이 페이지 내용

vSRX에서 지원되는 기능
SRX 시리즈 기능은 vSRX 가상 방화벽에서 지원되지 않습니다.

vSRX 가상 방화벽에서 지원되는 Junos OS 기능

이 주제는 vSRX에서 지원 및 지원되지 않는 Junos OS 기능에 대한 세부 정보를 제공합니다.

vSRX에서 지원되는 기능

vSRX는 표 1에 표시된 사항을 고려한 브랜치 SRX 시리즈 기능의 대부분을 상속합니다.

vSRX 가상 방화벽에서 지원되는 Junos OS 기능을 결정하려면 Junos OS 기능 정보를 탐색하고 비교하여 네트워크에 적합한 소프트웨어 릴리스 및 하드웨어 플랫폼을 찾는 데 도움이 되는 웹 기반 애플리케이션인 주니퍼 네트웍스 기능 탐색기를 사용하십시오. 기능 탐색기: vSRX 에서 기능 탐색기를 찾을 수 있습니다.

특징

묘사

침입 탐지 및 방지(ID

IDP 기능은 구독 기반이며 구매해야 합니다. 구매 후 라이선스 키로 IDP 기능을 활성화할 수 있습니다.

SRX 시리즈 침입 탐지 및 방지(IDP) 구성에 대한 자세한 내용은 다음을 참조하십시오.

SRX 시리즈의 침입 탐지 및 방지 이해하기

IPSec VPN

Junos OS 릴리스 19.3R1부터 vSRX 가상 방화벽은 다음과 같은 인증 알고리즘 및 암호화 알고리즘을 지원합니다.

인증 알고리즘: hmac-sha1-96 및 HMAC-SHA-256-128 인증
암호화 알고리즘: aes-128-cbc

Junos OS 릴리스 20.3R1부터 vSRX 가상 방화벽은 10,000개의 IPSec VPN 터널을 지원합니다.

증가된 IPsec VPN 터널 수를 지원하려면 2개의 RE vCPU로 총 18개의 vCPU가 필요하며, 총 24개의 vCPU로 늘린 후 RE vCPU 수는 4개까지만 증가해야 합니다. 18개의 vCPU 중 2개의 vCPU는 RE 전용이어야 합니다.

증가된 IPsec 터널 용량을 활성화하려는 경우 처음 명령을 실행 request system software add optional://junos-ike.tgz 해야 합니다. 인스턴스의 후속 소프트웨어 업그레이드의 경우 junos-ike 패키지가 인스턴스에 설치된 새로운 Junos OS 릴리스에서 자동으로 업그레이드됩니다. junos-ike 패키지를 설치할 때 DH group15, group16, group21도 추가됩니다. 섀시 클러스터가 활성화되면 두 노드에서 이 명령을 실행합니다.

을(를) 사용하여 Junos 라우팅 엔진에 할당된 vCPU 수를 구성할 set security forwarding-options resource-manager cpu re <value>수 있습니다.

메모:

PMI 모드에서 10000개의 터널을 지원하려면 64G 메모리가 필요합니다.

[show security ipsec security-associations, show security ike tunnel-map 및 show security ipsec tunnel-distribution을 참조하십시오.]

IPsec VPN - vSRX 가상 방화벽에서 터널 확장

터널의 종류

지원되는 터널 수

Site-Site VPN 터널

2000

AutoVPN 터널

10,000

IKE(Internet Key Exchange) SA(사이트 간)

2000

IKE(Internet Key Exchange) SA(AutoVPN)

10,000

IKE(Internet Key Exchange) SA(Site-to-Site + AutoVPN)

10,000

IPSec SA 쌍(사이트 간)

10,000

2000개의 IKE SA를 사용하면 10,000개의 IPSec SA를 가질 수 있습니다.

IPSec SA 쌍(AutoVPN)

10,000

Site-to-Site + AutoVPN IPSec SA 쌍

2000 Site-to-Site 8000 AutoVPN

Site-to-site + AutoVPN 터널

2000 Site-to-Site 8000 AutoVPN

잇수

ISSU는 지원되지 않습니다.

논리적 시스템

Junos OS 릴리스 20.1R1부터 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스에서 논리적 시스템과 테넌트 시스템을 구성할 수 있습니다.

Junos OS를 사용하면 단일 보안 디바이스를 독립적인 작업을 수행할 수 있는 여러 논리적 디바이스로 분할할 수 있습니다.

각 논리적 시스템에는 고유한 개별 관리 도메인, 논리적 인터페이스, 라우팅 인스턴스, 보안 방화벽 및 기타 보안 기능이 있습니다.

논리적 시스템 개요를 참조하십시오.

파워모드 IPsec

Junos OS 릴리스 20.1R1부터 vSRX 가상 방화벽 3.0 인스턴스는 VPP(Vector Packet Processing) 및 인텔 AES-NI 명령을 사용하여 IPsec 성능을 향상시키는 PowerMode IPsec을 지원합니다. PowerMode IPsec은 PowerMode가 활성화될 때 활성화되는 SRX PFE(SRX 패킷 포워딩 엔진) 내부의 작은 소프트웨어 블록입니다.

PowerMode IPsec에서 지원되는 기능

IPsec 기능
트래픽 선택기
보안 터널 인터페이스(st0)
모든 컨트롤 플레인 IKE 기능
트래픽 선택기를 사용한 자동 VPN
라우팅 프로토콜을 사용한 자동 VPN
IPv6 (IPv6)
스테이트풀 레이어 4 방화벽
고가용성
네트워크 주소 변환(NAT-T)

PowerMode IPsec에서 지원되지 않는 기능

NAT
IPsec의 IPsec
GTP/SCTP 방화벽
애플리케이션 방화벽/AppSecure
QoS
중첩 터널
화면
멀티 캐스트
호스트 트래픽

이더넷 스위칭 및 브리징

Junos OS 릴리스 22.1R1부터 KVM 및 VMware 플랫폼에 구축된 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스는 수익 및 등록 인터페이스에서 유연한 VLAN 태깅을 지원합니다.

유연한 VLAN 태깅은 이더넷 포트의 논리적 인터페이스에서 802.1Q VLAN 단일 태그 프레임의 전송을 지원합니다. 또한 네트워크 인터페이스 카드(NIC)에서 여러 가상 기능을 피하고 추가 인터페이스의 필요성을 줄입니다.

[ VLAN 태깅 및 flexible-vlan-tagging(인터페이스) 구성을 참조하십시오.]

테넌트 시스템

Junos OS 릴리스 20.1R1부터 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스에서 테넌트 시스템을 구성할 수 있습니다.

테넌트 시스템은 SRX 시리즈 방화벽을 논리적 시스템과 유사한 여러 도메인으로 논리적 파티셔닝 및 높은 확장성을 제공합니다.

테넌트 시스템 개요를 참조하십시오.

투명 모드

vSRX 가상 방화벽에서 투명 모드 지원에 대해 알려진 동작은 다음과 같습니다.

기본 MAC 학습 테이블 크기는 16,383개 항목으로 제한됩니다.

vSRX 가상 방화벽의 투명 모드 구성에 대한 자세한 내용은 레이어 2 브리징 및 투명 모드 개요를 참조하십시오.

컨텐트 보안

Content Security 기능은 구독 기반이며 구매해야 합니다. 구매 후 라이센스 키를 사용하여 Content Security 기능을 활성화할 수 있습니다.
Junos OS 릴리스 19.4R1부터 vSRX 가상 방화벽 3.0 인스턴스는 디바이스 내 바이러스 차단 검사 엔진인 Avira 검사 엔진을 지원합니다. On-Device Antivirus Scan Engine(디바이스 내 바이러스 백신 검색 엔진)을 참조하십시오.
SRX 시리즈 컨텐츠 보안 구성에 대한 자세한 내용은 UTM 개요를 참조하십시오.
SRX 시리즈 컨텐츠 보안 스팸 차단 구성에 대한 자세한 내용은 스팸 차단 필터링 개요를 참조하십시오.
고급 리소스 관리(vSRX 3.0) - Junos OS 릴리스 19.4R1부터 vSRX 가상 방화벽 3.0은 CPU 코어 및 추가 메모리를 재할당하여 콘텐츠 보안 및 IDP 특정 서비스에 대한 추가 시스템 리소스 요구 사항을 관리합니다. 메모리 및 CPU 코어에 대한 이러한 값은 사용자가 구성하지 않습니다. 이전에는 메모리 및 CPU 코어와 같은 시스템 리소스가 고정되었습니다.

명령을 사용하여 vSRX 가상 방화벽 3.0 인스턴스에서 고급 보안 서비스를 위해 할당된 CPU 및 메모리를 show security forward-options resource-manager settings 볼 수 있습니다. 플로우 세션 스케일링을 보려면 명령을 사용합니다 show security monitoring .

[ 보안 모니터링 및 show security forward-options resource-manager 설정을 참조하십시오.]

터널

GRE 및 IP-IP만 해당

RE를 위한 향상된 CPU 코어 할당(vSRX 3.0)

짝수 개의 CPU 코어가 구성된 vSRX 3.0 인스턴스를 시작하면 기본적으로 두 개의 CPU 코어가 라우팅 엔진(RE)에 할당됩니다. 이 할당은 시스템 안정성을 향상시키고 라우팅 엔진 및 패킷 포워딩 엔진의 효율적인 작동을 보장합니다. CPU 코어 수가 홀수인 시스템의 경우 라우팅 엔진에는 하나의 코어만 할당됩니다.

이 set security forward-options resource-manager cpu re <n> 명령은 이제 더 이상 사용되지 않습니다. 라우팅 엔진의 CPU 코어 수를 수동으로 구성할 수 없습니다. 기본 할당이 이러한 코어를 자동으로 할당하기 때문입니다.

명령을 사용하여 RE CPU 코어 수를 구성하고 show security forward-options resource-manager settings 확인합니다.

표 1: 기본 CPU 코어 할당
CPU 수	RE	PFE
4	2	2
8	2	6
16	2	14
24	4	20
32	4	28

resource-manager(Forwarding-options) 및 show security forward-options resource-manager를 참조하십시오.

일부 Junos OS 소프트웨어 기능은 해당 기능을 활성화하기 위해 라이선스가 필요합니다. vSRX 가상 방화벽 라이선스에 대한 자세한 내용은 vSRX 라이선스를 참조하십시오. License Management에 대한 일반 정보는 Licensing Guide 를 참조하십시오. 자세한 내용은 제품 데이터 시트 를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.

SRX 시리즈 기능은 vSRX 가상 방화벽에서 지원되지 않습니다.

vSRX 가상 방화벽은 SRX 시리즈 방화벽 제품군의 많은 기능을 계승합니다. 표 3 에는 가상화 환경에 적용되지 않거나, 현재 지원되지 않거나, vSRX 가상 방화벽에서 적격 지원을 제공하는 SRX 시리즈 기능이 나와 있습니다.

표 3: vSRX 시리즈 기능은 vSRX 가상 방화벽에서 지원되지 않습니다
SRX 시리즈 기능	vSRX 가상 방화벽 참고 사항
애플리케이션 레이어 게이트웨이
어바이어 H.323	지원되지 않음
IC 시리즈 디바이스를 사용한 인증
UAC 배포에서 계층 2 적용	지원되지 않음 메모: UAC-IDP 및 UAC-Content 보안도 지원되지 않습니다.
섀시 클러스터 지원 메모: 네트워크 노드 이중화를 제공하기 위한 섀시 클러스터링 지원은 Contrail, VMware, KVM 및 Windows Hyper-V Server 2016의 vSRX 가상 방화벽 구축에서만 사용할 수 있습니다.
VirtIO 드라이버용 섀시 클러스터	KVM에서만 지원됨 메모: VirtIO 인터페이스의 링크 상태는 항상 UP으로 보고되므로 vSRX 가상 방화벽 섀시 클러스터는 VirtIO 인터페이스에서 링크 업 및 링크 다운 메시지를 수신할 수 없습니다.
이중 제어 링크	지원되지 않음
대역 내 및 저영향 클러스터 업그레이드	지원되지 않음
LAG 및 LACP(레이어 2 및 레이어 3)	지원되지 않음
레이어 2 이더넷 스위칭	지원되지 않음
저지연 방화벽	지원되지 않음
서비스 등급
SPC의 우선 순위가 높은 대기열	지원되지 않음
터널	Microsoft Azure 클라우드에 구축된 vSRX 가상 방화벽 VM은 GRE, IP-IP 및 멀티캐스트를 지원하지 않습니다.
데이터 플레인 보안 로그 메시지(스트림 모드)
TLS 프로토콜	지원되지 않음
진단 도구
플로우 모니터링 cflowd 버전 9	지원되지 않음
Ping 이더넷(CFM)	지원되지 않음
트레이스라우트 이더넷(CFM)	지원되지 않음
DNS 프록시
동적 DNS	지원되지 않음
이더넷 링크 어그리게이션
독립형 또는 섀시 클러스터 모드의 LACP	지원되지 않음
라우팅된 포트의 레이어 3 LAG	지원되지 않음
독립형 또는 섀시 클러스터 모드의 정적 LAG	지원되지 않음
이더넷 링크 장애 관리
물리적 인터페이스(캡슐화) `ethernet-ccc` `ethernet-tcc` `extended-vlan-ccc` `extended-vlan-tcc`	지원되지 않음
인터페이스 패밀리 `ccc`, `tcc` `ethernet-switching`	지원되지 않음
플로우 기반 및 패킷 기반 처리
엔드투엔드 패킷 디버깅	지원되지 않음
네트워크 프로세서 번들링
서비스 오프로딩
인터페이스
- 어그리게이션 이더넷 인터페이스	지원되지 않음
IEEE 802.1X 동적 VLAN 할당	지원되지 않음
IEEE 802.1X MAC 바이패스	지원되지 않음
멀티서플리컨트를 지원하는 IEEE 802.1X 포트 기반 인증 제어	지원되지 않음
MLFR을 사용한 인터리빙	지원되지 않음
PoE	지원되지 않음
PPP 인터페이스	지원되지 않음
PPPoE 기반 Radio-to-Router 프로토콜	지원되지 않음
PPPoE 인터페이스 메모: Junos OS 릴리즈 15.1X49-D100 및 Junos OS 릴리즈 17.4R1부터 vSRX 가상 방화벽은 PPPoE(Point-to-Point Protocol over Ethernet) 인터페이스를 지원합니다.	지원되지 않음
인터페이스의 무차별 모드	하이퍼바이저에서 사용하도록 설정된 경우에만 지원됩니다.
IPSec 및 VPN
Acadia - 클라이언트리스 VPN	지원되지 않음
디엔에이프(DVPN)	지원되지 않음
하드웨어 IPsec(대량 암호화) Cavium/RMI	지원되지 않음
라우팅 인스턴스에서 IPsec 터널 종료	가상 라우터에서만 지원됨
AutoVPN에 대한 멀티캐스트	지원되지 않음
IPv6 지원
DS-Lite concentrator(AFTR[Address Family Transition Router]라고도 함)	지원되지 않음
DS-Lite 이니시에이터(일명 B4)	지원되지 않음
제이웹(J-Web)
향상된 라우팅 구성	지원되지 않음
새 설정 마법사(새 구성의 경우)	지원되지 않음
PPPoE 마법사	지원되지 않음
원격 VPN 마법사	지원되지 않음
대시보드의 복구 링크	지원되지 않음
Kaspersky 바이러스 백신 및 기본 웹 필터링 프로필에 대한 Content Security 구성	지원되지 않음
시스템(컨트롤 플레인) 로그에 대한 로그 파일 형식
바이너리 형식(바이너리)	지원되지 않음
웰프	지원되지 않음
잡다한
증권 시세 표시기 메모: Junos OS 릴리즈 15.1X49-D70 및 Junos OS 릴리즈 17.3R1부터 vSRX 가상 방화벽은 GPRS를 지원합니다.	지원되지 않음
하드웨어 가속	지원되지 않음
아웃바운드 SSH	지원되지 않음
원격 인스턴스 액세스	지원되지 않음
USB 모뎀	지원되지 않음
무선 LAN	지원되지 않음
MPLS (엠폴스)
CRCUIT 교차 연결(CCC) 및 번역 교차 연결(TCC)	지원되지 않음
이더넷 연결을 위한 레이어 2 VPN	하이퍼바이저에서 무차별 모드가 활성화된 경우에만
네트워크 주소 변환
영구 NAT 바인딩 최대화	지원되지 않음
패킷 캡처
패킷 캡처	물리적 인터페이스 및 터널 인터페이스(예: `gr`, `ipst0`, )에서만 지원됩니다. 중복 이더넷 인터페이스()에서는 패킷 캡처가 지원되지 않습니다.`reth`
라우팅
IPv6에 대한 BGP 확장	지원되지 않음
BGP Flowspec	지원되지 않음
BGP 경로 리플렉터	지원되지 않음
증권 시세 표시기	지원되지 않음
트랜지스터
레이어 3 Q-in-Q VLAN 태깅	지원되지 않음
투명 모드
컨텐트 보안	지원되지 않음
컨텐트 보안
익스프레스 AV	지원되지 않음
카스퍼 스키 AV	지원되지 않음
업그레이드 및 재부팅
자동 복구	지원되지 않음
부팅 인스턴스 구성	지원되지 않음
부팅 인스턴스 복구	지원되지 않음
이중 루트 파티셔닝	지원되지 않음
OS 롤백	지원되지 않음
사용자 인터페이스
NSM (주)엔에스엠	지원되지 않음
SRC 애플리케이션	지원되지 않음
Junos Space Virtual Director	VMware에서만 지원됨