Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de interfaces de serviços

Visão geral de nomeação da interface de serviços

Cada interface tem um nome de interface, que especifica o tipo de mídia, o slot em que o FPC está localizado, a localização no FPC em que o PIC está instalado e a porta PIC. O nome da interface identifica um conector de rede individual no sistema. Você usa o nome da interface ao configurar interfaces e ao ativar várias funções e propriedades, como protocolos de roteamento, em interfaces individuais. O sistema usa o nome da interface ao exibir informações sobre a interface, por exemplo, no show interfaces comando.

O nome da interface é representado por uma parte física, uma parte lógica e uma parte do canal no seguinte formato:

A parte do canal do nome é opcional para todas as interfaces, exceto as interfaces DS3, E1, OC12 e STM1 canalizadas.

A parte física de um nome de interface identifica o dispositivo físico, que corresponde a um único conector de rede físico. Esta parte do nome da interface tem o seguinte formato:

type é o tipo de mídia, que identifica o dispositivo de rede. Para interfaces de serviço, ele pode ser um dos seguintes:

  • ams— Interface agregada de multisserviços (AMS). Uma interface AMS é um pacote de interfaces de serviços que pode funcionar como uma única interface. Uma interface AMS é indicada como amsN na configuração, onde N está um número único que identifica uma interface AMS (por exemplo). ams0 As interfaces de membro em uma interface AMS são identificadas na configuração com um mams- prefixo (por exemplo mams-1/2/0).

  • cp— interface de coletor de fluxo.

  • es— Interface de criptografia.

  • gr— Interface de túnel de encapsulamento de roteamento genérico.

  • gre— Essa interface é gerada internamente e não configurável.

  • ip— interface de túnel de encapsulamento IP-over-IP.

  • ipip— Essa interface é gerada internamente e não configurável.

  • ls— interface de serviços de enlace.

  • lsq— interface de fila inteligente (IQ) dos serviços de enlace; também usado para serviços de voz.

  • mams— Interface de membro em uma interface AMS.

  • ml— interface multilink.

  • mo— Interface de serviços de monitoramento. A interface mo-fpc/pic/portlógica .16383 é uma interface não configurada internamente para o tráfego de controle de roteador.

  • ms— Interfaces multisserviços na placa de interfaces modulares multisserviços (MS-MIC) e concentradores de portas modulares multisserviços (MS-MPC).

  • mt— interface de túnel multicast. Essa interface é gerada automaticamente, mas você pode configurar propriedades nela, se necessário.

  • mtun— Essa interface é gerada internamente e não configurável.

  • rlsq— Interface LSQ de redundância.

  • rsp— Interface de serviços adaptativos de redundância.

  • si— Interface de serviços em linha, configurada apenas em roteadores da Série MX3D.

  • sp— Interface de serviços adaptativos. A interface sp-fpc/pic/portlógica .16383 é uma interface não configurada internamente para o tráfego de controle de roteador.

  • tap— Essa interface é gerada internamente e não configurável.

  • vt— Interface virtual de túnel de loopback.

Ativação de pacotes de serviços

Para AS PICs, PICs multisserviços, DPCs multisserviços e o módulo de serviços adaptativos internos (ASM) no roteador M7i, existem dois pacotes de serviço: Camada 2 e Camada 3. Ambos os pacotes de serviço são suportados em todas as interfaces de serviços adaptativos, mas você pode habilitar apenas um pacote de serviço por PIC, com exceção de um pacote combinado suportado no ASM. Em um único roteador, você pode habilitar ambos os pacotes de serviço instalando dois ou mais PICs na plataforma.

Nota:

O switchover gracioso do mecanismo de roteamento (GRES) é habilitado automaticamente em todos os PICs e DPCs de serviços, exceto no ES PIC. Ele é compatível com todos os roteadores da Série M, série MX e T, exceto em roteadores TX Matrix. Os serviços de Camada 3 devem reter o estado após a transição, mas os serviços de Camada 2 serão reiniciados. Para serviços IPsec, as negociações do Internet Key Exchange (IKE) não são armazenadas e devem ser reiniciadas após a transição. Para obter mais informações sobre o GRES, consulte o Guia de usuário de alta disponibilidade do Junos OS.

Você habilita pacotes de serviço por PIC, não por porta. Por exemplo, se você configurar o pacote de serviços de Camada 2, todo o PIC usa o pacote configurado. Para habilitar um pacote de serviços, inclua a declaração do pacote de serviços no nível de [edit chassis fpc slot-number pic pic-number adaptive-services] hierarquia e especifique layer-2 ou layer-3:

Para determinar qual pacote um AS PIC oferece suporte, emita o show chassis hardware comando: se o PIC oferece suporte ao pacote de Camada 2, ele está listado como Link Services II, e se for compatível com o pacote de Camada 3, ele está listado como Adaptive Services II. Para determinar qual pacote um PIC multisserviços oferece suporte, emita o show chassis pic fpc-slot slot-number pic-slot slot-number comando. O Package campo exibe o valor Layer-2 ou Layer-3.

Nota:

O ASM tem uma opção padrão (layer-2-3) que combina os recursos disponíveis nos pacotes de serviço de Camada 2 e Camada 3.

Depois de cometer uma mudança no pacote de serviços, o PIC é retirado offline e depois colocado de volta on-line imediatamente. Você não precisa deixar o PIC offline e on-line manualmente.

Nota:

A alteração do pacote de serviços faz com que todas as informações de estado associadas ao pacote de serviço anterior sejam perdidas. Você só deve alterar o pacote de serviço quando não houver tráfego ativo indo para o PIC.

Os serviços suportados em cada pacote diferem por pic e tipo de plataforma. A Tabela 1 lista os serviços suportados em cada pacote de serviço para cada PIC e plataforma.

Nos PICs as e multisserviços, o suporte a serviços de link inclui componentes Junos OS CoS, LFI (FRF.12), MLFR de ponta a ponta (FRF.15), MLFR UNI NNI (FRF.16), MLPPP (RFC 1990) e MLPPP multiclasse. Para obter mais informações, consulte os recursos e interfaces do pacote de serviços de Camada 2 e os recursos e interfaces do pacote de serviços de Camada 2.

Nota:

O SERVIÇO AS PIC II para Camada 2 é dedicado a oferecer suporte apenas ao pacote de serviços de Camada 2.

Tabela 1: serviços PIC de AS e multisserviços por pacote de serviços, PIC e plataforma

Serviços

ASM

PICs AS/AS2 e PICs multisserviços

AS/AS2 e PICs multisserviços

AS2 e PICs multisserviços

AS2 e PICs multisserviços

Pacote de serviço de Camada 2 (somente) M7i M7i, M10i e M20 M40e e M120 M320, T320 e T640 Matriz TX

Serviços de link:

         
  • Serviços de enlace

Sim

Sim

Sim

Sim

Não

  • MLPPP multiclasse

Sim

Sim

Sim

Sim

Não

Serviços de voz:

         
  • CRTP e LFI

Sim

Sim

Sim

Sim

Não

  • CRTP e MLPPP

Sim

Sim

Sim

Sim

Não

  • CRTP sobre PPP (sem MLPPP)

Sim

Sim

Sim

Sim

Não

Pacote de serviços de Camada 3 (somente) M7i M7i, M10i e M20 M40e e M120 M320, T320 e T640 Matriz TX

Serviços de segurança:

         
  • Porque

Sim

Sim

Sim

Sim

Não

  • Sistema de detecção de invasões (IDS)

Sim

Sim

Sim

Sim

Não

  • Ipsec

Sim

Sim

Sim

Sim

Não

  • NAT

Sim

Sim

Sim

Sim

Não

  • Firewall stateful

Sim

Sim

Sim

Sim

Não

Serviços contábeis:

         
  • Monitoramento ativo

Sim

Sim

Sim

Sim

Sim

  • Captura dinâmica de fluxo (somente multisserviços 400 PIC)

Não

Não

Não

Sim

Não

  • Toque de fluxo

Sim

Sim

Sim (somente M40e)

Sim

Não

  • Monitoramento passivo (somente multisserviços 400 PIC)

Não

Sim

Sim (somente M40e)

Sim

Não

  • Espelhamento de porta

Sim

Sim

Sim

Sim

Sim

Serviços LNS:

         
  • L2TP LNS

Sim

Sim (somente M7i e M10i)

Sim (somente M120)

Não

Não

Serviços de voz:

         
  • BGF

Sim

Sim

Sim

Sim

Não

Pacote de serviço de Camada 2 e Camada 3 (recursos comuns) M7i M7i, M10i e M20 M40e e M120 M320, T320 e T640 Matriz TX

Serviços de RPM:

         
  • Tempo de tempoda sonda RPM

Sim

Sim

Sim

Sim

Não

Serviços de túnel:

         
  • GRE (gr-fpc/pic/port)

Sim

Sim

Sim

Sim

Sim

  • Fragmentação de GRE (clear-dont-fragment-bit)

Sim

Sim

Sim

Não

Não

  • Chave GRE

Sim

Sim

Sim

Sim

Não

  • Túneis IP-IP (ip-fpc/pic/port)

Sim

Sim

Sim

Sim

Sim

  • Túneis lógicos (lt-fpc/pic/port)

Não

Não

Não

Não

Não

  • Túneis multicast (mt-fpc/pic/port)

Sim

Sim

Sim

Sim

Sim

  • Des encapsulamento PIM (pd-fpc/pic/port)

Sim

Sim

Sim

Sim

Sim

  • Encapsulamento de PIM (pe-fpc/pic/port)

Sim

Sim

Sim

Sim

Sim

  • Túneis virtuais (vt-fpc/pic/port)

Sim

Sim

Sim

Sim

Sim

Recursos e interfaces de pacote de serviços de Camada 2

Ao ativar o pacote de serviços de Camada 2, você pode configurar serviços de enlace. Nos PICs as e multisserviços e o ASM, os serviços de link incluem suporte para os seguintes:

  • Componentes do Junos CoS — Recursos e interfaces de pacote de serviços de Camada 2 descrevem como os componentes Junos CoS funcionam em interfaces de IQ (lsq) de serviços de enlace. Para obter informações detalhadas sobre os componentes do Junos CoS, consulte o Guia de usuário da classe de serviço do Junos OS para dispositivos de roteamento.

  • Links LFI no Frame Relay usando a fragmentação de ponta a ponta FRF.12 — o padrão para FRF.12 é definido na especificação FRF.12, Acordo de Implementação de Fragmentação de Relé de Quadros.

  • LFI em links MLPPP.

  • MLFR UNI NNI (FRF.16)— O padrão para FRF.16 é definido na especificação FRF.16.1, Acordo de Implementação uni/NNI de relé de quadros multilink.

  • MLPPP (RFC 1990)

  • MLFR de ponta a ponta (FRF.15)

Para a interface LSQ nos PICs as e multisserviços, a sintaxe de configuração é quase a mesma que para PICs de multilink e serviços de enlace. A principal diferença é o uso do descritor lsq do tipo interface em vez de ml . ls Quando você habilita o pacote de serviços de Camada 2, as seguintes interfaces são criadas automaticamente:

Tipos grde interface, ip, mt, pd, pee vt são interfaces de túnel padrão que estão disponíveis nos PICs AS e Multiservices, seja você habilitando o pacote de serviços de Camada 2 ou camada 3. Essas interfaces de túnel funcionam da mesma maneira para ambos os pacotes de serviço, exceto que o pacote de serviços de Camada 2 não oferece suporte a algumas funções de túnel, conforme mostrado na Tabela 1.

O tipo lsq-fpc/pic/port de interface é a interface de IQ (lsq) dos serviços de enlace físico. Os tipos lsq-fpc/pic/port:0 de interface representam lsq-fpc/pic/port:N pacotes FRF.16. Esses tipos de interface são criados quando você inclui a mlfr-uni-nni-bundles declaração na opção [edit chassis fpc slot-number pic pic-number] . Para obter mais informações, consulte os recursos e interfaces do pacote de serviços de Camada 2 e o guia de usuário das interfaces de serviços de link e multilink para dispositivos de roteamento.

Nota:

O tipo sp de interface é criado porque é necessário pelo Junos OS. Para o pacote de serviços de Camada 2, a sp interface não é configurável, mas você não deve desabilitar.

Procedimento de configuração de serviços

Você segue essas etapas gerais para configurar serviços:

  1. Defina objetos de aplicativos configurando declarações no nível de [edit applications] hierarquia.
  2. Defina regras de serviço configurando declarações no nível de [edit services (ids | ipsec-vpn | nat | stateful-firewall) rule] hierarquia.
  3. Agrupar as regras de serviço configurando a rule-set declaração no nível de [edit services (ids | ipsec-vpn | nat | stateful-firewall)] hierarquia.
  4. A regra do serviço de grupo se estabelece sob uma definição de conjunto de serviços configurando a service-set declaração no nível de [edit services] hierarquia.
  5. Aplique o conjunto de serviços em uma interface, incluindo a service-set declaração no nível de [edit interfaces interface-name unit logical-unit-number family inet service (input | output)] hierarquia. Como alternativa, você pode configurar interfaces lógicas como um destino de próximo salto, incluindo a next-hop-service declaração no nível hierárquico[edit services service-set service-set-name].
    Nota:

    Você pode configurar regras de serviço de IDS, NAT e firewall stateful dentro do mesmo conjunto de serviços. Você deve configurar serviços IPsec em um conjunto de serviços separado, embora você possa aplicar ambos os conjuntos de serviços ao mesmo PIC.

Exemplo: Configuração de interfaces de serviço

A configuração a seguir inclui todos os itens necessários para configurar serviços em uma interface:

Configuração de configurações de tempo limite padrão para interfaces de serviços

Você pode especificar configurações padrão globais para determinados timers que se aplicam a toda a interface. Existem três declarações deste tipo:

  • inactivity-timeout— Define o período de inatividade para fluxos estabelecidos, após os quais eles não são mais válidos.

  • open-timeout— Define o período de intervalo para o estabelecimento de sessão do Protocolo de Controle de Transmissão (TCP), para uso com defesas de cookies SYN contra intrusão de rede.

  • close-timout— Define o período de intervalo para a derrubada do protocolo de controle de transmissão (TCP).

Para configurar uma configuração para o período de inatividade, inclua a inactivity-timeout declaração no nível de [edit interfaces interface-name services-options] hierarquia:

O valor padrão é de 30 segundos. A faixa de valores possíveis é de 4 a 86.400 segundos. Qualquer valor configurado na definição do protocolo do aplicativo substitui o valor especificado aqui; para obter mais informações, consulte Configuração de propriedades de aplicativos.

Para configurar uma configuração para o período de tempo limite do estabelecimento de sessão TCP, inclua a open-timeout declaração no nível de [edit interfaces interface-name services-options] hierarquia:

O valor padrão é de 5 segundos. A faixa de valores possíveis é de 4 a 224 segundos. Qualquer valor configurado na definição do serviço de detecção de intrusões (IDS) substitui o valor especificado aqui; para obter mais informações, consulte a configuração de regras do IDS em um MS-DPC.

Para configurar uma configuração para o período de intervalo de intervalo da sessão TCP, inclua a close-timeout declaração no nível de [edit interfaces interface-name services-options] hierarquia:

O valor padrão é de 1 segundo. A faixa de valores possíveis é de 2 a 300 segundos.

Uso de mensagens keep-alive para maior controle de tempo limite de inatividade TCP

As mensagens de manutenção são geradas automaticamente para evitar o tempo limite de inatividade do TCP. O número padrão de mensagens que mantêm a vida é 4. No entanto, você pode configurar o número de mensagens que mantêm-se vivas entrando na tcp-tickles declaração no nível de [edit interaces interface-name service-options] hierarquia.

Quando o tempo limite é gerado para um fluxo bidirecional de TCP, pacotes de manutenção vivos são enviados para redefinir o temporizador. Se o número de pacotes contínuos consecutivos enviados em um fluxo atingir o limite padrão ou configurado, a conversa será excluída. Existem vários cenários possíveis, dependendo da configuração do inactivity-timer número máximo padrão ou configurado de mensagens de manter-se vivos.

  • Se o valor configurado de mensagens manter-vivas for zero e inactivity-timeout NÃO estiver configurado (nesse caso, o valor de tempo limite padrão de 30 for usado), nenhum pacote vivo será enviado. A conversa é excluída quando qualquer fluxo na conversa fica ocioso por mais de 30 segundos.

  • Se o valor configurado de mensagens de manter-se vivo for zero e inactivity-timeout estiver configurado, nenhum pacote continua vivo é enviado e a conversa é excluída quando qualquer fluxo na conversa fica ocioso por mais do que o valor de tempo limite configurado.

  • Se o número máximo padrão ou configurado de mensagens de manter-se vivo for algum inteiro positivo, e qualquer um dos fluxos em uma conversa estiver ocioso por mais do que o valor padrão ou configurado para inactivity-timeout pacotes keep-alive são enviados. Se os hosts não responderem ao número configurado de pacotes de keep-alive consecutivos, a conversa será excluída. O intervalo entre pacotes vivos será de 1 segundo. No entanto, se o host enviar de volta um pacote ACK, o fluxo correspondente se tornará ativo, e os pacotes de manter-se vivos não são enviados até que o fluxo fique ocioso novamente.

Configuração do registro do sistema para interfaces de serviços

Você especifica propriedades que controlam como as mensagens de log do sistema são geradas para a interface como um todo. Se você configurar valores diferentes para as mesmas propriedades no nível de [edit services service-set service-set-name] hierarquia, os valores definidos por serviços substituem os valores configurados para a interface. Para obter mais informações sobre a configuração de propriedades definidas por serviços, consulte a configuração do registro do sistema para conjuntos de serviços.

Nota:

Começando com o Junos OS Release 14.2R5, 15.1R3 e 16.1R1, para interfaces multisserviços (ms-), você não pode configurar o registro do sistema para PCP e ALGs, incluindo os logs pcp e declarações de alg-logs no nível de hierarquia [editar serviços definidos por serviços com nome de hostname de host]. Uma mensagem de erro é exibida se você tentar cometer uma configuração que contenha as opções de logs pcp e alg-logs para definir o registro do sistema para PCP e ALGs para interfaces ms.

Para configurar valores de registro padrão em toda a interface, inclua a syslog declaração no nível de [edit interfaces interface-name services-options] hierarquia:

Configure a host declaração com um nome de host ou um endereço IP que especifica o servidor alvo de log do sistema. O nome de local host direciona as mensagens de log do sistema para o Mecanismo de Roteamento. Para servidores de log externos do sistema, o nome de host deve ser alcançável da mesma instância de roteamento à qual o pacote de dados inicial (que acionou o estabelecimento da sessão) é entregue. Você pode especificar apenas um nome de host de registro do sistema.

Começando com o junos OS versão 17.4R1, você pode configurar até um máximo de quatro servidores de log do sistema (combinação de hosts de log de sistema locais e coletores de log de sistema remoto) para cada conjunto de serviços para interface ms sob [edit interfaces interface-name services-options] hierarquia.

A Tabela 2 lista os níveis de gravidade que você pode especificar em declarações de configuração no nível de [edit interfaces interface-name services-options syslog host hostname] hierarquia. Os níveis de emergency passagem info estão em ordem desde a mais alta gravidade (maior efeito sobre o funcionamento) até o mais baixo.

Tabela 2: níveis de gravidade da mensagem de registro do sistema

Nível de gravidade

Descrição

any

Inclui todos os níveis de gravidade

emergency

Pânico no sistema ou outra condição que faz com que o roteador pare de funcionar

alert

Condições que exigem correção imediata, como um banco de dados do sistema corrompido

critical

Condições críticas, como erros de disco rígido

error

Condições de erro que geralmente têm consequências menos graves do que erros nos níveis de emergência, alerta e críticos

warning

Condições que garantem o monitoramento

notice

Condições que não são erros, mas que podem justificar o tratamento especial

info

Eventos ou condições de interesse de nenhumrror

Recomendamos a configuração do nível de gravidade de registro do sistema durante a error operação normal. Para monitorar o uso de recursos pic, defina o nível para warning. Para coletar informações sobre um ataque de intrusão quando um erro de sistema de detecção de intrusão for detectado, defina o nível para notice uma interface específica. Para depurar uma configuração ou registrar a funcionalidade de tradução de endereços de rede (NAT), defina o nível para info.

Para obter mais informações sobre mensagens de log do sistema, consulte o System Log Explorer.

Para usar um código de instalação específico para todos os registros no host de log do sistema especificado, inclua a facility-override declaração no nível de [edit interfaces interface-name services-options syslog host hostname] hierarquia:

As instalações apoiadas incluem authorization, daemon, ftp, kernel, usere local0 através local7.

Para especificar um prefixo de texto para todos os registros neste host de log do sistema, inclua a log-prefix declaração no nível de [edit interfaces interface-name services-options syslog host hostname] hierarquia:

Configuração do protocolo de syslog TLS no MS-MPC e MS-MIC

Visão geral da segurança da camada de transporte (TLS)

A partir do Junos OS Release 19.1R1, você pode configurar o Transport Layer Security (TLS) para mensagens de syslog geradas pelos serviços executados nas placas de serviço MS-MPC ou MS-MIC em um roteador MX. Os serviços podem ser um dos seguintes:

  • Junos Address Aware (anteriormente referido como NAT feaures)

  • Junos VPN Site Secure (anteriormente referido como recursos IPsec)

  • Junos Network Secure (anteriormente referido como recursos stateful firewall)

Segurança de camada de transporte (TLS) é um protocolo de nível de aplicativo que fornece tecnologia de criptografia para a Internet. O TLS depende de certificados e pares de troca de chaves públicos privados para esse nível de segurança. É o protocolo de segurança mais usado para os aplicativos que exige que os dados sejam trocados com segurança por uma rede, como transferências de arquivos, conexões VPN, mensagens instantâneas e voz sobre IP (VoIP).

O protocolo TLS é usado para troca de certificados, autenticação mútua e cifras de negociação para proteger o fluxo de possíveis adulterações e escutas. O TLS às vezes é chamado de Camada de Soquetes Seguros (SSL). TLS e SSL não são interoperáveis, embora o TLS atualmente forneça alguma compatibilidade retrógrada.

Benefícios do TLS

O TLS garante a transmissão segura de dados entre um cliente e um servidor por meio de uma combinação de privacidade, autenticação, confidencialidade e integridade de dados.

Três serviços essenciais do TLS

O protocolo TLS foi projetado para fornecer três serviços essenciais aos aplicativos que estão acima dele: criptografia, autenticação e integridade de dados.

  • Criptografia — Para estabelecer um canal de dados criptograficamente seguro, o servidor e o cliente devem concordar em quais suítes cifradas são usadas e as chaves usadas para criptografar os dados. O protocolo TLS especifica uma sequência de aperto de mão bem definida para realizar essa troca. O TLS usa criptografia de chave pública, que permite que o cliente e o servidor negociem uma chave secreta compartilhada sem precisar estabelecer qualquer conhecimento prévio um do outro, e fazê-lo por meio de um canal não criptografado.

  • Autenticação — Como parte do aperto de mão TLS, o protocolo permite que o servidor e o cliente autenticassem sua identidade. A confiança implícita entre o cliente e o servidor (porque o cliente aceita o certificado gerado pelo servidor) é um aspecto importante do TLS. É extremamente importante que a autenticação do servidor não seja comprometida; no entanto, na realidade, certificados auto-assinados e certificados com anomalias estão em abundância. Anomalias podem incluir certificados expirados, instâncias de nome comum que não correspondem a um nome de domínio e assim por diante.

  • Integridade — Com a criptografia e a autenticação em vigor, o protocolo TLS faz o mecanismo de enquadramento de mensagens e assina cada mensagem com um Código de Autenticação de Mensagens (MAC). O algoritmo MAC faz o checksum eficaz, e as chaves são negociadas entre o cliente e o servidor.

Aperto de mão TLS

Cada sessão de TLS começa com um aperto de mão durante o qual o cliente e o servidor concordam com a chave de segurança específica e os algoritmos de criptografia para usar nessa sessão. Neste momento, o cliente também autentica o servidor. Opcionalmente, o servidor pode autenticar o cliente. Assim que o aperto de mão estiver completo, a transferência de dados criptografados pode começar.

Criptografar o tráfego de syslog com TLS

O protocolo TLS garante que as mensagens de syslog sejam enviadas e recebidas com segurança pela rede. O TLS usa certificados para autenticar e criptografar a comunicação. O cliente autentica o servidor solicitando seu certificado e chave pública. Opcionalmente, o servidor também pode solicitar um certificado do cliente, portanto, a autenticação mútua também é possível.

Um certificado no servidor que identifica o servidor e o certificado de autoridade de certificado (CA) emitido pelo servidor deve estar disponível com o cliente para que o TLS criptografe o tráfego de syslog.

Para autenticação mútua do cliente e do servidor, um certificado com o cliente que identifica o cliente e o certificado de CA emitido pelo cliente deve estar disponível no servidor. A autenticação mútua garante que o servidor de syslog aceite mensagens de log apenas de clientes autorizados.

O TLS é usado como um transporte seguro para combater todas as ameaças primárias ao syslog listadas abaixo:

  • Confidencialidade para rebater a divulgação do conteúdo da mensagem.

  • Verificação de integridade para combater modificações em uma mensagem em uma base hop-by-hop.

  • Servidor ou autenticação mútua para combater a dissíade.

Versões TLS

A seguir estão as versões do TLS:

  • TLS versão 1.0 — Fornece comunicação segura por redes, fornecendo privacidade e integridade de dados entre aplicativos de comunicação

  • Versão 1.1 TLS — Esta versão aprimorada do TLS oferece proteção contra ataques de encadeamento de blocos de cifra (CBC).

  • TLS versão 1.2 — Esta versão aprimorada do TLS oferece maior flexibilidade para a negociação de algoritmos criptográficos.

Visão geral do protocolo de transporte TLS para mensagens de syslog

Começando com o Junos OS Release 19.1R1, você pode configurar um roteador da série MX para usar o Transport Layer Security (TLS) para mensagens de syslog geradas por serviços executados nas placas de serviço MS-MPC ou MS-MIC em um roteador da série MX.

Os pacotes de serviços a seguir são pré-instalados e pré-configurados em MS-MICs e MS-MPCs:

  • Visão de tráfego junos (anteriormente referida como Jflow)

  • Junos Address Aware (anteriormente referido como recursos NAT)

  • Junos VPN Site Secure (anteriormente referido como recursos IPsec)

  • Junos Network Secure (anteriormente referido como o recurso Stateful Firewall)

  • Pacote PIC base de criptografia do Junos Services

  • Gateways de nível de aplicativo do Junos Services

Você pode configurar um máximo de quatro servidores de syslog para cada conjunto de serviços e enviar dados criptografados para os servidores.

As mensagens de syslog são enviadas por uma conexão dedicada criada para um determinado conjunto de parâmetros de configuração exclusivos:

  • Endereço IP de origem

  • Endereço IP de destino (servidor TCP/TLS)

  • Porta

  • Nome de perfil SSL (para conexão TLS)

    Nota:

    Se o perfil ssl não estiver configurado sob a hierarquia de log tcp, então ele é um transporte TCP não TLS.

Nota:

Se houver vários conjuntos de serviços que tenham a configuração de registro TCP/TLS com os mesmos parâmetros mencionados acima, os logs gerados a partir das sessões de todos esses conjuntos de serviço compartilham a mesma conexão.

Esse recurso oferece suporte ao IPv4 e ao IPv6.

Nota:

A conexão TCP/TLS configurada permanece ativa até que a configuração esteja presente, mesmo que não haja eventos de registro.

O suporte de configuração de sylog TCP/TLS é fornecido para registro seguro e confiável apenas no plano de dados.

Para multisserviços agregados (AMS) com vários membros ativos, cada membro cria uma conexão TCP/TLS separada e os syslogs gerados por cada PIC de membro são enviados por suas conexões únicas.

Configuração de TCP/TLS para mensagens de syslog

Você pode usar os protocolos de transporte TCP/TLS para enviar mensagens de syslog de maneira confiável e segura para servidores de syslog externos.

Para configurar os protocolos TCP/TLS para mensagens de syslog:

  1. Configure o perfil de iniciação SSL.
    Nota:

    A configuração do perfil de iniciação de SSL é opcional se você não estiver usando a opção TLS/TCP para mensagens de syslog.

    versão de protocolo — o padrão está definido para all. Quando definido para all SSL versão 3 e TLSL versão 1 é tratado. O padrão é recomendado.

    cifras preferidas —strong cifras com força chave >= 168 bits. Recomenda-se o uso de cifras fortes.

    Consulte a iniciação (Serviços) para configurar todos os parâmetros da declaração de iniciação.

  2. Configure os parâmetros de log TCP.

    endereço-fonte — Endereço fonte para registro de tcp.

  3. Configure o perfil SSL para registro de TCP.

    [edit services service-set]
    user@router# set ss1 syslog host server -ip tcp-log ssl-profile ssl-profile-name
    

    ssl-profile — nome de perfil SSL para registro de tcp

    Consulte o perfil (Iniciação SSL) para configurar todas as opções de perfil SSL.

  4. [Opcional] Configure o nome da instância de roteamento para registro de tcp.

    nome vrf — nome de instância de roteamento para registro de tcp.

  5. Comprometa a configuração.

    Após o compromisso, a configuração cria uma nova conexão TCP com conexão TLS se o perfil SSL estiver configurado.

  6. Verifique a configuração usando o show services tcp-log connections comando:

    A conexão de syslog TCP/TLS é estabelecida com a infraestrutura de sessões de dados L4 de serviços do MS-MPC e o status da sessão pode ser rastreado com o seguinte comando:

    Nota:

    A identificação de sessão em ambos os comandos deve corresponder conforme destacado acima bold .

Tabela de histórico de lançamento
Lançamento
Descrição
14.2R5
Começando com o Junos OS Release 14.2R5, 15.1R3 e 16.1R1, para interfaces multisserviços (ms-), você não pode configurar o registro do sistema para PCP e ALGs, incluindo os logs pcp e declarações de alg-logs no nível de hierarquia [editar serviços definidos por serviços com nome de hostname de host].