Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

vSRX仮想ファイアウォールでサポートされているJunos OSの機能

概要 このトピックでは、vSRX仮想ファイアウォールでサポートされているJunos OS機能とサポートされていないJunos OS機能について詳しく説明します。

vSRX仮想ファイアウォールでサポートされているSRXシリーズの機能

vSRX仮想ファイアウォールは、 表1に示す以下の考慮事項により、支社/拠点向けSRXシリーズのほとんどの機能を継承します。

vSRX仮想ファイアウォールでサポートされているJunos OS機能を確認するには、Junos OSの機能情報を調査および比較するのに役立つWebベースのアプリケーションであるジュニパーネットワークス機能エクスプローラーを使用して、ネットワークに適したソフトウェアリリースとハードウェアプラットフォームを見つけてください。機能エクスプローラ は、機能エクスプローラ: vSRX にあります。

表1:vSRX仮想ファイアウォール機能に関する考慮事項

機能

説明

Idp

IDP機能はサブスクリプションベースであり、購入する必要があります。購入後、ライセンスキーでIDP機能をアクティブ化できます。

SRXシリーズIDP設定の詳細については、以下を参照してください。

SRXシリーズの侵入検出と防止について

IPSec VPN

Junos OSリリース19.3R1以降、vSRX仮想ファイアウォールは、次の認証アルゴリズムと暗号化アルゴリズムをサポートしています。

  • 認証アルゴリズム: hmac-sha1-96 および HMAC-SHA-256-128 認証

  • 暗号化アルゴリズム: aes-128-cbc

Junos OSリリース20.3R1以降、vSRX仮想ファイアウォールは10,000のIPsec VPNトンネルをサポートします。

増加する IPsec VPN トンネルに対応するには、最低 19 個の vCPU が必要です。19個のvCPUのうち、3個のvCPUをRE専用にする必要があります。

IPsecトンネル容量の増加を有効にするために、初めて request system software add optional://junos-ike.tgz コマンドを実行する必要があります。インスタンスの後続のソフトウェアアップグレードでは、junos-ikeパッケージは、インスタンスにインストールされている新しいJunos OSリリースから自動的にアップグレードされます。DH group15、group16、group21 も junos-ike パッケージのインストール時に追加されます。シャーシ クラスタが有効になっている場合は、両方のノードでこのコマンドを実行します。

Junosルーティング エンジンに割り当てられるvCPUの数は、を使用して set security forwarding-options resource-manager cpu re <value>設定できます。

メモ:

PMI モードで 10000 トンネルをサポートするには、64 G のメモリが必要です。

[show security ipsec security-associations, show security ike tunnel-map, show security ipsec tunnel-distributionを参照]
IPsec VPN - vSRX仮想ファイアウォールでのトンネルスケーリング

トンネルのタイプ

サポートされているトンネルの数

サイト間 VPN トンネル

2000

AutoVPN トンネル

10,000

IKE SA(サイトツーサイト)

2000

IKE SA(AutoVPN)

10,000

IKE SA(サイトツーサイト + AutoVPN)

10,000

IPSec SAペア(サイト間)

10,000

IKE SAが2000であれば、IPSec SAは10,000になります。

IPSec SA ペア(AutoVPN)

10,000

サイトツーサイト + AutoVPN IPSec SA ペア

2000 サイトツーサイト 8000 AutoVPN

サイトツーサイト + AutoVPN トンネル

2000 サイトツーサイト 8000 AutoVPN

ティッカー

ISSU はサポートされていません。

論理システム

Junos OSリリース20.1R1以降、vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0インスタンスで論理システムとテナントシステムを設定できます。

Junos OSでは、単一のセキュリティデバイスを、独立したタスクを実行できる複数の論理デバイスに分割できます。

各論理システムには、個別の管理ドメイン、論理インターフェイス、ルーティングインスタンス、セキュリティファイアウォール、その他のセキュリティ機能があります。

論理システムの概要を参照してください。

パワーモード IPsec

Junos OSリリース20.1R1以降、vSRX仮想ファイアウォール3.0インスタンスは、ベクトルパケットプロセッシング(VPP)とIntel AES-NI命令を使用してIPsecパフォーマンスを向上させるPowerMode IPsecをサポートしています。PowerMode IPsecは、SRX PFE(SRX Packet Forwarding Engine)内の小さなソフトウェアブロックで、PowerModeを有効にするとアクティブになります。

PowerMode IPsec でサポートされている機能

  • IPsec機能

  • トラフィックセレクター

  • セキュア トンネル インターフェイス(st0)

  • すべてのコントロールプレーンIKE機能

  • トラフィックセレクターを使用した自動VPN

  • ルーティングプロトコルを使用した自動VPN

  • IPv6

  • ステートフルレイヤー4ファイアウォール

  • 高可用性

  • NAT-T

PowerMode IPsec でサポートされていない機能

  • Nat

  • IPsec における IPsec

  • GTP/SCTP ファイアウォール

  • アプリケーションファイアウォール/AppSecure

  • Qos

  • ネストされたトンネル

  • 画面

  • マルチキャスト

  • ホストトラフィック
イーサネットスイッチングおよびブリッジング Junos OSリリース22.1R1以降、KVMおよびVMwareプラットフォームに導入されたvSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0インスタンスは、収益およびrethインターフェイスで柔軟なVLANタギングをサポートします。

柔軟なVLANタギングは、イーサネットポート上の論理インターフェイス上の802.1Q VLANシングルタグフレームの送信をサポートします。また、ネットワークインターフェイスカード(NIC)上の複数の仮想機能を回避し、追加のインターフェイスの必要性を低減します。

[ VLAN Taggingflexible-vlan-tagging の設定(インターフェイス)を参照してください。]

テナントシステム

Junos OSリリース20.1R1以降、vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0インスタンスでテナントシステムを設定できます。

テナントシステムは、SRXシリーズファイアウォールを論理システムと同様に複数のドメインに論理的にパーティショニングし、高い拡張性を提供します。

「テナント システムの概要」を参照してください。

透過モード

vSRX仮想ファイアウォールでの透過モードサポートの既知の動作は次のとおりです。

  • デフォルトのMAC学習テーブルのサイズは、16,383エントリに制限されています。

vSRX仮想ファイアウォールの透過モードの設定については、 レイヤー2ブリッジングと透過モードの概要を参照してください。

コンテンツセキュリティ

  • コンテンツセキュリティ機能はサブスクリプションベースであり、購入する必要があります。購入後、ライセンスキーでコンテンツセキュリティ機能をアクティブ化できます。

  • Junos OS リリース 19.4R1 以降、vSRX 仮想ファイアウォール 3.0 インスタンスは、デバイス上のアンチウィルス スキャン エンジンである Avira スキャン エンジンをサポートしています。 「デバイス上のウイルス対策スキャン エンジン」を参照してください

  • SRXシリーズのコンテンツセキュリティ設定の詳細については、 統合脅威管理の概要を参照してください。

  • SRXシリーズコンテンツセキュリティのアンチスパム設定の詳細については、 アンチスパムフィルタリングの概要を参照してください。

  • Advanced resource management (vSRX 3.0)—Junos OSリリース19.4R1以降、vSRX仮想ファイアウォール3.0は、CPUコアと追加のメモリを再割り当てすることで、コンテンツセキュリティおよびIDP固有のサービスの追加システムリソース要件を管理します。メモリおよび CPU コアのこれらの値は、ユーザーが構成したものではありません。以前は、メモリやCPUコアなどのシステムリソースは固定されていました。

    コマンドを使用すると show security forward-options resource-manager settings 、vSRX仮想ファイアウォール3.0インスタンスで高度なセキュリティサービスに割り当てられたCPUとメモリを確認できます。フロー セッションのスケーリングを表示するには、 コマンドを使用します show security monitoring

    [ セキュリティ監視 の表示と セキュリティ転送オプションのリソースマネージャ設定の表示を参照してください。
トンネル

GRE、IP-IP、マルチキャストのみ

一部の Junos OS ソフトウェア機能は、この機能をアクティブ化するためにライセンスが必要です。vSRX仮想ファイアウォールライセンスの詳細については、 vSRXのライセンスを参照してください。ライセンス管理に関する一般的な情報については、 ライセンスガイド を参照してください。詳細については、製品の データシート を参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。

vSRX仮想ファイアウォールでサポートされていないSRXシリーズ機能

vSRX仮想ファイアウォールは、SRXシリーズファイアウォール製品ラインから多くの機能を継承しています。 表2 は、SRXシリーズの機能のうち、仮想環境に適用できない機能、現在サポートされていない機能、vSRX仮想ファイアウォールで認定されたサポートを示しています。

表2:vSRX仮想ファイアウォールでサポートされていないSRXシリーズ機能

SRX シリーズの機能

vSRX仮想ファイアウォールに関する注意事項
アプリケーション層ゲートウェイ

アバイアH.323

未対応
ICシリーズデバイスでの認証

UAC 展開におけるレイヤー 2 の適用

未対応

メモ:

UAC-IDP および UAC-Content Security もサポートされていません。
シャーシ クラスタのサポート
メモ:

ネットワーク ノードの冗長性を提供するシャーシ クラスタリングのサポートは、Contrail、VMware、KVM、および Windows Hyper-V Server 2016 の vSRX 仮想ファイアウォール導入でのみ利用できます。

VirtIOドライバー用のシャーシクラスター

KVMでのみサポート

メモ:

VirtIOインターフェイスのリンクステータスは常にUPとして報告されるため、vSRX仮想ファイアウォールシャーシクラスターはVirtIOインターフェイスからリンクアップおよびリンクダウンメッセージを受信できません。

デュアル コントロール リンク

未対応

インバンドおよび影響の少ないクラスタアップグレード

未対応

LAG および LACP(レイヤー 2 およびレイヤー 3)

未対応

レイヤー 2 イーサネット スイッチング

未対応

低遅延ファイアウォール

未対応
サービス クラス

SPC の高優先度キュー

未対応

トンネル

Microsoft Azure Cloudに導入されたvSRX仮想ファイアウォールVMは、GRE、IP-IP、マルチキャストをサポートしていません。
データ プレーン セキュリティ ログ メッセージ(ストリーム モード)

TLS プロトコル

未対応
診断ツール

フロー監視cflowdバージョン9

未対応

Ping Ethernet(CFM)

未対応

トレースルートイーサネット(CFM)

未対応
DNS プロキシ

ダイナミックDNS

未対応
イーサネット リンク アグリゲーション

スタンドアロンまたはシャーシ クラスタ モードの LACP

未対応

ルーテッドポート上のレイヤー3 LAG

未対応

スタンドアロンまたはシャーシクラスタモードでの静的LAG

未対応
イーサネットリンク障害管理

物理インターフェイス(カプセル化)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

未対応

インターフェース ファミリー

  • ccc, tcc

  • ethernet-switching

未対応
フローベースおよびパケットベースの処理

エンドツーエンドのパケットデバッギング

未対応

ネットワーク・プロセッサー・バンドル

サービスのオフロード
インターフェイス

集合型イーサネットインターフェイス

未対応

IEEE 802.1X ダイナミック VLAN 割り当て

未対応

IEEE 802.1X MAC バイパス

未対応

IEEE 802.1Xポートベースの認証制御(マルチサプリカントのサポート付き)

未対応

MLFR を使用したインターリーブ

未対応

Poe

未対応

PPP インターフェイス

未対応

PPPoE ベースの無線ルーター間プロトコル

未対応

PPPoE インターフェイス

メモ:

Junos OSリリース15.1X49-D100およびJunos OSリリース17.4R1以降、vSRX仮想ファイアウォールはPPPoE(Point-to-Point Protocol over Ethernet)インターフェイスをサポートしています。

未対応

インターフェイス上のプロミスキャス モード

ハイパーバイザーで有効になっている場合にのみサポート
IPSec と VPN

Acadia - クライアントレスVPN

未対応

ティッカー

未対応

ハードウェアIPsec(バルククリプト)キャビウム/RMI

未対応

ルーティング インスタンスでの IPsec トンネル終端

仮想ルーターでのみサポート

AutoVPN 向けマルチキャスト

未対応
IPv6のサポート

DS-Liteコンセントレータ(アドレスファミリー移行ルーター[AFTR]とも呼ばれます)

未対応

DS-Liteイニシエーター(別名B4)

未対応
J-Web

拡張ルーティング構成

未対応

新規セットアップ ウィザード (新規構成用)

未対応

PPPoE ウィザード

未対応

リモート VPN ウィザード

未対応

ダッシュボードのレスキューリンク

未対応

カスペルスキーアンチウイルスのコンテンツセキュリティ設定と既定のWebフィルタリングプロファイル

未対応
システム(コントロールプレーン)ログのログファイルの形式

バイナリ形式 (バイナリ)

未対応

ウェルフ

未対応

Gprs

メモ:

Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1以降、vSRX仮想ファイアウォールはGPRSをサポートしています。

未対応

ハードウェアアクセラレーション

未対応

アウトバウンド SSH

未対応

リモート インスタンス アクセス

未対応

USB モデム

未対応

無線LAN

未対応
Mpls

Crcuitクロスコネクト(CCC)とトランスレーショナルクロスコネクト(TCC)

未対応

イーサネット接続用レイヤー2 VPN

ハイパーバイザーでプロミスキャスモードが有効になっている場合のみ
ネットワーク アドレス変換

永続的なNATバインディングを最大化

未対応
パケット キャプチャ

パケット キャプチャ

、 、 など、gripst0物理インターフェイスおよびトンネル インターフェイスでのみサポートされます。パケット キャプチャは、冗長イーサネット インターフェイスではサポートされません(reth)。
ルーティング

IPv6 向け BGP 拡張

未対応

BGP Flowspec

未対応

BGP ルート リフレクタ

未対応

ティッカー

未対応
スイッチング

レイヤー3 Q-in-Q VLANタギング

未対応
透過モード

コンテンツセキュリティ

未対応
コンテンツセキュリティ

エクスプレスAV

未対応

カスペルスキーAV

未対応
アップグレードと再起動

自動回復

未対応

ブート インスタンスの構成

未対応

ブートインスタンスのリカバリ

未対応

デュアルルート パーティショニング

未対応

OS ロールバック

未対応
ユーザー インターフェイス

Nsm

未対応

SRC アプリケーション

未対応

Junos Space Virtual Director

VMwareでのみサポートされています