Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

vSRX 가상 방화벽에서 지원되는 Junos OS 기능

요약 이 주제는 vSRX 가상 방화벽에서 지원되거나 지원되지 않는 Junos OS 기능에 대한 세부 정보를 제공합니다.

vSRX 가상 방화벽에서 지원되는 SRX 시리즈 기능

vSRX 가상 방화벽은 표 1에 나와 있는 다음 고려 사항과 함께 대부분의 브랜치 SRX 시리즈 기능을 계승합니다.

vSRX 가상 방화벽에서 지원되는 Junos OS 기능을 확인하려면 Junos OS 기능 정보를 탐색하고 비교하여 네트워크에 적합한 소프트웨어 릴리스 및 하드웨어 플랫폼을 찾을 수 있도록 지원하는 웹 기반 애플리케이션인 주니퍼 네트웍스 기능 탐색기를 사용하십시오. 기능 탐색기: vSRX 에서 기능 탐색기를 찾으십시오.

표 1: vSRX 가상 방화벽 기능 고려 사항

특징

묘사

침입 탐지 및 방지(ID

IDP 기능은 구독 기반이며 구매해야 합니다. 구매 후 라이선스 키로 IDP 기능을 활성화할 수 있습니다.

SRX 시리즈 침입 탐지 및 방지(IDP) 구성에 대한 자세한 내용은 다음을 참조하십시오.

SRX 시리즈의 침입 탐지 및 방지 이해

IPSec VPN

Junos OS 릴리스 19.3R1부터 vSRX 가상 방화벽은 다음과 같은 인증 알고리즘 및 암호화 알고리즘을 지원합니다.

  • 인증 알고리즘: hmac-sha1-96 및 HMAC-SHA-256-128 인증

  • 암호화 알고리즘: aes-128-cbc

Junos OS 릴리스 20.3R1부터 vSRX 가상 방화벽은 10,000개의 IPsec VPN 터널을 지원합니다.

증가된 IPsec VPN 터널 수를 지원하려면 최소 19개의 vCPU가 필요합니다. 19개의 vCPU 중 3개의 vCPU를 RE 전용으로 사용해야 합니다.

증가된 IPsec 터널 용량을 활성화하려는 경우 처음 명령을 실행해야 request system software add optional://junos-ike.tgz 합니다. 인스턴스의 후속 소프트웨어 업그레이드의 경우 junos-ike 패키지는 인스턴스에 설치된 새 Junos OS 릴리스에서 자동으로 업그레이드됩니다. DH group15, group16, group21도 junos-ike 패키지를 설치할 때 추가됩니다. 섀시 클러스터가 활성화된 경우 두 노드에서 이 명령을 실행합니다.

을(를) 사용하여 Junos 라우팅 엔진에 할당된 vCPU 수를 구성할 수 있습니다 set security forwarding-options resource-manager cpu re <value>.

메모:

PMI 모드에서 10000개의 터널을 지원하려면 64G 메모리가 필요합니다.

[ 보안 ipsec 보안 연결 표시, 보안 ike 터널 맵 표시 및 보안 ipsec 터널 배포 표시를 참조하십시오.]
IPsec VPN - vSRX 가상 방화벽에서 터널 확장

터널의 종류

지원되는 터널 수

사이트-사이트 VPN 터널

2000

AutoVPN 터널

10,000

IKE SA(사이트 간)

2000

IKE SA(AutoVPN)

10,000

IKE SA(사이트 간 + AutoVPN)

10,000

IPSec SA 쌍(사이트 간)

10,000

2,000개의 IKE SA로 10,000개의 IPSec SA를 가질 수 있습니다.

IPSec SA 쌍(AutoVPN)

10,000

Site-to-Site + AutoVPN IPSec SA 쌍

2000 사이트 간 8000 AutoVPN

Site-to-site + AutoVPN 터널

2000 사이트 간 8000 AutoVPN

증권 시세 표시기

ISSU는 지원되지 않습니다.

논리적 시스템

Junos OS 릴리스 20.1R1부터 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스에서 논리적 시스템 및 테넌트 시스템을 구성할 수 있습니다.

Junos OS를 사용하면 단일 보안 디바이스를 독립적인 작업을 수행할 수 있는 여러 논리적 디바이스로 분할할 수 있습니다.

각 논리적 시스템에는 고유한 개별 관리 도메인, 논리적 인터페이스, 라우팅 인스턴스, 보안 방화벽 및 기타 보안 기능이 있습니다.

논리적 시스템 개요를 참조하십시오.

PowerMode IPsec

Junos OS 릴리스 20.1R1부터 vSRX Virtual Firewall 3.0 인스턴스는 VPP(Vector Packet Processing) 및 Intel AES-NI 명령어를 사용하여 IPsec 성능 향상을 제공하는 PowerMode IPsec을 지원합니다. PowerMode IPsec은 SRX PFE(SRX 패킷 전달 엔진) 내부의 작은 소프트웨어 블록으로, PowerMode가 활성화될 때 활성화됩니다.

PowerMode IPsec에서 지원되는 기능

  • IPsec 기능

  • 트래픽 선택기

  • 보안 터널 인터페이스(st0)

  • 모든 컨트롤 플레인 IKE(Internet Key Exchange) 기능

  • 트래픽 선택기가 있는 자동 VPN

  • 라우팅 프로토콜을 사용하는 자동 VPN

  • IPv6 (영어)

  • 스테이트풀 레이어 4 방화벽

  • 고가용성

  • NAT-T

PowerMode IPsec에서 지원되지 않는 기능

  • 네트워크 주소 변환(NAT

  • IPsec의 IPsec

  • GTP/SCTP 방화벽

  • 애플리케이션 방화벽/AppSecure

  • QoS (품질보증서)

  • 중첩 터널

  • 화면

  • 멀티 캐스트

  • 호스트 트래픽
이더넷 스위칭 및 브리징 Junos OS 릴리스 22.1R1부터 KVM 및 VMware 플랫폼에 구축된 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스는 수익 및 reth 인터페이스에서 유연한 VLAN 태깅을 지원합니다.

유연한 VLAN 태깅은 이더넷 포트의 논리적 인터페이스에서 802.1Q VLAN 단일 태그 프레임 전송을 지원합니다. 또한 네트워크 인터페이스 카드(NIC)에서 여러 가상 기능을 방지하고 추가 인터페이스의 필요성을 줄입니다.

[ VLAN 태깅flexible-vlan-tagging 구성(인터페이스) 참조]

테넌트 시스템

Junos OS 릴리스 20.1R1부터 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스에서 테넌트 시스템을 구성할 수 있습니다.

테넌트 시스템은 SRX 시리즈 방화벽을 논리적 시스템과 유사한 여러 도메인으로 논리적으로 분할하고 높은 확장성을 제공합니다.

테넌트 시스템 개요의 내용을 참조하십시오.

투명 모드

vSRX 가상 방화벽에서 투명 모드 지원을 위해 알려진 동작은 다음과 같습니다.

  • 기본 MAC 학습 테이블 크기는 16,383개 항목으로 제한됩니다.

vSRX 가상 방화벽의 투명 모드 구성에 대한 자세한 내용은 레이어 2 브리징 및 투명 모드 개요를 참조하십시오.

컨텐트 보안

  • Content Security 기능은 구독 기반이며 구매해야 합니다. 구매 후 라이선스 키로 Content Security 기능을 활성화할 수 있습니다.

  • Junos OS 릴리스 19.4R1부터 vSRX Virtual Firewall 3.0 인스턴스는 디바이스 내 바이러스 차단 검색 엔진인 Avira 검색 엔진을 지원합니다. 장치 내 바이러스 백신 검색 엔진을 참조하세요.

  • SRX 시리즈 콘텐츠 보안 구성에 대한 자세한 내용은 통합 위협 관리 개요를 참조하십시오.

  • SRX 시리즈 콘텐츠 보안 스팸 차단 구성에 대한 자세한 내용은 스팸 차단 필터링 개요를 참조하십시오.

  • Advanced resource management (vSRX 3.0)—Junos OS 릴리스 19.4R1부터 vSRX Virtual Firewall 3.0은 CPU 코어와 추가 메모리를 재할당하여 콘텐츠 보안 및 침입 탐지 및 방지(IDP) 관련 서비스에 대한 추가 시스템 리소스 요구 사항을 관리합니다. 메모리 및 CPU 코어에 대한 이러한 값은 사용자가 구성하지 않습니다. 이전에는 메모리 및 CPU 코어와 같은 시스템 리소스가 수정되었습니다.

    명령을 사용하여 show security forward-options resource-manager settings vSRX 가상 방화벽 3.0 인스턴스에서 고급 보안 서비스를 위해 할당된 CPU 및 메모리를 볼 수 있습니다. 플로우 세션 배율을 보려면 명령을 사용합니다 show security monitoring .

    [ 보안 모니터링 표시보안 전달 옵션 리소스 관리자 설정 표시를 참조하십시오.]
터널

GRE 및 IP-IP만

일부 Junos OS 소프트웨어 기능은 기능을 활성화하기 위해 라이선스가 필요합니다. vSRX 가상 방화벽 라이선스에 대한 자세한 내용은 vSRX 라이선스를 참조하십시오. License Management에 대한 일반 정보는 Licensing Guide 를 참조하십시오. 자세한 내용은 제품 데이터시트를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.

vSRX 가상 방화벽에서 지원되지 않는 SRX 시리즈 기능

vSRX 가상 방화벽은 SRX 시리즈 방화벽 제품군의 많은 기능을 계승합니다. 표 2 에는 가상화된 환경에 적용되지 않거나, 현재 지원되지 않거나, vSRX 가상 방화벽에서 적격 지원을 제공하는 SRX 시리즈 기능이 나와 있습니다.

표 2: vSRX 가상 방화벽에서 지원되지 않는 SRX 시리즈 기능

SRX 시리즈 기능

vSRX 가상 방화벽 참고 사항
애플리케이션 레이어 게이트웨이

어바이어 H.323

지원되지 않음
IC 시리즈 디바이스를 통한 인증

UAC 구축에서 계층 2 적용

지원되지 않음

메모:

UAC-IDP 및 UAC-Content Security도 지원되지 않습니다.
섀시 클러스터 지원
메모:

네트워크 노드 이중화를 제공하는 섀시 클러스터링에 대한 지원은 Contrail, VMware, KVM 및 Windows Hyper-V Server 2016의 vSRX 가상 방화벽 구축에서만 사용할 수 있습니다.

VirtIO 드라이버용 섀시 클러스터

KVM에서만 지원됨

메모:

VirtIO 인터페이스의 링크 상태는 항상 UP으로 보고되므로, vSRX 가상 방화벽 섀시 클러스터는 VirtIO 인터페이스에서 링크 업 및 링크 다운 메시지를 수신할 수 없습니다.

이중 제어 링크

지원되지 않음

대역 내 및 영향이 적은 클러스터 업그레이드

지원되지 않음

LAG 및 LACP(레이어 2 및 레이어 3)

지원되지 않음

레이어 2 이더넷 스위칭

지원되지 않음

저지연 방화벽

지원되지 않음
서비스 등급

SPC의 높은 우선 순위 대기열

지원되지 않음

터널

Microsoft Azure 클라우드에 구축된 vSRX 가상 방화벽 VM은 GRE, IP-IP 및 멀티캐스트를 지원하지 않습니다.
데이터 플레인 보안 로그 메시지(스트림 모드)

TLS 프로토콜

지원되지 않음
진단 도구

플로우 모니터링 cflowd 버전 9

지원되지 않음

핑 이더넷(CFM)

지원되지 않음

트레이스라우트 이더넷(CFM)

지원되지 않음
DNS 프록시

동적 DNS

지원되지 않음
이더넷 링크 어그리게이션

독립형 또는 섀시 클러스터 모드의 LACP

지원되지 않음

라우팅된 포트의 레이어 3 LAG

지원되지 않음

독립형 또는 섀시 클러스터 모드의 정적 LAG

지원되지 않음
이더넷 링크 장애 관리

물리적 인터페이스(캡슐화)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

지원되지 않음

인터페이스 패밀리

  • ccc, tcc

  • ethernet-switching

지원되지 않음
플로우 기반 및 패킷 기반 처리

엔드 투 엔드 패킷 디버깅

지원되지 않음

네트워크 프로세서 번들링

서비스 오프로딩
인터페이스

어그리게이션 이더넷 인터페이스

지원되지 않음

IEEE 802.1X 동적 VLAN 할당

지원되지 않음

IEEE 802.1X MAC 바이패스

지원되지 않음

IEEE 802.1X 포트 기반 인증 제어(멀티서플리컨트 지원)

지원되지 않음

MLFR을 사용한 인터리빙

지원되지 않음

증권 시세 표시기

지원되지 않음

PPP 인터페이스

지원되지 않음

PPPoE 기반 무선-라우터 프로토콜

지원되지 않음

PPPoE 인터페이스

메모:

Junos OS 릴리스 15.1X49-D100 및 Junos OS 릴리스 17.4R1부터 vSRX 가상 방화벽은 PPPoE(Point-to-Point Protocol over Ethernet) 인터페이스를 지원합니다.

지원되지 않음

인터페이스의 무차별 모드

하이퍼바이저에서 사용하도록 설정된 경우에만 지원됨
IPSec 및 VPN

아카디아 - 클라이언트리스 VPN

지원되지 않음

증권 시세 표시기

지원되지 않음

하드웨어 IPsec(대량 암호화) Cavium/RMI

지원되지 않음

라우팅 인스턴스의 IPsec 터널 종료

가상 라우터에서만 지원됨

AutoVPN을 위한 멀티캐스트

지원되지 않음
IPv6 지원

DS-Lite Concentrator(AFTR[Address Family Transition Router]라고도 함)

지원되지 않음

DS-Lite 이니시에이터(일명 B4)

지원되지 않음
J-웹

향상된 라우팅 구성

지원되지 않음

새 설정 마법사(새 구성의 경우)

지원되지 않음

PPPoE 마법사

지원되지 않음

원격 VPN 마법사

지원되지 않음

대시보드의 복구 링크

지원되지 않음

Kaspersky 바이러스 차단 및 기본 웹 필터링 프로필에 대한 콘텐츠 보안 구성

지원되지 않음
시스템(컨트롤 플레인) 로그의 로그 파일 형식

바이너리 형식(binary)

지원되지 않음

웰프

지원되지 않음
잡다한

증권 시세 표시기

메모:

Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 vSRX 가상 방화벽은 GPRS를 지원합니다.

지원되지 않음

하드웨어 가속

지원되지 않음

아웃바운드 SSH

지원되지 않음

원격 인스턴스 액세스

지원되지 않음

USB 모뎀

지원되지 않음

무선 LAN

지원되지 않음
증권 시세 표시기

CRCUIT 교차 연결(CCC) 및 번역 교차 연결(TCC)

지원되지 않음

이더넷 연결을 위한 레이어 2 VPN

하이퍼바이저에서 무차별 모드가 활성화된 경우에만
네트워크 주소 변환

영구 NAT 바인딩 최대화

지원되지 않음
패킷 캡처

패킷 캡처

, , 과 st0같은 grip물리적 인터페이스 및 터널 인터페이스에서만 지원됩니다. 패킷 캡처는 중복 이더넷 인터페이스()에서 지원되지 않습니다.reth
라우팅

IPv6에 대한 BGP 확장

지원되지 않음

BGP Flowspec

지원되지 않음

BGP 경로 리플렉터

지원되지 않음

증권 시세 표시기

지원되지 않음
트랜지스터

레이어 3 Q-in-Q VLAN 태깅

지원되지 않음
투명 모드

컨텐트 보안

지원되지 않음
컨텐트 보안

익스프레스 AV

지원되지 않음

카스퍼 스키 AV

지원되지 않음
업그레이드 및 재부팅

자동 복구

지원되지 않음

부트 인스턴스 구성

지원되지 않음

부팅 인스턴스 복구

지원되지 않음

이중 루트 파티셔닝

지원되지 않음

OS 롤백

지원되지 않음
사용자 인터페이스

증권 시세 표시기

지원되지 않음

SRC 애플리케이션

지원되지 않음

Junos Space 가상 디렉터

VMware에서만 지원됨