Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Diferenças de configuração entre serviços adaptativos e serviços de próxima geração no MX-SPC3

Visão geral

Os serviços de próxima geração no MX-SPC3 exigem que você configure serviços de forma diferente do que você está acostumado com serviços adaptativos, que são executados em placas de tipo MS (MS-MPC, MS-MIC e MS-DPC). A configuração da placa de serviços MX-SPC3 está mais alinhada com a maneira como você configura o gateway de serviços da Série SRX. Uma vez familiarizado com essa abordagem mais unificada, você deve ser capaz de configurar serviços nessas duas plataformas de forma mais consistente, resultando em menos sobrecarga de treinamento e menor risco de erro de configuração.

Além das diferenças de CLI, você precisa estar ciente das diferenças básicas de hardware entre os tipos de multisserviços (MS) (MS-DPC, MS-MPC e MS-MIC) e a placa de serviços MX-SPC3. As placas de tipo MS contêm quatro complexos de CPU, enquanto a placa MX-SPC3, embora mais poderosa, contém dois complexos de CPU. Cada serviço complexo de CPU é um único PIC, o que significa que as placas de tipo MS oferecem suporte a quatro PICs, enquanto o MX-SPC3 oferece suporte a dois PICs. As placas de tipo MS usam PICs especiais de multisserviços (MS) e serviços adaptativos (AS), enquanto os PICs na placa MX-SPC3 estão integrados.

Como o número de PICs afeta diretamente o número de interfaces (Tabela 1), você pode precisar adicionar unidades lógicas a cada interface no MX-SPC3 para aumentar o número de interfaces para quatro. Por exemplo, se você atualmente usa todas as quatro interfaces na placa do tipo MS e tem um conjunto de serviços por interface, você pode criar duas unidades lógicas por interface no MX-SPC3 para levar o número total de interfaces para quatro e, em seguida, reassociar os quatro conjuntos de serviço para essas quatro interfaces lógicas.

Tabela 1: Diferenças de hardware: placas de tipo MS versus placa MX-SPC3

Placas MS

MX-SPC3

Número de complexos de CPU

4

2

Número de PICs por complexo de CPU

1

1

Número de interfaces por PIC

1

1

Número total de interfaces no cartão

4

2

Nota:

Consulte o módulo de interface de plataforma de roteamento universal 5G da Série MX para obter mais informações sobre o hardware MX-SPC3.

As seções a seguir fornecem uma visão geral das diferenças básicas de configuração entre serviços nas placas de tipo MS e serviços na placa MX-SPC3. A intenção dessas seções é ajudar você a começar usando exemplos básicos para ilustrar as principais mudanças. Esses exemplos mostram um subconjunto das opções de configuração do CLI e não substituem o tratamento mais formal do assunto encontrado no Guia de usuário de interfaces de serviços de próxima geração para dispositivos de roteamento e no Guia de referência do Junos OS CLI.

Os exemplos de configuração nessas seções são apresentados lado a lado para que você possa ver facilmente as diferenças entre os dois. Os exemplos são destinados a mostrar como configurar os recursos existentes da placa de tipo MS no MX-SPC3. Os exemplos não são destinados a mostrar como configurar novos recursos encontrados apenas no MX-SPC3. Para uma legibilidade e facilidade de comparação, a ordem das declarações apresentadas pode diferir ligeiramente da ordem real de declarações exibidas na CLI.

Se você tem um grande conjunto de serviços adaptativos existentes, reconhecemos que essas mudanças podem ser um inconveniente para você. Para ajudar você a migrar das placas de tipo MS para o MX-SPC3, sugerimos que você prossiga da seguinte forma:

  • Veja os exemplos neste guia para ter uma visão geral das mudanças necessárias.

  • Veja o conjunto de exemplos de configuração no artigo base de conhecimento KB35348.

  • Veja este guia e o Guia de referência do Junos OS CLI para entender todos os recursos, opções de configuração e sintaxe.

  • Entre em contato com a JTAC para obter ajuda com a sua migração.

Você não precisa fazer essas mudanças de configuração se continuar a executar serviços adaptativos nas placas de tipo MS. No entanto, assim que você implantar o MX-SPC3 em um roteador, você deve substituir todas as placas de tipo MS nesse roteador e reconfigurar seus serviços para se alinhar com o paradigma de configuração dos Serviços de Próxima Geração.

Interfaces

As placas de tipo MS usam a convenção ms-1/0/0de nomenclatura de interfaces, enquanto você especifica interfaces MX-SPC3 usando a convenção de nomenclatura de multisserviços virtuais ou vms-1/0/0 interface. Não há alterações nos nomes ams e mams interfaces.

Além disso, vários parâmetros configurados em services-options uma ms interface estão configurados service-set-options em um conjunto de serviços.

A Tabela 2 mostra exemplos dessas mudanças.

Tabela 2: Interfaces e opções de serviço

Placas de tipo MS

MX-SPC3

[edit interfaces]
ms-5/1/0 {
    <...>
}
[edit interfaces]
# Change interface name to vms.
vms-5/1/0 {
    <...>
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        open-timeout 40;
        close-timeout 40;
        inactivity-tcp-timeout 10;
        inactivity-asymm-tcp-timeout 10;
        tcp-tickles 8;
        ignore-errors tcp;
    }
}
[edit services]
service-set sset1 {
    service-set-options {
        # Set tcp parameters under tcp-session.
        tcp-session {
            open-timeout 40;
            close-timeout 40;
            inactivity-tcp-timeout 10;
            inactivity-asymm-tcp-timeout 10;
            tcp-tickles 8;
            ignore-errors tcp;
        }
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        inactivity-non-tcp-timeout 40;
        session-timeout 10;
    }
}
[edit services]
service-set sset1 {
    # Set non-tcp parameters directly under 
    # service-set-options.
    service-set-options {
        inactivity-non-tcp-timeout 40;
        session-timeout 10;
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        fragment-limit 10;
        reassembly-timeout 5;
    }
}
[edit interfaces]
vms-5/1/0 {
    services-options {
        fragment-limit 10;
        reassembly-timeout 5;
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        session-limit {
            maximum 100;
            cpu-load-threshold 12;
            rate 10;
        }
    }
}
[edit services]
# Maximum number of sessions can be 
# specified per service-set.
service-set sset1 {
    service-set-options {
        session-limit {
            maximum 100;
        }
    }
}
[edit interfaces]
# All session-limit parameters continue to be 
# configurable per interface. If the maximum
# number of sessions is different from the associated 
# service-set, the smaller number takes effect.
vms-5/1/0 {
    services-options {
        session-limit {
            maximum 100;
            cpu-load-threshold 12;
            rate 10;
        }
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        pba-interim-logging-interval 10;
    }
}
[edit interfaces]
# Set interim-logging-interval under the nat branch.
nat {
    source {
        pool src-pool {
            port {
                block-allocation {
                    interim-logging-interval 10;
                }
            }
        }
[edit interfaces]
ms-5/1/0 {
    services-options {
        syslog {
            host {
                <...>
            }
        }
    }
}

Veja service-set syslog stream host.

[edit interfaces]
ms-5/1/0 {
    services-options {
        syslog {
            message-rate-limit 10;
        }
    }
}
[edit services]
service-set sset1 {
    syslog {
        event-rate 10;
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        ignore-errors alg;
        disable-global-timeout-override;
        trio-flow-offload {
            minimum-bytes 1000;
        }
    }
}

Não suportado

Conjunto de serviços

A Tabela 3 mostra pequenas mudanças na forma como alguns service-set parâmetros são configurados.

Tabela 3: Conjunto de serviços

Placas de tipo MS

MX-SPC3

[edit services]
service-set sset1 {
    tcp-mss 1460;
    service-set-options {
        tcp-non-syn drop-flow-send-rst;
        tcp-fast-open drop;
    }
}
[edit services]
service-set sset1 {
    service-set-options {
        # Set tcp parameters under tcp-session.
        tcp-session {
            tcp-mss 1460;
            tcp-non-syn drop-flow-send-rst;
            tcp-fast-open drop;
        }
    }
}
[edit services]
service-set sset1 {
    replicate-services {
        replication-threshold 180;
    }
}
[edit interfaces]
# Set replication-threshold on the interface.
vms-5/1/0 {
    redundancy-options {
        replication-threshold 180;
    }
}
[edit services]
service-set sset1 {
    syslog {
        host 10.1.1.1 {
            port 514;
        }
    }
}
[edit services]
service-set sset1 {
    syslog
        # Process security logs in the dataplane.
        mode stream;
        stream s1 {
            # Specify host to send security logs to.
            host {
                10.1.1.1;
                port 514;
            }
        }
    }
}
[edit services]
service-set sset1 {
    syslog {
        host local;
    }
}
[edit services]
service-set sset1 {
    syslog
        # Process security logs in the control plane,
        # saving logs to local file specified by rtlog.
        mode event;
    }
}
rtlog {
    traceoptions {
        # Specify filename for logs.
        file rtlog size 1g;
        flag all;
    }
}
[edit services]
service-set sset1 {
    service-order  <...>
}

A ordem de serviço é fixa.

[edit services]
service-set sset1 {
    sampling-service  <...>
}

O registro J-Flow é compatível em linha.

[edit services]
service-set sset1 {
    tag-rule-sets <...>
    tag-rules  <...>
    hcm-profile  <...>
    hcm-url-rule-sets  <...>
    hcm-url-rules  <...>
    service-set-options {
        bypass-traffic-on-pic-failure;
    }
}

Atualmente sem suporte

Stateful Firewall

Regras e políticas

As regras de firewall stateful no MX-SPC3 são estruturadas de forma ligeiramente diferente das regras de firewall stateful para serviços nas placas de tipo MS. No MX-SPC3, você descarta as regras dentro de um policies invólucro, e define os termos e ações de correspondência para a regra em uma policy regra contida dentro da regra.

Assim como um serviço de firewall stateful na placa de tipo MS, você cria um conjunto de serviços para associar uma interface a um conjunto de regras. Um conjunto de regras contém referências a uma ou mais regras. As regras são aplicadas sequencialmente na ordem de listá-las até que ocorra uma correspondência e uma ação tomada.

Cada regra contém um ou mais pares de termos e ações de correspondência. No MX-SPC3, cada par de termos e ações de correspondência é chamado de política. As políticas são aplicadas sequencialmente na ordem em que você as especifica até que ocorra uma correspondência e uma ação tomada.

A Tabela 4 mostra as diferenças de configuração entre as regras de firewall stateful na placa MS e o MX-SPC3. Em particular, observe as diferentes definições para /permitdeny/reject ações.

Tabela 4: Regras e políticas de firewall stateful

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set s1 {
    stateful-firewall-rule-sets rule-set-basic-sfw;
    interface-service {
        service-interface ms-1/1/0;
    }
}
service-set s1 {
    policies stateful-firewall-rule-sets rule-set-basic-sfw;
    interface-service {
        service-interface vms-1/1/0;
    }
}
stateful-firewall {
# Enclose stateful firewall rules within the policies wrapper.
policies { 
    rule Rule1 {
        match-direction input;
        term ping-https-apps {
            from {
                source-address {
                    any
                }
                destination-address {
                    any
                }
                applications [junos-icmp-ping junos-https];
            }
            then {
                accept/reject/discard
                skip-ids;
                syslog;
            }
        }
        term accept {
            then {
                accept;
            }
        }
    } # end Rule1
    policies stateful-firewall-rule Rule1 {
        match-direction input;
        # Define match terms and actions in a policy.
        policy ping-https-apps { 
            # Unlike the from statement, the match statement (and
            # source-address, destination-address, and application)
            # are mandatory.
            match {
                source-address any;
                destination-address any;
                application [ junos-icmp-ping  junos-https ];
            }
            then {
                # permit = allow
                # deny = silently drop
                # reject = drop and send ICMP unreachable or TCP RST
                permit/deny/reject
                # skip-ids is not supported. One possible way of 
                # achieving this same goal is to create two 
                # service-sets, one with IDS and one without IDS, 
                # and route your next-hop-service
                # traffic to the desired service set via the associated
                # inside or outside interface.
                log;
            }
        }
        policy accept { 
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    } # end Rule1
    rule Rule2 {
        match-direction output;
        term local {
            from {
                source-address {
                    10.1.3.2/32;
                }
                application-sets APPL-SET1;
            }
            then {
                accept;
            }
        }
    } # end Rule2
    policies stateful-firewall-rule Rule2 {
        match-direction output;
        policy local {
            match {
                source-address 10.1.3.2/32;
                destination-address any;
                # application can refer to an application set.
                application APPL-SET1;
            }
            then {
                permit;
            }
        } 
        
    } # end Rule2
    rule-set rule-set-basic-sfw {
        rule Rule1;
        rule Rule2;
    }
} # end stateful-firewall
    # Use the stateful-firewall-rule-set element to list the 
    # firewall rules in the order that you want them applied. 
    stateful-firewall-rule-set rule-set-basic-sfw {
        stateful-firewall-rule Rule1;
        stateful-firewall-rule Rule2;
    }
} # end policies

Listas de endereços e intervalos

As regras de firewall stateful podem conter termos de correspondência que se referem a intervalos e listas de endereços.

Na placa MS, você usa source-address-range e destination-address-range elementos para especificar faixas de endereço e prefix-list elementos embaixo policy-options para especificar listas de endereços. O prefix-list elemento não é usado apenas para regras de firewall stateful. Você também usa o prefix-list elemento para especificar listas de endereços para uso dentro de políticas de roteamento.

No MX-SPC3, o prefix-list elemento não é usado para regras de firewall stateful. Você usa um under address-book services para definir listas de endereços e intervalos para uso dentro de regras de firewall stateful. O prefix-list elemento ainda existe, mas é usado exclusivamente para políticas de roteamento. Portanto, você precisa configurar ambos address-book e prefix-list elementos se estiver especificando listas de endereços para regras de firewall stateful e listas de endereços para políticas de roteamento.

A Tabela 5 mostra as diferenças entre como você especifica os endereços para regras de firewall stateful na placa MS em comparação com o MX-SPC3.

Tabela 5: Endereços

Placa MS

MX-SPC3

[edit]
policy-options {
    prefix-list p1 {
        10.1.22.45/32;
        192.168.0.11/32;
    }
}
[edit services]
    stateful-firewall {
        rule sfw-rule {
            match-direction input;
            term banned-addresses {
                from {
                    source-prefix-list {
                        p1;
                    }
                    source-address-range {
                        low 10.1.22.100 high 10.1.22.109;
                    }
                }
                then {
                    reject;
                    syslog;
                }
            }
        <...>
[edit services]
# Define address lists and address ranges in an address book.
address-book {
    global {
        address-set p1 {
            address p1-a;
            address p1-b;
        }
        address p1-a 10.1.22.45/32;
        address p1-b 192.168.0.11/32;
        address p2 { 
            address-range 10.1.22.100/32 {
                to {
                    10.1.22.109/32;
                }
            } 
        } 
    } 
} # end address-book
policies { 
    stateful-firewall-rule sfw-rule {
    match-direction input;
        policy banned-addresses { 
            match {
                # Refer to the addresses defined in the address book.
                source-address [ p1 p2 ];
                destination-address any;
                application any;
            }
            then {
                deny;
                log;
            }
        <...>

Aplicativos

O MX-SPC3 oferece suporte a aplicativos Junos mais integrados do que a placa MS. Você pode combinar com esses aplicativos integrados ao criar uma regra de firewall stateful.

Para ver a lista completa de aplicativos integrados, use o comando do show groups junos-defaults applications modo de configuração. Por exemplo:

Traceoptions e contadores

Firewalls stateful para serviços de próxima geração no MX-SPC3 oferecem suporte a recursos adicionais para ajudar a depurar e contar tráfego:

  • traceoptions Uso para rastrear eventos relacionados a políticas, como buscas de políticas e eventos baseados em regras. Os eventos são capturados no arquivo especificado para visualização.

  • count Uso para contar eventos relacionados ao tráfego, como bytes de entrada/saída e pacotes. Veja os contadores usando comandos de exibição:

    • show services policies detail - a saída inclui contadores relacionados ao tráfego quando você especifica a opção count em sua política

    • show services policies hit-count - a contagem de acertos está sempre disponível, independentemente de você usar a opção count em sua política ou não

A Tabela 6 mostra como usar e count os traceoptions elementos:

Tabela 6: traceoptions e contagem

Placa MS

MX-SPC3

Não suportado

[edit services]
policies { 
# Enable traceoptions to trace policy-related events.
    traceoptions {
        file policylogs size 10m files 5;
        flag all;
    }
    stateful-firewall-rule Rule1 {
        match-direction input;
        policy my-policy { 
            match {
                source-address any;
                destination-address any;
                application [ junos-dns-udp junos-dns-tcp ];
            }
            then {
                permit
                # Enable counting of traffic events.
                count;
            }
        } # end my-policy
    ...

Tradução de endereços de rede de nível de operadora (CGNAT)

Configurar o NAT para serviços de próxima geração no MX-SPC3 é diferente da configuração do NAT em serviços legados na placa MS de várias maneiras:

  • No MX-SPC3, você configura o NAT de origem separadamente do NAT de destino. Você configura o NAT de origem na filial de origem da árvore de configuração e configura o NAT de destino no ramo de destino da árvore de configuração. NAT de origem e NAT de destino cada um tem seus próprios conjuntos de grupos de endereços e regras em seu respectivo ramo da árvore de configuração.

  • No MX-SPC3, se você configurar o NAT de origem e o NAT de destino, o NAT de destino se aplica primeiro e o NAT de origem se aplica ao resultado traduzido de NAT de destino. Em outras palavras, você escreve a regra NAT de origem não com base no pacote original, mas com base no resultado traduzido por NAT de destino.

  • No MX-SPC3, você não configura explicitamente um translation-type. O tipo de tradução é determinado implicitamente pela sua configuração.

  • No MX-SPC3, a tradução de porta é o comportamento padrão para mapeamentos dinâmicos (onde diferentes endereços pré-NAT podem mapear para o mesmo endereço pós-NAT ao longo do tempo). Se você não incluir explicitamente a declaração em uma definição de pool, a port tradução de porta ocorre com uma faixa de porta [1024, 65535], e a porta é selecionada de forma redonda. Se você não quiser que a tradução de porta ocorra, você deve adicionar uma port declaração com a opção no-translation . Esse padrão não se aplica a mapeamentos estáticos em que um endereço pré-NAT sempre mapeia o mesmo endereço pós-NAT.

A Tabela 7 até a Tabela 19 mostra exemplos de como os diferentes tipos de tradução são configurados no MX-SPC3.

Tabela 7: Exemplo: Basic-NAT44

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-basic-nat44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-basic-nat44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
    }
    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            # host-address-base indicates a type of static mapping 
            # where the base address 10.45.1.0/0 maps to the 
            # lowest address in the pool, namely 10.10.10.0/0,
            # and the other addresses map sequentially from there
            # e.g. 10.45.1.1 maps to 10.10.10.1, and so on.
            # Since this is a static mapping, there is no port translation
            # by default.
            # Note that host-address-base does not have to be the 
            # lowest address allowed by the subsequent source rule. 
            # Any packet with a source address allowed by the source rule
            # but is lower than the host-address-base is discarded. 
            host-address-base 10.45.1.0/0;
        }
    rule rule-basic-nat44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.45.1.0/24
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        basic-nat44;
                    }
                }
            }
        }
    }
        rule-set rule-basic-nat44 {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.45.1.0/24;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabela 8: Exemplo: Basic-NAT66

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-basic-nat66;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-basic-nat66;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 2001:DB8:2222::0/96;
    }
    
        pool src-pool {
            address {
                2001:DB8:2222::0/96;
            }
        }
    rule rule-basic-nat66 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    2001:DB8:1111::0/96;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        basic-nat66;
                    }
                }
            }
        }
    }
        rule-set rule-basic-nat66 {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111:::0/96;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabela 9: Exemplo: Dynamic-NAT44

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-dynamic-nat44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-dynamic-nat44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address-range low 10.10.10.2 high 10.10.10.10;
    }
    
        pool src-pool {
            address {
                10.10.10.2/32 to 10.10.10.10/32;
            }
            # Since this is implicitly a dynamic mapping, 
            # there is port translation by default , so we need to
            # explictly specify that we don’t want port translation.
            port {
                no-translation;
            }
        }
    rule rule-dynamic-nat44 {
        match-direction input;
        term t0 {
            from {
                applications junos-icmp-all;
            }
            then {
                no-translation;
            }
        }
        term t1 {
            from {
                destination-address {
                    10.99.0.2/32;
                }
                source-address-range {
                    low 10.45.0.2 high 10.45.0.10;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        dynamic-nat44;
                    }
                }
            }
        }
    }
        rule-set rule-dynamic-nat44 {
            match-direction input;
            rule r0 {
                match {
                    source-address 0.0.0.0/0;
                    application junos-icmp-all;
                }
                then {
                    source-nat {
                        off;
                    }
                }
            }
            rule r1 {
                match {
                    source-address-name addr1;
                    destination-address 10.99.0.2/32;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat

address-book {
    global {
        address addr1 {
            address-range 10.45.0.2/32 {
                to {
                    10.45.0.10/32;
                }
            }
        }
    }
}
Tabela 10: Exemplo: NAPT-44

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-napt44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-napt44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
        port {
            automatic;
        }
    }

    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            # Since this is implicitly a dynamic mapping,
            # and there is no explicit port statement
            # to indicate otherwise, the default port 
            # mapping behavior takes effect.
        }
    

    rule rule-napt44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.45.1.0/24
                }
                application-sets accept-algs;
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        napt44;
                    }
                }
            }
        }
    }
    
        rule-set rule-napt44 {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.45.1.0/24;
                    application accept-algs;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabela 11: Exemplo: cochilo-66

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-napt66;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-napt66;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 2001:DB8:2222::0/112;
        port {
            range low 20000 high 30000;
        }
    }

    
        pool src-pool {
            address {
                2001:DB8:2222::0/112;
            }
            port {
                range {
                    20000;
                    to {
                        30000;
                    }
                }
            }
        }
    

    rule rule-napt66 {
        match-direction input;
        term t1 {
            from {
                source-address {
                     2001:DB8:1111::0/96;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        napt66;
                    }
                }
            }
        }
    }
    
        rule-set rule-napt66 {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::0/96;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabela 12: Exemplo: NAT-44 determinístico

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-dnat-44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-dnat-44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    destination {

    pool dest-pool {
        address 10.10.10.2/32;
    }
    
        pool dest-pool {
            address {
                10.10.10.2/32;
            }
        }
    rule rule-dnat-44 {
        match-direction input;
        term t1 {
            from {
                destination-address {
                    10.45.0.2/32
                }
            }
            then {
                translated {
                    destination-pool dest-pool;
                    translation-type {
                        dnat-44;
                    }
                }
            }
        }
    }
        rule-set rule-dnat-44 {
            match-direction input;
            rule r1 {
                match {
                    destination-address 10.45.0.2/32;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end destination
} # end nat
Tabela 13: Exemplo: Stateful-NAT464

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-stateful-nat464;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-stateful-nat464-src;
    nat-rule-sets rule-stateful-nat464-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
        port {
            automatic;
        }
    }
    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            port {
                automatic {
                    round-robin;
                }
            }
        }
    rule rule-stateful-nat464 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    2001:DB8:1111::0/96;
                }
                destination-address {
                    2001:DB8:2222::0/96;
                }
                applications [junos-icmp-all junos-icmp-ping junos-traceroute junos-traceroute-ttl 1];
            }
            then {
                translated {
                    source-pool src-pool;
                    clat-prefix 2001:DB8:1111::0/96;
                    destination-prefix 2001:DB8:2222::0/96;
                    translation-type {
                        stateful-nat464;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-stateful-nat464-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::0/96;
                    # Since destination NAT happens first, the 
                    # destination IPv6 prefix has  been stripped off, 
                    # resulting in an IPv4 destination address.
                    destination-address 0.0.0.0/0;
                    application [junos-icmp-all junos-icmp-ping junos-traceroute junos-traceroute-ttl 1];
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                            }
                        clat-prefix 2001:DB8:1111::0/96;
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    # This destination rule applies before the source rule.
        rule-set rule-stateful-nat464-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 2001:DB8:2222::0/96;
                }
                then {
                    destination-nat {
                        destination-prefix 2001:DB8:2222::0/96;
                    }
                }
            }
        }

    
    } # end destination
} # end nat

Tabela 14: Exemplo: Stateful-NAT64

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-stateful-nat64;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-stateful-nat64-src;
    nat-rule-sets rule-stateful-nat64-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
        port {
            automatic;
                random-allocation;
            }
        }
        mapping-timeout 500;
    }
    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            port {
                automatic {
                    random-allocation;
                }
            }
            mapping-timeout 500;
        }
    rule rule-stateful-nat64 {
        match-direction input;
        term t1 {
            from {
                destination-address {
                    2001:DB8:2222::0/64;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-prefix 2001:DB8:2222::0/64;
                    translation-type {
                        stateful-nat64;
                    }
                }
            }
        }
        term t2 {
            from {
                destination-address {
                    2001:DB8:3333::0/64;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-prefix 2001:DB8:3333::0/64;
                    translation-type {
                        stateful-nat64;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-stateful-nat64-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 0::/0;
                    # Since destination NAT applies first, the 
                    # destination address is now IPv4.
                    destination-address 0.0.0.0/0;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    # This destination rule applies before the source rule.
        rule-set rule-stateful-nat64-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 2001:DB8:2222::0/64;
                }
                then {
                    destination-nat {
                        destination-prefix 2001:DB8:2222::0/64;
                    }
                }
            }
            rule r2 {
                match {
                    destination-address 2001:DB8:3333::0/64;
                }
                then {
                    destination-nat {
                        destination-prefix 2001:DB8:3333::0/64;
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabela 15: Exemplo: Duas vezes básico-NAT-44

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-twice-basic-nat-44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-twice-basic-nat-44-src;
    nat-rule-sets rule-twice-basic-nat-44-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.98.10.0/24;
    }
    pool dest-pool {
        address 10.99.10.0/24;
    }
    
        pool src-pool {
            address {
                10.98.10.0/24;
            }
            # host-address-base indicates a type of static mapping where
            # the base address 10.10.10.0/0 maps to the lowest 
            # address in the pool, namely 10.98.10.0/0,
            # and the other addresses map sequentially from there
            # e.g. 10.10.10.1 maps to 10.98.10.1, and so on.
            # Since this is a static mapping, there is no port translation 
            # by default.
            # Note that host-address-base does not have to be the 
            # lowest address allowed by the subsequent source rule. 
            # Any packet with a source address allowed by the source rule
            # but is lower than the host-address-base is discarded. 
            host-address-base 10.10.10.0/0;
        }
    rule rule-twice-basic-nat-44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.10.10.0/24;
                }
                destination-address {
                    10.20.10.0/24;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-pool dest-pool;
                    translation-type {
                        twice-basic-nat-44;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-twice-basic-nat-44-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.10.10.0/24;
                    # Since destination NAT happens first, the destination
                    # address refers to the NAT’d address.
                    destination-address 10.99.10.0/24;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            address {
                10.99.10.0/24;
            }
        }

    # This destination rule applies before the source rule.
        rule-set rule-twice-basic-nat-44-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 10.20.10.0/24;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabela 16: Exemplo: Duas vezes dinâmico-NAT-44

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-twice-dynamic-nat-44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-twice-dynamic-nat-44-src;
    nat-rule-sets rule-twice-dynamic-nat-44-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.98.10.0/24;
    }
    pool dest-pool {
        address 10.99.10.0/24;
    }
    
        pool src-pool {
            address {
                10.98.10.0/24;
            }
            port {
                no-translation;
            }
        }
    rule rule-twice-dynamic-nat-44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.10.10.0/24;
                }
                destination-address {
                    10.20.10.0/24;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-pool dest-pool;
                    translation-type {
                        twice-dynamic-nat-44;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-twice-dynamic-nat-44-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.10.10.0/24;
                    # Since destination NAT happens first, the destination
                    # address refers to the NAT’d address.
                    destination-address 10.99.10.0/24;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            # By default, address mapping in destination pools is static.
            address {
                10.99.10.0/24;
            }
        }

    # This destination rule applies before the source rule.
        rule-set rule-twice-dynamic-nat-44-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 10.20.10.0/24;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabela 17: Exemplo: Duas vezes NAPT-44

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-twice-napt-44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-twice-napt-44-src;
    nat-rule-sets rule-twice-napt-44-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.98.10.0/24;
        port {
            automatic;
            secured-port-block-allocation block-size 256 max-blocks-per-address 1 active-block-timeout 300;
        }
    }
    pool dest-pool {
        address 10.99.10.2/32;
    }
    
        pool src-pool {
            address {
                10.98.10.0/24;
            }
            port {
                automatic {
                    round-robin;
                }
                block-allocation {
                    block-size 256;
                    maximum-blocks-per-host 1;
                    active-block-timeout 300;
                }
            }
        }
    rule rule-twice-napt-44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.10.10.0/24;
                }
                destination-address {
                    10.20.10.2/32;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-pool dest-pool;
                    translation-type {
                        twice-napt-44;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-twice-napt-44-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.10.10.0/24;
                    # Since destination NAT happens first, the
                    # destination address refers to the NAT’d address.
                    destination-address 10.99.10.2/32;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            address {
                10.99.10.2/32;
            }
        }

    # This destination rule applies before the source rule.
        rule-set rule-twice-napt-44-dest {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.10.10.0/24;
                    destination-address 10.20.10.2/32;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabela 18: Exemplo: Deterministic-NAPT44

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-deterministic-napt44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-deterministic-napt44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
        port {
            range low 1024 high 19999;
            deterministic-port-block-allocation block-size 256;
        }
        mapping-timeout 120;
    }
    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            port {
                range {
                    1024;
                    to {
                        19999;
                    }
                }
                deterministic {
                    block-size 256;
                    # host address specifies the subnet that you
                    # want to apply to this pool.
                    host address 10.2.0.0/20;
                }
            }
            mapping-timeout 120;
        }
    rule rule-deterministic-napt44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.2.0.0/18;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        deterministic-napt44;
                    }
                    mapping-type endpoint-independent;
                }
            }
        }
    }
        rule-set rule-deterministic-napt44 {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.2.0.0/18;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                        mapping-type endpoint-independent;
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabela 19: Exemplo: Deterministic-NAPT64

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-deterministic-napt64;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-deterministic-napt64-src;
    nat-rule-sets rule-deterministic-napt64-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.98.10.0/24;
        port {
            automatic;
            random-allocation;
            }
            deterministic-port-block-allocation block-size 256;
        }
    }
    
        pool src-pool {
            address {
                10.98.10.0/24;
            }
            port {
                automatic {
                    random-allocation;
                }
                deterministic {
                    block-size 256;
                    host address 2001:DB8:1111::1/120;
                }
            }
        }
    rule rule-deterministic-napt64 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    2001:DB8:1111::1/120;
                }
            }
            then {
                translated {
                    destination-prefix 2001:DB8:2222::/96;
                    source-pool src-pool;
                    translation-type {
                        deterministic-napt64;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-deterministic-napt64-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::1/120;
                    # Since destination NAT happens first, the destination
                    # address refers to the NAT’d address.
                    destination-address 0.0.0.0/0;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            address {
                10.99.10.2/32;
            }
        }

    # This destination rule applies before the source rule.
        rule-set rule-destination-napt64-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 2001:DB8:2222::/96;
                }
                then {
                    destination-nat {
                        destination-prefix 2001:DB8:2222::/96;
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabela 20: Exemplo: napt-pt

Placa MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-napt-pt;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-napt-pt-src;
    nat-rule-sets rule-napt-pt-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.2/32;
    }
    pool dest-pool {
        address 10.99.10.2/32;
    }
    
        pool src-pool {
            address {
                10.10.10.2/32;
            }
        }
    rule rule-napt-pt {
        match-direction input;
        term t1 {
            from {
                source-address {
                    2001:DB8:1111::2/128;
                }
                destination-address {
                    2001:DB8:2222::2/128;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-pool dest-pool;
                    translation-type {
                        napt-pt;
                    }
                }
            }
        }
    }
        rule-set rule-napt-pt-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::2/128;
                    destination-address 10.99.10.0/24;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            address {
                10.99.10.2/32;
            }
        }

        rule-set rule-napt-pt-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 2001:DB8:2222::2/128;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }

    
    } # end destination
} # end nat

Sistema de detecção de invasões (IDS)

As regras de IDS para serviços de próxima geração no MX-SPC3 são definidas sob a screen filial. Existem pequenas diferenças na nomenclatura dos vários elementos, mas a principal mudança está no comportamento da detecção de pacotes com opções IPv4 e extensões IPv6:

  • Para o serviço IDS na placa MS, o comportamento padrão é detectar e soltar pacotes com opções IPv4 e extensões IPv6. Se você quiser permitir esses pacotes, você precisa permitir que eles sejam explicitamente por meio da configuração.

  • Para o IDS Next Gen Service no MX-SPC3, o comportamento padrão é permitir pacotes com opções IPv4 e extensões IPv6. Se você quiser detectar e soltar esses pacotes, você precisa desautoriza-los explicitamente por meio da configuração.

A Tabela 21 mostra exemplos das diferenças de configuração.

Tabela 21: Regras do IDS

Placa MS

MX-SPC3

[edit services]
service-set sset1 {
    ids-rules r1;
    ids-rules r2;
}
[edit services]
service-set sset1 {
    # Replace ids-rules with ids-option.
    ids-option ids1;
    ids-option ids2;
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            <...>
        }
    }
}
[edit services]
# Define ids rules under the screen branch.
screen {
    # Replace rule with ids-option.
    ids-option ids1 {
        match-direction input;
        # Flatten hierarchy by removing term and placing 
        # contents directly under ids-option.
        <...>
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                allow-ip-options [ loose-source-route route-record router-alert security stream-id strict-source-route timestamp ];
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # By default, all ip options are allowed.
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                <no allow-ip-options configured>
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # Explicitly specify the disallowed options.
        ip {
            loose-source-route-option;
            record-route-option;
            security-option;
            stream-option;
            strict-source-route-option;
            timestamp-option;
            # router-alert option for IPv4 is not supported.
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                allow-ipv6-extension-header [ ah dstopts esp fragment hop-by-hop mobility routing ];
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # By default, all ipv6 extensions are allowed.
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                <no allow-ipv6-extension-header configured>
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        ip {
            # Explicitly specify the disallowed extensions.
            ipv6-extension-header {
                AH-header;
                ESP-header;
                fragment-header;
                hop-by-hop-header;
                mobility-header;
                routing-header;
                # dstoptions is not supported.
            }
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                aggregation {
                    source-prefix 24;
                    destination-prefix 24;
                    source-prefix-ipv6 64;
                    destination-prefix-ipv6 64;
                }
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        aggregation {
            source-prefix-mask 24;
            destination-prefix-mask 24;
            source-prefix-v6-mask 64;
            destination-prefix-v6-mask 64;
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                icmp-fragment-check;
                icmp-large-packet-check;
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # Group icmp checks under icmp.
        icmp {
            fragment;
            large;
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                land-attack-check;
                tcp-winnuke-check;
                tcp-syn-fragment-check;
                tcp-syn-defense;
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # Group tcp checks under tcp.
        tcp {
            land;
            winnuke;
            syn-frag;
            # tcp-syn-defense is not supported.
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                session-limit {
                    by-source {
                        maximum 100;
                        rate 10;
                        packets 1k;
                    }
                    by-destination {
                        maximum 100;
                        rate 10;
                        packets 1k;
                    }
                }
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        limit-session {
            by-source {
                maximum-sessions 100;
                session-rate 10;
                packet-rate 1k;
            }
            by-destination {
                maximum-sessions 100;
                session-rate 10;
                packet-rate 1k;
            }
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                session-limit {
                    by-source {
                        by-protocol {
                            tcp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                            udp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                            icmp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                        }
                }
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        limit-session {
            by-source {
                by-protocol {
                    tcp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                    udp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                    icmp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                }
            }
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                session-limit {
                    by-destination {
                        by-protocol {
                            tcp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                            udp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                            icmp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                        }
                }
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        limit-session {
            by-destination {
                by-protocol {
                    tcp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                    udp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                    icmp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                }
            }
        }
    }
}

Migre da placa MS para o MX-SPC3

Use este procedimento para configurar um roteador para oferecer suporte aos Serviços de próxima geração.

Normalmente, você usa esse procedimento para migrar um roteador que oferece suporte a serviços legados na placa MS para um roteador com suporte aos Serviços de Próxima Geração no MX-SPC3, mas esse procedimento se aplica mesmo se o roteador de onde você está migrando não contém cartões de cartão MS.

Como a configuração dos Serviços de Próxima Geração não é compatível com o provisionamento de serviço legado, a migração de um roteador para oferecer suporte aos Serviços de próxima geração no MX-SPC3 exige que você desprovisione e reprovisione completamente o seu roteador. Além disso:

  • Você não pode instalar uma placa MX-SPC3 em um roteador com placas MS.

  • Você não pode configurar serviços de próxima geração em um roteador equipado com placas MS.

  • Você não pode configurar serviços legados em um roteador equipado com placas MX-SPC3.

Em outras palavras, um roteador pode ser executado com placas MS ou placas MX-SPC3, mas não ambos ao mesmo tempo.

Nota:

Esse procedimento afeta o serviço. Você está configurando o roteador para a configuração padrão de fábrica.

  1. Atualize o roteador para lançar o 19.3R2.
  2. Aumente a configuração atual do roteador para um host remoto.
  3. Defina o roteador para a configuração padrão de fábrica.
    1. Carregue o roteador com a configuração padrão de fábrica:
    2. Configure a interface de gerenciamento com o mesmo endereço IP que você tinha antes de carregar a configuração padrão da fábrica:
    3. Configure o SSH para que você possa continuar a acessar o roteador. Por exemplo:
    4. Comprometa as mudanças.
  4. Habilite serviços de próxima geração no roteador.

    O Junos OS fornece um parâmetro operacional em todo o sistema que você habilita se quiser configurar serviços de próxima geração em um roteador. Por padrão, esse parâmetro não está habilitado.

    Do modo operacional:

    Nota:

    Essa configuração é persistente e sobrevive a uma reinicialização.

  5. Reinicialize o roteador.
  6. Substitua as placas de placa MS por placas MX-SPC3.
  7. Reprovisione seu roteador.

    Como ponto de partida, você pode restaurar o backup da etapa 2 , mas você pode precisar mudar essa configuração para ser compatível com os Serviços de próxima geração antes que você possa se comprometer.