Von der virtuellen vSRX-Firewall unterstützte Junos OS-Funktionen

ZUSAMMENFASSUNG Dieses Thema enthält Details zu den Junos OS-Funktionen, die von der virtuellen vSRX-Firewall unterstützt werden und die nicht.

Funktionen der SRX-Serie, die von der virtuellen vSRX-Firewall unterstützt werden

Die virtuelle vSRX-Firewall übernimmt die meisten Funktionen der Zweigstellen-SRX-Serie, wobei die folgenden Überlegungen in Tabelle 1 dargestellt sind.

Um die von der virtuellen vSRX-Firewall unterstützten Junos OS-Funktionen zu ermitteln, verwenden Sie den Juniper Networks Feature Explorer, eine webbasierte Anwendung, mit der Sie Junos OS-Funktionsinformationen untersuchen und vergleichen können, um die richtige Softwareversion und Hardwareplattform für Ihr Netzwerk zu finden. Sie finden den Feature-Explorer unter: Feature-Explorer: vSRX .

Tabelle 1: Überlegungen zu den Funktionen der virtuellen vSRX-Firewall
Merkmal	Beschreibung
IDP	Die IDP-Funktion basiert auf einem Abonnement und muss erworben werden. Nach dem Kauf können Sie die IDP-Funktion mit dem Lizenzschlüssel aktivieren. Einzelheiten zur IDP-Konfiguration der SRX-Serie finden Sie unter: Grundlegendes zur Intrusion Detection and Prevention für die SRX-Serie
IPSec-VPNs	Ab Junos OS Version 19.3R1 unterstützt die virtuelle vSRX-Firewall die folgenden Authentifizierungs- und Verschlüsselungsalgorithmen: Authentifizierungsalgorithmus: hmac-sha1-96 und HMAC-SHA-256-128 Authentifizierung Verschlüsselungsalgorithmus: aes-128-cbc Ab Junos OS Version 20.3R1 unterstützt die virtuelle vSRX-Firewall VPN-Tunnel mit 10.000 IPsec. Um die erhöhte Anzahl von IPsec-VPN-Tunneln zu unterstützen, sind mindestens 19 vCPUs erforderlich. Von den 19 vCPUs müssen 3 vCPUs für RE reserviert sein. Sie müssen den `request system software add optional://junos-ike.tgz` Befehl ausführen, wenn Sie die erhöhte IPsec-Tunnelkapazität zum ersten Mal aktivieren möchten. Bei nachfolgenden Software-Upgrades der Instance wird das Paket "junos-ike" automatisch von den neuen Junos OS-Versionen aktualisiert, die in der Instance installiert sind. DH group15, group16, group21 wird auch hinzugefügt, wenn wir das Paket junos-ike installieren. Wenn der Chassis-Cluster aktiviert ist, führen Sie diesen Befehl auf beiden Knoten aus. Sie können die Anzahl der vCPUs, die der Junos-Routing-Engine zugewiesen sind, mithilfe der .`set security forwarding-options resource-manager cpu re <value>` Anmerkung: 64 G Speicher sind erforderlich, um 10000 Tunnel im PMI-Modus zu unterstützen. [Siehe show security ipsec security-associations, show security ike tunnel-map und show security ipsec tunnel-distribution.]
IPsec-VPN – Tunnelskalierung auf virtueller vSRX-Firewall	Arten von Tunneln	Anzahl der unterstützten Tunnel
	Site-Site-VPN-Tunnel	2000
	AutoVPN-Tunnel	10,000
	IKE SA (Site-to-Site)	2000
	IKE SA (AutoVPN)	10,000
	IKE SA (Site-to-site + AutoVPN)	10,000
	IPSec-SA-Paare (Site-to-Site)	10,000 Mit 2000 IKE-Sicherheitszuordnungen können wir 10.000 IPSec-Sicherheitszuordnungen haben.
	IPSec SA-Paare (AutoVPN)	10,000
	Site-to-Site + AutoVPN IPSec SA-Paare	2000 Site-to-Site 8000 AutoVPN
	Site-to-Site + AutoVPN-Tunnel	2000 Site-to-Site 8000 AutoVPN
ISSU	ISSU wird nicht unterstützt.
Logische Systeme	Ab Junos OS Version 20.1R1 können Sie logische Systeme und Mandantensysteme auf vSRX Virtual Firewall- und vSRX Virtual Firewall 3.0-Instances konfigurieren. Mit Junos OS können Sie ein einzelnes Sicherheitsgerät in mehrere logische Geräte partitionieren, die unabhängige Aufgaben ausführen können. Jedes logische System verfügt über eine eigene separate administrative Domäne, logische Schnittstellen, Routing-Instanzen, eine Sicherheitsfirewall und andere Sicherheitsfunktionen. Weitere Informationen finden Sie unter Übersicht über logische Systeme.
PowerMode-IPsec	Ab Junos OS Version 20.1R1 unterstützen vSRX Virtual Firewall 3.0-Instanzen PowerMode-IPsec, das IPsec-Leistungsverbesserungen mithilfe von Vector Packet Processing (VPP) und Intel AES-NI-Anweisungen ermöglicht. PowerMode IPsec ist ein kleiner Softwareblock innerhalb der SRX PFE (SRX Packet Forwarding Engine), der aktiviert wird, wenn der PowerMode aktiviert ist. Unterstützte Funktionen in PowerMode IPsec IPsec-Funktionalität Traffic-Selektoren Sichere Tunnelschnittstelle (st0) Alle IKE-Funktionen der Steuerungsebene Auto-VPN mit Datenverkehrsauswahl Auto-VPN mit Routing-Protokoll IPv6 Zustandsbehaftete Layer-4-Firewall Hochverfügbarkeit NAT-T Nicht unterstützte Funktionen in PowerMode-IPsec NAT IPsec in IPsec GTP/SCTP-Firewall Application Firewall/AppSecure QoS Verschachtelter Tunnel Bildschirm Multicast Host-Datenverkehr
Ethernet-Switching und Bridging	Ab Junos OS Version 22.1R1 unterstützen virtuelle vSRX-Firewall- und vSRX Virtual Firewall 3.0-Instanzen, die auf KVM- und VMware-Plattformen bereitgestellt werden, flexibles VLAN-Tagging auf Umsatz- und RETH-Schnittstellen. Flexibles VLAN-Tagging unterstützt die Übertragung von 802.1Q-VLAN-Single-Tag-Frames auf logischen Schnittstellen am Ethernet-Port. Außerdem werden mehrere virtuelle Funktionen auf der Netzwerkschnittstellenkarte (NIC) vermieden und der Bedarf an zusätzlichen Schnittstellen reduziert. [Siehe Konfigurieren von VLAN-Tagging und flexible-VLAN-Tagging (Schnittstellen).]
Mandantensysteme	Ab Junos OS Version 20.1R1 können Sie Mandantensysteme auf Instanzen der virtuellen vSRX-Firewall und der virtuellen vSRX-Firewall 3.0 konfigurieren. Ein Mandantensystem bietet eine logische Partitionierung der Firewall der SRX-Serie in mehrere Domänen, ähnlich wie logische Systeme, und bietet eine hohe Skalierbarkeit. Weitere Informationen finden Sie unter Übersicht über Mandantensysteme.
Transparenter Modus	Die bekannten Verhaltensweisen für die Unterstützung des transparenten Modus auf der virtuellen vSRX-Firewall sind: Die standardmäßige Größe der MAC-Lerntabelle ist auf 16.383 Einträge beschränkt. Informationen zum Konfigurieren des transparenten Modus für die virtuelle vSRX-Firewall finden Sie unter Übersicht über Layer 2-Bridging und transparenten Modus.
Content-Sicherheit	Die Content Security-Funktion basiert auf einem Abonnement und muss erworben werden. Nach dem Kauf können Sie die Content Security-Funktion mit dem Lizenzschlüssel aktivieren. Ab Junos OS Version 19.4R1 unterstützen vSRX Virtual Firewall 3.0-Instanzen die Avira Scan-Engine, eine Antivirus-Scan-Engine auf dem Gerät. Weitere Informationen finden Sie unter Antivirus-Scanmodul auf dem Gerät. Einzelheiten zur Konfiguration von Content Security der SRX-Serie finden Sie unter Übersicht über Unified Threat Management. Weitere Informationen zur Antispamkonfiguration von Content Security der SRX-Serie finden Sie unter Übersicht über die Antispamfilterung. `Advanced resource management (vSRX 3.0)`—Ab Junos OS Version 19.4R1 verwaltet vSRX Virtual Firewall 3.0 die zusätzlichen Systemressourcenanforderungen für Content Security- und IDP-spezifische Services durch Neuzuweisung von CPU-Kernen und zusätzlichem Arbeitsspeicher. Diese Werte für Arbeitsspeicher und CPU-Kerne sind nicht vom Benutzer konfiguriert. Zuvor wurden Systemressourcen wie Arbeitsspeicher und CPU-Kerne festgelegt. Mit dem `show security forward-options resource-manager settings` Befehl können Sie die zugewiesene CPU und den Arbeitsspeicher für erweiterte Sicherheitsdienste auf der vSRX Virtual Firewall 3.0-Instanz anzeigen. Verwenden Sie den Befehl, um `show security monitoring` die Skalierung der Flow-Sitzung anzuzeigen. [Siehe Anzeigen der Sicherheitsüberwachung und Anzeigen der Einstellungen für den Ressourcen-Manager für Sicherheitsweiterleitungsoptionen.]
Tunnel	Nur GRE und IP-IP

Für einige Funktionen der Junos OS-Software ist eine Lizenz erforderlich, um die Funktion zu aktivieren. Weitere Informationen zu Lizenzen für virtuelle vSRX-Firewalls finden Sie unter Lizenzen für vSRX. Allgemeine Informationen zum Lizenzmanagement finden Sie im Lizenzierungshandbuch . Weitere Einzelheiten entnehmen Sie bitte den Produktdatenblättern oder wenden Sie sich an Ihr Juniper Account-Team oder Ihren Juniper Partner.

Funktionen der SRX-Serie, die von der virtuellen vSRX-Firewall nicht unterstützt werden

Die virtuelle Firewall vSRX übernimmt viele Funktionen aus der Firewall-Produktlinie der SRX-Serie. Tabelle 2 listet Funktionen der SRX-Serie auf, die in einer virtualisierten Umgebung nicht anwendbar sind, die derzeit nicht unterstützt werden oder die von der virtuellen vSRX-Firewall qualifiziert unterstützt werden.

Tabelle 2: Funktionen der SRX-Serie, die von der virtuellen vSRX-Firewall nicht unterstützt werden
Funktionen der SRX-Serie	Hinweise zur virtuellen vSRX-Firewall
Gateways auf Anwendungsebene
Avaya H.323	Nicht unterstützt
Authentifizierung mit Geräten der IC-Serie
Layer-2-Durchsetzung in UAC-Bereitstellungen	Nicht unterstützt Anmerkung: UAC-IDP und UAC-Content Security werden ebenfalls nicht unterstützt.
Unterstützung von Chassis-Clustern Anmerkung: Unterstützung für Chassis-Clustering zur Bereitstellung von Netzwerkknotenredundanz ist nur für eine virtuelle vSRX-Firewall-Bereitstellung in Contrail, VMware, KVM und Windows Hyper-V Server 2016 verfügbar.
Chassis-Cluster für VirtIO-Treiber	Wird nur mit KVM unterstützt Anmerkung: Der Verbindungsstatus von VirtIO-Schnittstellen wird immer als UP gemeldet, sodass ein vSRX Virtual Firewall-Chassis-Cluster keine Link-Up- und Link-Down-Nachrichten von VirtIO-Schnittstellen empfangen kann.
Duale Steuerverbindungen	Nicht unterstützt
In-Band- und Cluster-Upgrades mit geringen Auswirkungen	Nicht unterstützt
LAG und LACP (Layer 2 und Layer 3)	Nicht unterstützt
Layer-2-Ethernet-Switching	Nicht unterstützt
Firewall mit geringer Latenz	Nicht unterstützt
Serviceklasse
Warteschlange mit hoher Priorität auf SPC	Nicht unterstützt
Tunnel	Eine virtuelle vSRX-Firewall-VM, die in der Microsoft Azure-Cloud bereitgestellt wird, unterstützt keine GRE-, IP-IP- und Multicast-Funktionen.
Sicherheitsprotokollmeldungen auf Datenebene (Stream-Modus)
TLS-Protokoll	Nicht unterstützt
Diagnosetools
Durchflussüberwachung cflowd Version 9	Nicht unterstützt
Ping-Ethernet (CFM)	Nicht unterstützt
Traceroute-Ethernet (CFM)	Nicht unterstützt
DNS-Proxy
Dynamisches DNS	Nicht unterstützt
Ethernet-Link-Aggregation
LACP im Standalone- oder Chassis-Cluster-Modus	Nicht unterstützt
Layer-3-LAG auf gerouteten Ports	Nicht unterstützt
Statische LAG im Standalone- oder Chassis-Cluster-Modus	Nicht unterstützt
Fehlermanagement bei Ethernet-Verbindungen
Physische Schnittstelle (Verkapselungen) `ethernet-ccc` `ethernet-tcc` `extended-vlan-ccc` `extended-vlan-tcc`	Nicht unterstützt
Interface-Familie `ccc`, `tcc` `ethernet-switching`	Nicht unterstützt
Flow- und paketbasierte Verarbeitung
End-to-End-Paket-Debugging	Nicht unterstützt
Bündelung von Netzwerkprozessoren
Auslagerung von Dienstleistungen
Schnittstellen
Aggregierte Ethernet-Schnittstelle	Nicht unterstützt
Dynamische IEEE 802.1X-VLAN-Zuweisung	Nicht unterstützt
IEEE 802.1X MAC-Umgehung	Nicht unterstützt
IEEE 802.1X Port-basierte Authentifizierungssteuerung mit Multisupplicant-Unterstützung	Nicht unterstützt
Verschachtelung mit MLFR	Nicht unterstützt
Poe	Nicht unterstützt
PPP-Schnittstelle	Nicht unterstützt
PPPoE-basiertes Radio-to-Router-Protokoll	Nicht unterstützt
PPPoE-Schnittstelle Anmerkung: Ab Junos OS Version 15.1X49-D100 und Junos OS Version 17.4R1 unterstützt die virtuelle vSRX-Firewall die PPPoE-Schnittstelle (Point-to-Point Protocol over Ethernet).	Nicht unterstützt
Promiskuitiver Modus auf Schnittstellen	Wird nur unterstützt, wenn diese Option auf dem Hypervisor aktiviert ist
IPSec und VPNs
Acadia – Clientloses VPN	Nicht unterstützt
DVPN	Nicht unterstützt
Hardware-IPsec (Massen-Krypto) Cavium/RMI	Nicht unterstützt
IPsec-Tunnelterminierung in Routing-Instanzen	Wird nur auf virtuellen Routern unterstützt
Multicast für AutoVPN	Nicht unterstützt
IPv6-Unterstützung
DS-Lite-Konzentrator (auch Address Family Transition Router [AFTR] genannt)	Nicht unterstützt
DS-Lite-Initiator (auch bekannt als B4)	Nicht unterstützt
J-Web
Verbesserte Routing-Konfiguration	Nicht unterstützt
Assistent für neue Einstellungen (für neue Konfigurationen)	Nicht unterstützt
PPPoE-Assistent	Nicht unterstützt
Remote-VPN-Assistent	Nicht unterstützt
Rettungslink auf dem Dashboard	Nicht unterstützt
Content Security-Konfiguration für Kaspersky Antivirus und das Standardprofil für die Webfilterung	Nicht unterstützt
Protokolldateiformate für Systemprotokolle (Steuerungsebene)
Binärformat (binär)	Nicht unterstützt
REGAL	Nicht unterstützt
Verschiedenes
GPRS Anmerkung: Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 unterstützt die virtuelle vSRX Firewall GPRS.	Nicht unterstützt
Hardwarebeschleunigung	Nicht unterstützt
Ausgehendes SSH	Nicht unterstützt
Remote-Zugriff auf Instanzen	Nicht unterstützt
USB-Modem	Nicht unterstützt
Drahtloses LAN	Nicht unterstützt
MPLS
Crcuit-Cross-Connect (CCC) und Translational Cross-Connect (TCC)	Nicht unterstützt
Layer-2-VPNs für Ethernet-Verbindungen	Nur wenn der Promiscuous-Modus auf dem Hypervisor aktiviert ist
Network Address Translation
Maximieren Sie persistente NAT-Bindungen	Nicht unterstützt
Paketerfassung
Paketerfassung	Wird nur für physische Schnittstellen und Tunnelschnittstellen unterstützt, z. B. , `grip`und `st0`. Die Paketerfassung wird auf redundanten Ethernet-Schnittstellen (`reth`) nicht unterstützt.
Routing
BGP-Erweiterungen für IPv6	Nicht unterstützt
BGP-Flow-Spezifikation	Nicht unterstützt
BGP-Routenreflektor	Nicht unterstützt
CRTP	Nicht unterstützt
Umschaltung
Layer 3 Q-in-Q-VLAN-Tagging	Nicht unterstützt
Transparenter Modus
Content-Sicherheit	Nicht unterstützt
Content-Sicherheit
Express-AV	Nicht unterstützt
Kaspersky AV	Nicht unterstützt
Upgrade und Neustart
Automatische Wiederherstellung	Nicht unterstützt
Konfiguration der Boot-Instanz	Nicht unterstützt
Wiederherstellung der Boot-Instanz	Nicht unterstützt
Dual-Root-Partitionierung	Nicht unterstützt
Betriebssystem-Rollback	Nicht unterstützt
Benutzeroberflächen
NSM	Nicht unterstützt
SRC-Anwendung	Nicht unterstützt
Junos Space Virtual Director	Wird nur mit VMware unterstützt