vSRX仮想ファイアウォールでサポートされているJunos OSの機能
概要 このトピックでは、vSRX仮想ファイアウォールでサポートされているJunos OS機能とサポートされていないJunos OS機能について詳しく説明します。
vSRX仮想ファイアウォールでサポートされているSRXシリーズの機能
vSRX仮想ファイアウォールは、 表1に示す以下の考慮事項により、支社/拠点向けSRXシリーズのほとんどの機能を継承します。
vSRX仮想ファイアウォールでサポートされているJunos OS機能を確認するには、Junos OSの機能情報を調査および比較するのに役立つWebベースのアプリケーションであるジュニパーネットワークス機能エクスプローラーを使用して、ネットワークに適したソフトウェアリリースとハードウェアプラットフォームを見つけてください。機能エクスプローラ は、機能エクスプローラ: vSRX にあります。
機能 |
説明 |
|
---|---|---|
Idp |
IDP機能はサブスクリプションベースであり、購入する必要があります。購入後、ライセンスキーでIDP機能をアクティブ化できます。 SRXシリーズIDP設定の詳細については、以下を参照してください。 |
|
IPSec VPN |
Junos OSリリース19.3R1以降、vSRX仮想ファイアウォールは、次の認証アルゴリズムと暗号化アルゴリズムをサポートしています。
Junos OSリリース20.3R1以降、vSRX仮想ファイアウォールは10,000のIPsec VPNトンネルをサポートします。 増加する IPsec VPN トンネルに対応するには、最低 19 個の vCPU が必要です。19個のvCPUのうち、3個のvCPUをRE専用にする必要があります。 IPsecトンネル容量の増加を有効にするために、初めて Junosルーティング エンジンに割り当てられるvCPUの数は、を使用して
メモ:
PMI モードで 10000 トンネルをサポートするには、64 G のメモリが必要です。 [show security ipsec security-associations, show security ike tunnel-map, show security ipsec tunnel-distributionを参照] |
|
IPsec VPN - vSRX仮想ファイアウォールでのトンネルスケーリング | トンネルのタイプ |
サポートされているトンネルの数 |
サイト間 VPN トンネル |
2000 |
|
AutoVPN トンネル |
10,000 |
|
IKE SA(サイトツーサイト) |
2000 |
|
IKE SA(AutoVPN) |
10,000 |
|
IKE SA(サイトツーサイト + AutoVPN) |
10,000 |
|
IPSec SAペア(サイト間) |
10,000 IKE SAが2000であれば、IPSec SAは10,000になります。 |
|
IPSec SA ペア(AutoVPN) |
10,000 |
|
サイトツーサイト + AutoVPN IPSec SA ペア |
2000 サイトツーサイト 8000 AutoVPN |
|
サイトツーサイト + AutoVPN トンネル |
2000 サイトツーサイト 8000 AutoVPN |
|
ティッカー |
ISSU はサポートされていません。 |
|
論理システム |
Junos OSリリース20.1R1以降、vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0インスタンスで論理システムとテナントシステムを設定できます。 Junos OSでは、単一のセキュリティデバイスを、独立したタスクを実行できる複数の論理デバイスに分割できます。 各論理システムには、個別の管理ドメイン、論理インターフェイス、ルーティングインスタンス、セキュリティファイアウォール、その他のセキュリティ機能があります。 論理システムの概要を参照してください。 |
|
パワーモード IPsec |
Junos OSリリース20.1R1以降、vSRX仮想ファイアウォール3.0インスタンスは、ベクトルパケットプロセッシング(VPP)とIntel AES-NI命令を使用してIPsecパフォーマンスを向上させるPowerMode IPsecをサポートしています。PowerMode IPsecは、SRX PFE(SRX Packet Forwarding Engine)内の小さなソフトウェアブロックで、PowerModeを有効にするとアクティブになります。 PowerMode IPsec でサポートされている機能
PowerMode IPsec でサポートされていない機能
|
|
イーサネットスイッチングおよびブリッジング | Junos OSリリース22.1R1以降、KVMおよびVMwareプラットフォームに導入されたvSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0インスタンスは、収益およびrethインターフェイスで柔軟なVLANタギングをサポートします。 柔軟なVLANタギングは、イーサネットポート上の論理インターフェイス上の802.1Q VLANシングルタグフレームの送信をサポートします。また、ネットワークインターフェイスカード(NIC)上の複数の仮想機能を回避し、追加のインターフェイスの必要性を低減します。 [ VLAN Tagging と flexible-vlan-tagging の設定(インターフェイス)を参照してください。] |
|
テナントシステム |
Junos OSリリース20.1R1以降、vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0インスタンスでテナントシステムを設定できます。 テナントシステムは、SRXシリーズファイアウォールを論理システムと同様に複数のドメインに論理的にパーティショニングし、高い拡張性を提供します。 「テナント システムの概要」を参照してください。 |
|
透過モード |
vSRX仮想ファイアウォールでの透過モードサポートの既知の動作は次のとおりです。
vSRX仮想ファイアウォールの透過モードの設定については、 レイヤー2ブリッジングと透過モードの概要を参照してください。 |
|
コンテンツセキュリティ |
|
|
トンネル | GREとIP-IPのみ |
一部の Junos OS ソフトウェア機能は、この機能をアクティブ化するためにライセンスが必要です。vSRX仮想ファイアウォールライセンスの詳細については、 vSRXのライセンスを参照してください。ライセンス管理に関する一般的な情報については、 ライセンスガイド を参照してください。詳細については、製品の データシート を参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。
vSRX仮想ファイアウォールでサポートされていないSRXシリーズ機能
vSRX仮想ファイアウォールは、SRXシリーズファイアウォール製品ラインから多くの機能を継承しています。 表2 は、SRXシリーズの機能のうち、仮想環境に適用できない機能、現在サポートされていない機能、vSRX仮想ファイアウォールで認定されたサポートを示しています。
SRX シリーズの機能 |
vSRX仮想ファイアウォールに関する注意事項 |
---|---|
アプリケーション層ゲートウェイ | |
アバイアH.323 |
未対応 |
ICシリーズデバイスでの認証 | |
UAC 展開におけるレイヤー 2 の適用 |
未対応
メモ:
UAC-IDP および UAC-Content Security もサポートされていません。 |
シャーシ クラスタのサポート
メモ:
ネットワーク ノードの冗長性を提供するシャーシ クラスタリングのサポートは、Contrail、VMware、KVM、および Windows Hyper-V Server 2016 の vSRX 仮想ファイアウォール導入でのみ利用できます。 |
|
VirtIOドライバー用のシャーシクラスター |
KVMでのみサポート
メモ:
VirtIOインターフェイスのリンクステータスは常にUPとして報告されるため、vSRX仮想ファイアウォールシャーシクラスターはVirtIOインターフェイスからリンクアップおよびリンクダウンメッセージを受信できません。 |
デュアル コントロール リンク |
未対応 |
インバンドおよび影響の少ないクラスタアップグレード |
未対応 |
LAG および LACP(レイヤー 2 およびレイヤー 3) |
未対応 |
レイヤー 2 イーサネット スイッチング |
未対応 |
低遅延ファイアウォール |
未対応 |
サービス クラス | |
SPC の高優先度キュー |
未対応 |
トンネル |
Microsoft Azure Cloudに導入されたvSRX仮想ファイアウォールVMは、GRE、IP-IP、マルチキャストをサポートしていません。 |
データ プレーン セキュリティ ログ メッセージ(ストリーム モード) | |
TLS プロトコル |
未対応 |
診断ツール | |
フロー監視cflowdバージョン9 |
未対応 |
Ping Ethernet(CFM) |
未対応 |
トレースルートイーサネット(CFM) |
未対応 |
DNS プロキシ | |
ダイナミックDNS |
未対応 |
イーサネット リンク アグリゲーション | |
スタンドアロンまたはシャーシ クラスタ モードの LACP |
未対応 |
ルーテッドポート上のレイヤー3 LAG |
未対応 |
スタンドアロンまたはシャーシクラスタモードでの静的LAG |
未対応 |
イーサネットリンク障害管理 | |
物理インターフェイス(カプセル化)
|
未対応 |
インターフェース ファミリー
|
未対応 |
フローベースおよびパケットベースの処理 | |
エンドツーエンドのパケットデバッギング |
未対応 |
ネットワーク・プロセッサー・バンドル |
|
サービスのオフロード |
|
インターフェイス | |
集合型イーサネットインターフェイス |
未対応 |
IEEE 802.1X ダイナミック VLAN 割り当て |
未対応 |
IEEE 802.1X MAC バイパス |
未対応 |
IEEE 802.1Xポートベースの認証制御(マルチサプリカントのサポート付き) |
未対応 |
MLFR を使用したインターリーブ |
未対応 |
Poe |
未対応 |
PPP インターフェイス |
未対応 |
PPPoE ベースの無線ルーター間プロトコル |
未対応 |
PPPoE インターフェイス
メモ:
Junos OSリリース15.1X49-D100およびJunos OSリリース17.4R1以降、vSRX仮想ファイアウォールはPPPoE(Point-to-Point Protocol over Ethernet)インターフェイスをサポートしています。 |
未対応 |
インターフェイス上のプロミスキャス モード |
ハイパーバイザーで有効になっている場合にのみサポート |
IPSec と VPN | |
Acadia - クライアントレスVPN |
未対応 |
ティッカー |
未対応 |
ハードウェアIPsec(バルククリプト)キャビウム/RMI |
未対応 |
ルーティング インスタンスでの IPsec トンネル終端 |
仮想ルーターでのみサポート |
AutoVPN 向けマルチキャスト |
未対応 |
IPv6のサポート | |
DS-Liteコンセントレータ(アドレスファミリー移行ルーター[AFTR]とも呼ばれます) |
未対応 |
DS-Liteイニシエーター(別名B4) |
未対応 |
J-Web | |
拡張ルーティング構成 |
未対応 |
新規セットアップ ウィザード (新規構成用) |
未対応 |
PPPoE ウィザード |
未対応 |
リモート VPN ウィザード |
未対応 |
ダッシュボードのレスキューリンク |
未対応 |
カスペルスキーアンチウイルスのコンテンツセキュリティ設定と既定のWebフィルタリングプロファイル |
未対応 |
システム(コントロールプレーン)ログのログファイルの形式 | |
バイナリ形式 (バイナリ) |
未対応 |
ウェルフ |
未対応 |
他 | |
Gprs
メモ:
Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1以降、vSRX仮想ファイアウォールはGPRSをサポートしています。 |
未対応 |
ハードウェアアクセラレーション |
未対応 |
アウトバウンド SSH |
未対応 |
リモート インスタンス アクセス |
未対応 |
USB モデム |
未対応 |
無線LAN |
未対応 |
Mpls | |
Crcuitクロスコネクト(CCC)とトランスレーショナルクロスコネクト(TCC) |
未対応 |
イーサネット接続用レイヤー2 VPN |
ハイパーバイザーでプロミスキャスモードが有効になっている場合のみ |
ネットワーク アドレス変換 | |
永続的なNATバインディングを最大化 |
未対応 |
パケット キャプチャ | |
パケット キャプチャ |
、 、 など、gripst0物理インターフェイスおよびトンネル インターフェイスでのみサポートされます。パケット キャプチャは、冗長イーサネット インターフェイスではサポートされません(reth)。 |
ルーティング | |
IPv6 向け BGP 拡張 |
未対応 |
BGP Flowspec |
未対応 |
BGP ルート リフレクタ |
未対応 |
ティッカー |
未対応 |
スイッチング | |
レイヤー3 Q-in-Q VLANタギング |
未対応 |
透過モード | |
コンテンツセキュリティ |
未対応 |
コンテンツセキュリティ | |
エクスプレスAV |
未対応 |
カスペルスキーAV |
未対応 |
アップグレードと再起動 | |
自動回復 |
未対応 |
ブート インスタンスの構成 |
未対応 |
ブートインスタンスのリカバリ |
未対応 |
デュアルルート パーティショニング |
未対応 |
OS ロールバック |
未対応 |
ユーザー インターフェイス | |
Nsm |
未対応 |
SRC アプリケーション |
未対応 |
Junos Space Virtual Director |
VMwareでのみサポートされています |