Funciones de Junos OS compatibles con el firewall virtual vSRX
RESUMEN En este tema se proporcionan detalles de las funciones de Junos OS compatibles y no compatibles con el firewall virtual vSRX.
Funciones de la serie SRX compatibles con el firewall virtual vSRX
El Firewall virtual vSRX hereda la mayoría de las funciones de la serie SRX de sucursal con las siguientes consideraciones que se muestran en la Tabla 1.
Para determinar las funciones de Junos OS compatibles con el firewall virtual vSRX, use el Explorador de funciones de Juniper Networks, una aplicación basada en web que le ayuda a explorar y comparar la información de características de Junos OS para encontrar la versión de software y la plataforma de hardware adecuadas para su red. Busque el Explorador de características en: Explorador de características: vSRX .
Característica |
Descripción |
|
---|---|---|
IDP |
La función IDP se basa en suscripciones y debe adquirirse. Después de la compra, puede activar la función IDP con la clave de licencia. Para obtener detalles de configuración de IDP de la serie SRX, consulte: Descripción de la detección y prevención de intrusiones para la serie SRX |
|
VPN IPSec |
A partir de Junos OS versión 19.3R1, el Firewall virtual vSRX admite los siguientes algoritmos de autenticación y cifrado:
A partir de Junos OS versión 20.3R1, el Firewall virtual vSRX admite 10 000 túneles VPN IPsec. Para admitir el aumento del número de túneles VPN IPsec, se requiere un mínimo de 19 vCPU. De las 19 vCPU, 3 deben dedicarse a RE. Debe ejecutar el comando la primera vez que desee habilitar una Puede configurar el número de vCPU asignadas a Junos Routing Engine mediante el
Nota:
Se requiere una memoria de 64 G para admitir 10000 túneles en modo PMI. [Consulte mostrar asociaciones de seguridad ipsec, mostrar seguridad ike tunnel-map y mostrar seguridad ipsec tunnel-distribution.] |
|
VPN IPsec: escala de túnel en el firewall virtual vSRX | Tipos de túneles |
Número de túneles admitidos |
Túneles VPN sitio-sitio |
2000 |
|
Túneles AutoVPN |
10,000 |
|
IKE SA (sitio a sitio) |
2000 |
|
IKE SA (AutoVPN) |
10,000 |
|
IKE SA (sitio a sitio + AutoVPN) |
10,000 |
|
Pares SA IPSec (sitio a sitio) |
10,000 Con 2000 SA IKE, podemos tener 10.000 SA IPSec. |
|
Pares SA IPSec (AutoVPN) |
10,000 |
|
Pares de sitio a sitio + AutoVPN IPSec SA |
2000 AutoVPN 8000 de sitio a sitio |
|
Túneles de sitio a sitio + AutoVPN |
2000 AutoVPN 8000 de sitio a sitio |
|
ISSU |
ISSU no es compatible. |
|
Sistemas lógicos |
A partir de Junos OS versión 20.1R1, puede configurar sistemas lógicos y sistemas inquilinos en instancias de vSRX Virtual Firewall y vSRX Virtual Firewall 3.0. Con Junos OS, puede particionar un único dispositivo de seguridad en varios dispositivos lógicos que pueden realizar tareas independientes. Cada sistema lógico tiene su propio dominio administrativo discreto, interfaces lógicas, instancias de enrutamiento, firewall de seguridad y otras características de seguridad. |
|
PowerMode IPsec |
A partir de Junos OS versión 20.1R1, las instancias de Firewall virtual vSRX 3.0 admiten PowerMode IPsec que proporciona mejoras de rendimiento IPsec mediante el procesamiento de paquetes vectoriales (VPP) y las instrucciones Intel AES-NI. PowerMode IPsec es un pequeño bloque de software dentro del SRX PFE (SRX Packet Forwarding Engine) que se activa cuando PowerMode está habilitado. Funciones compatibles con PowerMode IPsec
Características no compatibles en PowerMode IPsec
|
|
Conmutación y puentes Ethernet | A partir de Junos OS versión 22.1R1, las instancias de firewall virtual vSRX y firewall virtual vSRX 3.0 implementadas en plataformas KVM y VMware admiten el etiquetado VLAN flexible en interfaces de ingresos y reth. El etiquetado VLAN flexible admite la transmisión de tramas de etiqueta única VLAN 802.1Q en interfaces lógicas en el puerto Ethernet. Además, evita múltiples funciones virtuales en la tarjeta de interfaz de red (NIC) y reduce la necesidad de interfaces adicionales. [Consulte Configuración del etiquetado de VLAN y el etiquetado de VLAN flexible (interfaces).] |
|
Sistemas de inquilinos |
A partir de Junos OS versión 20.1R1, puede configurar sistemas de inquilinos en instancias de vSRX Virtual Firewall y vSRX Virtual Firewall 3.0. Un sistema de inquilinos proporciona particiones lógicas del firewall de la serie SRX en varios dominios similares a los sistemas lógicos y proporciona una alta escalabilidad. |
|
Modo transparente |
Los comportamientos conocidos para la compatibilidad con el modo transparente en el firewall virtual vSRX son:
Para obtener información acerca de cómo configurar el modo transparente para el firewall virtual vSRX, consulte Descripción general del puente de capa 2 y del modo transparente. |
|
Seguridad de contenido |
|
|
Túneles | Solo GRE e IP-IP |
Algunas funciones del software Junos OS requieren una licencia para activarla. Para obtener más información sobre las licencias de vSRX Virtual Firewall, consulte Licencias para vSRX. Consulte la Guía de licencias para obtener información general sobre la administración de licencias. Consulte las hojas de datos del producto para obtener más información, o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.
Características de la serie SRX no compatibles con el firewall virtual vSRX
El firewall virtual vSRX hereda muchas funciones de la línea de productos del firewall serie SRX. En la Tabla 2 se enumeran las características de la serie SRX que no son aplicables en un entorno virtualizado, que no son compatibles actualmente o que tienen compatibilidad calificada en el firewall virtual vSRX.
Característica de la serie SRX |
Notas del firewall virtual vSRX |
---|---|
Puertas de enlace de la capa de aplicación | |
Avaya H.323 |
No compatible |
Autenticación con dispositivos de la serie IC | |
Cumplimiento de capa 2 en implementaciones de UAC |
No compatible
Nota:
UAC-IDP y UAC-Content Security tampoco son compatibles. |
Compatibilidad con clústeres de chasis
Nota:
La compatibilidad con clústeres de chasis para proporcionar redundancia de nodo de red solo está disponible en una implementación de firewall virtual vSRX en Contrail, VMware, KVM y Windows Hyper-V Server 2016. |
|
Clúster de chasis para controlador VirtIO |
Solo compatible con KVM
Nota:
El estado del vínculo de las interfaces de VirtIO siempre se notifica como UP, por lo que un clúster de chasis de vSRX Virtual Firewall no puede recibir mensajes de vínculo hacia arriba y hacia abajo de las interfaces de VirtIO. |
Vínculos de control dual |
No compatible |
Actualizaciones en banda y de clústeres de bajo impacto |
No compatible |
LAG y LACP (capa 2 y capa 3) |
No compatible |
Conmutación Ethernet de capa 2 |
No compatible |
Firewall de baja latencia |
No compatible |
Clase de servicio | |
Cola de alta prioridad en SPC |
No compatible |
Túneles |
Una máquina virtual de firewall virtual vSRX implementada en la nube de Microsoft Azure no admite GRE, IP-IP ni multidifusión. |
Mensajes de registro de seguridad del plano de datos (modo de secuencia) | |
Protocolo TLS |
No compatible |
Herramientas de diagnóstico | |
Monitoreo de flujo cflowd versión 9 |
No compatible |
Ping Ethernet (CFM) |
No compatible |
Traceroute Ethernet (CFM) |
No compatible |
Proxy DNS | |
DNS dinámico |
No compatible |
Agregación de vínculos Ethernet | |
LACP en modo independiente o clúster de chasis |
No compatible |
LAG de capa 3 en puertos enrutados |
No compatible |
LAG estático en modo autónomo o clúster de chasis |
No compatible |
Administración de fallos de vínculo Ethernet | |
Interfaz física (encapsulaciones)
|
No compatible |
Familia de interfaces
|
No compatible |
Procesamiento basado en flujos y paquetes | |
Depuración de paquetes de extremo a extremo |
No compatible |
Agrupación de procesadores de red |
|
Descarga de servicios |
|
Interfaces | |
Interfaz Ethernet agregada |
No compatible |
Asignación de VLAN dinámica IEEE 802.1X |
No compatible |
Derivación de MAC IEEE 802.1X |
No compatible |
Control de autenticación basado en puerto IEEE 802.1X con soporte para múltiples suplicantes |
No compatible |
Intercalado mediante MLFR |
No compatible |
Poe |
No compatible |
Interfaz PPP |
No compatible |
Protocolo de radio a enrutador basado en PPPoE |
No compatible |
Interfaz PPPoE
Nota:
A partir de Junos OS versión 15.1X49-D100 y Junos OS versión 17.4R1, el firewall virtual vSRX admite la interfaz de protocolo punto a punto a través de Ethernet (PPPoE). |
No compatible |
Modo promiscuo en interfaces |
Solo se admite si está habilitado en el hipervisor |
IPSec y VPN | |
Acadia - VPN sin cliente |
No compatible |
DVPN |
No compatible |
IPsec de hardware (criptografía masiva) Cavium/RMI |
No compatible |
Terminación del túnel IPsec en instancias de enrutamiento |
Solo se admite en enrutadores virtuales |
Multidifusión para AutoVPN |
No compatible |
Compatibilidad con IPv6 | |
Concentrador DS-Lite (también llamado enrutador de transición de familia de direcciones [AFTR]) |
No compatible |
Iniciador DS-Lite (también conocido como B4) |
No compatible |
J-Web | |
Configuración de enrutamiento mejorada |
No compatible |
Asistente para nueva instalación (para nuevas configuraciones) |
No compatible |
Asistente PPPoE |
No compatible |
Asistente para VPN remoto |
No compatible |
Enlace de rescate en el panel de control |
No compatible |
Configuración de Content Security para el antivirus Kaspersky y el perfil de filtrado web predeterminado |
No compatible |
Formatos de archivo de registro para registros del sistema (plano de control) | |
Formato binario (binario) |
No compatible |
WELF |
No compatible |
Misceláneos | |
GPRS
Nota:
A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, vSRX Virtual Firewall admite GPRS. |
No compatible |
Aceleración de hardware |
No compatible |
SSH saliente |
No compatible |
Acceso a instancias remotas |
No compatible |
Módem USB |
No compatible |
LAN inalámbrica |
No compatible |
MPLS | |
Conexión cruzada de Crcuit (CCC) y conexión cruzada de traducción (TCC) |
No compatible |
VPN de capa 2 para conexiones Ethernet |
Solo si el modo promiscuo está habilitado en el hipervisor |
Traducción de direcciones de red | |
Maximice los enlaces NAT persistentes |
No compatible |
Captura de paquetes | |
Captura de paquetes |
Solo se admite en interfaces físicas e interfaces de túnel, como gr, ipy st0. La captura de paquetes no se admite en interfaces Ethernet redundantes (reth). |
Enrutamiento | |
Extensiones BGP para IPv6 |
No compatible |
BGP Flowspec |
No compatible |
Reflector de ruta BGP |
No compatible |
CRTP |
No compatible |
Conmutación | |
Etiquetado VLAN Q-in-Q de capa 3 |
No compatible |
Modo transparente | |
Seguridad de contenido |
No compatible |
Seguridad de contenido | |
AV exprés |
No compatible |
Kaspersky AV |
No compatible |
Actualización y reinicio | |
Recuperación automática |
No compatible |
Configuración de la instancia de arranque |
No compatible |
Recuperación de instancias de arranque |
No compatible |
Partición de raíz dual |
No compatible |
Reversión del sistema operativo |
No compatible |
Interfaces de usuario | |
NSM |
No compatible |
Aplicación SRC |
No compatible |
Junos Space Virtual Director |
Solo compatible con VMware |