Recursos do Junos OS suportados no firewall virtual vSRX
RESUMO Este tópico fornece detalhes dos recursos do Junos OS suportados e não suportados no firewall virtual vSRX.
Recursos da Série SRX suportados no firewall virtual vSRX
O firewall virtual vSRX herda a maioria dos recursos da Série SRX de filial com as seguintes considerações mostradas na Tabela 1.
Para determinar os recursos do Junos OS suportados no firewall virtual vSRX, use o Juniper Networks Feature Explorer, um aplicativo baseado na Web que ajuda você a explorar e comparar informações de recursos do Junos OS para encontrar a plataforma de hardware e versão de software certa para sua rede. Encontre o Feature Explorer em: Feature Explorer: vSRX .
Recurso |
Descrição |
|
---|---|---|
IDP |
O recurso IDP é baseado em assinatura e deve ser comprado. Após a compra, você pode ativar o recurso IDP com a chave da licença. Para obter detalhes da configuração do IDP da Série SRX, veja: Entendendo a detecção e a prevenção de invasões para a Série SRX |
|
IPSec VPNs |
A partir do Junos OS Release 19.3R1, o firewall virtual vSRX oferece suporte aos seguintes algoritmos de autenticação e algoritmos de criptografia:
A partir do Junos OS Release 20.3R1, o firewall virtual vSRX oferece suporte a 10.000 túneis VPN IPsec. Para oferecer suporte ao aumento do número de túneis de VPN IPsec, é necessário um mínimo de 19 vCPUs. Dos 19 vCPUs, 3 vCPUs devem ser dedicados ao RE. Você deve executar o comando da Você pode configurar o número de vCPUs alocados no Junos Routing Engine usando o
Nota:
A memória 64 G é necessária para oferecer suporte a 10000 túneis no modo PMI. [Veja mostrar associações de segurança ipsec de segurança, mostrar mapa de túnel de segurança ike e mostrar segurança de distribuição de túneis ipsec.] |
|
VPN IPsec — Escalamento de túneis no firewall virtual vSRX | Tipos de túneis |
Número de túneis suportados |
Túneis vpn site-site |
2000 |
|
Túneis AutoVPN |
10,000 |
|
IKE SA (site a site) |
2000 |
|
IKE SA (AutoVPN) |
10,000 |
|
IKE SA (site a site + AutoVPN) |
10,000 |
|
Pares DE SA IPSec (site a site) |
10,000 Com os SAs de IKE de 2000, podemos ter 10.000 IPSec SA. |
|
Pares DE SA IPSec (AutoVPN) |
10,000 |
|
Pares de SA IPSec de site para site + AutoVPN |
2000 Site a site 8000 AutoVPN |
|
Túneis site a site + AutoVPN |
2000 Site a site 8000 AutoVPN |
|
ISSU |
O ISSU não é compatível. |
|
Sistemas lógicos |
A partir do Junos OS Release 20.1R1, você pode configurar sistemas lógicos e sistemas de locatário em firewall virtual vSRX e instâncias vSRX Virtual Firewall 3.0. Com o Junos OS, você pode dividir um único dispositivo de segurança em vários dispositivos lógicos que podem realizar tarefas independentes. Cada sistema lógico tem seu próprio domínio administrativo discreto, interfaces lógicas, instâncias de roteamento, firewall de segurança e outros recursos de segurança. |
|
PowerMode IPsec |
A partir do Junos OS Release 20.1R1, as instâncias 3.0 do firewall virtual vSRX oferecem suporte ao PowerMode IPsec, que oferece melhorias de desempenho de IPsec usando instruções de processamento de pacotes de vetor (VPP) e Intel AES-NI. PowerMode IPsec é um pequeno bloco de software dentro do SRX PFE (SRX Packet Forwarding Engine) que é ativado quando o PowerMode é habilitado. Recursos suportados no PowerMode IPsec
Recursos não suportados no PowerMode IPsec
|
|
Comutação e pontes de ethernet | A partir do Junos OS Release 22.1R1, o firewall virtual vSRX e as instâncias 3.0 do firewall virtual vSRX implantados em plataformas de KVM e VMware oferecem suporte a tags VLAN flexíveis em interfaces de receita e reth. A tag VLAN flexível oferece suporte à transmissão de quadros de tag única VLAN 802.1Q em interfaces lógicas na porta Ethernet. Além disso, evita várias funções virtuais na placa de interface de rede (NIC) e reduz a necessidade de interfaces adicionais. [Veja configuração de tags VLAN e tags de vlan flexíveis (Interfaces).] |
|
Tenant Systems |
A partir do Junos OS Release 20.1R1, você pode configurar sistemas de locatário em firewall virtual vSRX e instâncias vSRX Virtual Firewall 3.0. Um sistema de locatário fornece partição lógica do firewall da Série SRX em vários domínios semelhantes aos sistemas lógicos e oferece alta escalabilidade. |
|
Modo transparente |
Os comportamentos conhecidos para suporte de modo transparente no firewall virtual vSRX são:
Para obter informações sobre a configuração do modo transparente para o firewall virtual vSRX, veja a ponte de Camada 2 e a visão geral do modo transparente. |
|
Segurança de conteúdo |
|
|
Túneis | Apenas GRE e IP-IP |
Alguns recursos de software do Junos OS exigem uma licença para ativar o recurso. Para entender mais sobre as licenças de firewall virtual vSRX, veja, licenças para vSRX. Consulte o Guia de licenciamento para obter informações gerais sobre o gerenciamento de licenças. Consulte a folha de dados do produto para obter mais detalhes ou entrar em contato com sua equipe de conta da Juniper ou com o parceiro Juniper.
Recursos da Série SRX não suportados no firewall virtual vSRX
O firewall virtual vSRX herda muitos recursos da linha de produtos de firewall da Série SRX. A Tabela 2 lista recursos da Série SRX que não são aplicáveis em um ambiente virtualizado, que não são suportados atualmente ou que têm suporte qualificado no firewall virtual vSRX.
Recurso da Série SRX |
Notas do firewall virtual vSRX |
---|---|
Gateways de camada de aplicativos | |
Avaya H.323 |
Não suportado |
Autenticação com dispositivos da Série IC | |
Aplicação da camada 2 em implantações de UAC |
Não suportado
Nota:
UAC-IDP e UAC-Content Security também não são suportados. |
Suporte para clusters de chassi
Nota:
O suporte para clusters de chassi para fornecer redundância de nós de rede só está disponível em uma implantação de firewall virtual vSRX no Contrail, VMware, KVM e Windows Hyper-V Server 2016. |
|
Cluster de chassi para driver VirtIO |
Somente suporte com KVM
Nota:
O status do link das interfaces VirtIO é sempre relatado como UP, de modo que um cluster de firewall virtual vSRX não pode receber mensagens de link para cima e link para baixo de interfaces VirtIO. |
Links de controle duplo |
Não suportado |
Upgrades de cluster na banda e de baixo impacto |
Não suportado |
LAG e LACP (Camada 2 e Camada 3) |
Não suportado |
Comutação Ethernet de Camada 2 |
Não suportado |
Firewall de baixa latência |
Não suportado |
Classe de serviço | |
Fila de alta prioridade no SPC |
Não suportado |
Túneis |
Um VM de firewall virtual vSRX implantado no Microsoft Azure Cloud não oferece suporte a GRE, IP-IP e multicast. |
Mensagens de log de segurança de plano de dados (modo de fluxo) | |
Protocolo TLS |
Não suportado |
Ferramentas de diagnóstico | |
Monitoramento de fluxo de fluxo versão 9 |
Não suportado |
Ping Ethernet (CFM) |
Não suportado |
Traceroute Ethernet (CFM) |
Não suportado |
Proxy de DNS | |
DNS dinâmica |
Não suportado |
Agregação de enlaces Ethernet | |
LACP no modo cluster autônomo ou chassi |
Não suportado |
LAG de camada 3 em portas roteadas |
Não suportado |
LAG estático no modo cluster autônomo ou chassi |
Não suportado |
Gerenciamento de falhas de enlace de ethernet | |
Interface física (encapsulamentos)
|
Não suportado |
Família de interfaces
|
Não suportado |
Processamento baseado em fluxo e baseado em pacotes | |
Depuração de pacotes de ponta a ponta |
Não suportado |
Agrupamento de processador de rede |
|
Descarregamento de serviços |
|
Interfaces | |
Interface Ethernet agregada |
Não suportado |
Atribuição dinâmica de VLAN IEEE 802.1X |
Não suportado |
Bypass MAC IEEE 802.1X |
Não suportado |
Controle de autenticação baseado em porta IEEE 802.1X com suporte multissuplicante |
Não suportado |
Interleaving usando MLFR |
Não suportado |
Poe |
Não suportado |
Interface PPP |
Não suportado |
Protocolo de rádio para roteador baseado em PPPoE |
Não suportado |
Interface de PPPoE
Nota:
Começando pelo Junos OS Release 15.1X49-D100 e Junos OS Release 17.4R1, o firewall virtual vSRX oferece suporte ao protocolo ponto a ponto na interface Ethernet (PPPoE). |
Não suportado |
Modo promíscuo em interfaces |
Só é compatível se habilitado no hipervisor |
IPSec e VPNs | |
Acadia — VPN sem cliente |
Não suportado |
DVPN |
Não suportado |
IPsec de hardware (criptografia em massa) Cavium/RMI |
Não suportado |
Terminação de túnel IPsec em instâncias de roteamento |
Suporte apenas para roteador virtual |
Multicast para AutoVPN |
Não suportado |
Suporte para o IPv6 | |
Concentrador DS-Lite (também chamado de Roteador de transição da família de endereços [AFTR]) |
Não suportado |
Iniciador DS-Lite (também conhecido como B4) |
Não suportado |
J-Web | |
Configuração de roteamento aprimorada |
Não suportado |
Novo assistente de configuração (para novas configurações) |
Não suportado |
Assistente de PPPoE |
Não suportado |
Assistente de VPN remoto |
Não suportado |
Link de resgate no painel |
Não suportado |
Configuração de segurança de conteúdo para antivírus Kaspersky e o perfil padrão de filtragem de Web |
Não suportado |
Registrar formatos de arquivos para logs de sistema (plano de controle) | |
Formato binário (binário) |
Não suportado |
WELF |
Não suportado |
Diversos | |
GPRS
Nota:
A partir do Junos OS Release 15.1X49-D70 e Junos OS Release 17.3R1, o firewall virtual vSRX oferece suporte a GPRS. |
Não suportado |
Aceleração do hardware |
Não suportado |
SSH de saída |
Não suportado |
Acesso a instâncias remotas |
Não suportado |
Modem USB |
Não suportado |
LAN sem fio |
Não suportado |
MPLS | |
Crcuit cross-connect (CCC) e translacional cross-connect (TCC) |
Não suportado |
VPNs de camada 2 para conexões Ethernet |
Somente se o modo promíscuo for habilitado no hipervisor |
Tradução de endereços de rede | |
Maximize as ligações de NAT persistentes |
Não suportado |
Captura de pacotes | |
Captura de pacotes |
Apenas suportado em interfaces físicas e interfaces de túnel, como gr, ipe st0. A captura de pacotes não é suportada em interfaces Ethernet redundantes (reth). |
Roteamento | |
Extensões BGP para IPv6 |
Não suportado |
BGP Flowspec |
Não suportado |
Refletor de rotas BGP |
Não suportado |
CRTP |
Não suportado |
Comutação | |
Tags VLAN de Camada 3 Q-in-Q |
Não suportado |
Modo transparente | |
Segurança de conteúdo |
Não suportado |
Segurança de conteúdo | |
Express AV |
Não suportado |
Kaspersky AV |
Não suportado |
Atualização e reinicialização | |
Autorecovery |
Não suportado |
Configuração de instância de inicialização |
Não suportado |
Recuperação de instâncias de inicialização |
Não suportado |
Partição de duas raízes |
Não suportado |
Reversão do OS |
Não suportado |
Interfaces de usuário | |
NSM |
Não suportado |
Aplicativo SRC |
Não suportado |
Junos Space Virtual Director |
Somente suporte com VMware |