vSRX仮想ファイアウォールでサポートされるJunos OSの機能
このトピックでは、vSRXでサポートされているJunos OS機能とサポートされていない機能について説明します。
vSRXでサポートされている機能
vSRX は、 表 1 に示す次の考慮事項により、支社/拠点 SRXシリーズの大部分の機能を継承します。
vSRX仮想ファイアウォールでサポートされているJunos OSの機能を確認するには、WebベースのアプリケーションであるジュニパーネットワークスFeature Explorerを使用して、Junos OSの機能情報を調べて比較し、ネットワークに適したソフトウェアリリースとハードウェアプラットフォームを見つけることができます。Feature Explorerについては、Feature Explorer: vSRX をご覧ください。
| 特徴 |
形容 |
|||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IDP |
IDP機能はサブスクリプションベースであり、購入する必要があります。購入後、ライセンスキーを使用してIDP機能をアクティブ化できます。 SRXシリーズIDP設定の詳細については、以下を参照してください。 |
|||||||||||||||||||
| IPSec VPN |
Junos OS リリース 19.3R1 以降、vSRX仮想ファイアウォールは以下の認証アルゴリズムと暗号化アルゴリズムをサポートしています。
Junos OS リリース 20.3R1 以降、vSRX仮想ファイアウォールは 10,000 の IPSec VPN トンネルをサポートします。 IPSec VPNトンネル数の増加をサポートするには、2つのRE vCPUで最低18個のvCPUが必要であり、合計24個のvCPUに増やすとRE vCPU数は4個までしか増えません。18個のvCPUのうち、2個のvCPUをRE専用にする必要があります。
手記:
PMI モードで 10000 個のトンネルをサポートするには、64 G のメモリが必要です。 [ show security ipsec security-associations、 show security ike tunnel-map、および show security ipsec tunnel-distribution を参照してください。 |
|||||||||||||||||||
| IPSec VPN - vSRX仮想ファイアウォールでのトンネル拡張 | トンネルのタイプ |
サポートされているトンネルの数 |
||||||||||||||||||
| サイト間 VPN トンネル |
2000 |
|||||||||||||||||||
| AutoVPN トンネル |
10,000 |
|||||||||||||||||||
| IKE SA(サイトツーサイト) |
2000 |
|||||||||||||||||||
| IKE SA(AutoVPN) |
10,000 |
|||||||||||||||||||
| IKE SA(サイトツーサイト + AutoVPN) |
10,000 |
|||||||||||||||||||
| IPSec SA ペア(サイトツーサイト) |
10,000 IKE SA が 2000 個あれば、IPSec SA は 10,000 個になります。 |
|||||||||||||||||||
| IPSec SA ペア(AutoVPN) |
10,000 |
|||||||||||||||||||
| サイトツーサイト + AutoVPN IPSec SA ペア |
2000 サイトツーサイト 8000 AutoVPN |
|||||||||||||||||||
| サイトツーサイト + AutoVPN トンネル |
2000 サイトツーサイト 8000 AutoVPN |
|||||||||||||||||||
| ISSU |
ISSU はサポートされていません。 |
|||||||||||||||||||
| 論理システム |
Junos OS リリース 20.1R1 以降、vSRX仮想ファイアウォールおよび vSRX仮想ファイアウォール 3.0 インスタンスで論理システムとテナント システムを設定できます。 Junos OS では、単一のセキュリティ デバイスを、独立したタスクを実行できる複数の論理デバイスに分割できます。 各論理システムには、独自の個別の管理ドメイン、論理インターフェイス、ルーティングインスタンス、セキュリティファイアウォール、その他のセキュリティ機能があります。 「論理システムの概要」を参照してください。 |
|||||||||||||||||||
| PowerMode IPsec |
Junos OS リリース 20.1R1 以降、vSRX仮想ファイアウォール 3.0 インスタンスは、ベクトル パケット処理(VPP)と Intel AES-NI 命令を使用して IPsec パフォーマンスを向上させる PowerMode IPsec をサポートしています。PowerMode IPsecは、SRX PFE(SRX パケット転送エンジン)内の小さなソフトウェアブロックで、PowerModeが有効な場合にアクティブになります。 PowerMode IPsec でサポートされている機能
PowerMode IPsec でサポートされていない機能
|
|||||||||||||||||||
| イーサネットスイッチングおよびブリッジング | Junos OS リリース 22.1R1 以降、KVM および VMware プラットフォームに導入された vSRX仮想ファイアウォールおよび vSRX仮想ファイアウォール 3.0 インスタンスは、収益インターフェイスと reth インターフェイスで柔軟な VLAN タグ付けをサポートしています。 柔軟なVLANタグ付けは、イーサネットポート上の論理インターフェイス上での802.1Q VLAN単一タグフレームの送信をサポートします。また、ネットワーク インターフェイス カード(NIC)上の複数の仮想機能を回避し、追加のインターフェイスの必要性を減らします。 [ VLANタグの設定 と flexible-vlan-tagging(インターフェイス)を参照してください。 |
|||||||||||||||||||
| テナントシステム |
Junos OS リリース 20.1R1 以降では、vSRX仮想ファイアウォールおよび vSRX仮想ファイアウォール 3.0 インスタンスでテナント システムを設定できます。 テナントシステムでは、論理システムと同様に、SRXシリーズファイアウォールを複数のドメインに論理的に分割し、高い拡張性を提供します。 「テナント システムの概要」を参照してください。 |
|||||||||||||||||||
| 透過モード |
vSRX仮想ファイアウォールでの透過モードサポートの既知の動作は次のとおりです。
vSRX仮想ファイアウォールの透過モード設定については、 レイヤー2ブリッジングおよび透過モードの概要を参照してください。 |
|||||||||||||||||||
| コンテンツセキュリティ |
|
|||||||||||||||||||
| トンネル | GREとIP-IPのみ |
|||||||||||||||||||
| REのCPUコア割り当ての強化(vSRX 3.0) | 偶数のCPUコアを設定してvSRX 3.0インスタンスを起動すると、デフォルトで2つのCPUコアがルーティングエンジン(RE)に割り当てられます。この割り当てにより、システムの安定性が向上し、ルーティングエンジンとパケット転送エンジンの両方の効率的な動作が保証されます。CPU コア数が奇数のシステムでは、1 つのコアのみがルーティングエンジンに割り当てられます。
コマンドを使用して、RE CPUコア数を構成および
resource-manager(転送オプション)と show security forward-options resource-managerを参照してください |
|||||||||||||||||||
一部のJunos OSソフトウェアの機能では、その機能をアクティブ化するためにライセンスが必要です。vSRX仮想ファイアウォールライセンスの詳細については、 vSRXのライセンスを参照してください。ライセンス管理に関する一般的な情報については、 ライセンスガイド を参照してください。詳細については、製品 データシート を参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。
vSRX仮想ファイアウォールでサポートされていないSRXシリーズ機能
vSRX仮想ファイアウォールは、SRXシリーズファイアウォール製品ラインから多くの機能を継承しています。 表 3 はSRXシリーズ仮想化環境に適用されない機能、現在サポートされていない機能、または vSRX仮想ファイアウォール で認定サポートされている機能の一覧です。
SRXシリーズ機能 |
vSRX仮想ファイアウォールに関する注意事項 |
|---|---|
| アプリケーション層ゲートウェイ | |
アバイア H.323 |
未対応 |
| ICシリーズデバイスによる認証 | |
UAC 展開におけるレイヤー 2 の適用 |
未対応
手記:
UAC-IDP と UAC-Content Security もサポートされていません。 |
| シャーシクラスタのサポート
手記:
ネットワークノードの冗長性を提供するシャーシクラスタリングのサポートは、Contrail、VMware、KVM、およびWindows Hyper-V Server 2016のvSRX仮想ファイアウォール展開でのみ利用可能です。 |
|
VirtIOドライバーのシャーシクラスター |
KVMでのみサポート
手記:
VirtIO インターフェイスのリンク ステータスは常に UP と報告されるため、vSRX仮想ファイアウォール シャーシ クラスタは VirtIO インターフェイスからリンク アップおよびリンク ダウン メッセージを受信できません。 |
デュアル コントロール リンク |
未対応 |
インバンドおよび低影響のクラスタアップグレード |
未対応 |
LAG および LACP(レイヤー 2 およびレイヤー 3) |
未対応 |
レイヤー 2 イーサネット スイッチング |
未対応 |
低遅延ファイアウォール |
未対応 |
| サービス クラス | |
SPC の高優先度キュー |
未対応 |
トンネル |
Microsoft Azureクラウドに導入されたvSRX仮想ファイアウォールVMは、GRE、IP-IP、マルチキャストをサポートしていません。 |
| データプレーンセキュリティログメッセージ(ストリームモード) | |
TLSプロトコル |
未対応 |
| 診断ツール | |
フロー監視 cflowd バージョン 9 |
未対応 |
Ping イーサネット(CFM) |
未対応 |
トレースルートイーサネット(CFM) |
未対応 |
| DNS プロキシー | |
ダイナミックDNS |
未対応 |
| イーサネット リンク アグリゲーション | |
スタンドアロンまたはシャーシ クラスタ モードの LACP |
未対応 |
ルーテッドポート上のレイヤー3 LAG |
未対応 |
スタンドアロンまたはシャーシクラスタモードの静的LAG |
未対応 |
| イーサネットリンク障害管理 | |
物理インターフェイス(カプセル化)
|
未対応 |
インターフェース ファミリー
|
未対応 |
| フローベースおよびパケットベースの処理 | |
エンドツーエンドのパケットデバッグ |
未対応 |
ネットワーク・プロセッサーのバンドル |
|
サービスのオフロード |
|
| インターフェイス | |
集合型イーサネットインターフェイス |
未対応 |
IEEE 802.1X ダイナミック VLAN 割り当て |
未対応 |
IEEE 802.1X MAC バイパス |
未対応 |
IEEE 802.1Xポートベースの認証制御とマルチサプリカントのサポート |
未対応 |
MLFRを使用したインターリーブ |
未対応 |
PoE |
未対応 |
PPP インターフェイス |
未対応 |
PPPoE ベースの無線からルーターへのプロトコル |
未対応 |
PPPoE インターフェイス
手記:
Junos OS リリース 15.1X49-D100 および Junos OS リリース 17.4R1 以降、vSRX仮想ファイアウォールは、PPPoE(Point-to-Point Protocol over Ethernet)インターフェイスをサポートしています。 |
未対応 |
インターフェイス上の無作為検出モード |
ハイパーバイザーで有効になっている場合にのみサポートされます |
| IPSec と VPN | |
Acadia - クライアントレスVPN |
未対応 |
DVPN |
未対応 |
ハードウェア IPsec (バルク暗号化) Cavium/RMI |
未対応 |
ルーティング インスタンスでの IPsec トンネル終端 |
仮想ルーターでのみサポート |
AutoVPN のマルチキャスト |
未対応 |
| IPv6 のサポート | |
DS-Liteコンセントレータ(Address Family Transition Router(AFTR)とも呼ばれます) |
未対応 |
DS-Liteイニシエータ(別名B4) |
未対応 |
| J-Webの | |
拡張ルーティング設定 |
未対応 |
新しいセットアップ ウィザード (新しい構成用) |
未対応 |
PPPoE ウィザード |
未対応 |
リモート VPN ウィザード |
未対応 |
ダッシュボードのレスキューリンク |
未対応 |
カスペルスキーアンチウイルスと既定のWebフィルタリングプロファイルのコンテンツセキュリティ設定 |
未対応 |
| システム(コントロールプレーン)ログのログファイル形式 | |
バイナリ形式 (バイナリ) |
未対応 |
ウェルフ |
未対応 |
| 雑 | |
GPRSの
手記:
Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 以降、vSRX仮想ファイアウォールは GPRS をサポートしています。 |
未対応 |
ハードウェアアクセラレーション |
未対応 |
アウトバウンド SSH |
未対応 |
リモート・インスタンス・アクセス |
未対応 |
USBモデム |
未対応 |
無線LAN |
未対応 |
| MPLS | |
CRCUIT クロスコネクト(CCC)とトランスレーショナルクロスコネクト(TCC) |
未対応 |
イーサネット接続用のレイヤー2VPN |
ハイパーバイザーで無作為検出モードが有効になっている場合のみ |
| ネットワークアドレス変換 | |
永続的なNATバインディングの最大化 |
未対応 |
| 入力します | |
入力します |
物理インターフェイスおよびトンネルインターフェイス( gr、 ip、 st0など)でのみサポートされます。パケットキャプチャは、冗長イーサネットインターフェイス(reth)ではサポートされていません。 |
| ルーティング | |
IPv6のBGP拡張 |
未対応 |
BGP Flowspec |
未対応 |
BGP ルート リフレクタ |
未対応 |
CRTPの |
未対応 |
| 切り替え | |
レイヤー3Q-in-Q VLANタギング |
未対応 |
| 透過モード | |
コンテンツセキュリティ |
未対応 |
| コンテンツセキュリティ | |
エクスプレスAV |
未対応 |
カスペルスキーAV |
未対応 |
| アップグレードと再起動 | |
自動リカバリー |
未対応 |
ブート インスタンスの構成 |
未対応 |
ブート インスタンスの回復 |
未対応 |
デュアルルート パーティショニング |
未対応 |
OSロールバック |
未対応 |
| ユーザーインターフェイス | |
NSM(エヌエスエム |
未対応 |
SRCアプリケーション |
未対応 |
Junos Space Virtual Director |
VMwareでのみサポート |