en la CPU. Consulte acerca de la tecnología de virtualización Intel.

Adaptador Ethernet Gigabit (10/100/1000baseT)

Emula el adaptador de red Ethernet multipuerto DEC 21140 10/100TX de 100 MB con una a cuatro conexiones de red.

Prácticas recomendadas para mejorar el rendimiento del firewall virtual vSRX

Revise las siguientes prácticas para mejorar el rendimiento del firewall virtual vSRX.

Nodos NUMA

La arquitectura de servidor x86 consta de varios sockets y varios núcleos dentro de un socket. Cada socket también tiene memoria que se utiliza para almacenar paquetes durante las transferencias de E/S desde la NIC al host. Para leer paquetes de manera eficiente desde la memoria, las aplicaciones invitadas y los periféricos asociados (como la NIC) deben residir en un solo socket. Una penalización se asocia con la expansión de los sockets de CPU para los accesos a la memoria, lo que puede dar lugar a un rendimiento no determinista. Para el firewall virtual vSRX, se recomienda que todas las vCPU del firewall virtual vSRX estén en el mismo nodo físico de acceso a memoria no uniforme (NUMA) para un rendimiento óptimo.

PRECAUCIÓN:

El motor de reenvío de paquetes (PFE) del firewall virtual vSRX dejará de responder si la topología de nodos NUMA está configurada en el hipervisor para propagar las vCPU de la instancia entre varios nodos NUMA de host. El firewall virtual vSRX requiere que se asegure de que todas las vCPU residan en el mismo nodo NUMA.

Recomendamos que vincule la instancia del firewall virtual vSRX con un nodo NUMA específico estableciendo la afinidad de nodo NUMA. La afinidad del nodo NUMA limita la programación de recursos de la vm de firewall virtual vSRX a solo el nodo NUMA especificado.

Asignación de interfaz para firewall virtual vSRX en Microsoft Hyper-V

Cada adaptador de red definido para un firewall virtual vSRX se asigna a una interfaz específica, dependiendo de si la instancia del firewall virtual vSRX es una máquina virtual independiente o uno de un par de clústeres para alta disponibilidad.

Nota:

A partir de Junos OS versión 15.1X49-D100 para el firewall virtual vSRX, la compatibilidad con la agrupación en clústeres de chasis para proporcionar redundancia de nodo de red solo está disponible en Microsoft Hyper-V Server 2016 y versiones posteriores.

Tenga en cuenta lo siguiente:

  • En modo independiente:

    • fxp0 es la interfaz de administración fuera de banda.

    • ge-0/0/0 es la primera interfaz de tráfico (ingresos).

  • En el modo de clúster:

    • fxp0 es la interfaz de administración fuera de banda.

    • em0 es el vínculo de control de clúster para ambos nodos.

    • Cualquiera de las interfaces de tráfico se puede especificar como vínculos de estructura, como ge-0/0/0 para fab0 en el nodo 0 y ge-7/0/0 para fab1 en el nodo 1.

En la tabla 4, se muestran los nombres de interfaz y las asignaciones para una VM de firewall virtual vSRX independiente.

Tabla 4: Nombres de interfaz para una vm de firewall virtual vSRX independiente

Adaptador de red

Nombre de interfaz en Junos OS

1

fxp0

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

La tabla 5 muestra los nombres de interfaz y las asignaciones para un par de máquinas virtuales de firewall virtual vSRX en un clúster (nodo 0 y nodo 1).

Tabla 5: Nombres de interfaz para un par de clústeres de firewall virtual vSRX

Adaptador de red

Nombre de interfaz en Junos OS

1

fxp0 (nodo 0 y 1)

2

em0 (nodo 0 y 1)

3

ge-0/0/0 (nodo 0)ge-7/0/0 (nodo 1)

4

ge-0/0/1 (nodo 0)ge-7/0/1 (nodo 1)

5

ge-0/0/2 (nodo 0)ge-7/0/2 (nodo 1)

6

ge-0/0/3 (nodo 0)ge-7/0/3 (nodo 1)

7

ge-0/0/4 (nodo 0)ge-7/0/4 (nodo 1)

8

ge-0/0/5 (nodo 0)ge-7/0/5 (nodo 1)

Configuración predeterminada del firewall virtual vSRX en Microsoft Hyper-V

El firewall virtual vSRX requiere los siguientes ajustes de configuración básicos:

  • Se deben asignar direcciones IP a las interfaces.

  • Las interfaces deben estar vinculadas a zonas.

  • Las políticas se deben configurar entre zonas para permitir o denegar tráfico.

La tabla 6 enumera la configuración predeterminada de fábrica para las políticas de seguridad en el firewall virtual vSRX.

Tabla 6: Configuración predeterminada de fábrica para las políticas de seguridad

Zona de origen

Zona de destino

Acción de política

Confianza

Untrust

Permiso

Confianza

Confianza

Permiso

Untrust

Confianza

Negar

Documentación relacionada

Tabla de historial de versiones
Lanzamiento
Descripción
19.1R1
A partir de Junos OS versión 19.1R1, la instancia del firewall virtual vSRX 3.0 admite el SO invitado con 2 vCPU, RAM virtual de 4 GB y un espacio en disco de 18 GB en Microsoft Hyper-V y Azure para mejorar el rendimiento.
15.1X49-D80
A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, puede implementar el firewall virtual vSRX solo en Microsoft Hyper-V Server 2012 R2 o 2012.
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100 y Junos OS versión 17.4R1, puede implementar el firewall virtual vSRX en Microsoft Hyper-V Server 2016.
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100 para el firewall virtual vSRX, la compatibilidad con la agrupación en clústeres de chasis para proporcionar redundancia de nodo de red solo está disponible en Microsoft Hyper-V Server 2016 y versiones posteriores.