Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Auf der virtuelle Firewall vSRX unterstützte Junos OS-Funktionen

Dieses Thema enthält Details zu den Junos OS-Funktionen, die auf vSRX unterstützt und nicht unterstützt werden.

Auf vSRX unterstützte Funktionen

vSRX erbt die meisten Funktionen der Branch SRX-Serie, wobei die folgenden Überlegungen in Tabelle 1 aufgeführt sind.

Um die Junos OS-Funktionen zu ermitteln, die von der virtuellen Firewall vSRX unterstützt werden, verwenden Sie den Juniper Networks Feature Explorer, eine webbasierte Anwendung, mit der Sie die Funktionsinformationen von Junos OS untersuchen und vergleichen können, um die richtige Softwareversion und Hardwareplattform für Ihr Netzwerk zu finden. Den Funktions-Explorer finden Sie unter: Funktions-Explorer: vSRX .

Tabelle 1: Überlegungen zu den Funktionen der virtuellen Firewall vSRX

Merkmal

Beschreibung

IDP

Die IDP-Funktion basiert auf einem Abonnement und muss erworben werden. Nach dem Kauf können Sie die IDP-Funktion mit dem Lizenzschlüssel aktivieren.

Weitere Informationen zur IDP-Konfiguration der SRX-Serie finden Sie unter:

Grundlegendes zu Intrusion Detection and Prevention für die SRX-Serie

IPSec-VPNs

Ab Junos OS Version 19.3R1 unterstützt die virtuelle Firewall vSRX die folgenden Authentifizierungs- und Verschlüsselungsalgorithmen:

  • Authentifizierungsalgorithmus: hmac-sha1-96 und HMAC-SHA-256-128 Authentifizierung

  • Verschlüsselungsalgorithmus: aes-128-cbc

Ab Junos OS Version 20.3R1 unterstützt die virtuelle Firewall vSRX 10.000 IPsec-VPN-Tunnel.

Um die erhöhte Anzahl von IPsec-VPN-Tunneln zu unterstützen, sind mindestens 18 vCPUs mit insgesamt 2 RE-vCPUs erforderlich, wobei die Anzahl der RE-vCPUs nach Erhöhung der Gesamtzahl auf 24 vCPUs nur auf 4 steigt. Von den 18 vCPUs müssen 2 vCPUs für RE reserviert sein.

Sie müssen den Befehl ausführen, wenn Sie die request system software add optional://junos-ike.tgz erhöhte IPsec-Tunnelkapazität zum ersten Mal aktivieren möchten. Bei nachfolgenden Software-Upgrades der Instanz wird das Junos-IKE-Paket automatisch von den neuen Junos OS-Versionen aktualisiert, die in der Instanz installiert sind. DH group15, group16, group21 wird ebenfalls hinzugefügt, wenn wir das junos-ike-Paket installieren. Wenn der Chassis-Cluster aktiviert ist, führen Sie diesen Befehl auf beiden Knoten aus.

Sie können die Anzahl der vCPUs, die der Junos Routing-Engine zugewiesen sind, mit dem Befehl set security forwarding-options resource-manager cpu re <value>konfigurieren.

Anmerkung:

64 GB Arbeitsspeicher sind erforderlich, um 10000 Tunnel im PMI-Modus zu unterstützen.

[Siehe show security ipsec security-associations, show security ike tunnel-map und show security ipsec tunnel-distribution.]
IPsec-VPN – Tunnelskalierung auf Virtuelle Firewall vSRX

Arten von Tunneln

Anzahl der unterstützten Tunnel

Site-Site-VPN-Tunnel

2000

AutoVPN-Tunnel

10,000

IKE SA (Site-to-Site)

2000

IKE SA (AutoVPN)

10,000

IKE SA (Site-to-site + AutoVPN)

10,000

IPSec-SA-Paare (Site-to-Site)

10,000

Mit 2000 IKE-SAs können wir 10.000 IPSec-SAs haben.

IPSec-SA-Paare (AutoVPN)

10,000

Site-to-Site + AutoVPN IPSec-SA-Paare

2000 Site-to-Site 8000 AutoVPN

Site-to-Site + AutoVPN-Tunnel

2000 Site-to-Site 8000 AutoVPN

ISSU

ISSU wird nicht unterstützt.

Logische Systeme

Ab Junos OS Version 20.1R1 können Sie logische Systeme und Mandantensysteme auf Instanzen der Virtuellen Firewall vSRX und der Virtuellen Firewall vSRX 3.0 konfigurieren.

Mit Junos OS können Sie ein einzelnes Sicherheitsgerät in mehrere logische Geräte partitionieren, die unabhängige Aufgaben ausführen können.

Jedes logische System verfügt über eine eigene diskrete Verwaltungsdomäne, logische Schnittstellen, Routing-Instanzen, eine Sicherheits-Firewall und andere Sicherheitsfunktionen.

Weitere Informationen finden Sie unter Übersicht über logische Systeme.

PowerMode IPsec

Ab Junos OS Version 20.1R1 unterstützen virtuelle Firewall vSRX 3.0-Instanzen PowerMode IPsec, das mithilfe von Vector Packet Processing (VPP) und Intel AES-NI-Anweisungen eine IPsec-Leistung verbessert. PowerMode IPsec ist ein kleiner Softwareblock innerhalb der SRX PFE (SRX Packet Forwarding Engine), der aktiviert wird, wenn PowerMode aktiviert ist.

Unterstützte Funktionen im PowerMode IPsec

  • IPsec-Funktionalität

  • Traffic-Selektoren

  • Sichere Tunnelschnittstelle (st0)

  • Alle IKE-Funktionen der Steuerungsebene

  • Auto-VPN mit Datenverkehrsselektor

  • Auto-VPN mit Routing-Protokoll

  • IPv6-Schnittstelle

  • Zustandsbehaftete Layer 4-Firewall

  • Hohe Verfügbarkeit

  • NAT-T

Nicht unterstützte Funktionen im PowerMode IPsec

  • NAT

  • IPsec in IPsec

  • GTP/SCTP-Firewall

  • Application Firewall/AppSecure

  • QoS

  • Verschachtelter Tunnel

  • Bildschirm

  • Multicast

  • Host-Datenverkehr
Ethernet-Switching und Bridging Ab Junos OS Version 22.1R1 unterstützen Instanzen der Virtuellen Firewall vSRX und Virtuelle Firewall vSRX 3.0, die auf KVM- und VMware-Plattformen bereitgestellt werden, flexibles VLAN-Tagging auf Umsatz- und Reth-Schnittstellen.

Flexibles VLAN-Tagging unterstützt die Übertragung von 802.1Q-VLAN-Single-Tag-Frames auf logischen Schnittstellen am Ethernet-Port. Außerdem werden mehrere virtuelle Funktionen auf der Netzwerkschnittstellenkarte (NIC) vermieden und der Bedarf an zusätzlichen Schnittstellen reduziert.

[Siehe Konfigurieren von VLAN-Tagging und flexiblem-VLAN-Tagging (Schnittstellen).]

Mandantensysteme

Ab Junos OS Version 20.1R1 können Sie Mandantensysteme auf Instanzen der Virtuellen Firewall vSRX und der Virtuellen Firewall vSRX 3.0 konfigurieren.

Ein Mandantensystem ermöglicht eine logische Partitionierung der Firewall der SRX-Serie in mehrere Domänen, ähnlich wie logische Systeme, und bietet eine hohe Skalierbarkeit.

Weitere Informationen finden Sie unter Übersicht über Mandantensysteme.

Transparenter Modus

Die bekannten Verhaltensweisen für die Unterstützung des transparenter Modus auf der Virtuelle Firewall vSRX sind:

  • Die Standardgröße der MAC-Lerntabelle ist auf 16.383 Einträge beschränkt.

Informationen zum Konfigurieren des transparenten Modus für die virtuelle Firewall vSRX finden Sie unter Übersicht über Layer 2-Bridging und transparenten Modus.

Inhaltssicherheit

  • Die Content Security-Funktion basiert auf einem Abonnement und muss erworben werden. Nach dem Kauf können Sie die Content Security-Funktion mit dem Lizenzschlüssel aktivieren.

  • Ab Junos OS Version 19.4R1 unterstützen virtuelle Firewall vSRX 3.0-Instanzen die Avira Scan-Engine, bei der es sich um eine Antivirus-Scanning-Engine auf dem Gerät handelt. Weitere Informationen finden Sie unter Antivirus-Scan-Engine auf dem Gerät.

  • Weitere Informationen zur Konfiguration der Content Security der SRX-Serie finden Sie unter Übersicht über Unified Threat Management.

  • Weitere Informationen zur Content Security-Antispam-Konfiguration der SRX-Serie finden Sie unter Übersicht über die Antispamfilterung.

  • Advanced Resource Management (vSRX 3.0): Ab Junos OS Version 19.4R1 verwaltet die Virtuelle Firewall vSRX 3.0 die zusätzlichen Systemressourcenanforderungen für Content-Sicherheit und IDP-spezifische Services durch die Neuzuweisung von CPU-Kernen und zusätzlichem Speicher. Diese Werte für Arbeitsspeicher und CPU-Kerne sind nicht vom Benutzer konfiguriert. Bisher wurden Systemressourcen wie Arbeitsspeicher und CPU-Kerne behoben.

    Sie können die zugewiesene CPU und den Arbeitsspeicher für erweiterte Sicherheitsdienste auf der Instanz der virtuellen Firewall vSRX 3.0 anzeigen, indem Sie den show security forward-options resource-manager settings Befehl verwenden. Verwenden Sie den show security monitoring Befehl, um die Skalierung der Flow-Sitzung anzuzeigen.

    [Weitere Informationen finden Sie unter Anzeigen der Sicherheitsüberwachung und Anzeigen von Ressourcen-Manager-Einstellungen für Sicherheitsweiterleitungsoptionen.]
Tunnel

Nur GRE und IP-IP
Verbesserte CPU-Core-Zuweisung für RE (vSRX 3.0)

Wenn Sie vSRX 3.0-Instanzen mit einer geraden Anzahl von CPU-Kernen starten, werden der Routing-Engine (RE) standardmäßig zwei CPU-Kerne zugewiesen. Diese Zuweisung verbessert die Systemstabilität und gewährleistet den effizienten Betrieb der Routing-Engine und der Packet Forwarding Engine. Bei Systemen mit einer ungeraden Anzahl von CPU-Kernen wird der Routing-Engine nur ein Kern zugeordnet.

Der set security forward-options resource-manager cpu re <n> Befehl ist jetzt veraltet. Sie können die Anzahl der CPU-Kerne auf der Routing-Engine nicht manuell konfigurieren, da diese Kerne bei der Standardzuweisung automatisch zugewiesen werden.

Verwenden Sie den Befehl, um die Anzahl der RE-CPU-Kerne zu konfigurieren und show security forward-options resource-manager settings zu überprüfen.

Tabelle 1: Standard-CPU-Core-Zuweisung
CPU-Anzahl RE PFE
4 2 2
8 2 6
16 2 14
24 4 20
32 4 28

Siehe resource-manager (Weiterleitungsoptionen) und show security forward-options resource-manager

Für einige Funktionen der Junos OS-Software ist eine Lizenz erforderlich, um die Funktion zu aktivieren. Weitere Informationen zu Lizenzen für die virtuelle Firewall vSRX finden Sie unter Lizenzen für vSRX. Allgemeine Informationen zur Lizenzverwaltung finden Sie im Lizenzierungshandbuch . Weitere Einzelheiten entnehmen Sie bitte den Datenblättern des Produkts, oder wenden Sie sich an Ihr Juniper Kundenteam oder Ihren Juniper Partner.

Funktionen der SRX-Serie, die von der virtuellen Firewall vSRX nicht unterstützt werden

Die virtuelle Firewall vSRX übernimmt viele Funktionen der Firewall-Produktlinie der SRX-Serie. Tabelle 3 listet Funktionen der SRX-Serie auf, die in einer virtualisierten Umgebung nicht anwendbar sind, die derzeit nicht unterstützt werden oder die von der Virtuelle Firewall vSRX nur eingeschränkt unterstützt werden.

Tabelle 3: Funktionen der SRX-Serie, die von der virtuellen Firewall vSRX nicht unterstützt werden

Funktionen der SRX-Serie

Virtuelle Firewall vSRX – Hinweise
Gateways auf Anwendungsebene

Avaya H.323

Nicht unterstützt
Authentifizierung mit Geräten der IC-Serie

Layer 2-Erzwingung in UAC-Bereitstellungen

Nicht unterstützt

Anmerkung:

UAC-IDP und UAC-Content Security werden ebenfalls nicht unterstützt.
Unterstützung von Gehäuse-Clustern
Anmerkung:

Unterstützung für Chassis-Clustering zur Bereitstellung von Netzwerkknotenredundanz ist nur auf einer virtuelle Firewall vSRX-Bereitstellung in Contrail, VMware, KVM und Windows Hyper-V Server 2016 verfügbar.

Gehäuse-Cluster für VirtIO-Treiber

Nur unterstützt mit KVM

Anmerkung:

Der Verbindungsstatus von VirtIO-Schnittstellen wird immer als "UP" gemeldet, sodass ein Chassis-Cluster der virtuellen Firewall vSRX keine Link-Up- und Link-Down-Nachrichten von VirtIO-Schnittstellen empfangen kann.

Duale Steuerverbindungen

Nicht unterstützt

In-Band- und Cluster-Upgrades mit geringen Auswirkungen

Nicht unterstützt

LAG und LACP (Layer 2 und Layer 3)

Nicht unterstützt

Layer-2-Ethernet-Switching

Nicht unterstützt

Firewall mit geringer Latenz

Nicht unterstützt
Class of Service

Warteschlange mit hoher Priorität auf SPC

Nicht unterstützt

Tunnel

Eine VM mit Virtuelle Firewall vSRX, die in der Microsoft Azure Cloud bereitgestellt wird, unterstützt GRE, IP-IP und Multicast nicht.
Sicherheitsprotokollmeldungen für Data Plane (Stream-Modus)

TLS-Protokoll

Nicht unterstützt
Diagnosetools

Datenstromüberwachung cflowd Version 9

Nicht unterstützt

Ping-Ethernet (CFM)

Nicht unterstützt

Traceroute-Ethernet (CFM)

Nicht unterstützt
DNS-Proxy

Dynamisches DNS

Nicht unterstützt
Ethernet-Link-Aggregation

LACP im Standalone- oder Chassis-Cluster-Modus

Nicht unterstützt

Layer-3-LAG auf gerouteten Ports

Nicht unterstützt

Statische LAG im Standalone- oder Chassis-Cluster-Modus

Nicht unterstützt
Fehlermanagement für Ethernet-Verbindungen

Physikalische Schnittstelle (Kapselungen)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

Nicht unterstützt

Schnittstellen-Familie

  • ccc, tcc

  • ethernet-switching

Nicht unterstützt
Datenstrom- und paketbasierte Verarbeitung

End-to-End-Paket-Debugging

Nicht unterstützt

Bündelung von Netzwerkprozessoren

Auslagerung von Services
Schnittstellen

Aggregierte Ethernet-Schnittstelle

Nicht unterstützt

Dynamische VLAN-Zuweisung nach IEEE 802.1X

Nicht unterstützt

IEEE 802.1X MAC-Bypass

Nicht unterstützt

IEEE 802.1X-Port-basierte Authentifizierungssteuerung mit Multisupplicant-Unterstützung

Nicht unterstützt

Verschachtelung mit MLFR

Nicht unterstützt

Poe

Nicht unterstützt

PPP-Schnittstelle

Nicht unterstützt

PPPoE-basiertes Radio-to-Router-Protokoll

Nicht unterstützt

PPPoE-Schnittstelle

Anmerkung:

Ab Junos OS Version 15.1X49-D100 und Junos OS Version 17.4R1 unterstützt die Virtuelle Firewall vSRX die PPPoE-Schnittstelle (Point-to-Point Protocol over Ethernet).

Nicht unterstützt

Promiskuitiver Modus auf Schnittstellen

Wird nur unterstützt, wenn auf dem Hypervisor aktiviert
IPSec und VPNs

Acadia – Clientloses VPN

Nicht unterstützt

DVPN

Nicht unterstützt

Hardware-IPsec (Bulk-Krypto) Cavium/RMI

Nicht unterstützt

IPsec-Tunnelterminierung in Routing-Instanzen

Wird nur auf virtuellen Routern unterstützt

Multicast für AutoVPN

Nicht unterstützt
IPv6-Unterstützung

DS-Lite Konzentrator (auch Address Family Transition Router [AFTR] genannt)

Nicht unterstützt

DS-Lite Initiator (auch bekannt als B4)

Nicht unterstützt
J-Web

Erweiterte Routing-Konfiguration

Nicht unterstützt

Assistent für neue Setups (für neue Konfigurationen)

Nicht unterstützt

PPPoE-Assistent

Nicht unterstützt

Remote-VPN-Assistent

Nicht unterstützt

Wiederherstellungslink auf dem Dashboard

Nicht unterstützt

Content Security-Konfiguration für Kaspersky Antivirus und das Standardprofil für die Webfilterung

Nicht unterstützt
Protokolldateiformate für Systemprotokolle (Control Plane)

Binärformat (binär)

Nicht unterstützt

WELF

Nicht unterstützt
Verschiedenes

GPRS

Anmerkung:

Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 unterstützt die Virtuelle Firewall vSRX GPRS.

Nicht unterstützt

Hardwarebeschleunigung

Nicht unterstützt

Ausgehende SSH

Nicht unterstützt

Remote-Zugriff auf Instanzen

Nicht unterstützt

USB-Modem

Nicht unterstützt

WLAN

Nicht unterstützt
MPLS

Crcuit Cross-Connect (CCC) und Translational Cross-Connect (TCC)

Nicht unterstützt

Layer-2-VPNs für Ethernet-Verbindungen

Nur wenn der promiskuitive Modus auf dem Hypervisor aktiviert ist
Network Address Translation

Maximieren persistenter NAT-Bindungen

Nicht unterstützt
Paketerfassung

Paketerfassung

Wird nur auf physischen Schnittstellen und Tunnelschnittstellen unterstützt, z. B gr. , ipund st0. Die Paketerfassung wird auf redundanten Ethernet-Schnittstellen nicht unterstützt (reth).
Routing

BGP-Erweiterungen für IPv6

Nicht unterstützt

BGP Flowspec

Nicht unterstützt

BGP-Routenreflektor

Nicht unterstützt

CRTP

Nicht unterstützt
Umschaltung

Layer 3 Q-in-Q-VLAN-Tagging

Nicht unterstützt
Transparenter Modus

Inhaltssicherheit

Nicht unterstützt
Inhaltssicherheit

Express-AV

Nicht unterstützt

Kaspersky AV

Nicht unterstützt
Upgrade und Neustart

Automatische Wiederherstellung

Nicht unterstützt

Konfiguration der Startinstanz

Nicht unterstützt

Wiederherstellung der Boot-Instanz

Nicht unterstützt

Dual-Root-Partitionierung

Nicht unterstützt

Rollback des Betriebssystems

Nicht unterstützt
Benutzeroberflächen

NSM

Nicht unterstützt

SRC-Anwendung

Nicht unterstützt

Junos Space Virtual Director

Wird nur unterstützt mit VMware