Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Recursos do Junos OS suportados no firewall virtual vSRX

RESUMO Este tópico fornece detalhes dos recursos do Junos OS suportados e não suportados no firewall virtual vSRX.

Recursos da Série SRX suportados no firewall virtual vSRX

O firewall virtual vSRX herda a maioria dos recursos da Série SRX de filial com as seguintes considerações mostradas na Tabela 1.

Para determinar os recursos do Junos OS suportados no firewall virtual vSRX, use o Juniper Networks Feature Explorer, um aplicativo baseado na Web que ajuda você a explorar e comparar informações de recursos do Junos OS para encontrar a plataforma de hardware e versão de software certa para sua rede. Encontre o Feature Explorer em: Feature Explorer: vSRX .

Tabela 1: Considerações de recursos de firewall virtual vSRX

Recurso

Descrição

IDP

O recurso IDP é baseado em assinatura e deve ser comprado. Após a compra, você pode ativar o recurso IDP com a chave da licença.

Para obter detalhes da configuração do IDP da Série SRX, veja:

Entendendo a detecção e a prevenção de invasões para a Série SRX

IPSec VPNs

A partir do Junos OS Release 19.3R1, o firewall virtual vSRX oferece suporte aos seguintes algoritmos de autenticação e algoritmos de criptografia:

  • Algoritmo de autenticação: hmac-sha1-96 e autenticação HMAC-SHA-256-128

  • Algoritmo de criptografia: aes-128-cbc

A partir do Junos OS Release 20.3R1, o firewall virtual vSRX oferece suporte a 10.000 túneis VPN IPsec.

Para oferecer suporte ao aumento do número de túneis de VPN IPsec, é necessário um mínimo de 19 vCPUs. Dos 19 vCPUs, 3 vCPUs devem ser dedicados ao RE.

Você deve executar o comando da request system software add optional://junos-ike.tgz primeira vez que deseja habilitar uma maior capacidade de túnel IPsec. Para atualizações de software subsequentes da instância, o pacote junos-ike é atualizado automaticamente a partir das novas versões do Junos OS instaladas na instância. Dh group15, group16, group21 também é adicionado quando instalamos o pacote junos-ike. Se o cluster do chassi estiver habilitado, então execute esse comando em ambos os nós.

Você pode configurar o número de vCPUs alocados no Junos Routing Engine usando o set security forwarding-options resource-manager cpu re <value>.

Nota:

A memória 64 G é necessária para oferecer suporte a 10000 túneis no modo PMI.

[Veja mostrar associações de segurança ipsec de segurança, mostrar mapa de túnel de segurança ike e mostrar segurança de distribuição de túneis ipsec.]

VPN IPsec — Escalamento de túneis no firewall virtual vSRX

Tipos de túneis

Número de túneis suportados

Túneis vpn site-site

2000

Túneis AutoVPN

10,000

IKE SA (site a site)

2000

IKE SA (AutoVPN)

10,000

IKE SA (site a site + AutoVPN)

10,000

Pares DE SA IPSec (site a site)

10,000

Com os SAs de IKE de 2000, podemos ter 10.000 IPSec SA.

Pares DE SA IPSec (AutoVPN)

10,000

Pares de SA IPSec de site para site + AutoVPN

2000 Site a site 8000 AutoVPN

Túneis site a site + AutoVPN

2000 Site a site 8000 AutoVPN

ISSU

O ISSU não é compatível.

Sistemas lógicos

A partir do Junos OS Release 20.1R1, você pode configurar sistemas lógicos e sistemas de locatário em firewall virtual vSRX e instâncias vSRX Virtual Firewall 3.0.

Com o Junos OS, você pode dividir um único dispositivo de segurança em vários dispositivos lógicos que podem realizar tarefas independentes.

Cada sistema lógico tem seu próprio domínio administrativo discreto, interfaces lógicas, instâncias de roteamento, firewall de segurança e outros recursos de segurança.

Veja a visão geral da Logical Systems.

PowerMode IPsec

A partir do Junos OS Release 20.1R1, as instâncias 3.0 do firewall virtual vSRX oferecem suporte ao PowerMode IPsec, que oferece melhorias de desempenho de IPsec usando instruções de processamento de pacotes de vetor (VPP) e Intel AES-NI. PowerMode IPsec é um pequeno bloco de software dentro do SRX PFE (SRX Packet Forwarding Engine) que é ativado quando o PowerMode é habilitado.

Recursos suportados no PowerMode IPsec

  • Funcionalidade IPsec

  • Seletores de tráfego

  • Interface de túnel segura (st0)

  • Funcionalidade IKE de plano de controle

  • VPN automática com seletor de tráfego

  • VPN automática com protocolo de roteamento

  • IPv6

  • Firewall stateful de Camada 4

  • Alta disponibilidade

  • NAT-T

Recursos não suportados no PowerMode IPsec

  • NAT

  • IPsec em IPsec

  • Firewall GTP/SCTP

  • Firewall de aplicativos/AppSecure

  • Qos

  • Túnel aninhado

  • Tela

  • Multicast

  • Tráfego de host

Comutação e pontes de ethernet A partir do Junos OS Release 22.1R1, o firewall virtual vSRX e as instâncias 3.0 do firewall virtual vSRX implantados em plataformas de KVM e VMware oferecem suporte a tags VLAN flexíveis em interfaces de receita e reth.

A tag VLAN flexível oferece suporte à transmissão de quadros de tag única VLAN 802.1Q em interfaces lógicas na porta Ethernet. Além disso, evita várias funções virtuais na placa de interface de rede (NIC) e reduz a necessidade de interfaces adicionais.

[Veja configuração de tags VLAN e tags de vlan flexíveis (Interfaces).]

Tenant Systems

A partir do Junos OS Release 20.1R1, você pode configurar sistemas de locatário em firewall virtual vSRX e instâncias vSRX Virtual Firewall 3.0.

Um sistema de locatário fornece partição lógica do firewall da Série SRX em vários domínios semelhantes aos sistemas lógicos e oferece alta escalabilidade.

Veja a visão geral da Tenant Systems.

Modo transparente

Os comportamentos conhecidos para suporte de modo transparente no firewall virtual vSRX são:

  • O tamanho padrão da tabela de aprendizado MAC é restrito a 16.383 entradas.

Para obter informações sobre a configuração do modo transparente para o firewall virtual vSRX, veja a ponte de Camada 2 e a visão geral do modo transparente.

Segurança de conteúdo

  • O recurso de segurança de conteúdo é baseado em assinatura e deve ser comprado. Após a compra, você pode ativar o recurso de segurança de conteúdo com a chave da licença.

  • A partir do Junos OS Release 19.4R1, as instâncias 3.0 do firewall virtual vSRX oferecem suporte ao mecanismo de varredura Avira, que é um mecanismo de digitalização de antivírus no dispositivo. Veja o mecanismo de verificação de antivírus no dispositivo.

  • Para obter detalhes da configuração de segurança de conteúdo da Série SRX, veja a visão geral do gerenciamento unificado de ameaças.

  • Para obter detalhes de configuração antispam de segurança de conteúdo da Série SRX, veja a visão geral da filtragem antispam.

  • Advanced resource management (vSRX 3.0)— A partir do Junos OS Release 19.4R1, o firewall virtual vSRX 3.0 gerencia os requisitos adicionais de recursos de sistema para serviços específicos de segurança de conteúdo e IDP realocando núcleos de CPU e memória extra. Esses valores para núcleos de memória e CPU não estão configurados pelo usuário. Anteriormente, os recursos do sistema, como núcleos de memória e CPU, eram fixos.

    Você pode visualizar a CPU e a memória alocadas para serviços de segurança avançados na instância 3.0 do firewall virtual vSRX usando o show security forward-options resource-manager settings comando. Para ver o dimensionamento da sessão de fluxo, use o show security monitoring comando.

    [Veja mostrar monitoramento de segurança e mostrar as configurações do gerenciador de recursos de opções de encaminhamento de segurança.]

Túneis

Apenas GRE e IP-IP

Alguns recursos de software do Junos OS exigem uma licença para ativar o recurso. Para entender mais sobre as licenças de firewall virtual vSRX, veja, licenças para vSRX. Consulte o Guia de licenciamento para obter informações gerais sobre o gerenciamento de licenças. Consulte a folha de dados do produto para obter mais detalhes ou entrar em contato com sua equipe de conta da Juniper ou com o parceiro Juniper.

Recursos da Série SRX não suportados no firewall virtual vSRX

O firewall virtual vSRX herda muitos recursos da linha de produtos de firewall da Série SRX. A Tabela 2 lista recursos da Série SRX que não são aplicáveis em um ambiente virtualizado, que não são suportados atualmente ou que têm suporte qualificado no firewall virtual vSRX.

Tabela 2: Recursos da Série SRX não suportados no firewall virtual vSRX

Recurso da Série SRX

Notas do firewall virtual vSRX

Gateways de camada de aplicativos

Avaya H.323

Não suportado

Autenticação com dispositivos da Série IC

Aplicação da camada 2 em implantações de UAC

Não suportado

Nota:

UAC-IDP e UAC-Content Security também não são suportados.

Suporte para clusters de chassi
Nota:

O suporte para clusters de chassi para fornecer redundância de nós de rede só está disponível em uma implantação de firewall virtual vSRX no Contrail, VMware, KVM e Windows Hyper-V Server 2016.

Cluster de chassi para driver VirtIO

Somente suporte com KVM

Nota:

O status do link das interfaces VirtIO é sempre relatado como UP, de modo que um cluster de firewall virtual vSRX não pode receber mensagens de link para cima e link para baixo de interfaces VirtIO.

Links de controle duplo

Não suportado

Upgrades de cluster na banda e de baixo impacto

Não suportado

LAG e LACP (Camada 2 e Camada 3)

Não suportado

Comutação Ethernet de Camada 2

Não suportado

Firewall de baixa latência

Não suportado

Classe de serviço

Fila de alta prioridade no SPC

Não suportado

Túneis

Um VM de firewall virtual vSRX implantado no Microsoft Azure Cloud não oferece suporte a GRE, IP-IP e multicast.

Mensagens de log de segurança de plano de dados (modo de fluxo)

Protocolo TLS

Não suportado

Ferramentas de diagnóstico

Monitoramento de fluxo de fluxo versão 9

Não suportado

Ping Ethernet (CFM)

Não suportado

Traceroute Ethernet (CFM)

Não suportado

Proxy de DNS

DNS dinâmica

Não suportado

Agregação de enlaces Ethernet

LACP no modo cluster autônomo ou chassi

Não suportado

LAG de camada 3 em portas roteadas

Não suportado

LAG estático no modo cluster autônomo ou chassi

Não suportado

Gerenciamento de falhas de enlace de ethernet

Interface física (encapsulamentos)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

Não suportado

Família de interfaces

  • ccc, tcc

  • ethernet-switching

Não suportado

Processamento baseado em fluxo e baseado em pacotes

Depuração de pacotes de ponta a ponta

Não suportado

Agrupamento de processador de rede

Descarregamento de serviços

Interfaces

Interface Ethernet agregada

Não suportado

Atribuição dinâmica de VLAN IEEE 802.1X

Não suportado

Bypass MAC IEEE 802.1X

Não suportado

Controle de autenticação baseado em porta IEEE 802.1X com suporte multissuplicante

Não suportado

Interleaving usando MLFR

Não suportado

Poe

Não suportado

Interface PPP

Não suportado

Protocolo de rádio para roteador baseado em PPPoE

Não suportado

Interface de PPPoE

Nota:

Começando pelo Junos OS Release 15.1X49-D100 e Junos OS Release 17.4R1, o firewall virtual vSRX oferece suporte ao protocolo ponto a ponto na interface Ethernet (PPPoE).

Não suportado

Modo promíscuo em interfaces

Só é compatível se habilitado no hipervisor

IPSec e VPNs

Acadia — VPN sem cliente

Não suportado

DVPN

Não suportado

IPsec de hardware (criptografia em massa) Cavium/RMI

Não suportado

Terminação de túnel IPsec em instâncias de roteamento

Suporte apenas para roteador virtual

Multicast para AutoVPN

Não suportado

Suporte para o IPv6

Concentrador DS-Lite (também chamado de Roteador de transição da família de endereços [AFTR])

Não suportado

Iniciador DS-Lite (também conhecido como B4)

Não suportado

J-Web

Configuração de roteamento aprimorada

Não suportado

Novo assistente de configuração (para novas configurações)

Não suportado

Assistente de PPPoE

Não suportado

Assistente de VPN remoto

Não suportado

Link de resgate no painel

Não suportado

Configuração de segurança de conteúdo para antivírus Kaspersky e o perfil padrão de filtragem de Web

Não suportado

Registrar formatos de arquivos para logs de sistema (plano de controle)

Formato binário (binário)

Não suportado

WELF

Não suportado

Diversos

GPRS

Nota:

A partir do Junos OS Release 15.1X49-D70 e Junos OS Release 17.3R1, o firewall virtual vSRX oferece suporte a GPRS.

Não suportado

Aceleração do hardware

Não suportado

SSH de saída

Não suportado

Acesso a instâncias remotas

Não suportado

Modem USB

Não suportado

LAN sem fio

Não suportado

MPLS

Crcuit cross-connect (CCC) e translacional cross-connect (TCC)

Não suportado

VPNs de camada 2 para conexões Ethernet

Somente se o modo promíscuo for habilitado no hipervisor

Tradução de endereços de rede

Maximize as ligações de NAT persistentes

Não suportado

Captura de pacotes

Captura de pacotes

Apenas suportado em interfaces físicas e interfaces de túnel, como gr, ipe st0. A captura de pacotes não é suportada em interfaces Ethernet redundantes (reth).

Roteamento

Extensões BGP para IPv6

Não suportado

BGP Flowspec

Não suportado

Refletor de rotas BGP

Não suportado

CRTP

Não suportado

Comutação

Tags VLAN de Camada 3 Q-in-Q

Não suportado

Modo transparente

Segurança de conteúdo

Não suportado

Segurança de conteúdo

Express AV

Não suportado

Kaspersky AV

Não suportado

Atualização e reinicialização

Autorecovery

Não suportado

Configuração de instância de inicialização

Não suportado

Recuperação de instâncias de inicialização

Não suportado

Partição de duas raízes

Não suportado

Reversão do OS

Não suportado

Interfaces de usuário

NSM

Não suportado

Aplicativo SRC

Não suportado

Junos Space Virtual Director

Somente suporte com VMware