Fonctionnalités de Junos OS prises en charge sur le pare-feu virtuel vSRX

RÉSUMÉ Cette rubrique fournit des détails sur les fonctionnalités de Junos OS prises en charge et non sur le pare-feu virtuel vSRX.

Fonctionnalités SRX Series prises en charge sur le pare-feu virtuel vSRX

Le pare-feu virtuel vSRX hérite de la plupart des fonctionnalités SRX Series pour les branches, les considérations suivantes étant indiquées dans le tableau 1.

Pour déterminer les fonctionnalités de Junos OS prises en charge sur le pare-feu virtuel vSRX, utilisez l’Explorateur de fonctionnalités Juniper Networks, une application Web qui vous aide à explorer et à comparer les informations relatives aux fonctionnalités de Junos OS afin de trouver la version logicielle et la plate-forme matérielle adaptées à votre réseau. Trouvez l’Explorateur de fonctionnalités à l’adresse suivante : Explorateur de fonctionnalités : vSRX .

Tableau 1 : considérations relatives aux fonctionnalités du pare-feu virtuel vSRX
Fonction	Description
PDI	La fonctionnalité IDP est basée sur un abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction IDP avec la clé de licence. Pour plus d’informations sur la configuration des IDP SRX Series, voir : Comprendre la détection et la prévention des intrusions pour SRX Series
VPN IPSec	À partir de Junos OS version 19.3R1, le pare-feu virtuel vSRX prend en charge les algorithmes d’authentification et de chiffrement suivants : Algorithme d’authentification : authentification hmac-sha1-96 et HMAC-SHA-256-128 Algorithme de cryptage : aes-128-cbc À partir de Junos OS version 20.3R1, le pare-feu virtuel vSRX prend en charge 10 000 tunnels VPN IPsec. Pour prendre en charge le nombre croissant de tunnels VPN IPsec, un minimum de 19 vCPU est requis. Sur les 19 vCPU, 3 vCPU doivent être dédiés à RE. Vous devez exécuter la commande la première fois que vous souhaitez activer une `request system software add optional://junos-ike.tgz` capacité de tunnel IPsec accrue. Pour les mises à niveau logicielles ultérieures de l’instance, le package junos-ike est automatiquement mis à niveau à partir des nouvelles versions de Junos OS installées dans l’instance. DH group15, group16, group21 est également ajouté lorsque nous installons le paquet junos-ike. Si le cluster de châssis est activé, exécutez cette commande sur les deux nœuds. Vous pouvez configurer le nombre de vCPU alloués au moteur de routage Junos à l’aide de la `set security forwarding-options resource-manager cpu re <value>`. Note: Une mémoire de 64 G est nécessaire pour prendre en charge 10000 tunnels en mode PMI. [Voir afficher les associations de sécurité ipsec, afficher la carte des tunnels ike de sécurité et afficher la distribution des tunnels ipsec de sécurité.]
VPN IPsec - Mise à l’échelle du tunnel sur le pare-feu virtuel vSRX	Types de tunnels	Nombre de tunnels pris en charge
	Tunnels VPN site-site	2000
	Tunnels AutoVPN	10,000
	IKE SA (site à site)	2000
	IKE SA (AutoVPN)	10,000
	IKE SA (Site-to-site + AutoVPN)	10,000
	Paires de SA IPSec (site à site)	10,000 Avec 2000 SA IKE, on peut avoir 10 000 SA IPSec.
	Paires de SA IPSec (AutoVPN)	10,000
	Paires Site à Site + AutoVPN IPSec SA	2000 Site à site 8000 AutoVPN
	Site à site + tunnels AutoVPN	2000 Site à site 8000 AutoVPN
ISSU	ISSU n’est pas pris en charge.
Systèmes logiques	À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes logiques et des systèmes locataires sur des instances de pare-feu virtuel vSRX et de pare-feu virtuel vSRX 3.0. Avec Junos OS, vous pouvez partitionner un seul équipement de sécurité en plusieurs équipements logiques pouvant effectuer des tâches indépendantes. Chaque système logique possède son propre domaine administratif distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctions de sécurité. Voir Présentation des systèmes logiques.
PowerMode IPsec	À partir de Junos OS version 20.1R1, les instances de pare-feu virtuel vSRX 3.0 prennent en charge PowerMode IPsec qui améliore les performances IPsec à l’aide du traitement vectoriel des paquets (VPP) et des instructions Intel AES-NI. PowerMode IPsec est un petit bloc logiciel à l’intérieur du SRX PFE (SRX Packet Forwarding Engine) qui est activé lorsque PowerMode est activé. Fonctionnalités prises en charge dans PowerMode IPsec Fonctionnalité IPsec Sélecteur de trafic Interface de tunnel sécurisé (st0) Toutes les fonctionnalités IKE du plan de contrôle VPN automatique avec sélecteur de trafic VPN automatique avec protocole de routage IPv6 Pare-feu dynamique de couche 4 Haute disponibilité NAT-T Fonctionnalités non prises en charge dans PowerMode IPsec NAT IPsec dans IPsec Pare-feu GTP/SCTP Pare-feu applicatif/AppSecure Qos Tunnel imbriqué Écran Multidiffusion Trafic hôte
Commutation et pontage Ethernet	À partir de Junos OS version 22.1R1, les instances vSRX Virtual Firewall et vSRX Virtual Firewall 3.0 déployées sur les plates-formes KVM et VMware prennent en charge le balisage VLAN flexible sur les interfaces Revenue et Reth. Le balisage VLAN flexible prend en charge la transmission de trames VLAN monobalise 802.1Q sur les interfaces logiques du port Ethernet. En outre, évite plusieurs fonctions virtuelles sur la carte d’interface réseau (NIC) et réduit le besoin d’interfaces supplémentaires. [Voir Configuration du balisage VLAN et du balisage vlan flexible (interfaces).]
Systèmes de location	À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes locataires sur des instances de pare-feu virtuel vSRX et de pare-feu virtuel vSRX 3.0. Un système locataire assure le partitionnement logique du pare-feu SRX Series en plusieurs domaines similaires aux systèmes logiques et offre une évolutivité élevée. Voir Présentation des systèmes de location.
Mode transparent	Les comportements connus pour la prise en charge du mode transparent sur le pare-feu virtuel vSRX sont les suivants : La taille par défaut de la table d’apprentissage MAC est limitée à 16 383 entrées. Pour plus d’informations sur la configuration du mode transparent pour le pare-feu virtuel vSRX, reportez-vous à Vue d’ensemble du pontage et du mode transparent de couche 2.
Sécurité du contenu	La fonctionnalité Content Security est basée sur un abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction de sécurité du contenu avec la clé de licence. À partir de Junos OS version 19.4R1, les instances de pare-feu virtuel vSRX 3.0 prennent en charge le moteur d’analyse Avira, qui est un moteur d’analyse antivirus intégré à l’appareil. Voir Moteur d’analyse antivirus sur l’appareil. Pour plus d’informations sur la configuration de la sécurité du contenu SRX Series, reportez-vous à Présentation de la gestion unifiée des menaces. Pour plus d’informations sur la configuration antispam de SRX Series Content Security, reportez-vous à Présentation du filtrage antispam. `Advanced resource management (vSRX 3.0)`: à partir de Junos OS version 19.4R1, vSRX Virtual Firewall 3.0 gère les besoins en ressources système supplémentaires pour les services spécifiques à la sécurité du contenu et aux IDP en réaffectant les cœurs de processeur et la mémoire supplémentaire. Ces valeurs pour les cœurs de mémoire et de processeur ne sont pas configurées par l’utilisateur. Auparavant, les ressources système telles que la mémoire et les cœurs de processeur étaient fixes. Vous pouvez afficher le processeur et la mémoire alloués pour les services de sécurité avancés sur l’instance vSRX Virtual Firewall 3.0 à l’aide de la `show security forward-options resource-manager settings` commande. Pour afficher la mise à l’échelle de la session de flux, utilisez la `show security monitoring` commande. [Voir Afficher la surveillance de la sécurité et afficher les paramètres du gestionnaire de ressources des options de transfert de sécurité.]
Tunnels	Uniquement GRE et IP-IP

Certaines fonctionnalités du logiciel Junos OS nécessitent une licence pour être activées. Pour en savoir plus sur les licences de pare-feu virtuel vSRX, reportez-vous à la section Licences pour vSRX. Reportez-vous au Guide des licences pour obtenir des informations générales sur la gestion des licences. Reportez-vous aux fiches techniques des produits pour plus de détails, ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.

Fonctionnalités SRX Series non prises en charge sur le pare-feu virtuel vSRX

Le pare-feu virtuel vSRX hérite de nombreuses fonctionnalités de la gamme de produits SRX Series Firewall. Le tableau 2 répertorie les fonctionnalités SRX Series qui ne sont pas applicables dans un environnement virtualisé, qui ne sont pas prises en charge actuellement ou qui bénéficient d’une prise en charge qualifiée sur le pare-feu virtuel vSRX.

Tableau 2 : fonctionnalités SRX Series non prises en charge sur le pare-feu virtuel vSRX
Fonction SRX Series	Remarques sur le pare-feu virtuel vSRX
Passerelles de couche applicative
Avaya H.323	Non pris en charge
Authentification avec les équipements IC Series
Application de couche 2 dans les déploiements de contrôle de compte d’utilisateur	Non pris en charge Note: UAC-IDP et UAC-Content Security ne sont pas non plus pris en charge.
Prise en charge des clusters de châssis Note: La prise en charge du clustering de châssis pour assurer la redondance des nœuds réseau est uniquement disponible sur un déploiement de pare-feu virtuel vSRX dans Contrail, VMware, KVM et Windows Hyper-V Server 2016.
Cluster de châssis pour pilote VirtIO	Uniquement pris en charge avec KVM Note: L’état de liaison des interfaces VirtIO est toujours indiqué comme UP, de sorte qu’un cluster de châssis de pare-feu virtuel vSRX ne peut pas recevoir de messages de liaison montante et descendante des interfaces VirtIO.
Liaisons à double contrôle	Non pris en charge
Mises à niveau intrabande et clusters à faible impact	Non pris en charge
LAG et LACP (couches 2 et 3)	Non pris en charge
Commutation Ethernet de couche 2	Non pris en charge
Pare-feu à faible latence	Non pris en charge
Classe de service
File d’attente prioritaire sur SPC	Non pris en charge
Tunnels	Une machine virtuelle de pare-feu virtuel vSRX déployée sur le cloud Microsoft Azure ne prend pas en charge GRE, IP-IP et multicast.
Messages du journal de sécurité du plan de données (mode stream)
Protocole TLS	Non pris en charge
Outils de diagnostic
Surveillance des flux cflowd version 9	Non pris en charge
Ping Ethernet (CFM)	Non pris en charge
Traceroute Ethernet (CFM)	Non pris en charge
Proxy DNS
DNS dynamique	Non pris en charge
Agrégation de liens Ethernet
LACP en mode autonome ou cluster de châssis	Non pris en charge
LAG de couche 3 sur les ports routés	Non pris en charge
LAG statique en mode autonome ou cluster de châssis	Non pris en charge
Gestion des pannes de liaison Ethernet
Interface physique (encapsulations) `ethernet-ccc` `ethernet-tcc` `extended-vlan-ccc` `extended-vlan-tcc`	Non pris en charge
Famille d’interfaces `ccc`, `tcc` `ethernet-switching`	Non pris en charge
Traitement basé sur les flux et sur les paquets
Débogage de paquets de bout en bout	Non pris en charge
Groupement de processeurs réseau
Délestage de services
Interfaces
Interface Ethernet agrégée	Non pris en charge
Attribution de VLAN dynamique IEEE 802.1X	Non pris en charge
Contournement MAC IEEE 802.1X	Non pris en charge
Contrôle d’authentification basé sur port IEEE 802.1X avec prise en charge multidemandeur	Non pris en charge
Entrelacement à l’aide de MLFR	Non pris en charge
Poe	Non pris en charge
Interface PPP	Non pris en charge
Protocole radio-routeur basé sur PPPoE	Non pris en charge
Interface PPPoE Note: À partir de Junos OS version 15.1X49-D100 et Junos OS version 17.4R1, le pare-feu virtuel vSRX prend en charge l’interface PPPoE (Point-to-Point Protocol over Ethernet).	Non pris en charge
Mode promiscuité sur les interfaces	Uniquement pris en charge s’il est activé sur l’hyperviseur
IPSec et VPN
Acadia - VPN sans client	Non pris en charge
DVPN	Non pris en charge
Matériel IPsec (crypto en masse) Cavium/RMI	Non pris en charge
Terminaison de tunnel IPsec dans les instances de routage	Pris en charge sur le routeur virtuel uniquement
Multicast pour AutoVPN	Non pris en charge
Prise en charge d’IPv6
Concentrateur DS-Lite (également appelé routeur de transition de famille d’adresses [AFTR])	Non pris en charge
Initiateur DS-Lite (alias B4)	Non pris en charge
J-Web
Configuration de routage améliorée	Non pris en charge
Assistant Nouvelle installation (pour les nouvelles configurations)	Non pris en charge
Assistant PPPoE	Non pris en charge
Assistant VPN distant	Non pris en charge
Lien de secours sur le tableau de bord	Non pris en charge
Configuration de la sécurité du contenu pour Kaspersky antivirus et profil de filtrage Web par défaut	Non pris en charge
Formats des fichiers journaux système (plan de contrôle)
Format binaire (binaire)	Non pris en charge
WELF	Non pris en charge
Divers
GPRS Note: À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, le pare-feu virtuel vSRX prend en charge le GPRS.	Non pris en charge
Accélération matérielle	Non pris en charge
SSH sortant	Non pris en charge
Accès à distance aux instances	Non pris en charge
Modem USB	Non pris en charge
Réseau local sans fil	Non pris en charge
MPLS
Cross-connect Crcuit (CCC) et cross-connect translationnel (TCC)	Non pris en charge
VPN de couche 2 pour les connexions Ethernet	Seulement si le mode promiscuité est activé sur l’hyperviseur
Traduction des adresses réseau
Maximiser les liaisons NAT persistantes	Non pris en charge
Capture de paquets
Capture de paquets	Uniquement pris en charge sur les interfaces physiques et les interfaces de tunnel, telles que `gr`, `ip`et `st0`. La capture de paquets n’est pas prise en charge sur les interfaces Ethernet redondantes (`reth`).
Routage
Extensions BGP pour IPv6	Non pris en charge
BGP Flowspec	Non pris en charge
Réflecteur de route BGP	Non pris en charge
CRTP (en anglais)	Non pris en charge
Commutation
Balisage VLAN Q-in-Q de couche 3	Non pris en charge
Mode transparent
Sécurité du contenu	Non pris en charge
Sécurité du contenu
Express AV	Non pris en charge
Kaspersky AV	Non pris en charge
Mise à niveau et redémarrage
Récupération automatique	Non pris en charge
Configuration de l’instance de démarrage	Non pris en charge
Récupération de l’instance de démarrage	Non pris en charge
Partitionnement double racine	Non pris en charge
Restauration du système d’exploitation	Non pris en charge
Interfaces utilisateur
NSM	Non pris en charge
Application SRC	Non pris en charge
Junos Space Virtual Director	Uniquement pris en charge avec VMware