Visão geral dos serviços de próxima geração
Este tópico fornece uma visão geral dos Serviços de Próxima Geração e inclui os seguintes tópicos
Visão geral dos serviços do roteador universal 5G
Os roteadores universais 5G oferecem suporte a vários tipos de interfaces de serviços, que oferecem recursos específicos para inspecionar, monitorar e manipular o tráfego enquanto ele transita por um roteador. Os serviços podem ser categorizados em serviços adaptativos e serviços de próxima geração, com cada categoria fornecendo interfaces de serviços em linha e opções de interfaces multisserviços. A Tabela 1 lista os cartões que fornecem esses serviços.
O MX-SPC3 substitui as placas do tipo MS, proporcionando uma melhoria significativa no desempenho geral, juntamente com escala e capacidade de ponta.
Plataforma de roteamento universal 5G |
|||||
|---|---|---|---|---|---|
Serviços adaptativos |
Serviços de próxima geração |
||||
MPC
Serviços em linha |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
Serviços em linha |
MX-SPC3
|
Os serviços adaptativos podem ser executados em placas MS-DPC, MS-MPC e MS-MIC usando PICs multisserviços (MS) ou PICs de serviços adaptativos (AS).
Os serviços de próxima geração podem ser executados em placas MPC e na placa de serviços de segurança MX-SPC3.
Os serviços em linha são configurados em concentradores modulares de portas (MPC). As interfaces de serviços em linha são interfaces físicas virtuais que residem no Mecanismo de Encaminhamento de Pacotes. Eles fornecem processamento de alto desempenho no tráfego que transita pelo MPC e permitem que você maximize a capacidade e a utilização do slot do chassi.
As placas de Segurança multisserviços (MS-DPC, MS-MPC, MS-MIC ou MX-SPC3) fornecem serviços que podem ser aplicados a qualquer tráfego que transita pelo chassi além de apenas um MPC individual. Eles também fornecem processamento dedicado para oferecer suporte a uma variedade de recursos de segurança em escala e alto desempenho.
Visão geral dos serviços adaptativos
Os serviços adaptativos são executados em linha em MPCs e em placas de segurança multisserviços MS-DPC, MS-MPC e MS-MIC. Os PICs de serviços adaptativos (AS) e os PICs de multisserviços permitem que você execute vários serviços no mesmo PIC configurando um conjunto de serviços e aplicativos. O AS e os PICs multisserviços oferecem uma variedade de serviços que você pode configurar em um ou mais conjuntos de serviços.
Nas plataformas de roteamento universal 5G da Juniper Networks, o MS-DPC fornece essencialmente os mesmos recursos que o MS-MPC. As interfaces em ambas as plataformas são configuradas da mesma maneira.
Para obter mais informações sobre os Serviços adaptativos, incluindo serviços em linha, consulte Visão geral dos Serviços adaptativos.
Serviços em linha
O Adaptive Services também usa interfaces de serviços em linha para fornecer serviços em linha . As interfaces de serviços em linha são interfaces virtuais que residem no Mecanismo de Encaminhamento de Pacotes.
Você configura serviços em linha somente em MPCs usando a convenção si-fpc/pic/port de nomenclatura em vez da ms-fpc/pic/port convenção de nomenclatura.
Serviços de próxima geração
Os serviços de próxima geração fornecem os recursos combinados dos serviços de segurança, permitindo que você inspecione, monitore e manipule o tráfego enquanto ele transita pelo roteador. Os serviços de próxima geração são suportados tanto em linha em concentradores modulares de portas (MPCs) quanto na placa de serviços de segurança MX-SPC3 nos roteadores MX240, MX480 e MX960 que oferecem suporte a esse recurso. Consulte a Tabela 2, que fornece um resumo dos serviços de próxima geração que são suportados tanto em linha quanto na placa MX-SPC3. Os serviços em linha e baseados em MX-SPC3 podem ser usados ao mesmo tempo.
Você configura os Serviços de Próxima Geração na placa de serviços de segurança MX-SPC3 usando a convenção de nomenclatura de multisserviços virtuais : vms-fpc/pic/port.
Resumo dos serviços suportados nos roteadores universais 5G da Série MX
A Tabela 2 fornece um resumo dos serviços suportados nos Serviços de Próxima Geração.
| Serviços de última geração: interface em linha (si-) e SPC3 |
||||
|---|---|---|---|---|
| Recurso de serviço |
Serviços em linha |
SPC3 |
||
| Versão do Junos OS |
Subserviço |
Versão do Junos OS |
Subserviço |
|
| CGNAT |
19.3R2 |
Básico-NAT44 e NAT66 NAT de destino estático Duas vezes-NAT44 Básico 6. Softwires NPTv6 |
19.3R2 |
Básico-NAT44 Básico-NAT66 Dinâmico-NAT44 NAT de destino estático Básico-NAT-PT NAPT-PT NAPT44 NAPT66 Alocação de bloco de porta Determinístico-nat44 e nat64 Mapeamento independente de ponto final (EIM)/Filtragem independente de ponto final (EIF) NAT persistente – emparelhamento de pool de aplicativos (APP) Twice-NAT44 – Básico, Dinâmico e NAPT NAT64 XLAT-464 NPTv6 |
| 20.1R1 |
Protocolo de controle de porta (PCP) — v1 e v2 |
|||
| 20.2R1 |
MAP-E |
DS-Lite NAT46 |
||
| Balanceador de carga de tráfego |
19.3R2 |
19.3R2 |
||
| SecIntel (feeds de ameaças de IP da ATP Cloud) |
19.3R2 |
N/A |
||
| Serviços de Firewall com estado |
N/A |
19.3R2 |
||
| Serviços de detecção de invasões (IDS) |
N/A |
19.3R2 |
||
| Filtragem de solicitação de DNS |
N/A |
19.3R2 |
||
| Interfaces multisserviços agregadas |
N/A |
19.3R2 |
||
| Alta disponibilidade entre chassis |
N/A |
19.3R2 |
CGNAT, Firewall com estado, IDS |
|
| Filtragem de URL |
N/A |
20.1R1 |
||
| JFlow |
20.1R1 |
N/A |
||
| RPM e TWAMP |
20.1R1 |
N/A |
||
| Monitoramento de vídeo |
20.1R1 |
N/A |
||
| IPsec VPN | N/A | 21.1R1 | Site 2 baseado em rota VPN do site VPNs baseadas em seletor de tráfego AutoVPN Protocolos de roteamento (BGP/OSPF) sobre IPsec |
|
| IPsec em linha | 24.2R1 | N/A | ||
Consulte Configurando a VPN IPsec na placa de serviços MX-SPC3 para obter mais informações sobre o suporte a IPsec na placa de linha SPC3.
Documentação dos Serviços de Próxima Geração
Você pode executar os serviços de próxima geração nos roteadores MX240, MX480 e MX960 que oferecem suporte a esse recurso, se tiver a placa de serviços SPC3 instalada no roteador. Consulte nossa TechLibrary para obter toda a documentação do roteador. Para Serviços de Próxima Geração, consulte a seguinte documentação:
Para saber mais sobre e configurar os Serviços de Próxima Geração, consulte o Guia do Usuário de Interfaces de Serviços de Próxima Geração para Dispositivos de Roteamento (este guia).
Para obter detalhes sobre como instalar ou substituir a placa SPC3, consulte Referência do módulo de interface da plataforma de roteamento universal 5G da Série MX.
Para monitorar fluxos e tráfego de amostra — Consulte o Guia de recursos de interfaces de serviços de monitoramento, amostragem e coleta, que descreve como configurar o monitoramento do fluxo de tráfego, captura de fluxo de pacotes, amostragem de tráfego para contabilidade ou descarte, espelhamento de porta para um dispositivo externo e monitoramento de desempenho em tempo real.
Habilitação de serviços de próxima geração
Para executar os Serviços de Próxima Geração, você deve habilitá-los no roteador. Isso permite que o sistema operacional execute seu próprio sistema operacional (SO) para Serviços de Próxima Geração.
Há etapas específicas que você precisará seguir se estiver migrando seus serviços de placas de serviços legadas para o SPC3. A CLI de serviços de próxima geração é diferente desses serviços legados. Para obter mais informações, consulte Diferenças de configuração entre serviços adaptáveis e serviços de próxima geração.
Compatibilidade com outras placas de serviços
A placa de serviços SPC3 é compatível de ponta a ponta com as malhas de switches, mecanismos de roteamento e placas de linha MS-MPC, conforme descrito na Tabela 3.
Malha de malha de comutação |
Mecanismo de rota |
Placas de linha MPC |
|---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E e MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E e MPC3E-3D-NG MPC4E-3D MPC5E e MPC5EQ MPC7E e MPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E e MPC5EQ MPC7E e MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
Configurando a placa de serviços SPC3
As interfaces na placa de serviços SPC3 são chamadas de PIC multisserviço virtual (vms). Ao configurar uma interface SPC3, você especifica a interface como uma vms- interface da seguinte maneira:
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
Além das diferenças de CLI, você precisa estar ciente das diferenças básicas de hardware entre as placas do tipo multisserviços (MS) (MS-DPC, MS-MPC e MS-MIC) e a placa de serviços SPC3. As placas do tipo MS contêm quatro complexos de CPU, enquanto a placa SPC3, embora mais poderosa, contém dois complexos de CPU. Cada complexo de CPU atende a um único PIC, o que significa que as placas do tipo MS suportam quatro PICs, enquanto o SPC3 suporta dois PICs. As placas do tipo MS usam PICs especiais de multisserviços (MS) e serviços adaptativos (AS), enquanto os PICs na placa SPC3 são integrados.
Como o número de PICs afeta diretamente o número de interfaces, talvez seja necessário adicionar unidades lógicas a cada interface no SPC3 para aumentar o número de interfaces para quatro. Por exemplo, se você usa atualmente todas as quatro interfaces no cartão de tipo MS e tem um conjunto de serviços por interface, pode criar duas unidades lógicas por interface no SPC3 para elevar o número total de interfaces para quatro e, em seguida, reassociar os quatro conjuntos de serviços a essas quatro interfaces lógicas.
Métodos para aplicar serviços ao tráfego
Ao configurar os Serviços de Próxima Gen, você pode aplicar esses serviços com um dos seguintes métodos:
Aplique os serviços configurados ao tráfego que flui por uma interface específica no roteador.
Aplique os serviços configurados ao tráfego destinado a um próximo salto específico.
Configuração da VPN IPsec na placa de serviços SPC3
Para configurar o IPsec na placa de serviço SPC3, use as declarações de configuração da CLI no nível deedit security [] hierarquia, pois a configuração da CLI IPsec no níveledit services de [] é substituída pela configuração da CLI no nível de [edit security] hierarquia, conforme mostrado na Tabela 4
| Configuração MX atual | Configuração MX-SPC3 equivalente |
|---|---|
| definir traceoptions de serviços ipsec-vpn | definir traceoptions de ike de segurança |
| Definir proposta de IKE IPSEC-VPN DE SERVIÇOS | Definir proposta de IKE de segurança |
| Definir política de IKE IPSEC-VPN DE SERVIÇOS | Definir política de IKE de segurança |
| definir serviços ipsec-vpn ike policy policy-name respond-bad-spi | definir ike de segurança respond-bad-spi |
| Definir serviços IPSEC-VPN IPSEC proposta | Definir proposta de IPsec de segurança |
| Definir política de IPsec de serviços de IPSec-VPN | Definir política de IPsec de segurança |
| Defina o termo term-name da regra rule-name IPsec-VPN dos serviços de [endereço-de-origem| endereço-de-destino] | Definir seletor selector-name de tráfego VPN IPsec vpn-name de segurança [local-ip | remote-ip] |
| Definir o termo term-name da regra rule-name IPSec-VPN de serviços em ipsec-inside-interface | definir segurança ipsec vpn vpn-name bind-interface |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e, em seguida, o gateway remoto | Definir endereço do gateway gw-name de IKE de segurança |
| defina o termo term-name da regra rule-name ipsec-vpn de serviços e, em seguida, backup-remote-gateway | Definir endereço do gateway gw-name de IKE de segurança |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e, em seguida, a detecção de peer inativo | definir segurança ike gateway gw-name dead-peer-detection |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e, em seguida, dynamic ike-policy | definir segurança ike gateway gw-nameike-policy |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e, em seguida, a política de ipsec dinâmica | definir segurança ipsec vpn vpn-name ike ipsec-policy |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e depois manual | Definir segurança VPN IPsec vpn-name manual |
| Defina o termo term-name da regra rule-name ipsec-vpn de serviços e depois clear-don't-fragment-bit | definir segurança ipsec vpn vpn-name df-bit clear |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e depois copy-don't-fragment-bit | definir segurança ipsec vpn vpn-name df-bit copy |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e depois set-don't-fragment-bit | definir segurança ipsec vpn vpn-name df-bit copy |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e, em seguida, o túnel-mtu | Definir segurança IPsec VPN vpn-name túnel-MTU |
| defina o termo term-name da regra rule-name ipsec-vpn dos serviços e depois no-anti-replay | definir segurança ipsec vpn vpn-name ike no-anti-replay |
| definir direção de correspondência da regra rule-name ipsec-vpn de serviços | definir direção de correspondência de VPN vpn-nameIPsec de segurança |
| definir serviços ipsec-vpn estabelecer túneis | definir segurança ipsec vpn vpn-nameestabelecer túneis |
| definir serviços conjunto svc-set-name de serviços ipsec-vpn-options gateway local address | definir segurança ipsec vpn vpn-nameike gateway gateway-name |
| definir serviços conjunto svc-set-name de serviços ipsec-vpn-options clear-don't-fragment-bit | Nenhuma configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços conjunto svc-set-name de serviços ipsec-vpn-options copy-don't-fragment-bit | Nenhuma configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços conjunto svc-set-name de opções de ipsec-vpn set-don't-fragment-bit | Nenhuma configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços conjunto svc-set-name de serviços ipsec-vpn-options udp-encapsulate | definir segurança, ipsec, vpn vpn-name, encapsulamento udp |
| definir serviços conjunto svc-set-name de opções de ipsec-vpn sem anti-repetição | Nenhuma configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços conjunto svc-set-name de opções de ipsec-vpn de conjunto de serviços tunelamento de modo passivo | definir segurança ipsec vpn vpn-name tunelamento de modo passivo |
| definir serviços conjunto svc-set-name de serviços ipsec-vpn-options túnel-mtu | Nenhuma configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços conjunto svc-set-name de regras ipsec-vpn | definir serviços conjunto svc-set-name de regras ipsec-vpn |
| Defina o termo de regra IPsec-VPN de serviços <nome da regra> <nome do termo> e depois túnel-MTU | Definir segurança VPN IPsec <nome VPN> túnel-MTU |
Entendendo a MTU do túnel
O MTU para st0 está no nível da interface. Com o recurso túnel-MTU, alcançamos o MTU no nível do túnel. Com o recurso Tunnel-MTU, podemos configurar o MTU no nível do objeto VPN. Você pode configurar o túnel-mtu para controlar o túnel MTU, se st0 MTU ou IFL MTU não estiver configurado, isso afetará o comportamento do MTU. O MTU mínimo de túnel que você pode configurar para o tráfego IPv6 é 1390.
O recurso de MTU de túnel não é suportado no PMI (IPSec do modo de energia). A configuração do túnel-mtu está no hierarca VPN e não no nível do seletor de tráfego, portanto, a configuração do túnel-mtu se aplica a todos os túneis (todos os TS) pertencentes a essa VPN. A alteração da configuração do MTU do túnel é considerada uma alteração catastrófica (exclui o túnel existente). A mudança de configuração de no-icmp-packet-too-big não é considerada catastrófica.
A pré-fragmentação é feita considerando a sobrecarga de túnel IPsec da configuração mínima de MTU do túnel ou AMS fora da MTU IFL. A pós-fragmentação requer que a MTU seja definida na interface externa e que os contadores IPsec correspondentes não sejam incrementados para o tráfego de saída. A pós-fragmentação é feita pelo IOC e não pela placa MX-SPC3. No MX-SPC3, o st0 MTU padrão para a família inet e inet6 é 9192, não há valor padrão para a configuração de túnel-mtu na hierarquia VPN. Os pacotes IPv6 são fragmentados no host de origem e não fragmentados nos roteadores intermediários, portanto, a pré-fragmentação não se aplica aos pacotes IPv6.
Para pacotes IPv4, o erro de pré-fragmentação, pós-fragmentação e ICMP Fragmentation needed and DF set ocorre nos seguintes casos:
- Quando o comprimento interno do pacote é menor que a diferença entre a sobrecarga do túnel e a sobrecarga do túnel, nenhuma fragmentação ocorre.
- Quando o comprimento do pacote interno é maior que a diferença de sobrecarga de túnel-mtu e túnel e o bit DF do pacote interno não está definido, ocorre a pré-fragmentação.
- Quando o comprimento do pacote interno é maior que a diferença de túnel-mtu e sobrecarga do túnel, e o bit DF do túnel externo não está definido, ocorre o encapsulamento e a pós-fragmentação.
- Quando o comprimento do pacote interno é maior que a diferença entre o túnel-mtu e a sobrecarga do túnel, e o bit DF do pacote interno e o bit DF do túnel externo são definidos, o pacote é descartado e o erro ICMP
Fragmentation Needed and DF Seté enviado de volta.
Para pacotes IPv6, o erro de pré-fragmentação, pós-fragmentação e ICMP Packet Too Big ocorre nos seguintes casos:
- Quando o comprimento interno do pacote é menor que a diferença entre a sobrecarga do túnel e a sobrecarga do túnel, nenhuma fragmentação ocorre.
- Quando o comprimento do pacote interno é maior que a diferença de túnel-mtu e sobrecarga do túnel, e o bit DF do túnel externo não está definido, ocorre o encapsulamento e a pós-fragmentação.
- Quando o comprimento do pacote interno é maior que a diferença de túnel-mtu e sobrecarga do túnel, e o bit DF do túnel externo é definido, o pacote é descartado e, se
no-icmp-packet-too-bignão estiver definido, o erro ICMPPacket Too Bigé enviado. - Quando o comprimento do pacote interno é maior que a diferença de túnel-mtu e sobrecarga do túnel, e o bit DF do túnel externo é definido, o pacote é descartado e, se
no-icmp-packet-too-bigestiver definido, o erro ICMPPacket Too Bignão é enviado
Diferença entre st0 MTU e túnel MTU
- A MTU do túnel está em um nível diferente em comparação com a MTU st0.
- st0 MTU é um MTU de nível de interface e o recurso de MTU de túnel atinge o MTU de nível de túnel
- No MX-SPC3, o PFE verifica st0 mtu para fragmentar ou descartar o pacote. Portanto, o pacote não alcança flowd ou IPsec e não terá nenhum controle sobre a ação da MTU.
- O valor de configuração do túnel VPN é menor que o st0 MTU.