Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

vSRX でサポートされる Junos OS 機能

概要 このトピックでは、vSRX でサポートされ、サポートされていない Junos OS 機能の詳細を提供します。

vSRX でサポートされる SRX シリーズ機能

vSRX は、 表 1 に示す以下の考慮事項を考慮して、ほとんどの支社向け SRX シリーズ機能を継承しています。

vSRX でサポートされる Junos OS の機能を確認するには、Web ベースのアプリケーションであるジュニパーネットワークス機能エクスプローラーを使用します。このアプリケーションを使用すると、Junos OS の機能情報を調べて比較し、ネットワークに適したソフトウェア リリースとハードウェア プラットフォームを見つけることができます。機能エクスプローラーは、次のアドレスで検索 します。[機能エクスプローラー: vSRX] を選択します

表 1:vSRX 機能に関する考慮事項

機能

説明

Idp

IDP 機能はサブスクリプションベースで、購入が必要です。購入後、ライセンス キーを使用して IDP 機能をアクティブ化できます。

SRXシリーズIDP設定の詳細については、以下を参照してください。

SRX シリーズの侵入検出および防御について

IPSec VPN

Junos OS リリース 19.3R1 以降、vSRX は以下の認証アルゴリズムと暗号化アルゴリズムをサポートしています。

  • 認証アルゴリズム:hmac-sha1-96 および HMAC-SHA-256-128 認証

  • 暗号化アルゴリズム:aes-128-cbc

Junos OS リリース 20.3R1 以降、vSRX は 10,000 の IPsec VPN トンネルをサポートします。

増加する IPsec VPN トンネルをサポートするには、最低 19 個の vCPU が必要です。19 個の vCPU のうち、3 個の vCPU を RE 専用にする必要があります。

IPsecトンネル容量の request system software add optional://junos-ike.tgz 増加を初めて有効にするには、 コマンドを実行する必要があります。その後のインスタンスのソフトウェア アップグレードの場合、junos-ike パッケージは、インスタンスにインストールされた新しい Junos OS リリースから自動的にアップグレードされます。junos ikeパッケージをインストールすると、DHグループ15、グループ16、グループ21も追加されます。シャーシクラスタが有効になっている場合は、両方のノードでこのコマンドを実行します。

を使用して、Junos ルーティング エンジンに割り当てられる vCPU の数を set security forwarding-options resource-manager cpu re <value>設定できます。

メモ:

PMI モードで 1,0000 個のトンネルをサポートするには、64 G メモリが必要です。

[ セキュリティipsecセキュリティアソシエーションの表示セキュリティikeトンネルマップの表示セキュリティipsecトンネル配信の表示を参照してください。
IPsec VPN - vSRX でのトンネル拡張

トンネルのタイプ

サポートされるトンネル数

サイト間 VPN トンネル

2000

AutoVPN トンネル数

10,000

IKE SA(サイトツーサイト)

2000

IKE SA(AutoVPN)

10,000

IKE SA(サイト間 + AutoVPN)

10,000

IPSec SAペア(サイト間)

10,000

2,000のIKE SAにより、10,000のIPSec SAを使用できます。

IPSec SAペア(AutoVPN)

10,000

サイトツーサイト + AutoVPN IPSec SA ペア

2000 サイトツーサイト 8000 AutoVPN

サイトツーサイト + AutoVPN トンネル

2000 サイトツーサイト 8000 AutoVPN

ISSU

ISSU はサポートされていません。

論理システム

Junos OS リリース 20.1R1 以降、vSRX および vSRX 3.0 インスタンスで論理システムとテナント システムを設定できるようになりました。

Junos OS では、単一のセキュリティ デバイスを複数の論理デバイスにパーティション化して、独立したタスクを実行できます。

各論理システムには、独自の個別の管理ドメイン、論理インターフェイス、ルーティング インスタンス、セキュリティ ファイアウォール、その他のセキュリティ機能があります。

論理システムの概要を参照してください。

PowerMode IPsec

Junos OS リリース 20.1R1 以降、vSRX 3.0 インスタンスは PowerMode IPsec をサポートしており、ベクトル パケット処理(VPP)および Intel AES-NI 命令を使用して IPsec のパフォーマンスを向上させます。PowerMode IPsec は、SRX PFE(SRX パケット転送エンジン)内の小さなソフトウェア ブロックで、PowerMode が有効になっているときにアクティブになります。

パワーモード IPsec でサポートされている機能

  • IPsec 機能

  • トラフィックセレクター

  • セキュアトンネルインターフェイス(st0)

  • すべてのコントロール プレーン IKE 機能

  • トラフィックセレクターによる自動VPN

  • ルーティング プロトコルを使用した自動 VPN

  • IPv6

  • ステートフル レイヤー 4 ファイアウォール

  • 高可用性

  • NAT-T

電源モード IPsec のサポートされていない機能

  • Nat

  • IPsec の IPsec

  • GTP/SCTP ファイアウォール

  • アプリケーション ファイアウォール/AppSecure

  • Qos

  • ネストトンネル

  • 画面

  • マルチキャスト

  • ホスト トラフィック
イーサネット スイッチングとブリッジング Junos OS リリース 22.1R1 以降、KVM および VMware プラットフォームに導入された vSRX および vSRX 3.0 インスタンスは、収益と再インターフェースに対する柔軟な VLAN タギングをサポートします。

柔軟な VLAN タギングは、イーサネット ポート上の論理インターフェイスで 802.1Q VLAN 単一タグ フレームの送信をサポートします。また、ネットワーク インターフェイス カード(NIC)上の複数の仮想機能を回避し、追加のインターフェイスの必要性を軽減します。

[ VLANタグflexible-vlan-tagging(インターフェイス)の設定を参照してください。

テナントシステム

Junos OS リリース 20.1R1 以降、vSRX および vSRX 3.0 インスタンスでテナント システムを設定できるようになりました。

テナント システムでは、SRX デバイスを論理システムと同様の複数のドメインに論理的にパーティショニングし、高い拡張性を実現します。

テナントシステムの概要を参照してください。

透過モード

vSRX での透過モード サポートの既知の動作は次のとおりです。

  • デフォルトのMAC学習テーブルのサイズは、16,383エントリに制限されています。

vSRX の透過モードの設定については、 レイヤー 2 ブリッジングと透過モードの概要を参照してください。

Utm

  • UTM機能はサブスクリプションベースで、購入が必要です。購入後、ライセンス キーを使用して UTM 機能をアクティブ化できます。

  • Junos OSリリース19.4R1以降、vSRX 3.0インスタンスは、オンデバイスのアンチウィルススキャンエンジンであるAviraスキャンエンジンをサポートしています。 「オンデバイス アンチウイルス スキャン エンジン」を参照してください。

  • SRXシリーズUTMの設定の詳細については、 統合脅威管理の概要を参照してください。

  • SRXシリーズUTMアンチスパム設定の詳細については、 アンチスパムフィルタリングの概要を参照してください。

  • Advanced resource management (vSRX 3.0)Junos OSリリース19.4R1以降、vSRX 3.0は、CPUコアと余分なメモリを再割り当てすることで、UTMおよびIDP固有のサービスに関する追加のシステムリソース要件を管理します。メモリおよび CPU コアのこれらの値は、ユーザー設定ではありません。以前は、メモリや CPU コアなどのシステム リソースが固定されていました。

    コマンドを使用して、vSRX 3.0インスタンス上の事前セキュリティサービス用に割り当てられたCPUとメモリを show security forward-options resource-manager settings 表示できます。フロー セッションのスケーリングを表示するには、 コマンドを show security monitoring 使用します。

    [ セキュリティ監視の表示セキュリティの転送オプションの resource-manager 設定の表示を参照してください。]

一部のJunos OSソフトウェア機能では、この機能をアクティブ化するためにライセンスが必要です。vSRX ライセンスの詳細については、「 vSRX のライセンス」を参照してください。ライセンス管理に関する一般的な情報については、 ライセンスガイド を参照してください。詳細については、製品 データシート を参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。

vSRX でサポートされていない SRX シリーズ機能

vSRX は、SRX シリーズ デバイス製品シリーズから多くの機能を継承しています。 表 2 は、仮想環境に適用できない、現在サポートされていない、または vSRX で認定されたサポートを持つ SRX シリーズの機能を示しています。

表 2:vSRX でサポートされていない SRX シリーズの機能

SRXシリーズ機能

vSRXに関するメモ
アプリケーション層ゲートウェイ

Avaya H.323

サポートされていません
ICシリーズデバイスによる認証

UAC 導入におけるレイヤー 2 ポリシー適用

サポートされていません

メモ:

UAC-IDP および UAC-UTM もサポートされていません。
シャーシ クラスタのサポート
メモ:

ネットワーク ノードの冗長性を提供するシャーシ クラスタリングのサポートは、Contrail、VMware、KVM、Windows Hyper-V Server 2016 での vSRX 導入でのみ使用できます。

VirtIO ドライバー用シャーシ クラスター

KVM でのみサポート

メモ:

VirtIO インターフェイスのリンク ステータスは常に UP として報告されるため、vSRX シャーシ クラスタは VirtIO インターフェイスからリンク アップ メッセージとリンク ダウン メッセージを受信できません。

デュアルコントロールリンク

サポートされていません

インバンドおよび低インパクトのクラスタ アップグレード

サポートされていません

LAGおよびLACP(レイヤー2およびレイヤー3)

サポートされていません

レイヤー 2 イーサネット スイッチング

サポートされていません

低遅延ファイアウォール

サポートされていません
サービス クラス

SPC の高優先度キュー

サポートされていません

トンネル

サポートされる GRE および IP-IP トンネルのみ

メモ:

Microsoft Azure Cloudに導入されたvSRX VMは、GREとマルチキャストをサポートしていません。
データ プレーン セキュリティ ログ メッセージ(ストリーム モード)

TLS プロトコル

サポートされていません
診断ツール

フロー監視 cflowd バージョン 9

サポートされていません

Ping イーサネット(CFM)

サポートされていません

トレースルート イーサネット(CFM)

サポートされていません
DNS プロキシ

ダイナミックDNS

サポートされていません
イーサネット リンク アグリゲーション

スタンドアロンまたはシャーシ クラスタ モードでの LACP

サポートされていません

ルーテッド ポート上のレイヤー 3 LAG

サポートされていません

スタンドアロンまたはシャーシ クラスタ モードでの静的 LAG

サポートされていません
イーサネット リンク障害管理

物理インターフェイス(カプセル化)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

サポートされていません

インターフェイスファミリー

  • ccc, tcc

  • ethernet-switching

サポートされていません
フローベースおよびパケットベースの処理

エンドツーエンドのパケット デバッグ

サポートされていません

ネットワーク プロセッサー バンドリング

サービスオフロード
インターフェイス

集合型イーサネット・インターフェース

サポートされていません

IEEE 802.1X ダイナミック VLAN 割り当て

サポートされていません

IEEE 802.1X MAC バイパス

サポートされていません

マルチサプリカントをサポートする IEEE 802.1X ポートベースの認証制御

サポートされていません

MLFR を使用したインターリービング

サポートされていません

Poe

サポートされていません

PPPインターフェイス

サポートされていません

PPPoE ベースの無線ツールーター プロトコル

サポートされていません

PPPoE インターフェイス

メモ:

Junos OS リリース 15.1X49-D100 および Junos OS リリース 17.4R1 以降、vSRX は PPPoE(Point-to-Point Protocol over Ethernet)インターフェイスをサポートしています。

サポートされていません

インターフェイスでのプロミスキャスモード

ハイパーバイザーで有効になっている場合のみサポートされます。
IPSec と VPN

Acadia - クライアントレスVPN

サポートされていません

DVPN

サポートされていません

ハードウェア IPsec(バルク 暗号化)Cavium/RMI

サポートされていません

ルーティング インスタンスでの IPsec トンネル終端

仮想ルーターのみでサポート

AutoVPN 向けマルチキャスト

サポートされていません
IPv6 のサポート

DS-Lite コンセントレータ(アドレス ファミリー移行ルーター[AFTR]とも呼ばれます)

サポートされていません

DS-Lite イニシエーター(B4)

サポートされていません
J-Web

拡張ルーティング設定

サポートされていません

新しい設定ウィザード(新しい設定用)

サポートされていません

PPPoE ウィザード

サポートされていません

リモート VPN ウィザード

サポートされていません

ダッシュボードのレスキューリンク

サポートされていません

Kaspersky アンチウイルスの UTM 設定とデフォルトの Web フィルタリング プロファイル

サポートされていません
システム(制御プレーン)ログのログ ファイル形式

2進数形式(2進数)

サポートされていません

WELF

サポートされていません

Gprs

メモ:

Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 以降、vSRX は GPRS をサポートしています。

サポートされていません

ハードウェア アクセラレーション

サポートされていません

アウトバウンド SSH

サポートされていません

リモートインスタンスアクセス

サポートされていません

USB モデム

サポートされていません

無線 LAN

サポートされていません
Mpls

Crcuit クロスコネクト(CCC)と TCC(トランスレーショナル クロスコネクト)

サポートされていません

イーサネット接続用レイヤー 2 VPN

ハイパーバイザーでプロミスキャスモードが有効になっている場合のみ
ネットワーク アドレス変換

永続的 NAT バインディングの最大化

サポートされていません
パケット キャプチャ

パケット キャプチャ

ipst0、 などのgr物理インターフェイスとトンネルインターフェイスでのみサポートされています。パケット キャプチャは、冗長イーサネット インターフェイス()ではサポートされていません。reth
ルーティング

IPv6 の BGP 拡張

サポートされていません

BGP Flowspec

サポートされていません

BGP ルート リフレクタ

サポートされていません

CRTP

サポートされていません
スイッチング

レイヤー 3 Q-in-Q VLAN タギング

サポートされていません
透過モード

Utm

サポートされていません
統合脅威管理

Express AV

サポートされていません

Kaspersky AV

サポートされていません
アップグレードと再起動

自動リカバリー

サポートされていません

ブート インスタンスの構成

サポートされていません

ブート インスタンスの回復

サポートされていません

デュアルルート パーティショニング

サポートされていません

OSロールバック

サポートされていません
ユーザー インターフェイス

Nsm

サポートされていません

SRC アプリケーション

サポートされていません

Junos Space Virtual Director

VMware でのみサポート