vSRX 虚拟防火墙支持的 Junos OS 功能
本主题详细介绍了 vSRX 上支持和不支持的 Junos OS 功能。
vSRX 上支持的功能
vSRX 继承了分支机构 SRX 系列的大部分功能,但考虑 因素如表 1 所示。
要确定 vSRX 虚拟防火墙支持的 Junos OS 功能,请使用瞻博网络功能浏览器,这是一个基于 Web 的应用,可帮助您浏览和比较 Junos OS 功能信息,以便为您的网络找到合适的软件版本和硬件平台。在以下位置查找功能浏览器: 功能浏览器: vSRX 。
| 特征 |
描述 |
|||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IDP |
IDP 功能基于订阅,必须购买。购买后,您可以使用许可证密钥激活 IDP 功能。 有关 SRX 系列 IDP 配置的详细信息,请参阅: |
|||||||||||||||||||
| IPSec VPN |
从 Junos OS 19.3R1 版开始,vSRX 虚拟防火墙支持以下身份验证算法和加密算法:
从 Junos OS 20.3R1 版开始,vSRX 虚拟防火墙支持 10,000 个 IPsec VPN 隧道。 为了支持增加的 IPsec VPN 隧道数量,总共至少需要 18 个 vCPU,其中 2 个 RE vCPU,在将总数增加到 24 个 vCPU 后,RE vCPU 计数仅可增加到 4。在 18 个 vCPU 中,有 2 个 vCPU 必须专用于 RE。 首次希望启用增加的 IPsec 隧道容量时,必须运行命令 您可以使用 配置分配给 Junos 路由引擎
注意:
需要 64 G 内存来支持 PMI 模式下的 10000 个隧道。 [请参阅 显示安全 IPsec 安全关联、 显示安全 IKE 隧道映射和 显示安全 IPsec 隧道分布。] |
|||||||||||||||||||
| IPsec VPN - vSRX 虚拟防火墙上的隧道扩展 | 隧道类型 |
支持的隧道数 |
||||||||||||||||||
| 站点-站点 VPN 隧道 |
2000 |
|||||||||||||||||||
| AutoVPN 隧道 |
10,000 |
|||||||||||||||||||
| IKE SA(站点到站点) |
2000 |
|||||||||||||||||||
| IKE SA (AutoVPN) |
10,000 |
|||||||||||||||||||
| IKE SA(站点到站点 + AutoVPN) |
10,000 |
|||||||||||||||||||
| IPSec SA 对(站点到站点) |
10,000 有了 2000 个 IKE SA,我们可以拥有 10000 个 IPSec SA。 |
|||||||||||||||||||
| IPSec SA 对 (AutoVPN) |
10,000 |
|||||||||||||||||||
| 站点到站点 + AutoVPN IPSec SA 对 |
2000 个站点到站点 8000 AutoVPN |
|||||||||||||||||||
| 站点到站点 + AutoVPN 隧道 |
2000 个站点到站点 8000 AutoVPN |
|||||||||||||||||||
| ISSU |
不支持 ISSU。 |
|||||||||||||||||||
| 逻辑系统 |
从 Junos OS 20.1R1 版开始,您可以在 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例上配置逻辑系统和租户系统。 使用 Junos OS,您可以将单个安全设备划分为多个逻辑设备,这些设备可以执行独立任务。 每个逻辑系统都有其自己的独立管理域、逻辑接口、路由实例、安全防火墙和其他安全功能。 请参阅 逻辑系统概述。 |
|||||||||||||||||||
| 电源模式 IPsec |
从 Junos OS 20.1R1 版开始,vSRX 虚拟防火墙 3.0 实例支持 PowerMode IPsec,后者使用矢量数据包处理 (VPP) 和 Intel AES-NI 指令提供 IPsec 性能改进。PowerMode IPsec 是 SRX PFE(SRX 数据包转发引擎)中的一个小软件块,在启用 PowerMode 时激活。 PowerMode IPsec 中支持的功能
PowerMode IPsec 中不支持的功能
|
|||||||||||||||||||
| 以太网交换和桥接 | 从 Junos OS 22.1R1 版开始,部署在 KVM 和 VMware 平台上的 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例支持在收入和流量接口上进行灵活的 VLAN 标记。 灵活的 VLAN 标记支持在以太网端口上的逻辑接口上传输 802.1Q VLAN 单标记帧。此外,还避免了网络接口卡 (NIC) 上的多个虚拟功能,并减少了对其他接口的需求。 [请参阅 配置 VLAN 标记 和 灵活 VLAN 标记(接口)。] |
|||||||||||||||||||
| 租户系统 |
从 Junos OS 20.1R1 版开始,您可以在 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例上配置租户系统。 租户系统将 SRX 系列防火墙逻辑分区为多个域,类似于逻辑系统,并提供高可扩展性。 请参阅 租户系统概述。 |
|||||||||||||||||||
| 透明模式 |
vSRX 虚拟防火墙上透明模式支持的已知行为包括:
有关为 vSRX 虚拟防火墙配置透明模式的信息,请参阅 第 2 层桥接和透明模式概述。 |
|||||||||||||||||||
| 内容安全 |
|
|||||||||||||||||||
| 隧道 | 仅 GRE 和 IP-IP |
|||||||||||||||||||
| 增强型 RE CPU 核心分配 (vSRX 3.0) | 在配置了偶数个 CPU 核心数的情况下启动 vSRX 3.0 实例时,默认情况下会将两个 CPU 核心分配给路由引擎 (RE)。这种分配增强了系统稳定性,确保了路由引擎和数据包转发引擎的高效运行。对于具有奇数个 CPU 内核的系统,只有一个内核分配给路由引擎。 该 使用命令配置并
请参阅 resource-manager (Forwarding-options) 和 show security forward-options resource-manager |
|||||||||||||||||||
某些 Junos OS 软件功能需要许可证才能激活。要了解有关 vSRX 虚拟防火墙许可证的更多信息,请参阅 vSRX 许可证。有关许可证管理的一般信息,请参阅 许可指南 。有关详细信息,请参阅产品 产品介绍 ,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
vSRX 虚拟防火墙 上不支持SRX 系列功能
vSRX 虚拟防火墙继承了 SRX 系列防火墙产品线的许多功能。 表 3 列出了在虚拟化环境中不适用、当前不受支持或在 vSRX 虚拟防火墙上具有合格支持的 SRX 系列功能。
SRX 系列功能 |
vSRX 虚拟防火墙说明 |
|---|---|
| 应用层网关 | |
Avaya H.323 |
不支持 |
| 使用 IC 系列设备进行身份验证 | |
UAC 部署中的第 2 层实施 |
不支持
注意:
也不支持 UAC-IDP 和 UAC-Content Security。 |
| 机箱群集支持
注意:
仅支持机箱群集以提供网络节点冗余仅在 Contrail、VMware、KVM 和 Windows Hyper-V Server 2016 中的 vSRX 虚拟防火墙部署中可用。 |
|
用于 VirtIO 驱动程序的机箱群集 |
仅支持 KVM
注意:
VirtIO 接口的链路状态始终报告为“已启动”,因此 vSRX 虚拟防火墙机箱群集无法接收来自 VirtIO 接口的链路开路和链路关停消息。 |
双控制链路 |
不支持 |
带内和低影响群集升级 |
不支持 |
LAG 和 LACP(第 2 层和第 3 层) |
不支持 |
第 2 层以太网交换 |
不支持 |
低延迟防火墙 |
不支持 |
| 服务等级 | |
SPC 上的高优先级队列 |
不支持 |
隧道 |
部署在 Microsoft Azure Cloud 上的 vSRX 虚拟防火墙 VM 不支持 GRE、IP-IP 和组播。 |
| 数据平面安全日志消息(流模式) | |
TLS 协议 |
不支持 |
| 诊断工具 | |
流监控 cflowd 版本 9 |
不支持 |
Ping 以太网 (CFM) |
不支持 |
Traceroute 以太网 (CFM) |
不支持 |
| DNS 代理 | |
动态 DNS |
不支持 |
| 以太网链路聚合 | |
独立或机箱群集模式下的 LACP |
不支持 |
路由端口上的第 3 层 LAG |
不支持 |
独立或机箱群集模式下的静态 LAG |
不支持 |
| 以太网链路故障管理 | |
物理接口(封装)
|
不支持 |
接口家族
|
不支持 |
| 基于流和基于数据包的处理 | |
端到端数据包调试 |
不支持 |
网络处理器捆绑 |
|
服务卸载 |
|
| 接口 | |
聚合以太网接口 |
不支持 |
IEEE 802.1X 动态 VLAN 分配 |
不支持 |
IEEE 802.1X MAC 旁路 |
不支持 |
具有多请求方支持的 IEEE 802.1X 基于端口的身份验证控制 |
不支持 |
使用 MLFR 交错 |
不支持 |
坡 |
不支持 |
PPP 接口 |
不支持 |
基于 PPPoE 的无线到路由器协议 |
不支持 |
PPPoE 接口
注意:
从 Junos OS 15.1X49-D100 版和 Junos OS 17.4R1 版开始,vSRX 虚拟防火墙支持通过以太网传输的点对点协议 (PPPoE) 接口。 |
不支持 |
接口上的混合模式 |
仅在虚拟机管理程序上启用时才支持 |
| IPSec 和 VPN | |
Acadia - 无客户端 VPN |
不支持 |
DVPN系列 |
不支持 |
硬件 IPsec(批量加密) Cavium/RMI |
不支持 |
路由实例中的 IPsec 隧道终止 |
仅在虚拟路由器上受支持 |
AutoVPN 组播 |
不支持 |
| IPv6 支持 | |
DS-Lite 集中器(也称为地址族转换路由器 [AFTR]) |
不支持 |
DS-Lite 启动器(又名 B4) |
不支持 |
| J-Web 网站 | |
增强型路由配置 |
不支持 |
新建安装向导(适用于新配置) |
不支持 |
PPPoE 向导 |
不支持 |
远程 VPN 向导 |
不支持 |
仪表板上的救援链接 |
不支持 |
卡巴斯基防病毒软件和默认 Web 过滤配置文件的内容安全配置 |
不支持 |
| 系统(控制平面)日志的日志文件格式 | |
二进制格式(二进制) |
不支持 |
韦尔夫 |
不支持 |
| 杂项 | |
GPRS的
注意:
从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,vSRX 虚拟防火墙可支持 GPRS。 |
不支持 |
硬件加速 |
不支持 |
出站 SSH |
不支持 |
远程实例访问 |
不支持 |
USB 调制解调器 |
不支持 |
无线 LAN |
不支持 |
| MPLS 的比较 | |
Crcuit 交叉连接 (CCC) 和平移交叉连接 (TCC) |
不支持 |
用于以太网连接的第 2 层 VPN |
仅当虚拟机管理程序上启用了混合模式时 |
| 网络地址转换 | |
最大化持久 NAT 绑定 |
不支持 |
| 数据包捕获 | |
数据包捕获 |
仅在物理接口和隧道接口(如grip、、和st0)上受支持。冗余以太网接口 (reth) 不支持数据包捕获。 |
| 路由 | |
IPv6 的 BGP 扩展 |
不支持 |
BGP 流程规范 |
不支持 |
BGP 路由反射器 |
不支持 |
CRTP |
不支持 |
| 开关 | |
第 3 层 Q-in-Q VLAN 标记 |
不支持 |
| 透明模式 | |
内容安全 |
不支持 |
| 内容安全 | |
Express AV |
不支持 |
卡巴斯基 AV |
不支持 |
| 升级和重新启动 | |
自动恢复 |
不支持 |
启动实例配置 |
不支持 |
启动实例恢复 |
不支持 |
双根分区 |
不支持 |
作系统回滚 |
不支持 |
| 用户界面 | |
NSM |
不支持 |
SRC 应用程序 |
不支持 |
Junos Space Virtual Director |
仅受 VMware 支持 |