Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS支持vSRX

总结本主题提供此系列Junos OS和不受支持的功能vSRX。

SRX 系列功能vSRX

vSRX继承大多数分支机构 SRX 系列功能,并采用表 1 中所示的 以下注意事项

要确定 vSRX 上支持的 Junos OS 功能,请使用 瞻博网络 功能浏览器 ,该功能浏览器是一个基于 Web 的应用程序,可帮助您探索和比较 Junos OS 功能信息,找到适合您网络的软件版本和硬件平台。查找功能浏览器: 功能浏览器:vSRX

表 1:vSRX功能注意事项

特征

描述

IDP

IDP功能基于订阅,必须购买。购买后,您可以使用许可证IDP激活服务功能。

有关 SRX 系列IDP的详细信息,请参阅:

了解入侵检测和防御 SRX 系列的方案

IPSec VPN

从Junos OS版本19.3R1,vSRX支持以下认证算法和加密算法:

  • 身份验证算法:hmac-sha1-96 和 HMAC-SHA-256-128 身份验证

  • 加密算法:aes-128-cbc

从 Junos OS 版本20.3R1,vSRX 10,000 个 IPsec VPN 隧道。

要支持数量不断增加的 IPsec VPN 隧道,至少需要 19 个 v CPU。在 19 个 v CPU 中,3 个 v CPU 必须专用于 RE。

第一次启用增加的 IPsec 隧道容量时, request system software add optional://junos-ike.tgz 您必须运行 命令。对于实例的后续软件升级,junos-ike 软件包将自动从实例中安装的新 Junos OS升级。安装 junos-ike 软件包时,还会添加第 15 组、第 16 组、第 21 组 DH。如果启用了机箱群集,然后在两个节点上运行此命令。

您可使用 配置分配给 Junos 路由引擎 的 v CPU 数 set security forwarding-options resource-manager cpu re <value>

注意:

64 G 内存在 PMI 模式下支持 10000 个隧道。

[请参阅 show security ipsec 安全关联显示安全 ike 隧道映射显示安全 ipsec 隧道分布。]

IPsec VPN - 基于虚拟隧道vSRX

隧道类型

支持的隧道数

站点-站点 VPN 隧道

2000

AutoVPN 隧道

10,000

IKE SA(站点到站点)

2000

IKE SA (AutoVPN)

10,000

IKE SA(站点到站点 + AutoVPN)

10,000

IPSec SA 对(站点到站点)

10,000

借助 2000 IKE SA,我们可以拥有 10,000 个 IPSec SA。

IPSec SA 对 (AutoVPN)

10,000

站点到站点 + AutoVPN IPSec SA 对

2000 站点到站点 8000 AutoVPN

站点到站点 + AutoVPN 隧道

2000 站点到站点 8000 AutoVPN

ISSU

不支持 ISSU。

逻辑系统

从 Junos OS版本20.1R1,可以在 3.0 实例和 vSRX 上vSRX系统和租户系统。

借助Junos OS,您可以将单个安全设备分区为多个逻辑设备,可执行独立任务。

每个逻辑系统都有自己的离散管理域、逻辑接口、路由实例、安全防火墙和其他安全功能。

请参阅 逻辑系统概述

电源模 IPsec

从 Junos OS 版本 20.1R1 开始,vSRX 3.0 实例支持使用向量数据包处理 (VPP) 和 Intel AES-NI 说明提供 IPsec 性能提升的 PowerMode IPsec。电源模 IPsec 是 SRX PFE (SRX 数据包转发引擎) 内的一个小型软件块,在启用 PowerMode 时激活。

电源模 IPsec 中支持的功能

  • IPsec 功能

  • 流量选择器

  • 安全隧道接口 (st0)

  • 所有控制平面IKE功能

  • 带流量选择器的自动 VPN

  • 使用路由协议自动 VPN

  • IPv6

  • 有状态第 4 层防火墙

  • 高可用性

  • NAT-T

电源模 IPsec 中不支持的功能

  • NAT

  • IPsec 中的 IPsec

  • GTP/SCTP 防火墙

  • 应用程序防火墙/AppSecure

  • QoS

  • 嵌套式隧道

  • 屏幕

  • 组 播

  • 主机流量

租户系统

从 Junos OS 版20.1R1开始,您可以在 3.0 实例vSRX vSRX租户系统。

租户系统提供了将 SRX 设备的逻辑分区到类似于逻辑系统的多个域,并提供高可扩展性。

请参阅 租户系统概述

透明模式

有关透明模式支持的已知行为vSRX包括:

  • 默认 MAC 学习表大小限制为 16,383 个条目。

有关为网络配置透明模式vSRX,请参阅 第 2 层桥接 和透明模式概述

UTM

  • 此UTM功能基于订阅,必须购买。购买后,您可以使用许可证UTM激活服务功能。

  • 从 Junos OS 版19.4R1开始,vSRX 3.0 实例支持 Avira 扫描引擎,这是一种设备上杀毒扫描引擎。请参阅 设备上杀毒扫描引擎

  • 有关 SRX 系列UTM配置详细信息,请参阅 统一威胁管理 概述

  • 有关反垃圾邮件UTM的详细信息,请参阅 反垃圾邮件过滤概述

  • Advanced resource management (vSRX 3.0)— 从 Junos OS 版 19.4R1 开始,vSRX 3.0 通过重新分配 CPU 核心和额外内存管理 UTM 和 IDP 特定服务的附加系统资源要求。未对内存和 CPU 核心的这些值进行配置。之前,内存和 CPU 核心等系统资源是固定的。

    您可使用 命令在 vSRX 3.0 实例上查看为高级安全服务分配的 CPU 和 show security forward-options resource-manager settings 内存。要查看流会话扩展,请使用 show security monitoring 命令。

    [请参阅show security monitoring,并显示安全转发选项资源管理器设置。]

某些Junos OS软件功能需要许可证才能激活该功能。要了解有关许可证vSRX,请参阅 、 许可证 vSRX。有关许可证 管理的常规 信息,请参阅 许可指南 。有关更多详细信息,请参阅产品 产品介绍 ,或联系瞻博网络客户团队或瞻博网络合作伙伴。

不支持 SRX 系列vSRX

vSRX SRX 系列设备产品系列继承许多功能。 表 2 列出了在虚拟化环境中不适用、当前不受支持或在虚拟环境中具有合格支持的 SRX 系列vSRX。

表 2: SRX 系列功能在 vSRX

SRX 系列功能

vSRX注意事项

应用层网关

Avaya H.323

不支持

IC 系列设备的身份验证

UAC 部署中的 2 层实施

不支持

注意:

UAC-IDP 和 UAC-UTM 也不受支持。

机箱群集支持
注意:

只有在 Contrail、VMware、KVM 和 Windows Hyper-V Server 2016 中的 vSRX 部署中才支持机箱群集以提供网络节点冗余。

用于 VirtIO 驱动程序的机箱群集

仅 KVM 支持

注意:

VirtIO 接口的链路状态始终报告为 UP,因此vSRX群集无法接收来自 VirtIO 接口的上行链路和下行链路消息。

双控制链路

不支持

带内和低影响力群集升级

不支持

LAG 和 LACP(2 层和 3 层)

不支持

2 层以太网交换

不支持

低延迟防火墙

不支持

服务等级

SPC 上的高优先级队列

不支持

隧道

仅支持 GRE 和 IP-IP 隧道

注意:

在 Microsoft Azure vSRX部署的虚拟机不支持 GRE 和组播。

数据平面安全日志消息(流模式)

TLS 协议

不支持

诊断工具

流监控 cflowd 版本 9

不支持

Ping 以太网 (CFM)

不支持

Traceroute 以太网 (CFM)

不支持

DNS 代理

动态 DNS

不支持

以太网链路聚合

独立或机箱群集模式下的 LACP

不支持

路由端口上的 3 层 LAG

不支持

独立或机箱群集模式下的静态 LAG

不支持

以太网链路故障管理

物理接口(封装)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

不支持

接口家族

  • ccc, tcc

  • ethernet-switching

不支持

基于流和基于数据包的处理

端到端数据包调试

不支持

网络处理器捆绑

服务卸载

接口

聚合以太网接口

不支持

IEEE 802.1X 动态 VLAN 分配

不支持

IEEE 802.1X MAC 旁路

不支持

IEEE支持 802.1X 端口的身份验证控制

不支持

使用 MLFR 的交织

不支持

PoE

不支持

PPP 接口

不支持

基于 PPPoE 的无线电到路由器协议

不支持

PPPoE 接口

注意:

从 Junos OS 15.1X49-D100 Junos OS 版17.4R1开始,vSRX 支持以太网点到点协议 (PPPoE) 接口。

不支持

接口上的混合模式

仅在虚拟机管理程序上启用时受支持

IPSec 和 VPN

Acadia - 无客户端 VPN

不支持

DVPN

不支持

硬件 IPsec(批量加密) Cavium/RMI

不支持

路由实例中的 IPsec 隧道终止

仅在虚拟路由器上受支持

AutoVPN 组播

不支持

IPv6 支持

DS-Lite 集中器(也称为地址族转换路由器 [AFTR])

不支持

DS-Lite 发起方(即 B4)

不支持

J-Web

增强型路由配置

不支持

新设置向导(用于新配置)

不支持

PPPoE 向导

不支持

远程 VPN 向导

不支持

仪表板上的救援链路

不支持

UTM Kaspersky 防病毒的配置和默认Web 过滤配置文件

不支持

系统(控制平面)日志的日志文件格式

二进制格式(二进制)

不支持

WELF

不支持

杂项

GPRS

注意:

从 Junos OS 版本15.1X49-D70和Junos OS版本17.3R1,vSRX支持 GPRS。

不支持

硬件加速

不支持

出站 SSH

不支持

远程实例访问

不支持

USB 调制解调器

不支持

无线 LAN

不支持

MPLS

Crcuit 交叉连接 (CCC) 和转换交叉连接 (TCC)

不支持

用于以太网连接的 2 层 VPN

只有在虚拟机管理程序上启用了混合模式时

网络地址转换

最大化持久性NAT绑定

不支持

数据包捕获

数据包捕获

仅在物理接口和隧道接口(如 、 和 grip 上受支持 st0 。冗余以太网接口 ( ) 上不支持数据包捕获 reth

路由

BGP IPv6 的扩展

不支持

BGP Flowspec

不支持

BGP路由反射器

不支持

CRTP

不支持

开关

3 层 Q-in-Q VLAN 标记

不支持

透明模式

UTM

不支持

统一威胁管理

Express AV

不支持

Kaspersky AV

不支持

升级和重新启动

自动恢复

不支持

启动实例配置

不支持

启动实例恢复

不支持

双根分区

不支持

OS 回滚

不支持

用户界面

NSM

不支持

SRC 应用程序

不支持

Junos Space Virtual Director

仅 VMware 支持