Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fonctionnalités de Junos OS prises en charge sur vSRX

RÉSUMÉ Cette rubrique fournit des détails sur les fonctionnalités de Junos OS prises en charge et non prises en charge sur vSRX.

Fonctionnalités SRX Series prises en charge sur vSRX

vSRX hérite de la plupart des fonctionnalités SRX Series des filiales avec les considérations suivantes présentées dans le tableau 1.

Pour déterminer les fonctionnalités de Junos OS prises en charge sur vSRX, utilisez Juniper Networks Feature Explorer, une application Web qui vous permet d’explorer et de comparer les informations relatives aux fonctionnalités de Junos OS pour trouver la version logicielle et la plate-forme matérielle appropriées pour votre réseau. Rechercher l’explorateur de fonctionnalités à l’adresse : Explorateur de fonctionnalités : vSRX .

Tableau 1 : Considérations relatives aux fonctionnalités vSRX

Fonction

Description

IDP

La fonction IDP est basée sur l’abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonctionnalité IDP à l’aide de la clé de licence.

Pour plus de détails sur la configuration de la gamme SRX Series IDP, reportez-vous à :

Comprendre la détection et la prévention des intrusions pour SRX Series

VPN IPSec

À partir de Junos OS version 19.3R1, vSRX prend en charge les algorithmes d’authentification et de chiffrement suivants :

  • Algorithme d’authentification : authentification hmac-sha1-96 et HMAC-SHA-256-128

  • Algorithme de chiffrement : aes-128-cbc

À partir de Junos OS version 20.3R1, vSRX prend en charge 10 000 tunnels VPN IPsec.

Pour prendre en charge l’augmentation du nombre de tunnels VPN IPsec, un minimum de 19 vCPU sont nécessaires. Sur les 19 processeurs virtuels, 3 vCPU doivent être dédiés au RE.

Vous devez exécuter cette request system software add optional://junos-ike.tgz commande dès la première fois que vous souhaitez augmenter la capacité du tunnel IPsec. Pour les mises à niveau logicielles ultérieures de l’instance, le package junos-ike est automatiquement mis à niveau à partir des nouvelles versions de Junos OS installées dans l’instance. DH group15, group16, group21 est également ajouté lors de l’installation du package junos-ike. Si le cluster de châssis est activé, exécutez cette commande sur les deux nœuds.

Vous pouvez configurer le nombre de processeurs virtuels attribués au moteur de routage Junos à l’aide de la plate-forme set security forwarding-options resource-manager cpu re <value>.

Note:

La mémoire 64 G est requise pour prendre en charge 1 0000 tunnels en mode PMI.

[Voir show security ipsec security-associations, show security ike tunnel-map et show security ipsec tunnel-distribution.]

VPN IPsec - Évolutivité des tunnels sur vSRX

Types de tunnels

Nombre de tunnels pris en charge

Tunnels VPN de site à site

2000

Tunnels AutoVPN

10,000

IKE SA (site à site)

2000

IKE SA (AutoVPN)

10,000

IKE SA (Site-to-site + AutoVPN)

10,000

Paires SA IPSec (site à site)

10,000

Avec 2 000 SAS IKE, nous pouvons avoir 10 000 IPSec SA.

Paires SA IPSec (AutoVPN)

10,000

Site à site + Paires AUTOVPN IPSec SA

2 000 AutoVPN de site à site 8000

Site à site + tunnels AutoVPN

2 000 AutoVPN de site à site 8000

ISSU

ISSU n’est pas pris en charge.

Systèmes logiques

À partir de Junos OS Version 20.1R1, vous pouvez configurer les systèmes logiques et les systèmes locataires sur les instances vSRX et vSRX 3.0.

Avec Junos OS, vous pouvez partitionner un seul équipement de sécurité en plusieurs équipements logiques capables d’effectuer des tâches indépendantes.

Chaque système logique possède son propre domaine administratif distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctionnalités de sécurité.

Voir la présentation des systèmes logiques.

PowerMode IPsec

À partir de Junos OS version 20.1R1, les instances vSRX 3.0 prennent en charge powermode IPsec qui fournit des améliorations des performances IPsec à l’aide du traitement des paquets Vector (VPP) et des instructions Intel AES-NI. L’IPsec PowerMode est un petit bloc logiciel au sein du MOTEUR de transfert de paquets SRX (SRX Packet Forwarding Engine) activé lorsque le mode d’alimentation est activé.

Fonctionnalités prises en charge dans PowerMode IPsec

  • Fonctionnalité IPsec

  • Sélecteurs de trafic

  • Interface tunnel sécurisée (st0)

  • Toutes les fonctionnalités IKE du plan de contrôle

  • VPN automatique avec sélecteur de trafic

  • VPN automatique avec protocole de routage

  • IPv6

  • Pare-feu dynamique de couche 4

  • Haute disponibilité

  • NAT-T

Fonctionnalités non prises en charge dans PowerMode IPsec

  • Nat

  • IPsec dans IPsec

  • Pare-feu GTP/SCTP

  • Pare-feu d’application/AppSecure

  • Qos

  • Tunnel imbriqué

  • Écran

  • Multidiffusion

  • Trafic hôte

Commutation et pontage Ethernet Depuis Junos OS version 22.1R1, les instances vSRX et vSRX 3.0 déployées sur les plates-formes KVM et VMware prennent en charge un balisage VLAN flexible sur les interfaces de revenus et de ressources.

L’étiquetage VLAN flexible prend en charge la transmission de trames VLAN 802.1Q à balise unique sur les interfaces logiques sur le port Ethernet. En outre, évite de multiples fonctions virtuelles sur la carte d’interface réseau (NIC) et réduit le besoin d’interfaces supplémentaires.

[Voir Configuration du balisage VLAN et du balisage flexible-vlan (Interfaces)]

Systèmes de locataires

À partir de Junos OS Version 20.1R1, vous pouvez configurer les systèmes d’utilisateur sur les instances vSRX et vSRX 3.0.

Un système locataire permet le partitionnement logique de l’équipement SRX dans plusieurs domaines similaires aux systèmes logiques et offre une évolutivité élevée.

Voir la présentation des systèmes locataires.

Mode transparent

Les comportements connus pour la prise en charge du mode transparent sur vSRX sont les suivants :

  • La taille de la table d’apprentissage MAC par défaut est limitée à 16 383 entrées.

Pour plus d’informations sur la configuration du mode transparent pour vSRX, consultez la présentation du pontage de couche 2 et du mode transparent.

Utm

  • La fonctionnalité UTM est basée sur l’abonnement et doit être achetée. Après l’achat, vous pouvez activer la fonctionnalité UTM à l’aide de la clé de licence.

  • À partir de Junos OS version 19.4R1, les instances vSRX 3.0 prennent en charge le moteur d’analyse Avira, un moteur d’analyse antivirus sur l’équipement. Voir le moteur d’analyse antivirus sur l’équipement.

  • Pour plus de détails sur la configuration de la gestion des menaces unifiée SRX Series, consultez la présentation de la gestion des menaces unifiée.

  • Pour plus de détails sur la configuration de l’antispam UTM SRX Series, consultez la présentation du filtrage antispam.

  • Advanced resource management (vSRX 3.0)— À partir de Junos OS version 19.4R1, vSRX 3.0 gère les besoins supplémentaires en ressources système pour les services UTM et IDP en réattribuant les cœurs de processeur et la mémoire supplémentaire. Ces valeurs pour la mémoire et les cœurs de processeur ne sont pas configurées par l’utilisateur. Auparavant, les ressources système telles que la mémoire et les cœurs de processeur étaient fixes.

    Vous pouvez afficher le processeur et la mémoire alloués pour les services de sécurité avancés sur l’instance vSRX 3.0 à l’aide de la show security forward-options resource-manager settings commande. Pour afficher l’évolutivité des sessions de flux, utilisez la show security monitoring commande.

    [Voir afficher la surveillance de la sécurité et afficher les paramètres du gestionnaire de ressources des options de transfert de sécurité.]

Certaines fonctionnalités du logiciel Junos OS nécessitent une licence pour activer cette fonctionnalité. Pour en savoir plus sur les licences vSRX, voir Licences pour vSRX. Reportez-vous au Guide des licences pour obtenir des informations générales sur la gestion des licences. Pour plus d’informations, reportez-vous aux fiches techniques du produit ou contactez votre chargé de compte Juniper ou votre partenaire Juniper.

Fonctionnalités SRX Series non prises en charge sur vSRX

vSRX hérite de nombreuses fonctionnalités de la gamme de produits d’équipements SRX Series. Le tableau 2 répertorie les fonctionnalités SRX Series qui ne s’appliquent pas à un environnement virtualisé, qui ne sont pas actuellement prises en charge ou qui disposent d’une assistance technique qualifiée sur vSRX.

Tableau 2 : Fonctionnalités SRX Series non prises en charge sur vSRX

Fonctionnalité SRX Series

Notes vSRX

Passerelles de couche applicative

Avaya H.323

Non pris en charge

Authentification avec les équipements IC Series

Application de couche 2 dans les déploiements UAC

Non pris en charge

Note:

UAC-IDP et UAC-UTM ne sont pas non plus pris en charge.

Prise en charge du cluster de châssis
Note:

La prise en charge du clustering de châssis pour fournir une redondance de nœud réseau est uniquement disponible sur un déploiement vSRX dans Contrail, VMware, KVM et Windows Hyper-V Server 2016.

Cluster de châssis pour pilote VirtIO

Prise en charge uniquement avec KVM

Note:

L’état des liaisons des interfaces VirtIO est toujours signalé en tant que haut, de sorte qu’un cluster de châssis vSRX ne peut pas recevoir de messages de liaison montante et descendante depuis les interfaces VirtIO.

Liens à double contrôle

Non pris en charge

Mises à niveau des clusters en bande et à faible impact

Non pris en charge

LAG et LACP (couches 2 et 3)

Non pris en charge

Commutation Ethernet de couche 2

Non pris en charge

Pare-feu à faible latence

Non pris en charge

Classe de service

File d’attente hautement prioritaire sur SPC

Non pris en charge

Tunnels

Seuls les tunnels GRE et IP-IP sont pris en charge

Note:

Une VM vSRX déployée sur le cloud Microsoft Azure ne prend pas en charge gre et multicast.

Messages de journalisation de sécurité du plan de données (mode flux)

Protocole TLS

Non pris en charge

Outils de diagnostic

Surveillance des flux cflowd version 9

Non pris en charge

Ping Ethernet (CFM)

Non pris en charge

Traceroute Ethernet (CFM)

Non pris en charge

Proxy DNS

DNS dynamique

Non pris en charge

Agrégation de liaisons Ethernet

LACP en mode cluster autonome ou de châssis

Non pris en charge

LAG de couche 3 sur les ports routés

Non pris en charge

LAG statique en mode autonome ou cluster de châssis

Non pris en charge

Gestion des anomalies de liaison Ethernet

Interface physique (encapsulations)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

Non pris en charge

Famille d’interfaces

  • ccc, tcc

  • ethernet-switching

Non pris en charge

Traitement basé sur les flux et les paquets

Débogage de paquets de bout en bout

Non pris en charge

Regroupement des processeurs réseau

Décharge des services

Interfaces

Interface Ethernet agrégée

Non pris en charge

Attribution VLAN dynamique IEEE 802.1X

Non pris en charge

Dérivation MAC IEEE 802.1X

Non pris en charge

Contrôle d’authentification basé sur port IEEE 802.1X avec prise en charge multisupplicant

Non pris en charge

Entrelacement à l’aide du MLFR

Non pris en charge

Poe

Non pris en charge

Interface PPP

Non pris en charge

Protocole PPPoE radio-to-router

Non pris en charge

Interface PPPoE

Note:

Depuis Junos OS version 15.1X49-D100 et Junos OS version 17.4R1, le vSRX prend en charge l’interface PPPoE (Point-to-Point Protocol over Ethernet).

Non pris en charge

Mode promiscuous sur les interfaces

Uniquement pris en charge si activé sur l’hyperviseur

IPSec et VPN

Acadie - VPN sans client

Non pris en charge

DVPN

Non pris en charge

IPsec matériel (cryptage en masse) Cavium/RMI

Non pris en charge

Terminaison de tunnel IPsec dans les instances de routage

Compatible uniquement avec le routeur virtuel

Multicast pour AutoVPN

Non pris en charge

Prise en charge d’IPv6

Concentrateur DS-Lite (également appelé routeur de transition de la famille d’adresses [AFTR])

Non pris en charge

Initiateur DS-Lite (alias B4)

Non pris en charge

J-Web

Configuration de routage améliorée

Non pris en charge

Nouveau Setup Wizard (pour les nouvelles configurations)

Non pris en charge

Assistant PPPoE

Non pris en charge

Assistant VPN distant

Non pris en charge

Lien de sauvegarde sur le tableau de bord

Non pris en charge

Configuration UTM de l’antivirus Kaspersky et du profil de filtrage Web par défaut

Non pris en charge

Formats de fichiers journaux pour les journaux système (plan de contrôle)

Format binaire (binaire)

Non pris en charge

WELF

Non pris en charge

Divers

GPRS

Note:

Depuis Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, vSRX prend en charge GPRS.

Non pris en charge

Accélération matérielle

Non pris en charge

SSH sortant

Non pris en charge

Accès à l’instance à distance

Non pris en charge

Modem USB

Non pris en charge

Réseau LAN sans fil

Non pris en charge

MPLS

Connexions transversales Deduit (CCC) et TCC (Translational Cross-Connect)

Non pris en charge

VPN de couche 2 pour les connexions Ethernet

Uniquement si le mode promiscuous est activé sur l’hyperviseur

Traduction des adresses réseau

Maximisez les liaisons NAT persistantes

Non pris en charge

Capture de paquets

Capture de paquets

Prise en charge uniquement sur les interfaces physiques et les interfaces tunnel, telles que gr, ipet st0. La capture de paquets n’est pas prise en charge sur les interfaces Ethernet redondantes (reth).

Routage

Extensions BGP pour IPv6

Non pris en charge

BGP Flowspec

Non pris en charge

Réflecteur de route BGP

Non pris en charge

CRTP

Non pris en charge

Commutation

Balisage VLAN Q-in-Q de couche 3

Non pris en charge

Mode transparent

Utm

Non pris en charge

Gestion des menaces unifiée

Antivirus express

Non pris en charge

Antivirus Kaspersky

Non pris en charge

Mise à niveau et redémarrage

Récupération automatique

Non pris en charge

Configuration de l’instance de démarrage

Non pris en charge

Récupération de l’instance de démarrage

Non pris en charge

Partitionnement double racine

Non pris en charge

Restauration du système d’exploitation

Non pris en charge

Interfaces utilisateur

Nsm

Non pris en charge

Application SRC

Non pris en charge

Junos Space Virtual Director

Prise en charge uniquement avec VMware