Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Funciones de Junos OS compatibles con el firewall virtual vSRX

RESUMEN En este tema se proporcionan detalles de las funciones de Junos OS compatibles y no compatibles con el firewall virtual vSRX.

Funciones de la serie SRX compatibles con el firewall virtual vSRX

El Firewall virtual vSRX hereda la mayoría de las funciones de la serie SRX de sucursal con las siguientes consideraciones que se muestran en la Tabla 1.

Para determinar las funciones de Junos OS compatibles con el firewall virtual vSRX, use el Explorador de funciones de Juniper Networks, una aplicación basada en web que le ayuda a explorar y comparar la información de características de Junos OS para encontrar la versión de software y la plataforma de hardware adecuadas para su red. Busque el Explorador de características en: Explorador de características: vSRX .

Tabla 1: Consideraciones sobre las características del firewall virtual vSRX

Característica

Descripción

IDP

La función IDP se basa en suscripciones y debe adquirirse. Después de la compra, puede activar la función IDP con la clave de licencia.

Para obtener detalles de configuración de IDP de la serie SRX, consulte:

Descripción de la detección y prevención de intrusiones para la serie SRX

VPN IPSec

A partir de Junos OS versión 19.3R1, el Firewall virtual vSRX admite los siguientes algoritmos de autenticación y cifrado:

  • Algoritmo de autenticación: autenticación hmac-sha1-96 y HMAC-SHA-256-128

  • Algoritmo de cifrado: aes-128-cbc

A partir de Junos OS versión 20.3R1, el Firewall virtual vSRX admite 10 000 túneles VPN IPsec.

Para admitir el aumento del número de túneles VPN IPsec, se requiere un mínimo de 19 vCPU. De las 19 vCPU, 3 deben dedicarse a RE.

Debe ejecutar el comando la primera vez que desee habilitar una request system software add optional://junos-ike.tgz mayor capacidad de túnel IPsec. Para actualizaciones de software posteriores de la instancia, el paquete junos-ike se actualiza automáticamente a partir de las nuevas versiones de Junos OS instaladas en la instancia. DH group15, group16, group21 también se agrega cuando instalamos el paquete junos-ike. Si el clúster de chasis está habilitado, ejecute este comando en ambos nodos.

Puede configurar el número de vCPU asignadas a Junos Routing Engine mediante el set security forwarding-options resource-manager cpu re <value>archivo .

Nota:

Se requiere una memoria de 64 G para admitir 10000 túneles en modo PMI.

[Consulte mostrar asociaciones de seguridad ipsec, mostrar seguridad ike tunnel-map y mostrar seguridad ipsec tunnel-distribution.]

VPN IPsec: escala de túnel en el firewall virtual vSRX

Tipos de túneles

Número de túneles admitidos

Túneles VPN sitio-sitio

2000

Túneles AutoVPN

10,000

IKE SA (sitio a sitio)

2000

IKE SA (AutoVPN)

10,000

IKE SA (sitio a sitio + AutoVPN)

10,000

Pares SA IPSec (sitio a sitio)

10,000

Con 2000 SA IKE, podemos tener 10.000 SA IPSec.

Pares SA IPSec (AutoVPN)

10,000

Pares de sitio a sitio + AutoVPN IPSec SA

2000 AutoVPN 8000 de sitio a sitio

Túneles de sitio a sitio + AutoVPN

2000 AutoVPN 8000 de sitio a sitio

ISSU

ISSU no es compatible.

Sistemas lógicos

A partir de Junos OS versión 20.1R1, puede configurar sistemas lógicos y sistemas inquilinos en instancias de vSRX Virtual Firewall y vSRX Virtual Firewall 3.0.

Con Junos OS, puede particionar un único dispositivo de seguridad en varios dispositivos lógicos que pueden realizar tareas independientes.

Cada sistema lógico tiene su propio dominio administrativo discreto, interfaces lógicas, instancias de enrutamiento, firewall de seguridad y otras características de seguridad.

Consulte Descripción general de los sistemas lógicos.

PowerMode IPsec

A partir de Junos OS versión 20.1R1, las instancias de Firewall virtual vSRX 3.0 admiten PowerMode IPsec que proporciona mejoras de rendimiento IPsec mediante el procesamiento de paquetes vectoriales (VPP) y las instrucciones Intel AES-NI. PowerMode IPsec es un pequeño bloque de software dentro del SRX PFE (SRX Packet Forwarding Engine) que se activa cuando PowerMode está habilitado.

Funciones compatibles con PowerMode IPsec

  • Funcionalidad IPsec

  • Selectores de tráfico

  • Interfaz de túnel seguro (st0)

  • Toda la funcionalidad IKE del plano de control

  • VPN automática con selector de tráfico

  • VPN automática con protocolo de enrutamiento

  • IPv6

  • Firewall de capa 4 con estado

  • Alta disponibilidad

  • NAT-T

Características no compatibles en PowerMode IPsec

  • NAT

  • IPsec en IPsec

  • Firewall GTP/SCTP

  • Firewall de aplicaciones/AppSecure

  • Qos

  • Túnel anidado

  • Pantalla

  • Multidifusión

  • Tráfico de host

Conmutación y puentes Ethernet A partir de Junos OS versión 22.1R1, las instancias de firewall virtual vSRX y firewall virtual vSRX 3.0 implementadas en plataformas KVM y VMware admiten el etiquetado VLAN flexible en interfaces de ingresos y reth.

El etiquetado VLAN flexible admite la transmisión de tramas de etiqueta única VLAN 802.1Q en interfaces lógicas en el puerto Ethernet. Además, evita múltiples funciones virtuales en la tarjeta de interfaz de red (NIC) y reduce la necesidad de interfaces adicionales.

[Consulte Configuración del etiquetado de VLAN y el etiquetado de VLAN flexible (interfaces).]

Sistemas de inquilinos

A partir de Junos OS versión 20.1R1, puede configurar sistemas de inquilinos en instancias de vSRX Virtual Firewall y vSRX Virtual Firewall 3.0.

Un sistema de inquilinos proporciona particiones lógicas del firewall de la serie SRX en varios dominios similares a los sistemas lógicos y proporciona una alta escalabilidad.

Consulte Descripción general de los sistemas de inquilinos.

Modo transparente

Los comportamientos conocidos para la compatibilidad con el modo transparente en el firewall virtual vSRX son:

  • El tamaño predeterminado de la tabla de aprendizaje MAC está restringido a 16.383 entradas.

Para obtener información acerca de cómo configurar el modo transparente para el firewall virtual vSRX, consulte Descripción general del puente de capa 2 y del modo transparente.

Seguridad de contenido

  • La función de seguridad de contenido se basa en la suscripción y debe comprarse. Después de la compra, puede activar la función Content Security con la clave de licencia.

  • A partir de Junos OS versión 19.4R1, las instancias de vSRX Virtual Firewall 3.0 admiten el motor de análisis Avira, que es un motor de análisis antivirus en el dispositivo. Consulte Motor de análisis antivirus en el dispositivo.

  • Para obtener detalles de configuración de seguridad de contenido de la serie SRX, consulte Descripción general de la administración unificada de amenazas.

  • Para obtener detalles de la configuración antispam de Seguridad de contenido de la serie SRX, consulte Información general sobre el filtrado antispam.

  • Advanced resource management (vSRX 3.0)—A partir de Junos OS versión 19.4R1, vSRX Virtual Firewall 3.0 administra los requisitos adicionales de recursos del sistema para los servicios específicos de IDP y seguridad de contenido mediante la reasignación de núcleos de CPU y memoria adicional. Estos valores para la memoria y los núcleos de CPU no están configurados por el usuario. Anteriormente, los recursos del sistema, como la memoria y los núcleos de la CPU, se corregían.

    Puede ver la CPU y la memoria asignadas para los servicios de seguridad avanzados en la instancia de vSRX Virtual Firewall 3.0 mediante el show security forward-options resource-manager settings comando. Para ver la escala de la sesión de flujo, utilice el show security monitoring comando.

    [Consulte Mostrar configuración del administrador de recursos de opciones de seguridad y mostrar opciones de seguridad hacia adelante.]

Túneles

Solo GRE e IP-IP

Algunas funciones del software Junos OS requieren una licencia para activarla. Para obtener más información sobre las licencias de vSRX Virtual Firewall, consulte Licencias para vSRX. Consulte la Guía de licencias para obtener información general sobre la administración de licencias. Consulte las hojas de datos del producto para obtener más información, o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.

Características de la serie SRX no compatibles con el firewall virtual vSRX

El firewall virtual vSRX hereda muchas funciones de la línea de productos del firewall serie SRX. En la Tabla 2 se enumeran las características de la serie SRX que no son aplicables en un entorno virtualizado, que no son compatibles actualmente o que tienen compatibilidad calificada en el firewall virtual vSRX.

Tabla 2: Características de la serie SRX no compatibles con el firewall virtual vSRX

Característica de la serie SRX

Notas del firewall virtual vSRX

Puertas de enlace de la capa de aplicación

Avaya H.323

No compatible

Autenticación con dispositivos de la serie IC

Cumplimiento de capa 2 en implementaciones de UAC

No compatible

Nota:

UAC-IDP y UAC-Content Security tampoco son compatibles.

Compatibilidad con clústeres de chasis
Nota:

La compatibilidad con clústeres de chasis para proporcionar redundancia de nodo de red solo está disponible en una implementación de firewall virtual vSRX en Contrail, VMware, KVM y Windows Hyper-V Server 2016.

Clúster de chasis para controlador VirtIO

Solo compatible con KVM

Nota:

El estado del vínculo de las interfaces de VirtIO siempre se notifica como UP, por lo que un clúster de chasis de vSRX Virtual Firewall no puede recibir mensajes de vínculo hacia arriba y hacia abajo de las interfaces de VirtIO.

Vínculos de control dual

No compatible

Actualizaciones en banda y de clústeres de bajo impacto

No compatible

LAG y LACP (capa 2 y capa 3)

No compatible

Conmutación Ethernet de capa 2

No compatible

Firewall de baja latencia

No compatible

Clase de servicio

Cola de alta prioridad en SPC

No compatible

Túneles

Una máquina virtual de firewall virtual vSRX implementada en la nube de Microsoft Azure no admite GRE, IP-IP ni multidifusión.

Mensajes de registro de seguridad del plano de datos (modo de secuencia)

Protocolo TLS

No compatible

Herramientas de diagnóstico

Monitoreo de flujo cflowd versión 9

No compatible

Ping Ethernet (CFM)

No compatible

Traceroute Ethernet (CFM)

No compatible

Proxy DNS

DNS dinámico

No compatible

Agregación de vínculos Ethernet

LACP en modo independiente o clúster de chasis

No compatible

LAG de capa 3 en puertos enrutados

No compatible

LAG estático en modo autónomo o clúster de chasis

No compatible

Administración de fallos de vínculo Ethernet

Interfaz física (encapsulaciones)

  • ethernet-ccc

  • ethernet-tcc

  • extended-vlan-ccc

  • extended-vlan-tcc

No compatible

Familia de interfaces

  • ccc, tcc

  • ethernet-switching

No compatible

Procesamiento basado en flujos y paquetes

Depuración de paquetes de extremo a extremo

No compatible

Agrupación de procesadores de red

Descarga de servicios

Interfaces

Interfaz Ethernet agregada

No compatible

Asignación de VLAN dinámica IEEE 802.1X

No compatible

Derivación de MAC IEEE 802.1X

No compatible

Control de autenticación basado en puerto IEEE 802.1X con soporte para múltiples suplicantes

No compatible

Intercalado mediante MLFR

No compatible

Poe

No compatible

Interfaz PPP

No compatible

Protocolo de radio a enrutador basado en PPPoE

No compatible

Interfaz PPPoE

Nota:

A partir de Junos OS versión 15.1X49-D100 y Junos OS versión 17.4R1, el firewall virtual vSRX admite la interfaz de protocolo punto a punto a través de Ethernet (PPPoE).

No compatible

Modo promiscuo en interfaces

Solo se admite si está habilitado en el hipervisor

IPSec y VPN

Acadia - VPN sin cliente

No compatible

DVPN

No compatible

IPsec de hardware (criptografía masiva) Cavium/RMI

No compatible

Terminación del túnel IPsec en instancias de enrutamiento

Solo se admite en enrutadores virtuales

Multidifusión para AutoVPN

No compatible

Compatibilidad con IPv6

Concentrador DS-Lite (también llamado enrutador de transición de familia de direcciones [AFTR])

No compatible

Iniciador DS-Lite (también conocido como B4)

No compatible

J-Web

Configuración de enrutamiento mejorada

No compatible

Asistente para nueva instalación (para nuevas configuraciones)

No compatible

Asistente PPPoE

No compatible

Asistente para VPN remoto

No compatible

Enlace de rescate en el panel de control

No compatible

Configuración de Content Security para el antivirus Kaspersky y el perfil de filtrado web predeterminado

No compatible

Formatos de archivo de registro para registros del sistema (plano de control)

Formato binario (binario)

No compatible

WELF

No compatible

Misceláneos

GPRS

Nota:

A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, vSRX Virtual Firewall admite GPRS.

No compatible

Aceleración de hardware

No compatible

SSH saliente

No compatible

Acceso a instancias remotas

No compatible

Módem USB

No compatible

LAN inalámbrica

No compatible

MPLS

Conexión cruzada de Crcuit (CCC) y conexión cruzada de traducción (TCC)

No compatible

VPN de capa 2 para conexiones Ethernet

Solo si el modo promiscuo está habilitado en el hipervisor

Traducción de direcciones de red

Maximice los enlaces NAT persistentes

No compatible

Captura de paquetes

Captura de paquetes

Solo se admite en interfaces físicas e interfaces de túnel, como gr, ipy st0. La captura de paquetes no se admite en interfaces Ethernet redundantes (reth).

Enrutamiento

Extensiones BGP para IPv6

No compatible

BGP Flowspec

No compatible

Reflector de ruta BGP

No compatible

CRTP

No compatible

Conmutación

Etiquetado VLAN Q-in-Q de capa 3

No compatible

Modo transparente

Seguridad de contenido

No compatible

Seguridad de contenido

AV exprés

No compatible

Kaspersky AV

No compatible

Actualización y reinicio

Recuperación automática

No compatible

Configuración de la instancia de arranque

No compatible

Recuperación de instancias de arranque

No compatible

Partición de raíz dual

No compatible

Reversión del sistema operativo

No compatible

Interfaces de usuario

NSM

No compatible

Aplicación SRC

No compatible

Junos Space Virtual Director

Solo compatible con VMware