Fonctionnalités de Junos OS prises en charge sur vSRX

RÉSUMÉ Cette rubrique fournit des détails sur les fonctionnalités de Junos OS prises en charge et non prises en charge sur vSRX.

Fonctionnalités SRX Series prises en charge sur vSRX

vSRX hérite de la plupart des fonctionnalités SRX Series des filiales avec les considérations suivantes présentées dans le tableau 1.

Pour déterminer les fonctionnalités de Junos OS prises en charge sur vSRX, utilisez Juniper Networks Feature Explorer, une application Web qui vous permet d’explorer et de comparer les informations relatives aux fonctionnalités de Junos OS pour trouver la version logicielle et la plate-forme matérielle appropriées pour votre réseau. Rechercher l’explorateur de fonctionnalités à l’adresse : Explorateur de fonctionnalités : vSRX .

Tableau 1 : Considérations relatives aux fonctionnalités vSRX
Fonction	Description
IDP	La fonction IDP est basée sur l’abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonctionnalité IDP à l’aide de la clé de licence. Pour plus de détails sur la configuration de la gamme SRX Series IDP, reportez-vous à : Comprendre la détection et la prévention des intrusions pour SRX Series
VPN IPSec	À partir de Junos OS version 19.3R1, vSRX prend en charge les algorithmes d’authentification et de chiffrement suivants : Algorithme d’authentification : authentification hmac-sha1-96 et HMAC-SHA-256-128 Algorithme de chiffrement : aes-128-cbc À partir de Junos OS version 20.3R1, vSRX prend en charge 10 000 tunnels VPN IPsec. Pour prendre en charge l’augmentation du nombre de tunnels VPN IPsec, un minimum de 19 vCPU sont nécessaires. Sur les 19 processeurs virtuels, 3 vCPU doivent être dédiés au RE. Vous devez exécuter cette `request system software add optional://junos-ike.tgz` commande dès la première fois que vous souhaitez augmenter la capacité du tunnel IPsec. Pour les mises à niveau logicielles ultérieures de l’instance, le package junos-ike est automatiquement mis à niveau à partir des nouvelles versions de Junos OS installées dans l’instance. DH group15, group16, group21 est également ajouté lors de l’installation du package junos-ike. Si le cluster de châssis est activé, exécutez cette commande sur les deux nœuds. Vous pouvez configurer le nombre de processeurs virtuels attribués au moteur de routage Junos à l’aide de la plate-forme `set security forwarding-options resource-manager cpu re <value>`. Note: La mémoire 64 G est requise pour prendre en charge 1 0000 tunnels en mode PMI. [Voir show security ipsec security-associations, show security ike tunnel-map et show security ipsec tunnel-distribution.]
VPN IPsec - Évolutivité des tunnels sur vSRX	Types de tunnels	Nombre de tunnels pris en charge
	Tunnels VPN de site à site	2000
	Tunnels AutoVPN	10,000
	IKE SA (site à site)	2000
	IKE SA (AutoVPN)	10,000
	IKE SA (Site-to-site + AutoVPN)	10,000
	Paires SA IPSec (site à site)	10,000 Avec 2 000 SAS IKE, nous pouvons avoir 10 000 IPSec SA.
	Paires SA IPSec (AutoVPN)	10,000
	Site à site + Paires AUTOVPN IPSec SA	2 000 AutoVPN de site à site 8000
	Site à site + tunnels AutoVPN	2 000 AutoVPN de site à site 8000
ISSU	ISSU n’est pas pris en charge.
Systèmes logiques	À partir de Junos OS Version 20.1R1, vous pouvez configurer les systèmes logiques et les systèmes locataires sur les instances vSRX et vSRX 3.0. Avec Junos OS, vous pouvez partitionner un seul équipement de sécurité en plusieurs équipements logiques capables d’effectuer des tâches indépendantes. Chaque système logique possède son propre domaine administratif distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctionnalités de sécurité. Voir la présentation des systèmes logiques.
PowerMode IPsec	À partir de Junos OS version 20.1R1, les instances vSRX 3.0 prennent en charge powermode IPsec qui fournit des améliorations des performances IPsec à l’aide du traitement des paquets Vector (VPP) et des instructions Intel AES-NI. L’IPsec PowerMode est un petit bloc logiciel au sein du MOTEUR de transfert de paquets SRX (SRX Packet Forwarding Engine) activé lorsque le mode d’alimentation est activé. Fonctionnalités prises en charge dans PowerMode IPsec Fonctionnalité IPsec Sélecteurs de trafic Interface tunnel sécurisée (st0) Toutes les fonctionnalités IKE du plan de contrôle VPN automatique avec sélecteur de trafic VPN automatique avec protocole de routage IPv6 Pare-feu dynamique de couche 4 Haute disponibilité NAT-T Fonctionnalités non prises en charge dans PowerMode IPsec Nat IPsec dans IPsec Pare-feu GTP/SCTP Pare-feu d’application/AppSecure Qos Tunnel imbriqué Écran Multidiffusion Trafic hôte
Commutation et pontage Ethernet	Depuis Junos OS version 22.1R1, les instances vSRX et vSRX 3.0 déployées sur les plates-formes KVM et VMware prennent en charge un balisage VLAN flexible sur les interfaces de revenus et de ressources. L’étiquetage VLAN flexible prend en charge la transmission de trames VLAN 802.1Q à balise unique sur les interfaces logiques sur le port Ethernet. En outre, évite de multiples fonctions virtuelles sur la carte d’interface réseau (NIC) et réduit le besoin d’interfaces supplémentaires. [Voir Configuration du balisage VLAN et du balisage flexible-vlan (Interfaces)]
Systèmes de locataires	À partir de Junos OS Version 20.1R1, vous pouvez configurer les systèmes d’utilisateur sur les instances vSRX et vSRX 3.0. Un système locataire permet le partitionnement logique de l’équipement SRX dans plusieurs domaines similaires aux systèmes logiques et offre une évolutivité élevée. Voir la présentation des systèmes locataires.
Mode transparent	Les comportements connus pour la prise en charge du mode transparent sur vSRX sont les suivants : La taille de la table d’apprentissage MAC par défaut est limitée à 16 383 entrées. Pour plus d’informations sur la configuration du mode transparent pour vSRX, consultez la présentation du pontage de couche 2 et du mode transparent.
Utm	La fonctionnalité UTM est basée sur l’abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonctionnalité UTM à l’aide de la clé de licence. À partir de Junos OS version 19.4R1, les instances vSRX 3.0 prennent en charge le moteur d’analyse Avira, un moteur d’analyse antivirus sur l’équipement. Voir le moteur d’analyse antivirus sur l’équipement. Pour plus de détails sur la configuration de la gestion des menaces unifiée SRX Series, consultez la présentation de la gestion des menaces unifiée. Pour plus de détails sur la configuration de l’antispam UTM SRX Series, consultez la présentation du filtrage antispam. `Advanced resource management (vSRX 3.0)`— À partir de Junos OS version 19.4R1, vSRX 3.0 gère les besoins supplémentaires en ressources système pour les services UTM et IDP en réattribuant les cœurs de processeur et la mémoire supplémentaire. Ces valeurs pour la mémoire et les cœurs de processeur ne sont pas configurées par l’utilisateur. Auparavant, les ressources système telles que la mémoire et les cœurs de processeur étaient fixes. Vous pouvez afficher le processeur et la mémoire alloués pour les services de sécurité avancés sur l’instance vSRX 3.0 à l’aide de la `show security forward-options resource-manager settings` commande. Pour afficher l’évolutivité des sessions de flux, utilisez la `show security monitoring` commande. [Voir afficher la surveillance de la sécurité et afficher les paramètres du gestionnaire de ressources des options de transfert de sécurité.]

Certaines fonctionnalités du logiciel Junos OS nécessitent une licence pour activer cette fonctionnalité. Pour en savoir plus sur les licences vSRX, voir Licences pour vSRX. Reportez-vous au Guide des licences pour obtenir des informations générales sur la gestion des licences. Pour plus d’informations, reportez-vous aux fiches techniques du produit ou contactez votre chargé de compte Juniper ou votre partenaire Juniper.

Fonctionnalités SRX Series non prises en charge sur vSRX

vSRX hérite de nombreuses fonctionnalités de la gamme de produits d’équipements SRX Series. Le tableau 2 répertorie les fonctionnalités SRX Series qui ne s’appliquent pas à un environnement virtualisé, qui ne sont pas actuellement prises en charge ou qui disposent d’une assistance technique qualifiée sur vSRX.

Tableau 2 : Fonctionnalités SRX Series non prises en charge sur vSRX
Fonctionnalité SRX Series	Notes vSRX
Passerelles de couche applicative
Avaya H.323	Non pris en charge
Authentification avec les équipements IC Series
Application de couche 2 dans les déploiements UAC	Non pris en charge Note: UAC-IDP et UAC-UTM ne sont pas non plus pris en charge.
Prise en charge du cluster de châssis Note: La prise en charge du clustering de châssis pour fournir une redondance de nœud réseau est uniquement disponible sur un déploiement vSRX dans Contrail, VMware, KVM et Windows Hyper-V Server 2016.
Cluster de châssis pour pilote VirtIO	Prise en charge uniquement avec KVM Note: L’état des liaisons des interfaces VirtIO est toujours signalé en tant que haut, de sorte qu’un cluster de châssis vSRX ne peut pas recevoir de messages de liaison montante et descendante depuis les interfaces VirtIO.
Liens à double contrôle	Non pris en charge
Mises à niveau des clusters en bande et à faible impact	Non pris en charge
LAG et LACP (couches 2 et 3)	Non pris en charge
Commutation Ethernet de couche 2	Non pris en charge
Pare-feu à faible latence	Non pris en charge
Classe de service
File d’attente hautement prioritaire sur SPC	Non pris en charge
Tunnels	Seuls les tunnels GRE et IP-IP sont pris en charge Note: Une VM vSRX déployée sur le cloud Microsoft Azure ne prend pas en charge gre et multicast.
Messages de journalisation de sécurité du plan de données (mode flux)
Protocole TLS	Non pris en charge
Outils de diagnostic
Surveillance des flux cflowd version 9	Non pris en charge
Ping Ethernet (CFM)	Non pris en charge
Traceroute Ethernet (CFM)	Non pris en charge
Proxy DNS
DNS dynamique	Non pris en charge
Agrégation de liaisons Ethernet
LACP en mode cluster autonome ou de châssis	Non pris en charge
LAG de couche 3 sur les ports routés	Non pris en charge
LAG statique en mode autonome ou cluster de châssis	Non pris en charge
Gestion des anomalies de liaison Ethernet
Interface physique (encapsulations) `ethernet-ccc` `ethernet-tcc` `extended-vlan-ccc` `extended-vlan-tcc`	Non pris en charge
Famille d’interfaces `ccc`, `tcc` `ethernet-switching`	Non pris en charge
Traitement basé sur les flux et les paquets
Débogage de paquets de bout en bout	Non pris en charge
Regroupement des processeurs réseau
Décharge des services
Interfaces
Interface Ethernet agrégée	Non pris en charge
Attribution VLAN dynamique IEEE 802.1X	Non pris en charge
Dérivation MAC IEEE 802.1X	Non pris en charge
Contrôle d’authentification basé sur port IEEE 802.1X avec prise en charge multisupplicant	Non pris en charge
Entrelacement à l’aide du MLFR	Non pris en charge
Poe	Non pris en charge
Interface PPP	Non pris en charge
Protocole PPPoE radio-to-router	Non pris en charge
Interface PPPoE Note: Depuis Junos OS version 15.1X49-D100 et Junos OS version 17.4R1, le vSRX prend en charge l’interface PPPoE (Point-to-Point Protocol over Ethernet).	Non pris en charge
Mode promiscuous sur les interfaces	Uniquement pris en charge si activé sur l’hyperviseur
IPSec et VPN
Acadie - VPN sans client	Non pris en charge
DVPN	Non pris en charge
IPsec matériel (cryptage en masse) Cavium/RMI	Non pris en charge
Terminaison de tunnel IPsec dans les instances de routage	Compatible uniquement avec le routeur virtuel
Multicast pour AutoVPN	Non pris en charge
Prise en charge d’IPv6
Concentrateur DS-Lite (également appelé routeur de transition de la famille d’adresses [AFTR])	Non pris en charge
Initiateur DS-Lite (alias B4)	Non pris en charge
J-Web
Configuration de routage améliorée	Non pris en charge
Nouveau Setup Wizard (pour les nouvelles configurations)	Non pris en charge
Assistant PPPoE	Non pris en charge
Assistant VPN distant	Non pris en charge
Lien de sauvegarde sur le tableau de bord	Non pris en charge
Configuration UTM de l’antivirus Kaspersky et du profil de filtrage Web par défaut	Non pris en charge
Formats de fichiers journaux pour les journaux système (plan de contrôle)
Format binaire (binaire)	Non pris en charge
WELF	Non pris en charge
Divers
GPRS Note: Depuis Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, vSRX prend en charge GPRS.	Non pris en charge
Accélération matérielle	Non pris en charge
SSH sortant	Non pris en charge
Accès à l’instance à distance	Non pris en charge
Modem USB	Non pris en charge
Réseau LAN sans fil	Non pris en charge
MPLS
Connexions transversales Deduit (CCC) et TCC (Translational Cross-Connect)	Non pris en charge
VPN de couche 2 pour les connexions Ethernet	Uniquement si le mode promiscuous est activé sur l’hyperviseur
Traduction des adresses réseau
Maximisez les liaisons NAT persistantes	Non pris en charge
Capture de paquets
Capture de paquets	Prise en charge uniquement sur les interfaces physiques et les interfaces tunnel, telles que `gr`, `ip`et `st0`. La capture de paquets n’est pas prise en charge sur les interfaces Ethernet redondantes (`reth`).
Routage
Extensions BGP pour IPv6	Non pris en charge
BGP Flowspec	Non pris en charge
Réflecteur de route BGP	Non pris en charge
CRTP	Non pris en charge
Commutation
Balisage VLAN Q-in-Q de couche 3	Non pris en charge
Mode transparent
Utm	Non pris en charge
Gestion des menaces unifiée
Antivirus express	Non pris en charge
Antivirus Kaspersky	Non pris en charge
Mise à niveau et redémarrage
Récupération automatique	Non pris en charge
Configuration de l’instance de démarrage	Non pris en charge
Récupération de l’instance de démarrage	Non pris en charge
Partitionnement double racine	Non pris en charge
Restauration du système d’exploitation	Non pris en charge
Interfaces utilisateur
Nsm	Non pris en charge
Application SRC	Non pris en charge
Junos Space Virtual Director	Prise en charge uniquement avec VMware