Fonctionnalités de Junos OS prises en charge sur vSRX
RÉSUMÉ Cette rubrique fournit des détails sur les fonctionnalités de Junos OS prises en charge et non prises en charge sur vSRX.
Fonctionnalités SRX Series prises en charge sur vSRX
vSRX hérite de la plupart des fonctionnalités SRX Series des filiales avec les considérations suivantes présentées dans le tableau 1.
Pour déterminer les fonctionnalités de Junos OS prises en charge sur vSRX, utilisez Juniper Networks Feature Explorer, une application Web qui vous permet d’explorer et de comparer les informations relatives aux fonctionnalités de Junos OS pour trouver la version logicielle et la plate-forme matérielle appropriées pour votre réseau. Rechercher l’explorateur de fonctionnalités à l’adresse : Explorateur de fonctionnalités : vSRX .
Fonction |
Description |
|
---|---|---|
IDP |
La fonction IDP est basée sur l’abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonctionnalité IDP à l’aide de la clé de licence. Pour plus de détails sur la configuration de la gamme SRX Series IDP, reportez-vous à : Comprendre la détection et la prévention des intrusions pour SRX Series |
|
VPN IPSec |
À partir de Junos OS version 19.3R1, vSRX prend en charge les algorithmes d’authentification et de chiffrement suivants :
À partir de Junos OS version 20.3R1, vSRX prend en charge 10 000 tunnels VPN IPsec. Pour prendre en charge l’augmentation du nombre de tunnels VPN IPsec, un minimum de 19 vCPU sont nécessaires. Sur les 19 processeurs virtuels, 3 vCPU doivent être dédiés au RE. Vous devez exécuter cette Vous pouvez configurer le nombre de processeurs virtuels attribués au moteur de routage Junos à l’aide de la plate-forme
Note:
La mémoire 64 G est requise pour prendre en charge 1 0000 tunnels en mode PMI. [Voir show security ipsec security-associations, show security ike tunnel-map et show security ipsec tunnel-distribution.] |
|
VPN IPsec - Évolutivité des tunnels sur vSRX | Types de tunnels |
Nombre de tunnels pris en charge |
Tunnels VPN de site à site |
2000 |
|
Tunnels AutoVPN |
10,000 |
|
IKE SA (site à site) |
2000 |
|
IKE SA (AutoVPN) |
10,000 |
|
IKE SA (Site-to-site + AutoVPN) |
10,000 |
|
Paires SA IPSec (site à site) |
10,000 Avec 2 000 SAS IKE, nous pouvons avoir 10 000 IPSec SA. |
|
Paires SA IPSec (AutoVPN) |
10,000 |
|
Site à site + Paires AUTOVPN IPSec SA |
2 000 AutoVPN de site à site 8000 |
|
Site à site + tunnels AutoVPN |
2 000 AutoVPN de site à site 8000 |
|
ISSU |
ISSU n’est pas pris en charge. |
|
Systèmes logiques |
À partir de Junos OS Version 20.1R1, vous pouvez configurer les systèmes logiques et les systèmes locataires sur les instances vSRX et vSRX 3.0. Avec Junos OS, vous pouvez partitionner un seul équipement de sécurité en plusieurs équipements logiques capables d’effectuer des tâches indépendantes. Chaque système logique possède son propre domaine administratif distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctionnalités de sécurité. |
|
PowerMode IPsec |
À partir de Junos OS version 20.1R1, les instances vSRX 3.0 prennent en charge powermode IPsec qui fournit des améliorations des performances IPsec à l’aide du traitement des paquets Vector (VPP) et des instructions Intel AES-NI. L’IPsec PowerMode est un petit bloc logiciel au sein du MOTEUR de transfert de paquets SRX (SRX Packet Forwarding Engine) activé lorsque le mode d’alimentation est activé. Fonctionnalités prises en charge dans PowerMode IPsec
Fonctionnalités non prises en charge dans PowerMode IPsec
|
|
Commutation et pontage Ethernet | Depuis Junos OS version 22.1R1, les instances vSRX et vSRX 3.0 déployées sur les plates-formes KVM et VMware prennent en charge un balisage VLAN flexible sur les interfaces de revenus et de ressources. L’étiquetage VLAN flexible prend en charge la transmission de trames VLAN 802.1Q à balise unique sur les interfaces logiques sur le port Ethernet. En outre, évite de multiples fonctions virtuelles sur la carte d’interface réseau (NIC) et réduit le besoin d’interfaces supplémentaires. [Voir Configuration du balisage VLAN et du balisage flexible-vlan (Interfaces)] |
|
Systèmes de locataires |
À partir de Junos OS Version 20.1R1, vous pouvez configurer les systèmes d’utilisateur sur les instances vSRX et vSRX 3.0. Un système locataire permet le partitionnement logique de l’équipement SRX dans plusieurs domaines similaires aux systèmes logiques et offre une évolutivité élevée. |
|
Mode transparent |
Les comportements connus pour la prise en charge du mode transparent sur vSRX sont les suivants :
Pour plus d’informations sur la configuration du mode transparent pour vSRX, consultez la présentation du pontage de couche 2 et du mode transparent. |
|
Utm |
|
Certaines fonctionnalités du logiciel Junos OS nécessitent une licence pour activer cette fonctionnalité. Pour en savoir plus sur les licences vSRX, voir Licences pour vSRX. Reportez-vous au Guide des licences pour obtenir des informations générales sur la gestion des licences. Pour plus d’informations, reportez-vous aux fiches techniques du produit ou contactez votre chargé de compte Juniper ou votre partenaire Juniper.
Fonctionnalités SRX Series non prises en charge sur vSRX
vSRX hérite de nombreuses fonctionnalités de la gamme de produits d’équipements SRX Series. Le tableau 2 répertorie les fonctionnalités SRX Series qui ne s’appliquent pas à un environnement virtualisé, qui ne sont pas actuellement prises en charge ou qui disposent d’une assistance technique qualifiée sur vSRX.
Fonctionnalité SRX Series |
Notes vSRX |
---|---|
Passerelles de couche applicative | |
Avaya H.323 |
Non pris en charge |
Authentification avec les équipements IC Series | |
Application de couche 2 dans les déploiements UAC |
Non pris en charge
Note:
UAC-IDP et UAC-UTM ne sont pas non plus pris en charge. |
Prise en charge du cluster de châssis
Note:
La prise en charge du clustering de châssis pour fournir une redondance de nœud réseau est uniquement disponible sur un déploiement vSRX dans Contrail, VMware, KVM et Windows Hyper-V Server 2016. |
|
Cluster de châssis pour pilote VirtIO |
Prise en charge uniquement avec KVM
Note:
L’état des liaisons des interfaces VirtIO est toujours signalé en tant que haut, de sorte qu’un cluster de châssis vSRX ne peut pas recevoir de messages de liaison montante et descendante depuis les interfaces VirtIO. |
Liens à double contrôle |
Non pris en charge |
Mises à niveau des clusters en bande et à faible impact |
Non pris en charge |
LAG et LACP (couches 2 et 3) |
Non pris en charge |
Commutation Ethernet de couche 2 |
Non pris en charge |
Pare-feu à faible latence |
Non pris en charge |
Classe de service | |
File d’attente hautement prioritaire sur SPC |
Non pris en charge |
Tunnels |
Seuls les tunnels GRE et IP-IP sont pris en charge
Note:
Une VM vSRX déployée sur le cloud Microsoft Azure ne prend pas en charge gre et multicast. |
Messages de journalisation de sécurité du plan de données (mode flux) | |
Protocole TLS |
Non pris en charge |
Outils de diagnostic | |
Surveillance des flux cflowd version 9 |
Non pris en charge |
Ping Ethernet (CFM) |
Non pris en charge |
Traceroute Ethernet (CFM) |
Non pris en charge |
Proxy DNS | |
DNS dynamique |
Non pris en charge |
Agrégation de liaisons Ethernet | |
LACP en mode cluster autonome ou de châssis |
Non pris en charge |
LAG de couche 3 sur les ports routés |
Non pris en charge |
LAG statique en mode autonome ou cluster de châssis |
Non pris en charge |
Gestion des anomalies de liaison Ethernet | |
Interface physique (encapsulations)
|
Non pris en charge |
Famille d’interfaces
|
Non pris en charge |
Traitement basé sur les flux et les paquets | |
Débogage de paquets de bout en bout |
Non pris en charge |
Regroupement des processeurs réseau |
|
Décharge des services |
|
Interfaces | |
Interface Ethernet agrégée |
Non pris en charge |
Attribution VLAN dynamique IEEE 802.1X |
Non pris en charge |
Dérivation MAC IEEE 802.1X |
Non pris en charge |
Contrôle d’authentification basé sur port IEEE 802.1X avec prise en charge multisupplicant |
Non pris en charge |
Entrelacement à l’aide du MLFR |
Non pris en charge |
Poe |
Non pris en charge |
Interface PPP |
Non pris en charge |
Protocole PPPoE radio-to-router |
Non pris en charge |
Interface PPPoE
Note:
Depuis Junos OS version 15.1X49-D100 et Junos OS version 17.4R1, le vSRX prend en charge l’interface PPPoE (Point-to-Point Protocol over Ethernet). |
Non pris en charge |
Mode promiscuous sur les interfaces |
Uniquement pris en charge si activé sur l’hyperviseur |
IPSec et VPN | |
Acadie - VPN sans client |
Non pris en charge |
DVPN |
Non pris en charge |
IPsec matériel (cryptage en masse) Cavium/RMI |
Non pris en charge |
Terminaison de tunnel IPsec dans les instances de routage |
Compatible uniquement avec le routeur virtuel |
Multicast pour AutoVPN |
Non pris en charge |
Prise en charge d’IPv6 | |
Concentrateur DS-Lite (également appelé routeur de transition de la famille d’adresses [AFTR]) |
Non pris en charge |
Initiateur DS-Lite (alias B4) |
Non pris en charge |
J-Web | |
Configuration de routage améliorée |
Non pris en charge |
Nouveau Setup Wizard (pour les nouvelles configurations) |
Non pris en charge |
Assistant PPPoE |
Non pris en charge |
Assistant VPN distant |
Non pris en charge |
Lien de sauvegarde sur le tableau de bord |
Non pris en charge |
Configuration UTM de l’antivirus Kaspersky et du profil de filtrage Web par défaut |
Non pris en charge |
Formats de fichiers journaux pour les journaux système (plan de contrôle) | |
Format binaire (binaire) |
Non pris en charge |
WELF |
Non pris en charge |
Divers | |
GPRS
Note:
Depuis Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, vSRX prend en charge GPRS. |
Non pris en charge |
Accélération matérielle |
Non pris en charge |
SSH sortant |
Non pris en charge |
Accès à l’instance à distance |
Non pris en charge |
Modem USB |
Non pris en charge |
Réseau LAN sans fil |
Non pris en charge |
MPLS | |
Connexions transversales Deduit (CCC) et TCC (Translational Cross-Connect) |
Non pris en charge |
VPN de couche 2 pour les connexions Ethernet |
Uniquement si le mode promiscuous est activé sur l’hyperviseur |
Traduction des adresses réseau | |
Maximisez les liaisons NAT persistantes |
Non pris en charge |
Capture de paquets | |
Capture de paquets |
Prise en charge uniquement sur les interfaces physiques et les interfaces tunnel, telles que gr, ipet st0. La capture de paquets n’est pas prise en charge sur les interfaces Ethernet redondantes (reth). |
Routage | |
Extensions BGP pour IPv6 |
Non pris en charge |
BGP Flowspec |
Non pris en charge |
Réflecteur de route BGP |
Non pris en charge |
CRTP |
Non pris en charge |
Commutation | |
Balisage VLAN Q-in-Q de couche 3 |
Non pris en charge |
Mode transparent | |
Utm |
Non pris en charge |
Gestion des menaces unifiée | |
Antivirus express |
Non pris en charge |
Antivirus Kaspersky |
Non pris en charge |
Mise à niveau et redémarrage | |
Récupération automatique |
Non pris en charge |
Configuration de l’instance de démarrage |
Non pris en charge |
Récupération de l’instance de démarrage |
Non pris en charge |
Partitionnement double racine |
Non pris en charge |
Restauration du système d’exploitation |
Non pris en charge |
Interfaces utilisateur | |
Nsm |
Non pris en charge |
Application SRC |
Non pris en charge |
Junos Space Virtual Director |
Prise en charge uniquement avec VMware |