Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fonctionnalités de Junos OS prises en charge sur le pare-feu virtuel vSRX

RÉSUMÉ Cette rubrique fournit des détails sur les fonctionnalités de Junos OS prises en charge et non prises en charge sur le pare-feu virtuel vSRX.

Fonctionnalités SRX Series prises en charge sur le pare-feu virtuel vSRX

Le pare-feu virtuel vSRX hérite de la plupart des fonctionnalités des filiales SRX Series, avec les considérations suivantes indiquées dans le Tableau 1.

Pour déterminer les fonctionnalités Junos OS prises en charge sur le pare-feu virtuel vSRX, utilisez l’explorateur de fonctionnalités Juniper Networks, une application Web qui vous aide à explorer et comparer les informations sur les fonctionnalités de Junos OS afin de trouver la version logicielle et la plate-forme matérielle adaptées à votre réseau. Recherchez l’Explorateur de fonctionnalités à l’adresse suivante : Explorateur de fonctionnalités : vSRX .

Tableau 1 : considérations relatives aux fonctionnalités du pare-feu virtuel vSRX

Caractéristique

Description

IDP (en anglais seulement)

La fonctionnalité IDP est basée sur un abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction IDP avec la clé de licence.

Pour plus d’informations sur la configuration IDP de la SRX Series, reportez-vous à :

Comprendre la détection et la prévention des intrusions pour les modèles SRX Series

VPN IPSec

À partir de Junos OS version 19.3R1, le pare-feu virtuel vSRX prend en charge les algorithmes d’authentification et de chiffrement suivants :

  • Algorithme d’authentification : authentification hmac-sha1-96 et HMAC-SHA-256-128

  • Algorithme de chiffrement : aes-128-cbc

À partir de Junos OS version 20.3R1, le pare-feu virtuel vSRX prend en charge 10 000 tunnels VPN IPsec.

Pour prendre en charge l’augmentation du nombre de tunnels VPN IPsec, un minimum de 19 vCPU est requis. Sur les 19 vCPU, 3 vCPU doivent être dédiés à l’ER.

Vous devez exécuter la commande la première fois que vous souhaitez activer l’augmentation de la request system software add optional://junos-ike.tgz capacité du tunnel IPsec. Pour les mises à niveau logicielles ultérieures de l’instance, le package junos-ike est automatiquement mis à niveau à partir des nouvelles versions de Junos OS installées dans l’instance. DH group15, group16, group21 est également ajouté lorsque nous installons le paquet junos-ike. Si le cluster de châssis est activé, exécutez cette commande sur les deux nœuds.

Vous pouvez configurer le nombre de vCPU alloués au moteur de routage Junos à l’aide de la set security forwarding-options resource-manager cpu re <value>commande .

Note:

Une mémoire de 64 G est nécessaire pour prendre en charge 10000 tunnels en mode PMI.

[Voir show security ipsec security-associations, show security ike tunnel-map et show security ipsec tunnel-distribution.]

VPN IPsec - Mise à l’échelle des tunnels sur le pare-feu virtuel vSRX

Types de tunnels

Nombre de tunnels pris en charge

Tunnels VPN de site à site

2000

Tunnels AutoVPN

10,000

IKE SA (Site à site)

2000

IKE SA (AutoVPN)

10,000

IKE SA (Site à site + AutoVPN)

10,000

Paires IPSec SA (site à site)

10,000

Avec 2 000 IKE, on peut avoir 10 000 SA IPSec.

Paires IPSec SA (AutoVPN)

10,000

Paires site à site + AutoVPN IPSec SA

2000 AutoVPN 8000 sur site

Site à site + tunnels AutoVPN

2000 AutoVPN 8000 sur site

ISSU

ISSU n’est pas pris en charge.

Systèmes logiques

À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes logiques et des systèmes de locataires sur des instances de pare-feu virtuel vSRX et pare-feu virtuel vSRX 3.0.

Avec Junos OS, vous pouvez partitionner un seul équipement de sécurité en plusieurs équipements logiques pouvant effectuer des tâches indépendantes.

Chaque système logique possède son propre domaine administratif distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctionnalités de sécurité.

Reportez-vous à la section Présentation des systèmes logiques.

Mode d’alimentation IPsec

À compter de Junos OS version 20.1R1, les instances du pare-feu virtuel vSRX 3.0 prennent en charge PowerMode IPsec qui améliore les performances IPsec à l’aide du traitement vectoriel des paquets (VPP) et des instructions Intel AES-NI. PowerMode IPsec est un petit bloc logiciel à l’intérieur du SRX PFE (SRX moteur de transfert de paquets) qui est activé lorsque PowerMode est activé.

Fonctionnalités prises en charge dans PowerMode IPsec

  • Fonctionnalité IPsec

  • Sélecteurs de trafic

  • Interface de tunnel sécurisée (st0)

  • Toutes les fonctionnalités IKE du plan de contrôle

  • VPN automatique avec sélecteur de trafic

  • VPN automatique avec protocole de routage

  • IPv6 (en anglais)

  • Pare-feu dynamique de couche 4

  • Haute disponibilité

  • NAT-T

Fonctionnalités non prises en charge dans PowerMode IPsec

  • NAT

  • IPsec dans IPsec

  • Pare-feu GTP/SCTP

  • Pare-feu applicatif/AppSecure

  • QoS (QoS)

  • Tunnel imbriqué

  • Écran

  • Multidiffusion

  • Trafic de l’hôte

Commutation et pontage Ethernet À partir de Junos OS version 22.1R1, les instances du pare-feu virtuel vSRX et du pare-feu virtuel vSRX 3.0 déployées sur les plates-formes KVM et VMware prennent en charge le balisage VLAN flexible sur les interfaces de revenus et de revenus.

Le balisage VLAN flexible prend en charge la transmission de trames VLAN 802.1Q à étiquette unique sur des interfaces logiques sur le port Ethernet. De plus, cela évite les fonctions virtuelles multiples sur la carte d’interface réseau (NIC) et réduit le besoin d’interfaces supplémentaires.

[Voir Configuration du balisage VLAN et du balisage vlan flexible (interfaces).]

Systèmes de location

À partir de Junos OS version 20.1R1, vous pouvez configurer des systèmes de locataires sur des instances de pare-feu virtuel vSRX et pare-feu virtuel vSRX 3.0.

Un système de location fournit un partitionnement logique du pare-feu SRX Series en plusieurs domaines similaires aux systèmes logiques et offre une grande évolutivité.

Reportez-vous à la section Vue d’ensemble des systèmes de location.

Mode transparent

Les comportements connus pour la prise en charge du mode transparent sur le pare-feu virtuel vSRX sont les suivants :

  • La taille par défaut de la table d’apprentissage MAC est limitée à 16 383 entrées.

Pour plus d’informations sur la configuration du mode transparent pour le pare-feu virtuel vSRX, reportez-vous à la section Présentation du pontage de couche 2 et du mode transparent.

Sécurité du contenu

  • La fonctionnalité de sécurité du contenu est basée sur un abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonction de sécurité du contenu à l’aide de la clé de licence.

  • À partir de Junos OS version 19.4R1, les instances du pare-feu virtuel vSRX 3.0 prennent en charge le moteur d’analyse Avira, qui est un moteur d’analyse antivirus sur le périphérique. Reportez-vous à la section Moteur d’analyse antivirus sur l’appareil.

  • Pour plus d’informations sur la configuration de la sécurité du contenu SRX Series, reportez-vous à la section Présentation de la gestion des menaces unifiée.

  • Pour plus d’informations sur la configuration antispam de la sécurité du contenu SRX Series, reportez-vous à la section Présentation du filtrage antispam.

  • Advanced resource management (vSRX 3.0)—À partir de Junos OS version 19.4R1, le pare-feu virtuel vSRX 3.0 gère les ressources système supplémentaires requises pour les services spécifiques à Content Security et IDP en réallouant les cœurs de processeur et la mémoire supplémentaire. Ces valeurs pour la mémoire et les cœurs de processeur ne sont pas configurées par l’utilisateur. Auparavant, les ressources système telles que la mémoire et les cœurs de processeur étaient corrigées.

    Vous pouvez afficher le processeur et la mémoire alloués pour les services de sécurité avancés sur l’instance de pare-feu virtuel vSRX 3.0 à l’aide de la show security forward-options resource-manager settings commande. Pour afficher la mise à l’échelle de la session de flux, utilisez la show security monitoring commande.

    [Voir « Afficher la surveillance de la sécurité » et « Afficher les paramètres du gestionnaire de ressources des options avancées de sécurité ».]

Tunnels

Uniquement GRE et IP-IP

Certaines fonctionnalités du logiciel Junos OS nécessitent une licence pour être activées. Pour en savoir plus sur les licences de pare-feu virtuel vSRX, reportez-vous à la section Licences pour vSRX. Reportez-vous au Guide des licences pour obtenir des informations générales sur la gestion des licences. Pour plus d’informations, reportez-vous aux fiches techniques des produits ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.

Fonctionnalités SRX Series non prises en charge sur le pare-feu virtuel vSRX

Le pare-feu virtuel vSRX hérite de nombreuses fonctionnalités de la gamme de pare-feu SRX Series. Le Tableau 2 répertorie les fonctionnalités de la gamme SRX Series qui ne sont pas applicables dans un environnement virtualisé, qui ne sont pas actuellement prises en charge ou qui bénéficient d’une prise en charge qualifiée sur le pare-feu virtuel vSRX.

Tableau 2 : fonctionnalités SRX Series non prises en charge sur le pare-feu virtuel vSRX

Fonctionnalités SRX Series

Remarques sur le pare-feu virtuel vSRX

Passerelles de couche applicative

Avaya H.323

Non pris en charge

Authentification avec les appareils de la série IC

Application de la couche 2 dans les déploiements UAC

Non pris en charge

Note:

UAC-IDP et UAC-Content Security ne sont pas non plus pris en charge.

Prise en charge des clusters de châssis
Note:

La prise en charge du clustering de châssis pour assurer la redondance des nuds réseau est uniquement disponible sur un déploiement de pare-feu virtuel vSRX dans Contrail, VMware, KVM et Windows Hyper-V Server 2016.

Cluster de châssis pour le pilote VirtIO

Uniquement pris en charge avec KVM

Note:

L’état de liaison des interfaces VirtIO est toujours indiqué comme UP, de sorte qu’un cluster de châssis de pare-feu virtuel vSRX ne peut pas recevoir de messages de liaison active et descendante des interfaces VirtIO.

Liens à double contrôle

Non pris en charge

Mises à niveau des clusters intrabande et à faible impact

Non pris en charge

LAG et LACP (couches 2 et 3)

Non pris en charge

Commutation Ethernet de couche 2

Non pris en charge

Pare-feu à faible latence

Non pris en charge

Classe de service

File d’attente à haute priorité sur SPC

Non pris en charge

Tunnels

Une machine virtuelle de pare-feu virtuel vSRX déployée sur Microsoft Azure Cloud ne prend pas en charge GRE, IP-IP et multicast.

Messages du journal de sécurité du plan de données (mode flux)

Protocole TLS

Non pris en charge

Outils de diagnostic

Surveillance de débit cflowd version 9

Non pris en charge

Ping Ethernet (CFM)

Non pris en charge

Traceroute Ethernet (CFM)

Non pris en charge

Proxy DNS

DNS dynamique

Non pris en charge

Agrégation de liens Ethernet

LACP en mode autonome ou cluster de châssis

Non pris en charge

LAG de couche 3 sur les ports routés

Non pris en charge

LAG statique en mode autonome ou cluster de châssis

Non pris en charge

Gestion des défaillances des liaisons Ethernet

Interface physique (encapsulations)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

Non pris en charge

Famille d’interfaces

  • ccc, tcc

  • ethernet-switching

Non pris en charge

Traitement basé sur les flux et les paquets

Débogage des paquets de bout en bout

Non pris en charge

Regroupement de processeurs réseau

Délestage des services

Interfaces

Interface Ethernet agrégée

Non pris en charge

Attribution dynamique de VLAN IEEE 802.1X

Non pris en charge

Contournement MAC IEEE 802.1X

Non pris en charge

Contrôle d’authentification basé sur port IEEE 802.1X avec prise en charge de plusieurs demandeurs

Non pris en charge

Entrelacement à l’aide de MLFR

Non pris en charge

Poe

Non pris en charge

Interface PPP

Non pris en charge

Protocole radio-routeur basé sur PPPoE

Non pris en charge

Interface PPPoE

Note:

Depuis Junos OS version 15.1X49-D100 et Junos OS version 17.4R1, le pare-feu virtuel vSRX prend en charge l’interface PPPoE (Point-to-Point Protocol over Ethernet).

Non pris en charge

Mode de promiscuité sur les interfaces

Uniquement pris en charge si activé sur l’hyperviseur

IPSec et VPN

Acadia - VPN sans client

Non pris en charge

DVPN (en anglais seulement)

Non pris en charge

Matériel IPsec (chiffrement en vrac) Cavium/RMI

Non pris en charge

Terminaison de tunnel IPsec dans les instances de routage

Uniquement pris en charge sur les routeurs virtuels

Multicast pour AutoVPN

Non pris en charge

Prise en charge d’IPv6

Concentrateur DS-Lite (également appelé Address Family Transition Router [AFTR])

Non pris en charge

Initiateur DS-Lite (alias B4)

Non pris en charge

J-Web (en anglais seulement)

Configuration de routage améliorée

Non pris en charge

Assistant Nouvelle installation (pour les nouvelles configurations)

Non pris en charge

Assistant PPPoE

Non pris en charge

Assistant VPN à distance

Non pris en charge

Lien de secours sur le tableau de bord

Non pris en charge

Configuration de Content Security pour l’antivirus Kaspersky et le profil de filtrage Web par défaut

Non pris en charge

Formats de fichiers journaux pour les journaux du système (plan de contrôle)

Format binaire (binaire)

Non pris en charge

WELF

Non pris en charge

Divers

Le GPRS

Note:

À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, le pare-feu virtuel vSRX prend en charge GPRS.

Non pris en charge

Accélération matérielle

Non pris en charge

SSH sortant

Non pris en charge

Accès aux instances distantes

Non pris en charge

Modem USB

Non pris en charge

LAN sans fil

Non pris en charge

MPLS (en anglais)

Connexion croisée Crcuit (CCC) et connexion croisée translationnelle (TCC)

Non pris en charge

VPN de couche 2 pour les connexions Ethernet

Uniquement si le mode promiscuité est activé sur l’hyperviseur

Traduction des adresses réseau

Maximiser les liaisons NAT persistantes

Non pris en charge

Capture de paquets

Capture de paquets

Uniquement pris en charge sur les interfaces physiques et les interfaces tunnel, telles que gr, ip, et st0. La capture de paquets n’est pas prise en charge sur les interfaces Ethernet redondantes (reth).

Routage

Extensions BGP pour IPv6

Non pris en charge

BGP Flowspec

Non pris en charge

Réflecteur de route BGP

Non pris en charge

Le CRTP

Non pris en charge

Transistor

Marquage VLAN Q-in-Q de couche 3

Non pris en charge

Mode transparent

Sécurité du contenu

Non pris en charge

Sécurité du contenu

Express AV

Non pris en charge

Kaspersky AV

Non pris en charge

Mise à niveau et redémarrage

Récupération automatique

Non pris en charge

Configuration de l’instance de démarrage

Non pris en charge

Récupération d’instance d’amorçage

Non pris en charge

Partitionnement à double racine

Non pris en charge

Restauration du système d’exploitation

Non pris en charge

Interfaces utilisateur

NSM (en anglais seulement)

Non pris en charge

Demande de SRC

Non pris en charge

Junos Space Virtual Director

Uniquement pris en charge avec VMware