安全平台特性
低影响ISSU机箱集群升级
SRX3000和SRX5000系列现在支持运行中软件的升级(ISSU),可消除在机箱集群中升级设备时的停机。在运行JUNOS 9.6或更高版本的设备中,您可以发布一个请求命令来同时升级SRX3000或SRX5000系列集群中的设备,而无需重新设置设备或中断该集群的服务。
如需了解更多信息,请查看JUNOS软件安全配置指南。
ACTIVE/ACTIVE机箱集群
目前SRX240和SRX650设备除具备SRX3400、SRX3600、SRX5600和SRX5800设备上的现有特性外,还支持active/active机箱集群特性。数据平面现在可支持面向这些SRX系列设备的active/active机箱集群。您可以配置一个或多个冗余组。多个冗余组使得流量能够到达一个冗余组的接口,并从属于另一个冗余组的接口输出,即使输入和输出接口不在同一个节点上运行。
如需了解更多信息,请查看JUNOS软件安全配置指南。
选择性无状态数据包服务
选择性无状态数据包服务使您能够在一个系统上同时使用基于数据流和基于数据包的转发。SRX100、SRX210、SRX240和SRX650设备均可支持这一特性。您可以指定并在特定接口上应用过滤器,来配置这些服务。在这些接口上,符合该过滤器标准的流量将会绕过基于数据流量的转发。
如需了解更多信息,请查看JUNOS软件安全配置指南。
网络处理器捆绑
网络处理器捆绑特性支持将数据流量从一个接口分配到多个网络处理器,以进行分组处理。目前SRX5600和SRX5800设备均可支持此特性。
如需了解更多信息,请查看JUNOS软件安全配置指南。
第2层透明模式机箱集群
一对第2层透明模式的SRX3400、SRX3600、SRX5600或SRX5800业务网关可在机箱集群中连接在一起,以提供网络节点冗余。第2层透明模式的设备只能部署于active/passive机箱集群配置中。在第2层透明模式机箱集群中的设备上,冗余以太网接口被配置为第2层逻辑接口。
如需了解更多信息,请查看JUNOS软件接口与路由配置指南。
第2层透明模式VLAN 重新标记
到达第2层中继端口的数据包中的VLAN标识符可被重写或使用不同的内部VLAN标识符“重新标记”。目前SRX3400、SRX3600、SRX5600和SRX5800设备均可支持这一特性。
如需了解更多信息,请查看JUNOS软件接口与路由配置指南。
拨号VPN
现在拨号VPN可在机箱集群环境中获得支持。
如需了解更多信息,请查看JUNOS软件安全配置指南。
面向IDP的性能与容量调整
如果您正在部署IDP策略,您可以调整设备以提高IDP会话容量。目前SRX3400、SRX3600、SRX5600和SRX5800设备均可支持这一特性。
如需了解更多信息,请查看JUNOS软件安全配置指南。
Hub-and-spoke VPNs
对于基于路径的IPsec VPN,JUNOS软件可支持一个称为“hub-and-spoke”的拓扑,支持两个或多个远程站点通过一个使用VPN隧道的中央站点相互通信。
如需了解更多信息,请查看JUNOS软件安全配置指南。
会话日志中的NAT信息
与以前的版本一样,一个会话无论何时被创建、关闭、丢弃或拒绝,都会被记录。从JUNOS 9.6版开始,对于所有SRX系列设备,更多NAT信息将包括在会话中。
如需了解更多信息,请查看JUNOS软件安全配置指南。
永久性NAT
SRX100、SRX210、SRX240和SRX650设备均可支持这一特性。永久性NAT配置可以支持应用使用Session Traversal Utilities for NAT (STUN)协议实现NAT穿越。永久性NAT有时被称作Cone NAT。“Cone NAT”一词已被互联网工程任务组(IETF)替换为Persistent NAT。
如需了解更多信息,请查看JUNOS软件安全配置指南。