Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vSRX 虚拟防火墙支持的 Junos OS 功能

总结 本主题提供有关 vSRX 虚拟防火墙支持和不支持的 Junos OS 功能的详细信息。

vSRX 虚拟防火墙支持的 SRX 系列功能

vSRX 虚拟防火墙继承了大多数分支 SRX 系列功能,表 1 中显示了以下注意事项。

要确定 vSRX 虚拟防火墙支持的 Junos OS 功能,请使用瞻博网络功能浏览器,这是一个基于 Web 的应用程序,可帮助您探索和比较 Junos OS 功能信息,以找到适合您网络的软件版本和硬件平台。在以下位置查找功能资源管理器: 功能资源管理器:vSRX

表 1: vSRX 虚拟防火墙功能注意事项

特征

描述

国内流离失所者

IDP 功能基于订阅,必须购买。购买后,您可以使用许可证密钥激活 IDP 功能。

有关 SRX 系列 IDP 配置的详细信息,请参阅:

了解 SRX 系列的入侵检测和防御

IPSec VPN

从 Junos OS 19.3R1 版开始,vSRX 虚拟防火墙支持以下身份验证算法和加密算法:

  • 身份验证算法:hmac-sha1-96 和 HMAC-SHA-256-128 身份验证

  • 加密算法:AES-128-CBC

从 Junos OS 20.3R1 版开始,vSRX 虚拟防火墙支持 10,000 个 IPsec VPN 隧道。

要支持增加的 IPsec VPN 隧道数量,至少需要 19 个 vCPU。在 19 个 vCPU 中,有 3 个 vCPU 必须专用于 RE。

首次希望启用增加的 IPsec 隧道容量时,必须运行 request system software add optional://junos-ike.tgz 该命令。对于实例的后续软件升级,junos-ike 软件包将从实例中安装的新 Junos OS 版本自动升级。安装 junos-ike 软件包时,还会添加 DH 组 15、组 16、组 21。如果启用了机箱群集,则在两个节点上运行此命令。

您可以使用 配置分配给 Junos 路由引擎 set security forwarding-options resource-manager cpu re <value>的 vCPU 数量。

注意:

在 PMI 模式下支持 10000 个隧道需要 64 G 内存。

[请参见显示安全 IPsec 安全关联显示安全 IKE 隧道映射显示安全 IPsec 隧道分布。]

IPsec VPN - vSRX 虚拟防火墙上的隧道扩展

隧道类型

支持的隧道数

站点间 VPN 隧道

2000

AutoVPN 隧道

10,000

IKE SA(站点到站点)

2000

IKE SA (AutoVPN)

10,000

IKE SA(站点到站点 + AutoVPN)

10,000

IPSec SA 对(站点到站点)

10,000

使用 2000 个 IKE SA,我们可以拥有 10,000 个 IPSec SA。

IPSec SA 对 (AutoVPN)

10,000

站点到站点 + AutoVPN IPSec SA 对

2000 个站点到站点 8000 AutoVPN

站点到站点 + AutoVPN 隧道

2000 个站点到站点 8000 AutoVPN

ISSU

不支持 ISSU。

逻辑系统

从 Junos OS 20.1R1 版开始,您可以在 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例上配置逻辑系统和租户系统。

借助 Junos OS,您可以将单个安全设备分区为多个可执行独立任务的逻辑设备。

每个逻辑系统都有自己的离散管理域、逻辑接口、路由实例、安全防火墙和其他安全功能。

请参阅 逻辑系统概述

电源模式 IPsec

从 Junos OS 20.1R1 版开始,vSRX 虚拟防火墙 3.0 实例支持 PowerMode IPsec,它使用矢量数据包处理 (VPP) 和英特尔 AES-NI 指令提供 IPsec 性能改进。PowerMode IPsec 是 SRX PFE(SRX 数据包转发引擎)内的一个小软件块,在启用 PowerMode 时激活。

电源模式 IPsec 中支持的功能

  • IPsec 功能

  • 流量选择器

  • 安全隧道接口 (st0)

  • 所有控制平面 IKE 功能

  • 带流量选择器的自动 VPN

  • 具有路由协议的自动 VPN

  • IPv6

  • 有状态的第 4 层防火墙

  • 高可用性

  • NAT-T

PowerMode IPsec 中不支持的功能

  • Nat

  • IPsec 中的 IPsec

  • GTP/SCTP 防火墙

  • 应用程序防火墙/AppSecure

  • Qos

  • 嵌套隧道

  • 屏幕

  • 组 播

  • 主机流量

以太网交换和桥接 从 Junos OS 22.1R1 版开始,部署在 KVM 和 VMware 平台上的 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例支持在收入接口和 reth 接口上灵活标记 VLAN。

灵活的 VLAN 标记支持在以太网端口上的逻辑接口上传输 802.1Q VLAN 单标记帧。此外,避免了网络接口卡 (NIC) 上的多个虚拟功能,并减少了对额外接口的需求。

[请参阅 配置 VLAN 标记和 灵活 VLAN 标记(接口)。]

租户系统

从 Junos OS 20.1R1 版开始,您可以在 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例上配置租户系统。

租户系统提供 SRX 系列防火墙的逻辑分区,使其到多个域中,类似于逻辑系统,并提供高可扩展性。

请参阅 租户系统概述

透明模式

vSRX 虚拟防火墙上透明模式支持的已知行为包括:

  • 默认 MAC 学习表大小限制为 16,383 个条目。

有关为 vSRX 虚拟防火墙配置透明模式的信息,请参阅 第 2 层桥接和透明模式概述

内容安全

  • 内容安全功能基于订阅,必须购买。购买后,您可以使用许可证密钥激活内容安全功能。

  • 从 Junos OS 19.4R1 版开始,vSRX 虚拟防火墙 3.0 实例支持 Avira 扫描引擎,这是一个设备上的防病毒扫描引擎。请参阅 设备上的防病毒扫描引擎

  • 有关 SRX 系列内容安全配置的详细信息,请参阅 统一威胁管理概述

  • 有关 SRX 系列内容安全反垃圾邮件配置的详细信息,请参阅 反垃圾邮件过滤概述

  • Advanced resource management (vSRX 3.0)—从 Junos OS 19.4R1 版开始,vSRX 虚拟防火墙 3.0 通过重新分配 CPU 核心和额外内存来管理内容安全和 IDP 特定服务的额外系统资源要求。内存和 CPU 内核的这些值不是用户配置的。以前,内存和 CPU 内核等系统资源是固定的。

    您可以使用命令查看 show security forward-options resource-manager settings 为 vSRX 虚拟防火墙 3.0 实例上的高级安全服务分配的 CPU 和内存。要查看流会话扩展,请使用 show security monitoring 命令。

    [请参阅显示安全监视和显示安全转发选项资源管理器设置。]

隧道

仅限 GRE、IP-IP 和组播

某些 Junos OS 软件功能需要许可证才能激活该功能。要了解有关 vSRX 虚拟防火墙许可证的更多信息,请参阅 vSRX 许可证。有关许可证管理的一般信息,请参阅 许可指南 。有关更多详细信息,请参阅产品 介绍 ,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。

vSRX 虚拟防火墙不支持 SRX 系列功能

vSRX 虚拟防火墙继承了 SRX 系列防火墙产品线的许多功能。 表 2 列出了在虚拟化环境中不适用、当前不受支持或在 vSRX 虚拟防火墙上具有合格支持的 SRX 系列功能。

表 2:vSRX 虚拟防火墙不支持的 SRX 系列功能

SRX 系列功能

vSRX 虚拟防火墙说明

应用层网关

Avaya H.323

不支持

使用 IC 系列设备进行身份验证

UAC 部署中的第 2 层实施

不支持

注意:

也不支持 UAC-IDP 和 UAC-Content Security。

机箱群集支持
注意:

对机箱群集以提供网络节点冗余的支持仅在 Contrail、VMware、KVM 和 Windows Hyper-V Server 2016 中的 vSRX 虚拟防火墙部署上可用。

用于 VirtIO 驱动程序的机箱群集

仅受 KVM 支持

注意:

VirtIO 接口的链路状态始终报告为 UP,因此 vSRX 虚拟防火墙机箱群集无法从 VirtIO 接口接收链路打开和链路关闭消息。

双控制链路

不支持

带内和低影响群集升级

不支持

LAG 和 LACP(第 2 层和第 3 层)

不支持

第 2 层以太网交换

不支持

低延迟防火墙

不支持

服务等级

SPC 上的高优先级队列

不支持

隧道

部署在 Microsoft Azure 云上的 vSRX 虚拟防火墙虚拟机不支持 GRE、IP-IP 和多播。

数据平面安全日志消息(流模式)

TLS 协议

不支持

诊断工具

流监控 cflowd 版本 9

不支持

Ping 以太网 (CFM)

不支持

路由跟踪以太网 (CFM)

不支持

DNS 代理

动态 DNS

不支持

以太网链路聚合

独立或机箱群集模式下的 LACP

不支持

路由端口上的第 3 层 LAG

不支持

独立或机箱群集模式下的静态 LAG

不支持

以太网链路故障管理

物理接口(封装)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

不支持

接口系列

  • ccc, tcc

  • ethernet-switching

不支持

基于流和基于数据包的处理

端到端数据包调试

不支持

网络处理器捆绑

服务卸载

接口

聚合以太网接口

不支持

IEEE 802.1X 动态 VLAN 分配

不支持

IEEE 802.1X MAC 旁路

不支持

基于 IEEE 802.1X 端口的身份验证控制,支持多请求方

不支持

使用 MLFR 进行交错

不支持

不支持

PPP 接口

不支持

基于 PPPoE 的无线到路由器协议

不支持

PPPoE 接口

注意:

从 Junos OS 版本 15.1X49-D100 和 Junos OS 17.4R1 版本开始,vSRX 虚拟防火墙支持以太网点对点协议 (PPPoE) 接口。

不支持

接口上的混合模式

仅在虚拟机管理程序上启用时才受支持

IPSec 和 VPN

阿卡迪亚 - 无客户端VPN

不支持

DVPN

不支持

硬件 IPsec(批量加密)Cavium/RMI

不支持

路由实例中的 IPsec 隧道终止

仅在虚拟路由器上受支持

适用于 AutoVPN 的组播

不支持

IPv6 支持

DS-Lite 集中器(也称为地址族转换路由器 [AFTR])

不支持

DS-Lite 启动器(又名 B4)

不支持

J-Web

增强型路由配置

不支持

新建安装向导(适用于新配置)

不支持

PPPoE 向导

不支持

远程 VPN 向导

不支持

仪表板上的救援链接

不支持

卡巴斯基反病毒软件和默认 Web 过滤配置文件的内容安全配置

不支持

系统(控制平面)日志的日志文件格式

二进制格式(二进制)

不支持

韦尔夫

不支持

杂项

Gprs

注意:

从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,vSRX 虚拟防火墙支持 GPRS。

不支持

硬件加速

不支持

出站 SSH

不支持

远程实例访问

不支持

USB 调制解调器

不支持

无线局域网

不支持

Mpls

Crcuit 交叉连接 (CCC) 和平移交叉连接 (TCC)

不支持

用于以太网连接的第 2 层 VPN

仅当在虚拟机管理程序上启用了混合模式时

网络地址转换

最大化持久 NAT 绑定

不支持

数据包捕获

数据包捕获

仅在物理接口和隧道接口(如 gripst0)上受支持冗余以太网接口不支持数据包捕获 (reth)。

路由

IPv6 的 BGP 扩展

不支持

BGP Flowspec

不支持

BGP 路由反射器

不支持

CRTP

不支持

开关

第 3 层 Q-in-Q VLAN 标记

不支持

透明模式

内容安全

不支持

内容安全

快速视听

不支持

卡巴斯基AV

不支持

升级和重新启动

自动恢复

不支持

启动实例配置

不支持

启动实例恢复

不支持

双根分区

不支持

操作系统回滚

不支持

用户界面

NSM

不支持

SRC 应用

不支持

Junos Space 虚拟控制器

仅 VMware 支持