Fonctionnalités de Junos OS prises en charge sur le pare-feu virtuel vSRX

RÉSUMÉ Cette rubrique fournit des détails sur les fonctionnalités de Junos OS prises en charge et non prises en charge sur le pare-feu virtuel vSRX.

Fonctionnalités SRX Series prises en charge sur le pare-feu virtuel vSRX

Le pare-feu virtuel vSRX hérite de la plupart des fonctionnalités des filiales SRX Series, avec les considérations suivantes indiquées dans le Tableau 1.

Pour déterminer les fonctionnalités Junos OS prises en charge sur le pare-feu virtuel vSRX, utilisez l’explorateur de fonctionnalités Juniper Networks, une application Web qui vous aide à explorer et comparer les informations sur les fonctionnalités de Junos OS afin de trouver la version logicielle et la plate-forme matérielle adaptées à votre réseau. Recherchez l’Explorateur de fonctionnalités à l’adresse suivante : Explorateur de fonctionnalités : vSRX .

Tableau 1 : considérations relatives aux fonctionnalités du pare-feu virtuel vSRX
Caractéristique	Description
IDP (en anglais seulement)	La fonctionnalité IDP est basée sur un abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction IDP avec la clé de licence. Pour plus d’informations sur la configuration IDP de la SRX Series, reportez-vous à : Comprendre la détection et la prévention des intrusions pour les modèles SRX Series
VPN IPSec	À partir de Junos OS version 19.3R1, le pare-feu virtuel vSRX prend en charge les algorithmes d’authentification et de chiffrement suivants : Algorithme d’authentification : authentification hmac-sha1-96 et HMAC-SHA-256-128 Algorithme de chiffrement : aes-128-cbc À partir de Junos OS version 20.3R1, le pare-feu virtuel vSRX prend en charge 10 000 tunnels VPN IPsec. Pour prendre en charge l’augmentation du nombre de tunnels VPN IPsec, un minimum de 19 vCPU est requis. Sur les 19 vCPU, 3 vCPU doivent être dédiés à l’ER. Vous devez exécuter la commande la première fois que vous souhaitez activer l’augmentation de la `request system software add optional://junos-ike.tgz` capacité du tunnel IPsec. Pour les mises à niveau logicielles ultérieures de l’instance, le package junos-ike est automatiquement mis à niveau à partir des nouvelles versions de Junos OS installées dans l’instance. DH group15, group16, group21 est également ajouté lorsque nous installons le paquet junos-ike. Si le cluster de châssis est activé, exécutez cette commande sur les deux nœuds. Vous pouvez configurer le nombre de vCPU alloués au moteur de routage Junos à l’aide de la `set security forwarding-options resource-manager cpu re <value>`commande . Note: Une mémoire de 64 G est nécessaire pour prendre en charge 10000 tunnels en mode PMI. [Voir show security ipsec security-associations, show security ike tunnel-map et show security ipsec tunnel-distribution.]
VPN IPsec - Mise à l’échelle des tunnels sur le pare-feu virtuel vSRX	Types de tunnels	Nombre de tunnels pris en charge
	Tunnels VPN de site à site	2000
	Tunnels AutoVPN	10,000
	IKE SA (Site à site)	2000
	IKE SA (AutoVPN)	10,000
	IKE SA (Site à site + AutoVPN)	10,000
	Paires IPSec SA (site à site)	10,000 Avec 2 000 IKE, on peut avoir 10 000 SA IPSec.
	Paires IPSec SA (AutoVPN)	10,000
	Paires site à site + AutoVPN IPSec SA	2000 AutoVPN 8000 sur site
	Site à site + tunnels AutoVPN	2000 AutoVPN 8000 sur site
ISSU	ISSU n’est pas pris en charge.
Systèmes logiques	À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes logiques et des systèmes de locataires sur des instances de pare-feu virtuel vSRX et pare-feu virtuel vSRX 3.0. Avec Junos OS, vous pouvez partitionner un seul équipement de sécurité en plusieurs équipements logiques pouvant effectuer des tâches indépendantes. Chaque système logique possède son propre domaine administratif distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctionnalités de sécurité. Reportez-vous à la section Présentation des systèmes logiques.
Mode d’alimentation IPsec	À compter de Junos OS version 20.1R1, les instances du pare-feu virtuel vSRX 3.0 prennent en charge PowerMode IPsec qui améliore les performances IPsec à l’aide du traitement vectoriel des paquets (VPP) et des instructions Intel AES-NI. PowerMode IPsec est un petit bloc logiciel à l’intérieur du SRX PFE (SRX moteur de transfert de paquets) qui est activé lorsque PowerMode est activé. Fonctionnalités prises en charge dans PowerMode IPsec Fonctionnalité IPsec Sélecteurs de trafic Interface de tunnel sécurisée (st0) Toutes les fonctionnalités IKE du plan de contrôle VPN automatique avec sélecteur de trafic VPN automatique avec protocole de routage IPv6 (en anglais) Pare-feu dynamique de couche 4 Haute disponibilité NAT-T Fonctionnalités non prises en charge dans PowerMode IPsec NAT IPsec dans IPsec Pare-feu GTP/SCTP Pare-feu applicatif/AppSecure QoS (QoS) Tunnel imbriqué Écran Multidiffusion Trafic de l’hôte
Commutation et pontage Ethernet	À partir de Junos OS version 22.1R1, les instances du pare-feu virtuel vSRX et du pare-feu virtuel vSRX 3.0 déployées sur les plates-formes KVM et VMware prennent en charge le balisage VLAN flexible sur les interfaces de revenus et de revenus. Le balisage VLAN flexible prend en charge la transmission de trames VLAN 802.1Q à étiquette unique sur des interfaces logiques sur le port Ethernet. De plus, cela évite les fonctions virtuelles multiples sur la carte d’interface réseau (NIC) et réduit le besoin d’interfaces supplémentaires. [Voir Configuration du balisage VLAN et du balisage vlan flexible (interfaces).]
Systèmes de location	À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes de locataires sur des instances de pare-feu virtuel vSRX et pare-feu virtuel vSRX 3.0. Un système de location fournit un partitionnement logique du pare-feu SRX Series en plusieurs domaines similaires aux systèmes logiques et offre une grande évolutivité. Reportez-vous à la section Vue d’ensemble des systèmes de location.
Mode transparent	Les comportements connus pour la prise en charge du mode transparent sur le pare-feu virtuel vSRX sont les suivants : La taille par défaut de la table d’apprentissage MAC est limitée à 16 383 entrées. Pour plus d’informations sur la configuration du mode transparent pour le pare-feu virtuel vSRX, reportez-vous à la section Présentation du pontage de couche 2 et du mode transparent.
Sécurité du contenu	La fonctionnalité de sécurité du contenu est basée sur un abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction de sécurité du contenu à l’aide de la clé de licence. À partir de Junos OS version 19.4R1, les instances du pare-feu virtuel vSRX 3.0 prennent en charge le moteur d’analyse Avira, qui est un moteur d’analyse antivirus sur le périphérique. Reportez-vous à la section Moteur d’analyse antivirus sur l’appareil. Pour plus d’informations sur la configuration de la sécurité du contenu SRX Series, reportez-vous à la section Présentation de la gestion des menaces unifiée. Pour plus d’informations sur la configuration antispam de la sécurité du contenu SRX Series, reportez-vous à la section Présentation du filtrage antispam. `Advanced resource management (vSRX 3.0)`—À partir de Junos OS version 19.4R1, le pare-feu virtuel vSRX 3.0 gère les ressources système supplémentaires requises pour les services spécifiques à Content Security et IDP en réallouant les cœurs de processeur et la mémoire supplémentaire. Ces valeurs pour la mémoire et les cœurs de processeur ne sont pas configurées par l’utilisateur. Auparavant, les ressources système telles que la mémoire et les cœurs de processeur étaient corrigées. Vous pouvez afficher le processeur et la mémoire alloués pour les services de sécurité avancés sur l’instance de pare-feu virtuel vSRX 3.0 à l’aide de la `show security forward-options resource-manager settings` commande. Pour afficher la mise à l’échelle de la session de flux, utilisez la `show security monitoring` commande. [Voir « Afficher la surveillance de la sécurité » et « Afficher les paramètres du gestionnaire de ressources des options avancées de sécurité ».]
Tunnels	Uniquement GRE et IP-IP

Certaines fonctionnalités du logiciel Junos OS nécessitent une licence pour être activées. Pour en savoir plus sur les licences de pare-feu virtuel vSRX, reportez-vous à la section Licences pour vSRX. Reportez-vous au Guide des licences pour obtenir des informations générales sur la gestion des licences. Pour plus d’informations, reportez-vous aux fiches techniques des produits ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.

Fonctionnalités SRX Series non prises en charge sur le pare-feu virtuel vSRX

Le pare-feu virtuel vSRX hérite de nombreuses fonctionnalités de la gamme de pare-feu SRX Series. Le Tableau 2 répertorie les fonctionnalités de la gamme SRX Series qui ne sont pas applicables dans un environnement virtualisé, qui ne sont pas actuellement prises en charge ou qui bénéficient d’une prise en charge qualifiée sur le pare-feu virtuel vSRX.

Tableau 2 : fonctionnalités SRX Series non prises en charge sur le pare-feu virtuel vSRX
Fonctionnalités SRX Series	Remarques sur le pare-feu virtuel vSRX
Passerelles de couche applicative
Avaya H.323	Non pris en charge
Authentification avec les appareils de la série IC
Application de la couche 2 dans les déploiements UAC	Non pris en charge Note: UAC-IDP et UAC-Content Security ne sont pas non plus pris en charge.
Prise en charge des clusters de châssis Note: La prise en charge du clustering de châssis pour assurer la redondance des nuds réseau est uniquement disponible sur un déploiement de pare-feu virtuel vSRX dans Contrail, VMware, KVM et Windows Hyper-V Server 2016.
Cluster de châssis pour le pilote VirtIO	Uniquement pris en charge avec KVM Note: L’état de liaison des interfaces VirtIO est toujours indiqué comme UP, de sorte qu’un cluster de châssis de pare-feu virtuel vSRX ne peut pas recevoir de messages de liaison active et descendante des interfaces VirtIO.
Liens à double contrôle	Non pris en charge
Mises à niveau des clusters intrabande et à faible impact	Non pris en charge
LAG et LACP (couches 2 et 3)	Non pris en charge
Commutation Ethernet de couche 2	Non pris en charge
Pare-feu à faible latence	Non pris en charge
Classe de service
File d’attente à haute priorité sur SPC	Non pris en charge
Tunnels	Une machine virtuelle de pare-feu virtuel vSRX déployée sur Microsoft Azure Cloud ne prend pas en charge GRE, IP-IP et multicast.
Messages du journal de sécurité du plan de données (mode flux)
Protocole TLS	Non pris en charge
Outils de diagnostic
Surveillance de débit cflowd version 9	Non pris en charge
Ping Ethernet (CFM)	Non pris en charge
Traceroute Ethernet (CFM)	Non pris en charge
Proxy DNS
DNS dynamique	Non pris en charge
Agrégation de liens Ethernet
LACP en mode autonome ou cluster de châssis	Non pris en charge
LAG de couche 3 sur les ports routés	Non pris en charge
LAG statique en mode autonome ou cluster de châssis	Non pris en charge
Gestion des défaillances des liaisons Ethernet
Interface physique (encapsulations) `ethernet-ccc` `ethernet-tcc` `extended-vlan-ccc` `extended-vlan-tcc`	Non pris en charge
Famille d’interfaces `ccc`, `tcc` `ethernet-switching`	Non pris en charge
Traitement basé sur les flux et les paquets
Débogage des paquets de bout en bout	Non pris en charge
Regroupement de processeurs réseau
Délestage des services
Interfaces
Interface Ethernet agrégée	Non pris en charge
Attribution dynamique de VLAN IEEE 802.1X	Non pris en charge
Contournement MAC IEEE 802.1X	Non pris en charge
Contrôle d’authentification basé sur port IEEE 802.1X avec prise en charge de plusieurs demandeurs	Non pris en charge
Entrelacement à l’aide de MLFR	Non pris en charge
Poe	Non pris en charge
Interface PPP	Non pris en charge
Protocole radio-routeur basé sur PPPoE	Non pris en charge
Interface PPPoE Note: Depuis Junos OS version 15.1X49-D100 et Junos OS version 17.4R1, le pare-feu virtuel vSRX prend en charge l’interface PPPoE (Point-to-Point Protocol over Ethernet).	Non pris en charge
Mode de promiscuité sur les interfaces	Uniquement pris en charge si activé sur l’hyperviseur
IPSec et VPN
Acadia - VPN sans client	Non pris en charge
DVPN (en anglais seulement)	Non pris en charge
Matériel IPsec (chiffrement en vrac) Cavium/RMI	Non pris en charge
Terminaison de tunnel IPsec dans les instances de routage	Uniquement pris en charge sur les routeurs virtuels
Multicast pour AutoVPN	Non pris en charge
Prise en charge d’IPv6
Concentrateur DS-Lite (également appelé Address Family Transition Router [AFTR])	Non pris en charge
Initiateur DS-Lite (alias B4)	Non pris en charge
J-Web (en anglais seulement)
Configuration de routage améliorée	Non pris en charge
Assistant Nouvelle installation (pour les nouvelles configurations)	Non pris en charge
Assistant PPPoE	Non pris en charge
Assistant VPN à distance	Non pris en charge
Lien de secours sur le tableau de bord	Non pris en charge
Configuration de Content Security pour l’antivirus Kaspersky et le profil de filtrage Web par défaut	Non pris en charge
Formats de fichiers journaux pour les journaux du système (plan de contrôle)
Format binaire (binaire)	Non pris en charge
WELF	Non pris en charge
Divers
Le GPRS Note: À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, le pare-feu virtuel vSRX prend en charge GPRS.	Non pris en charge
Accélération matérielle	Non pris en charge
SSH sortant	Non pris en charge
Accès aux instances distantes	Non pris en charge
Modem USB	Non pris en charge
LAN sans fil	Non pris en charge
MPLS (en anglais)
Connexion croisée Crcuit (CCC) et connexion croisée translationnelle (TCC)	Non pris en charge
VPN de couche 2 pour les connexions Ethernet	Uniquement si le mode promiscuité est activé sur l’hyperviseur
Traduction des adresses réseau
Maximiser les liaisons NAT persistantes	Non pris en charge
Capture de paquets
Capture de paquets	Uniquement pris en charge sur les interfaces physiques et les interfaces tunnel, telles que `gr`, `ip`, et `st0`. La capture de paquets n’est pas prise en charge sur les interfaces Ethernet redondantes (`reth`).
Routage
Extensions BGP pour IPv6	Non pris en charge
BGP Flowspec	Non pris en charge
Réflecteur de route BGP	Non pris en charge
Le CRTP	Non pris en charge
Transistor
Marquage VLAN Q-in-Q de couche 3	Non pris en charge
Mode transparent
Sécurité du contenu	Non pris en charge
Sécurité du contenu
Express AV	Non pris en charge
Kaspersky AV	Non pris en charge
Mise à niveau et redémarrage
Récupération automatique	Non pris en charge
Configuration de l’instance de démarrage	Non pris en charge
Récupération d’instance d’amorçage	Non pris en charge
Partitionnement à double racine	Non pris en charge
Restauration du système d’exploitation	Non pris en charge
Interfaces utilisateur
NSM (en anglais seulement)	Non pris en charge
Demande de SRC	Non pris en charge
Junos Space Virtual Director	Uniquement pris en charge avec VMware