Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Fonctionnalités de Junos OS prises en charge sur le pare-feu virtuel vSRX

Cette rubrique fournit des détails sur les fonctionnalités de Junos OS prises en charge et non prises en charge sur vSRX.

Fonctionnalités prises en charge sur vSRX

vSRX hérite de la plupart des fonctionnalités SRX Series de filiale, avec les considérations suivantes indiquées dans le tableau 1.

Pour déterminer les fonctionnalités de Junos OS prises en charge par le pare-feu virtuel vSRX, utilisez l’explorateur de fonctionnalités de Juniper Networks, une application Web qui vous aide à explorer et à comparer les informations sur les fonctionnalités de Junos OS afin de trouver la version logicielle et la plate-forme matérielle adaptées à votre réseau. Recherchez Feature Explorer à l’adresse suivante : Explorateur de fonctionnalités : vSRX .

Tableau 1 : considérations relatives aux fonctionnalités du pare-feu virtuel vSRX

Caractéristique

Description

IDP (en anglais)

La fonctionnalité IDP est basée sur un abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction IDP avec la clé de licence.

Pour plus d’informations sur la configuration IDP de SRX Series, reportez-vous à :

Comprendre la détection et la prévention d’intrusion pour SRX Series

VPN IPSec

À partir de Junos OS version 19.3R1, le pare-feu virtuel vSRX prend en charge les algorithmes d’authentification et de chiffrement suivants :

  • Algorithme d’authentification : authentification hmac-sha1-96 et HMAC-SHA-256-128

  • Algorithme de chiffrement : aes-128-cbc

À partir de la version 20.3R1 de Junos OS, le pare-feu virtuel vSRX prend en charge 10 000 tunnels VPN IPsec.

Pour prendre en charge l’augmentation du nombre de tunnels VPN IPsec, un minimum de 18 vCPU au total avec 2 vCPU RE, le nombre de vCPU RE n’atteignant que 4 après avoir augmenté le total à 24 vCPU. Sur les 18 vCPU, 2 vCPU doivent être dédiés à RE.

Vous devez exécuter la commande la première fois que vous souhaitez activer l’augmentation de la request system software add optional://junos-ike.tgz capacité du tunnel IPsec. Pour les mises à niveau logicielles ultérieures de l’instance, le package junos-ike est automatiquement mis à niveau à partir des nouvelles versions de Junos OS installées dans l’instance. DH group15, group16, group21 est également ajouté lorsque nous installons le paquet junos-ike. Si le cluster de châssis est activé, exécutez cette commande sur les deux nœuds.

Vous pouvez configurer le nombre de vCPU alloués au moteur de routage Junos à l’aide de la commande set security forwarding-options resource-manager cpu re <value>.

Note:

Une mémoire de 64 Go est nécessaire pour prendre en charge 10000 tunnels en mode PMI.

[Voir show security ipsec security-associations, show security ike tunnel-map et show security ipsec tunnel-distribution.]
VPN IPsec - Mise à l’échelle des tunnels sur le pare-feu virtuel vSRX

Types de tunnels

Nombre de tunnels pris en charge

Tunnels VPN de site à site

2000

Tunnels AutoVPN

10,000

IKE SA (Site à site)

2000

IKE SA (AutoVPN)

10,000

IKE SA (Site à site + AutoVPN)

10,000

Paires IPSec SA (site à site)

10,000

Avec 2000 IKE, on peut avoir 10 000 SA IPSec.

Paires IPSec SA (AutoVPN)

10,000

Paires site à site + AutoVPN IPSec SA

2000 AutoVPN 8000 site à site

Site à site + tunnels AutoVPN

2000 AutoVPN 8000 site à site

ISSU

ISSU n’est pas pris en charge.

Systèmes logiques

À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes logiques et des systèmes de locataires sur les instances Pare-feu virtuel vSRX et Pare-feu virtuel vSRX 3.0.

Avec Junos OS, vous pouvez partitionner un seul équipement de sécurité en plusieurs équipements logiques qui peuvent effectuer des tâches indépendantes.

Chaque système logique possède son propre domaine administratif distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctionnalités de sécurité.

Reportez-vous à la section Présentation des systèmes logiques.

Mode d’alimentation IPsec

À partir de la version 20.1R1 de Junos OS, les instances du pare-feu virtuel vSRX 3.0 prennent en charge PowerMode IPsec qui améliore les performances IPsec à l’aide du traitement vectoriel des paquets (VPP) et des instructions Intel AES-NI. PowerMode IPsec est un petit bloc logiciel à l’intérieur du SRX PFE (SRX moteur de transfert de paquets) qui est activé lorsque PowerMode est activé.

Fonctionnalités prises en charge dans PowerMode IPsec

  • Fonctionnalité IPsec

  • Sélecteurs de trafic

  • Interface de tunnel sécurisée (st0)

  • Toutes les fonctionnalités IKE du plan de contrôle

  • VPN automatique avec sélecteur de trafic

  • VPN automatique avec protocole de routage

  • IPv6 (en anglais)

  • Pare-feu de couche 4 dynamique

  • Haute disponibilité

  • NAT-T

Fonctionnalités non prises en charge dans PowerMode IPsec

  • NAT

  • IPsec dans IPsec

  • Pare-feu GTP/SCTP

  • Pare-feu d’applications/AppSecure

  • QoS (QoS)

  • Tunnel imbriqué

  • Écran

  • Multidiffusion

  • Trafic hôte
Commutation et pontage Ethernet À partir de la version 22.1R1 de Junos OS, les instances Pare-feu virtuel vSRX et Pare-feu virtuel vSRX 3.0 déployées sur les plates-formes KVM et VMware prennent en charge le balisage VLAN flexible sur les interfaces Revenue et Reth.

Le balisage VLAN flexible prend en charge la transmission de trames VLAN 802.1Q à balise unique sur les interfaces logiques du port Ethernet. En outre, cela évite les fonctions virtuelles multiples sur la carte d’interface réseau (NIC) et réduit le besoin d’interfaces supplémentaires.

[Voir Configuration du balisage VLAN et du balisage vlan flexible (interfaces).]

Systèmes de location

À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes de locataires sur des instances Pare-feu virtuel vSRX et Pare-feu virtuel vSRX 3.0.

Un système de location assure le partitionnement logique du pare-feu SRX Series en plusieurs domaines, de la même manière que les systèmes logiques, et offre une grande évolutivité.

Reportez-vous à la section Vue d’ensemble des systèmes de location.

Mode transparent

Les comportements connus pour la prise en charge du mode transparent sur le pare-feu virtuel vSRX sont les suivants :

  • La taille par défaut de la table d’apprentissage MAC est limitée à 16 383 entrées.

Pour plus d’informations sur la configuration du mode transparent pour le pare-feu virtuel vSRX, reportez-vous à la section Présentation du pontage de couche 2 et du mode transparent.

Sécurité du contenu

  • La fonctionnalité de sécurité du contenu est disponible sur abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction de sécurité du contenu avec la clé de licence.

  • À partir de Junos OS version 19.4R1, les instances du pare-feu virtuel vSRX 3.0 prennent en charge le moteur d’analyse Avira, qui est un moteur d’analyse antivirus sur l’appareil. Voir Moteur d’analyse antivirus sur l’appareil.

  • Pour plus d’informations sur la configuration de la sécurité du contenu SRX Series, reportez-vous à la section Présentation de la gestion des menaces unifiée.

  • Pour plus d’informations sur la configuration de l’antispam SRX Series Content Security, reportez-vous à la section Présentation du filtrage antispam.

  • Gestion avancée des ressources (vSRX 3.0) : à partir de la version 19.4R1 de Junos OS, le pare-feu virtuel vSRX 3.0 gère les ressources système supplémentaires requises pour les services spécifiques à la sécurité du contenu et à l’IDP en réallouant les cœurs de processeur et la mémoire supplémentaire. Ces valeurs pour les cœurs de mémoire et de processeur ne sont pas configurées par l’utilisateur. Auparavant, les ressources système telles que la mémoire et les cœurs de processeur étaient corrigées.

    Vous pouvez afficher le processeur et la mémoire alloués pour les services de sécurité avancés sur l’instance Pare-feu virtuel vSRX 3.0 à l’aide de la show security forward-options resource-manager settings commande. Pour afficher la mise à l’échelle de la session de flux, utilisez la show security monitoring commande.

    [Voir Afficher la surveillance de la sécurité et Afficher les paramètres du gestionnaire de ressources des options avancées de la sécurité.]
Tunnels

Uniquement GRE et IP-IP
Amélioration de l’allocation de cœurs de processeur pour RE (vSRX 3.0)

Lorsque vous lancez des instances vSRX 3.0 avec un nombre pair de cœurs de processeur configurés, deux cœurs de processeur sont alloués par défaut au moteur de routage (RE). Cette allocation améliore la stabilité du système et garantit le bon fonctionnement du moteur de routage et du moteur de transfert de paquets. Pour les systèmes avec un nombre impair de cœurs de processeur, un seul cœur est alloué au moteur de routage.

La set security forward-options resource-manager cpu re <n> commande est maintenant obsolète. Vous ne pouvez pas configurer manuellement le nombre de cœurs de processeur sur le moteur de routage, car l’affectation par défaut alloue automatiquement ces cœurs.

Utilisez la commande pour configurer et show security forward-options resource-manager settings vérifier le nombre de cœurs de processeur RE.

Tableau 1 : allocation de cœurs de processeur par défaut
Nombre de CPU, RE , PFE
4 2 2
8 2 6
16 2 14
24 4 20
32 4 28

Voir resource-manager (Forwarding-options) et show security forward-options resource-manager

Certaines fonctionnalités du logiciel Junos OS nécessitent une licence pour être activées. Pour en savoir plus sur les licences de pare-feu virtuel vSRX, reportez-vous à la section Licences pour vSRX. Reportez-vous au Guide des licences pour obtenir des informations générales sur la gestion des licences. Pour plus d’informations, consultez les fiches techniques des produits ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.

Fonctionnalités SRX Series non prises en charge sur le pare-feu virtuel vSRX

Le pare-feu virtuel vSRX hérite de nombreuses fonctionnalités de la gamme de pare-feu SRX Series. Le Tableau 3 répertorie les fonctionnalités SRX Series qui ne sont pas applicables dans un environnement virtualisé, qui ne sont pas actuellement prises en charge ou qui bénéficient d’un support qualifié sur le pare-feu virtuel vSRX.

Tableau 3 : fonctionnalités SRX Series non prises en charge par le pare-feu virtuel vSRX

Caractéristiques de la SRX Series

Remarques sur le pare-feu virtuel vSRX
Passerelles de couche applicative

Avaya H.323

Non pris en charge
Authentification avec les appareils de la série IC

Application de la couche 2 dans les déploiements UAC

Non pris en charge

Note:

UAC-IDP et UAC-Content Security ne sont pas non plus pris en charge.
Prise en charge des clusters de châssis
Note:

La prise en charge de la mise en cluster de châssis pour fournir la redondance des nœuds réseau est uniquement disponible sur un déploiement de pare-feu virtuel vSRX dans Contrail, VMware, KVM et Windows Hyper-V Server 2016.

Cluster de châssis pour le pilote VirtIO

Uniquement pris en charge avec KVM

Note:

L’état de liaison des interfaces VirtIO est toujours indiqué comme étant actif, de sorte qu’un cluster de châssis de pare-feu virtuel vSRX ne peut pas recevoir de messages de liaison active et descendante des interfaces VirtIO.

Liens à double contrôle

Non pris en charge

Mises à niveau intrabande et à faible impact des clusters

Non pris en charge

LAG et LACP (couches 2 et 3)

Non pris en charge

Commutation Ethernet de couche 2

Non pris en charge

Pare-feu à faible latence

Non pris en charge
Classe de service

File d’attente haute priorité sur SPC

Non pris en charge

Tunnels

Une machine virtuelle de pare-feu virtuel vSRX déployée sur le cloud Microsoft Azure ne prend pas en charge GRE, IP-IP et multicast.
Messages du journal de sécurité du plan de données (mode flux)

Protocole TLS

Non pris en charge
Outils de diagnostic

Surveillance des flux cflowd version 9

Non pris en charge

Ping Ethernet (CFM)

Non pris en charge

Traceroute Ethernet (CFM)

Non pris en charge
Proxy DNS

DNS dynamique

Non pris en charge
Agrégation de liens Ethernet

LACP en mode cluster autonome ou châssis

Non pris en charge

LAG de couche 3 sur les ports routés

Non pris en charge

LAG statique en mode autonome ou cluster de châssis

Non pris en charge
Gestion des défaillances de liaisons Ethernet

Interface physique (encapsulations)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

Non pris en charge

Famille d’interfaces

  • ccc, tcc

  • ethernet-switching

Non pris en charge
Traitement basé sur les flux et les paquets

Débogage des paquets de bout en bout

Non pris en charge

Regroupement des processeurs réseau

Délestage des services
Interfaces

Interface Ethernet agrégée

Non pris en charge

Attribution dynamique de VLAN IEEE 802.1X

Non pris en charge

Contournement MAC IEEE 802.1X

Non pris en charge

Contrôle de l’authentification basé sur les ports IEEE 802.1X avec prise en charge des demandeurs multiples

Non pris en charge

Entrelacement à l’aide de MLFR

Non pris en charge

Poe

Non pris en charge

Interface PPP

Non pris en charge

Protocole radio-routeur basé sur PPPoE

Non pris en charge

Interface PPPoE

Note:

À partir de Junos OS version 15.1X49-D100 et Junos OS version 17.4R1, le pare-feu virtuel vSRX prend en charge l’interface PPPoE (Point-to-Point Protocol over Ethernet).

Non pris en charge

Mode promiscuité sur les interfaces

Uniquement pris en charge s’il est activé sur l’hyperviseur
IPSec et VPN

Acadia - VPN sans client

Non pris en charge

DVPN (en anglais seulement)

Non pris en charge

Matériel IPsec (chiffrement en masse) Cavium/RMI

Non pris en charge

Terminaison de tunnel IPsec dans les instances de routage

Pris en charge sur le routeur virtuel uniquement

Multicast pour AutoVPN

Non pris en charge
Prise en charge IPv6

Concentrateur DS-Lite (également appelé routeur de transition de famille d’adresses [AFTR])

Non pris en charge

Initiateur DS-Lite (alias B4)

Non pris en charge
J-Web

Configuration de routage améliorée

Non pris en charge

Assistant Nouvelle installation (pour les nouvelles configurations)

Non pris en charge

Assistant PPPoE

Non pris en charge

Assistant VPN distant

Non pris en charge

Lien de secours sur le tableau de bord

Non pris en charge

Configuration de Content Security pour l’antivirus Kaspersky et le profil de filtrage Web par défaut

Non pris en charge
Formats de fichiers journaux pour les journaux système (plan de contrôle)

Format binaire (binaire)

Non pris en charge

WELF

Non pris en charge
Divers

Le GPRS

Note:

À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, le pare-feu virtuel vSRX prend en charge GPRS.

Non pris en charge

Accélération matérielle

Non pris en charge

SSH sortant

Non pris en charge

Accès aux instances distantes

Non pris en charge

Modem USB

Non pris en charge

LAN sans fil

Non pris en charge
MPLS (en anglais)

Connexion croisée Crcuit (CCC) et connexion croisée translationnelle (TCC)

Non pris en charge

VPN de couche 2 pour les connexions Ethernet

Uniquement si le mode promiscuité est activé sur l’hyperviseur
Traduction des adresses réseau

Maximiser les liaisons NAT persistantes

Non pris en charge
Capture de paquets

Capture de paquets

Uniquement pris en charge sur les interfaces physiques et les interfaces de tunnel, telles que gr, ip, et st0. La capture de paquets n’est pas prise en charge sur les interfaces Ethernet redondantes (reth).
Routage

Extensions BGP pour IPv6

Non pris en charge

BGP Flowspec

Non pris en charge

Réflecteur de route BGP

Non pris en charge

Le CRTP

Non pris en charge
Transistor

Balisage VLAN Q-in-Q de couche 3

Non pris en charge
Mode transparent

Sécurité du contenu

Non pris en charge
Sécurité du contenu

Express AV

Non pris en charge

Kaspersky AV

Non pris en charge
Mise à niveau et redémarrage

Récupération automatique

Non pris en charge

Configuration de l’instance de démarrage

Non pris en charge

Récupération d’instance d’amorçage

Non pris en charge

Partitionnement à double racine

Non pris en charge

Restauration du système d’exploitation

Non pris en charge
Interfaces utilisateur

NSM (en anglais seulement)

Non pris en charge

Demande de SRC

Non pris en charge

Junos Space Virtual Director

Uniquement pris en charge avec VMware