Fonctionnalités de Junos OS prises en charge sur le pare-feu virtuel vSRX
RÉSUMÉ Cette rubrique fournit des détails sur les fonctionnalités de Junos OS prises en charge et non prises en charge sur le pare-feu virtuel vSRX.
Fonctionnalités SRX Series prises en charge sur le pare-feu virtuel vSRX
Le pare-feu virtuel vSRX hérite de la plupart des fonctionnalités des filiales SRX Series, avec les considérations suivantes indiquées dans le Tableau 1.
Pour déterminer les fonctionnalités Junos OS prises en charge sur le pare-feu virtuel vSRX, utilisez l’explorateur de fonctionnalités Juniper Networks, une application Web qui vous aide à explorer et comparer les informations sur les fonctionnalités de Junos OS afin de trouver la version logicielle et la plate-forme matérielle adaptées à votre réseau. Recherchez l’Explorateur de fonctionnalités à l’adresse suivante : Explorateur de fonctionnalités : vSRX .
Caractéristique |
Description |
|
---|---|---|
IDP (en anglais seulement) |
La fonctionnalité IDP est basée sur un abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction IDP avec la clé de licence. Pour plus d’informations sur la configuration IDP de la SRX Series, reportez-vous à : Comprendre la détection et la prévention des intrusions pour les modèles SRX Series |
|
VPN IPSec |
À partir de Junos OS version 19.3R1, le pare-feu virtuel vSRX prend en charge les algorithmes d’authentification et de chiffrement suivants :
À partir de Junos OS version 20.3R1, le pare-feu virtuel vSRX prend en charge 10 000 tunnels VPN IPsec. Pour prendre en charge l’augmentation du nombre de tunnels VPN IPsec, un minimum de 19 vCPU est requis. Sur les 19 vCPU, 3 vCPU doivent être dédiés à l’ER. Vous devez exécuter la commande la première fois que vous souhaitez activer l’augmentation de la Vous pouvez configurer le nombre de vCPU alloués au moteur de routage Junos à l’aide de la
Note:
Une mémoire de 64 G est nécessaire pour prendre en charge 10000 tunnels en mode PMI. [Voir show security ipsec security-associations, show security ike tunnel-map et show security ipsec tunnel-distribution.] |
|
VPN IPsec - Mise à l’échelle des tunnels sur le pare-feu virtuel vSRX | Types de tunnels |
Nombre de tunnels pris en charge |
Tunnels VPN de site à site |
2000 |
|
Tunnels AutoVPN |
10,000 |
|
IKE SA (Site à site) |
2000 |
|
IKE SA (AutoVPN) |
10,000 |
|
IKE SA (Site à site + AutoVPN) |
10,000 |
|
Paires IPSec SA (site à site) |
10,000 Avec 2 000 IKE, on peut avoir 10 000 SA IPSec. |
|
Paires IPSec SA (AutoVPN) |
10,000 |
|
Paires site à site + AutoVPN IPSec SA |
2000 AutoVPN 8000 sur site |
|
Site à site + tunnels AutoVPN |
2000 AutoVPN 8000 sur site |
|
ISSU |
ISSU n’est pas pris en charge. |
|
Systèmes logiques |
À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes logiques et des systèmes de locataires sur des instances de pare-feu virtuel vSRX et pare-feu virtuel vSRX 3.0. Avec Junos OS, vous pouvez partitionner un seul équipement de sécurité en plusieurs équipements logiques pouvant effectuer des tâches indépendantes. Chaque système logique possède son propre domaine administratif distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctionnalités de sécurité. Reportez-vous à la section Présentation des systèmes logiques. |
|
Mode d’alimentation IPsec |
À compter de Junos OS version 20.1R1, les instances du pare-feu virtuel vSRX 3.0 prennent en charge PowerMode IPsec qui améliore les performances IPsec à l’aide du traitement vectoriel des paquets (VPP) et des instructions Intel AES-NI. PowerMode IPsec est un petit bloc logiciel à l’intérieur du SRX PFE (SRX moteur de transfert de paquets) qui est activé lorsque PowerMode est activé. Fonctionnalités prises en charge dans PowerMode IPsec
Fonctionnalités non prises en charge dans PowerMode IPsec
|
|
Commutation et pontage Ethernet | À partir de Junos OS version 22.1R1, les instances du pare-feu virtuel vSRX et du pare-feu virtuel vSRX 3.0 déployées sur les plates-formes KVM et VMware prennent en charge le balisage VLAN flexible sur les interfaces de revenus et de revenus. Le balisage VLAN flexible prend en charge la transmission de trames VLAN 802.1Q à étiquette unique sur des interfaces logiques sur le port Ethernet. De plus, cela évite les fonctions virtuelles multiples sur la carte d’interface réseau (NIC) et réduit le besoin d’interfaces supplémentaires. [Voir Configuration du balisage VLAN et du balisage vlan flexible (interfaces).] |
|
Systèmes de location |
À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes de locataires sur des instances de pare-feu virtuel vSRX et pare-feu virtuel vSRX 3.0. Un système de location fournit un partitionnement logique du pare-feu SRX Series en plusieurs domaines similaires aux systèmes logiques et offre une grande évolutivité. Reportez-vous à la section Vue d’ensemble des systèmes de location. |
|
Mode transparent |
Les comportements connus pour la prise en charge du mode transparent sur le pare-feu virtuel vSRX sont les suivants :
Pour plus d’informations sur la configuration du mode transparent pour le pare-feu virtuel vSRX, reportez-vous à la section Présentation du pontage de couche 2 et du mode transparent. |
|
Sécurité du contenu |
|
|
Tunnels | Uniquement GRE et IP-IP |
Certaines fonctionnalités du logiciel Junos OS nécessitent une licence pour être activées. Pour en savoir plus sur les licences de pare-feu virtuel vSRX, reportez-vous à la section Licences pour vSRX. Reportez-vous au Guide des licences pour obtenir des informations générales sur la gestion des licences. Pour plus d’informations, reportez-vous aux fiches techniques des produits ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.
Fonctionnalités SRX Series non prises en charge sur le pare-feu virtuel vSRX
Le pare-feu virtuel vSRX hérite de nombreuses fonctionnalités de la gamme de pare-feu SRX Series. Le Tableau 2 répertorie les fonctionnalités de la gamme SRX Series qui ne sont pas applicables dans un environnement virtualisé, qui ne sont pas actuellement prises en charge ou qui bénéficient d’une prise en charge qualifiée sur le pare-feu virtuel vSRX.
Fonctionnalités SRX Series |
Remarques sur le pare-feu virtuel vSRX |
---|---|
Passerelles de couche applicative | |
Avaya H.323 |
Non pris en charge |
Authentification avec les appareils de la série IC | |
Application de la couche 2 dans les déploiements UAC |
Non pris en charge
Note:
UAC-IDP et UAC-Content Security ne sont pas non plus pris en charge. |
Prise en charge des clusters de châssis
Note:
La prise en charge du clustering de châssis pour assurer la redondance des nuds réseau est uniquement disponible sur un déploiement de pare-feu virtuel vSRX dans Contrail, VMware, KVM et Windows Hyper-V Server 2016. |
|
Cluster de châssis pour le pilote VirtIO |
Uniquement pris en charge avec KVM
Note:
L’état de liaison des interfaces VirtIO est toujours indiqué comme UP, de sorte qu’un cluster de châssis de pare-feu virtuel vSRX ne peut pas recevoir de messages de liaison active et descendante des interfaces VirtIO. |
Liens à double contrôle |
Non pris en charge |
Mises à niveau des clusters intrabande et à faible impact |
Non pris en charge |
LAG et LACP (couches 2 et 3) |
Non pris en charge |
Commutation Ethernet de couche 2 |
Non pris en charge |
Pare-feu à faible latence |
Non pris en charge |
Classe de service | |
File d’attente à haute priorité sur SPC |
Non pris en charge |
Tunnels |
Une machine virtuelle de pare-feu virtuel vSRX déployée sur Microsoft Azure Cloud ne prend pas en charge GRE, IP-IP et multicast. |
Messages du journal de sécurité du plan de données (mode flux) | |
Protocole TLS |
Non pris en charge |
Outils de diagnostic | |
Surveillance de débit cflowd version 9 |
Non pris en charge |
Ping Ethernet (CFM) |
Non pris en charge |
Traceroute Ethernet (CFM) |
Non pris en charge |
Proxy DNS | |
DNS dynamique |
Non pris en charge |
Agrégation de liens Ethernet | |
LACP en mode autonome ou cluster de châssis |
Non pris en charge |
LAG de couche 3 sur les ports routés |
Non pris en charge |
LAG statique en mode autonome ou cluster de châssis |
Non pris en charge |
Gestion des défaillances des liaisons Ethernet | |
Interface physique (encapsulations)
|
Non pris en charge |
Famille d’interfaces
|
Non pris en charge |
Traitement basé sur les flux et les paquets | |
Débogage des paquets de bout en bout |
Non pris en charge |
Regroupement de processeurs réseau |
|
Délestage des services |
|
Interfaces | |
Interface Ethernet agrégée |
Non pris en charge |
Attribution dynamique de VLAN IEEE 802.1X |
Non pris en charge |
Contournement MAC IEEE 802.1X |
Non pris en charge |
Contrôle d’authentification basé sur port IEEE 802.1X avec prise en charge de plusieurs demandeurs |
Non pris en charge |
Entrelacement à l’aide de MLFR |
Non pris en charge |
Poe |
Non pris en charge |
Interface PPP |
Non pris en charge |
Protocole radio-routeur basé sur PPPoE |
Non pris en charge |
Interface PPPoE
Note:
Depuis Junos OS version 15.1X49-D100 et Junos OS version 17.4R1, le pare-feu virtuel vSRX prend en charge l’interface PPPoE (Point-to-Point Protocol over Ethernet). |
Non pris en charge |
Mode de promiscuité sur les interfaces |
Uniquement pris en charge si activé sur l’hyperviseur |
IPSec et VPN | |
Acadia - VPN sans client |
Non pris en charge |
DVPN (en anglais seulement) |
Non pris en charge |
Matériel IPsec (chiffrement en vrac) Cavium/RMI |
Non pris en charge |
Terminaison de tunnel IPsec dans les instances de routage |
Uniquement pris en charge sur les routeurs virtuels |
Multicast pour AutoVPN |
Non pris en charge |
Prise en charge d’IPv6 | |
Concentrateur DS-Lite (également appelé Address Family Transition Router [AFTR]) |
Non pris en charge |
Initiateur DS-Lite (alias B4) |
Non pris en charge |
J-Web (en anglais seulement) | |
Configuration de routage améliorée |
Non pris en charge |
Assistant Nouvelle installation (pour les nouvelles configurations) |
Non pris en charge |
Assistant PPPoE |
Non pris en charge |
Assistant VPN à distance |
Non pris en charge |
Lien de secours sur le tableau de bord |
Non pris en charge |
Configuration de Content Security pour l’antivirus Kaspersky et le profil de filtrage Web par défaut |
Non pris en charge |
Formats de fichiers journaux pour les journaux du système (plan de contrôle) | |
Format binaire (binaire) |
Non pris en charge |
WELF |
Non pris en charge |
Divers | |
Le GPRS
Note:
À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, le pare-feu virtuel vSRX prend en charge GPRS. |
Non pris en charge |
Accélération matérielle |
Non pris en charge |
SSH sortant |
Non pris en charge |
Accès aux instances distantes |
Non pris en charge |
Modem USB |
Non pris en charge |
LAN sans fil |
Non pris en charge |
MPLS (en anglais) | |
Connexion croisée Crcuit (CCC) et connexion croisée translationnelle (TCC) |
Non pris en charge |
VPN de couche 2 pour les connexions Ethernet |
Uniquement si le mode promiscuité est activé sur l’hyperviseur |
Traduction des adresses réseau | |
Maximiser les liaisons NAT persistantes |
Non pris en charge |
Capture de paquets | |
Capture de paquets |
Uniquement pris en charge sur les interfaces physiques et les interfaces tunnel, telles que gr, ip, et st0. La capture de paquets n’est pas prise en charge sur les interfaces Ethernet redondantes (reth). |
Routage | |
Extensions BGP pour IPv6 |
Non pris en charge |
BGP Flowspec |
Non pris en charge |
Réflecteur de route BGP |
Non pris en charge |
Le CRTP |
Non pris en charge |
Transistor | |
Marquage VLAN Q-in-Q de couche 3 |
Non pris en charge |
Mode transparent | |
Sécurité du contenu |
Non pris en charge |
Sécurité du contenu | |
Express AV |
Non pris en charge |
Kaspersky AV |
Non pris en charge |
Mise à niveau et redémarrage | |
Récupération automatique |
Non pris en charge |
Configuration de l’instance de démarrage |
Non pris en charge |
Récupération d’instance d’amorçage |
Non pris en charge |
Partitionnement à double racine |
Non pris en charge |
Restauration du système d’exploitation |
Non pris en charge |
Interfaces utilisateur | |
NSM (en anglais seulement) |
Non pris en charge |
Demande de SRC |
Non pris en charge |
Junos Space Virtual Director |
Uniquement pris en charge avec VMware |