Visão geral dos serviços de próxima geração
Este tópico fornece uma visão geral dos Serviços de próxima geração e inclui os seguintes tópicos
Visão geral dos serviços de roteador universal 5G da Série MX
Os roteadores universais 5G da Série MX oferecem suporte a vários tipos de interfaces de serviços, que fornecem recursos específicos para inspecionar, monitorar e manipular o tráfego enquanto ele transita por um roteador da Série MX. Os serviços podem ser categorizados em serviços adaptativos e serviços de próxima geração, com cada categoria oferecendo interfaces de serviços inline e opções de interfaces multisserviços. A Tabela 1 lista as placas que fornecem esses serviços.
O MX-SPC3 substitui as placas do tipo MS, proporcionando uma melhoria significativa no desempenho geral, juntamente com escala e capacidade de ponta.
Plataforma de roteamento universal 5G da Série MX |
|||||
|---|---|---|---|---|---|
Serviços adaptativos |
Serviços de próxima geração |
||||
MPC
Serviços em linha |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
Serviços em linha |
MX-SPC3
|
Os serviços adaptativos podem ser executados em placas MS-DPC, MS-MPC e MS-MIC usando PICs multisserviços (MS) ou PICs de serviços adaptativos (AS).
Os serviços de próxima geração podem ser executados em placas de MPC e na placa de serviços de segurança MX-SPC3.
Os serviços em linha estão configurados em concentradores de portas modulares (MPC) da Série MX. Interfaces de serviços em linha são interfaces físicas virtuais que residem no Mecanismo de encaminhamento de pacotes. Eles fornecem processamento de alto desempenho no tráfego que transita pelo MPC e permitem que você maximize a capacidade e a utilização do slot do seu chassi.
As placas de segurança multisserviços (MS-DPC, MS-MPC, MS-MIC ou MX-SPC3), fornecem serviços que podem ser aplicados a qualquer tráfego que transite pelo chassi MX além de apenas um MPC individual. Eles também fornecem processamento dedicado para oferecer suporte a uma variedade de recursos de segurança em escala e alto desempenho.
Visão geral dos serviços adaptativos
Os serviços adaptativos são executados em linha em MPCs e nos cartões de segurança multisserviço MS-DPC, MS-MPC e MS-MIC. PICs de serviços adaptativos (AS) e PICs multisserviços permitem que você execute vários serviços no mesmo PIC configurando um conjunto de serviços e aplicativos. Os PICs DE e Multiservices oferecem uma variedade de serviços que você pode configurar em um ou mais conjuntos de serviços.
Nas plataformas de roteamento universal 5G da Série MX da Juniper Networks, o MS-DPC oferece essencialmente os mesmos recursos que o MS-MPC. As interfaces em ambas as plataformas estão configuradas da mesma maneira.
Para obter mais informações sobre serviços adaptativos, incluindo serviços em linha, veja a visão geral dos serviços adaptativos.
Serviços em linha
Os Serviços adaptativos também usam interfaces de serviços em linha para fornecer serviços em linha . As interfaces de serviços em linha são interfaces virtuais que residem no Packet Forwarding Engine.
Você configura serviços em linha apenas em MPCs usando a convenção si-fpc/pic/port de nomenclatura em vez da ms-fpc/pic/port convenção de nomenclatura.
Serviços de próxima geração
Os serviços de próxima geração fornecem os recursos combinados dos serviços de segurança MX e SRX, permitindo que você inspecione, monitore e manipule o tráfego enquanto transita pelo roteador da Série MX. Os serviços de próxima geração têm suporte tanto em linha em concentradores modulares de portas (MPCs) quanto na placa de serviços de segurança MX-SPC3 em roteadores MX240, MX480 e MX960. Consulte a Tabela 2, que fornece um resumo dos Serviços de próxima geração que são compatíveis tanto em linha quanto na placa MX-SPC3. Os serviços baseados em Inline e MX-SPC3 podem ser usados ao mesmo tempo.
Você configura serviços de próxima geração na placa de serviços de segurança MX-SPC3 usando a convenção de nomenclatura de multisserviços virtuais : vms-fpc/pic/port.
Resumo dos serviços suportados em roteadores universais 5G da Série MX
A Tabela 2 fornece um resumo dos serviços suportados pelos Serviços de Próxima Geração.
Serviços de próxima geração: interface em linha (si-) e MX-SPC3 |
||||
|---|---|---|---|---|
Recurso de serviço |
Serviços em linha |
MX-SPC3 |
||
Versão do Junos OS |
Subserviamento |
Versão do Junos OS |
Subserviamento |
|
CGNAT |
19.3R2 |
Basic-NAT44 e NAT66 NAT de destino estático Básico duas vezes NAT44 6º Softwires NPTv6 |
19.3R2 |
Basic-NAT44 Basic-NAT66 NAT44 dinâmico NAT de destino estático NAT-PT básico NAPT-PT NAPT44 NAPT66 Alocação de blocos de porta Determinística-nat44 e nat64 Mapeamento independente de end point (EIM)/filtragem independente de ponto final (EIF) NAT persistente — Pareamento de grupo de aplicativos (APP) Nat44 duas vezes — Básico, dinâmico e NAPT NAT64 XLAT-464 NPTv6 |
|
20.1R1 |
Protocolo de controle de portas (PCP) – v1 e v2 |
||
20.2R1 |
MAP-E |
|
DS-Lite NAT46 |
|
Balanceador de carga de tráfego |
19.3R2 |
19.3R2 |
||
SecIntel (feeds de ameaças IP de nuvem ATP) |
19.3R2 |
N/A |
||
Serviços de firewall stateful |
N/A |
19.3R2 |
||
Serviços de detecção de invasões (IDS) |
N/A |
19.3R2 |
||
Filtragem de solicitações de DNS |
N/A |
19.3R2 |
||
Interfaces multisserviços agregadas |
N/A |
19.3R2 |
||
Alta disponibilidade entre chassis |
N/A |
19.3R2 |
CGNAT, firewall stateful, IDS |
|
Filtragem de URL |
N/A |
|
20.1R1 |
|
JFlow |
20.1R1 |
|
N/A |
|
RPM e TWAMP |
20.1R1 |
|
N/A |
|
Monitoramento de vídeo |
20.1R1 |
|
N/A |
|
| IPsec VPN | N/A | 21.1R1 | VPN do site 2 baseado em rota VPNs baseadas em seletor de tráfego AutoVPN Protocolos de roteamento (BGP/OSPF) sobre IPsec |
|
| IPsec em linha | 24.2R1 | N/A | ||
Documentação dos serviços de próxima geração
Você pode executar serviços de próxima geração no MX240, MX480 e MX960 se tiver a placa de serviços MX-SPC3 instalada no roteador. Consulte nosso TechLibrary para obter toda a documentação do roteador MX. Para serviços de próxima geração, consulte a seguinte documentação:
Para saber mais sobre e configurar serviços de próxima geração, consulte o guia de usuário de interfaces de serviços de próxima geração para dispositivos de roteamento (este guia).
Para obter mais informações sobre a instalação ou substituição da placa MX-SPC3, veja a referência do módulo de interface de plataforma de roteamento universal 5G da Série MX.
Para monitorar fluxos e experimentar tráfego — Veja o guia de recursos de monitoramento, amostragem e interfaces de serviços de coleta, que descreve como configurar o monitoramento do fluxo de tráfego, a captura de fluxo de pacotes, a amostragem de tráfego para contabilização ou descarte, o espelhamento de portas para um dispositivo externo e o monitoramento de desempenho em tempo real.
Habilitando serviços de próxima geração
Para executar serviços de próxima geração, você deve habilitá-lo no roteador da Série MX. Isso permite que o sistema operacional execute seu próprio sistema operacional (OS) para serviços de próxima geração.
Existem etapas específicas que você precisará tomar se estiver migrando seus serviços de cartões de serviços legados para o MX-SPC3. A CLI de serviços de próxima geração difere desses serviços legados. Para obter mais informações, veja diferenças de configuração entre serviços adaptativos e serviços de próxima geração no MX-SPC3.
Compatibilidade com outras placas de serviço
A placa de serviços MX-SPC3 é compatível de ponta a ponta com as malhas de switches da Série MX, mecanismos de roteamento e placas de linha MS-MPC descritas na Tabela 3.
Malha de switches |
Mecanismo de rota |
Placas de linha do MPC |
|---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E e MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E e MPC3E-3D-NG MPC4E-3D MPC5E e MPC5EQ MPC7E e MPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E e MPC5EQ MPC7E e MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
Configuração da placa de serviços MX-SPC3
As interfaces da placa de serviços MX-SPC3 são referidas como um PIC virtual multisserviço (vms). Ao configurar uma interface MX-SPC3, você especifica a interface como uma vms- interface da seguinte forma:
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
Além das diferenças de CLI, você precisa estar ciente das diferenças básicas de hardware entre os tipos de multisserviços (MS) (MS-DPC, MS-MPC e MS-MIC) e a placa de serviços MX-SPC3. As placas de tipo MS contêm quatro complexos de CPU, enquanto a placa MX-SPC3, embora mais poderosa, contém dois complexos de CPU. Cada serviço complexo de CPU é um único PIC, o que significa que as placas de tipo MS oferecem suporte a quatro PICs, enquanto o MX-SPC3 oferece suporte a dois PICs. As placas de tipo MS usam PICs especiais de multisserviços (MS) e serviços adaptativos (AS), enquanto os PICs na placa MX-SPC3 estão integrados.
Como o número de PICs afeta diretamente o número de interfaces, você pode precisar adicionar unidades lógicas a cada interface no MX-SPC3 para aumentar o número de interfaces para quatro. Por exemplo, se você atualmente usa todas as quatro interfaces na placa do tipo MS e tem um conjunto de serviços por interface, você pode criar duas unidades lógicas por interface no MX-SPC3 para levar o número total de interfaces para quatro e, em seguida, reassociar os quatro conjuntos de serviço para essas quatro interfaces lógicas.
Métodos de aplicação de serviços ao tráfego
Ao configurar os Serviços de próxima geração, você pode aplicar esses serviços com qualquer um dos seguintes métodos:
Aplique os serviços configurados ao tráfego que flui por uma interface específica no roteador MX.
Aplique os serviços configurados no tráfego destinados a um próximo salto específico.
Configuração de VPN IPsec na placa de serviços MX-SPC3
Para configurar o IPsec na placa de serviço MX-SPC3, use as declarações de configuração do CLI no nível [edit security] de hierarquia conforme a configuração IPsec CLI na [edit services] é substituída pela configuração CLI no nível de hierarquia [editar segurança], conforme mostrado na Tabela 4
| Configuração MX-SPC3 equivalente à configuração MX-SPC3 | atual |
|---|---|
| definir serviços de traceoptions ipsec-vpn | definir rastreamentos de ike de segurança |
| definir serviços proposta ipsec-vpn ike | definir proposta de ike de segurança |
| definir serviços política ipsec-vpn ike | definir política de ike de segurança |
| definir serviços ipsec-vpn política policy-name ike responda-bad-spi | definir segurança ike respond-bad-spi |
| definir serviços proposta ipsec-vpn ipsec | definir proposta de segurança ipsec |
| definir serviços política ipsec-vpn ipsec | definir política de segurança ipsec |
| definir serviços termo term-name de regra rule-name ipsec-vpn a partir de [endereço de origem| endereço de destino] | definir segurança ipsec vpn vpn-name seletor selector-name de tráfego [local-ip | remote-ip] |
| definir serviços termo term-name de regra rule-name ipsec-vpn a partir de ipsec-inside-interface | definir segurança ipsec vpn vpn-name bind-interface |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, gateway remoto | definir endereço de gateway gw-name ike de segurança |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, backup-remote-gateway | definir endereço de gateway gw-name ike de segurança |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, detecção sem peer | definir segurança ike gateway gw-name dead-peer-detection |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, política dinâmica de ike | definir segurança ike gateway gw-nameike-policy |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, política ipsec dinâmica | definir segurança ipsec vpn vpn-name ike ipsec-policy |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, manual | definir manual de vpn vpn-name ipsec de segurança |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, clear-don-t-fragment-bit | definir segurança ipsec vpn vpn-name df-bit claro |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, copiar-não fragmentar-bit | definir segurança ipsec vpn vpn-name df-bit cópia |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, set-don-t-fragment-bit | definir segurança ipsec vpn vpn-name df-bit cópia |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, tunnel-mtu | definir segurança ipsec vpn vpn-name tunnel-mtu |
| definir serviços termo term-name de regra rule-name ipsec-vpn e, em seguida, sem anti-replay | definir segurança vpn vpn-name ipsec ike no-anti-replay |
| definir serviços ipsec-vpn rule rule-name match-direction | definir segurança ipsec vpn vpn-namematch-direction |
| definir serviços ipsec-vpn estabelecer túneis | definir segurança ipsec vpn vpn-nametúneis de criação |
| definir serviços definidos svc-set-name ipsec-vpn opções local-gateway address | definir segurança ipsec vpn vpn-nameike gateway gateway-name |
| definir serviços definidos svc-set-name ipsec-vpn-opções clear-don-t-fragment-bit | Sem configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços de conjunto svc-set-name de serviços ipsec-vpn-options copy-don-t-fragment-bit | Sem configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços de conjunto svc-set-name de serviços ipsec-vpn-options set-don-t-fragment-bit | Sem configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços definidos svc-set-name ipsec-vpn opções udp-encapsulado | definir segurança ipsec vpn vpn-nameudp-encapsulado |
| definir serviços ipsec-vpn svc-set-name opções sem anti-replay | Sem configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços de conjunto svc-set-name de serviços ipsec-vpn-opções de tunelamento passivo de modo passivo | definir segurança ipsec vpn tunelamento vpn-name de modo passivo |
| definir serviços de conjunto svc-set-name de serviços ipsec-vpn-options tunnel-mtu | Sem configuração global de conjunto de serviços. Deve ser configurado por objeto vpn. |
| definir serviços definidos svc-set-name regras ipsec-vpn | definir serviços definidos svc-set-name regras ipsec-vpn |
| definir serviços regra ipsec-vpn <rule-name> termo <term-name> depois tunnel-mtu | definir segurança vpn ipsec <vpn nome> tunnel-mtu |
Entendendo o MTU do túnel
O MTU para st0 está no nível da interface. Com o recurso tunnel-MTU, alcançamos a MTU de nível de túnel. Com o recurso Tunnel-MTU, podemos configurar o MTU no nível de objeto VPN. Você pode configurar o túnel-mtu para controlar o MTU do túnel, se st0 MTU ou IFL MTU não estiver configurado, isso afetará o comportamento do MTU. O MTU mínimo de túnel que você pode configurar para tráfego IPv6 é 1390.
O recurso mtu de túnel não é suportado no PMI (Power mode IPSec). A configuração do tunnel-mtu está na hierarca de VPN e não no nível de seletor de tráfego, portanto, a configuração tunnel-mtu se aplica a todos os túneis (todos TS) pertencentes a essa VPN. A mudança de configuração do túnel MTU é considerada como uma mudança catastrófico (exclui o túnel existente). A mudança de configuração de não-icmp-packet-too-big não é considerada como catastrófico.
A pré-fragmentação é feita considerando a sobrecarga de túnel IPsec da configuração mínima de MTU de túnel ou AMS fora do IFL MTU. A pós-fragmentação requer que o MTU seja definido na interface externa e os contadores IPsec correspondentes não aumentam para tráfego de saída. A fragmentação pós-fragmentação é feita pelo IOC e não pela placa MX-SPC3. No MX-SPC3, a st0 MTU padrão para a família inet e inet6 é 9192, não há valor padrão para configuração de mtu de túnel na hierarquia de VPN. Os pacotes IPv6 são fragmentados no host de origem e não são fragmentados em roteadores intermediários para que a pré-fragmentação não se aplique a pacotes IPv6.
Para pacotes IPv4, a pré-fragmentação, pós-fragmentação e erro de ICMP Fragmentation needed and DF set ocorre nos seguintes casos:
- Quando o comprimento interno do pacote é menor do que a diferença entre o túnel-mtu e a sobrecarga do túnel, então não ocorre fragmentação.
- Quando o comprimento interno do pacote é maior do que o diferencial da sobrecarga do túnel mtu amd do túnel, e o bit DF do pacote interno não é definido, então ocorre a pré-fragmentação.
- Quando o comprimento interno do pacote é maior do que a diferença de sobrecarga de túnel-mtu e túnel, e o bit DF do túnel externo não é definido, então o encapsulamento e ocorre pós-fragmentação.
- Quando o comprimento interno do pacote é maior do que a diferença entre o túnel-mtu e a sobrecarga do túnel, e tanto o bit interno do pacote DF quanto o bit DF do túnel externo são definidos, então o pacote é descartado e o erro do ICMP
Fragmentation Needed and DF Seté enviado de volta.
Para pacotes IPv6, a pré-fragmentação, pós-fragmentação e erro de ICMP Packet Too Big ocorre nos seguintes casos:
- Quando o comprimento interno do pacote é menor do que a diferença entre o túnel-mtu e a sobrecarga do túnel, então não ocorre fragmentação.
- Quando o comprimento interno do pacote é maior do que a diferença de sobrecarga de túnel-mtu e túnel, e o bit DF do túnel externo não é definido, então o encapsulamento e ocorre pós-fragmentação.
- Quando o comprimento interno do pacote é maior do que a diferença de sobrecarga de túnel e túnel, e o bit DF do túnel externo é definido, então o pacote é descartado e, se
no-icmp-packet-too-bignão for definido, então o erro do ICMPPacket Too Bigé enviado. - Quando o comprimento interno do pacote é maior do que a diferença de sobrecarga de túnel e túnel, e o bit DF do túnel externo é definido, então o pacote é descartado e se
no-icmp-packet-too-bigé definido, então o erro do ICMPPacket Too Bignão é enviado
Diferença entre ST0 MTU e MTU de túnel
- O túnel-MTU está em um nível diferente em comparação com o ST0 MTU.
- st0 MTU é mtu de nível de interface e recurso de túnel-MTU alcança o nível de túnel MTU
- No MX-SPC3, o PFE verifica o st0 mtu para fragmentar ou soltar o pacote. Assim, o pacote não alcança fluxo ou IPsec e não terá qualquer controle sobre a ação do MTU.
- O valor de configuração do túnel-mtu VPN é menor do que o ST0 MTU.