PowerMode IPsec
Leia este tópico para saber mais sobre as VPNs PowerMode IPsec (PMI).
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Analise a Comportamento do PMI específico da plataforma seção para obter notas relacionadas à sua plataforma.
Veja a Informações adicionais da plataforma seção para obter mais informações.
Melhorando o desempenho do IPsec com o PowerMode IPsec
PowerMode IPsec (PMI) é um modo de operação que oferece melhorias de desempenho de IPsec usando processamento de pacotes de vetor e novas instruções padrão de criptografia avançada intel (AES-NI). O PMI utiliza um pequeno bloco de software dentro do Mecanismo de encaminhamento de pacotes que ignora o processamento de fluxo e usa o conjunto de instruções AES-NI para desempenho otimizado do processamento de IPsec que é ativado quando o PMI é habilitado.
- Processamento de PMI
- Estatísticas do PMI
- Novas instruções padrão de criptografia avançada (AES-NI) e arranjo de portão programável em campo (FPGA) em linha
- Recursos suportados e não suportados para o PMI
- Benefícios do PMI
- Configuração do PMI do fluxo de segurança
- Entendendo o túnel de gordura simétrica
Processamento de PMI
Você pode habilitar ou desativar o processamento de PMI:
- Habilite o processamento do PMI usando o comando de
set security flow power-mode-ipsecmodo de configuração. - Desativar o processamento de PMI usando o comando de
delete security flow power-mode-ipsecmodo de configuração. Executar este comando exclui a declaração da configuração.
Estatísticas do PMI
Você pode verificar as estatísticas do PMI usando o comando do show security flow pmi statistics modo operacional.
Você pode verificar o status do PMI e do túnel fat usando o comando do show security flow status modo operacional.
Novas instruções padrão de criptografia avançada (AES-NI) e arranjo de portão programável em campo (FPGA) em linha
. A AES-NI no modo PMI ajuda a equilibrar a carga em SPUs e oferece suporte ao túnel de gordura simétrica nas placas SPC3. Isso resulta em um desempenho acelerado de manuseio de tráfego e uma taxa de transferência mais alta para a VPN IPsec. O PMI usa a AES-NI para criptografia e FPGA para descriptografia da operação criptográfica.
Para habilitar o processamento de PMI com a AES-NI, inclua a power-mode-ipsec declaração no nível de [edit security flow] hierarquia.
Para habilitar ou desabilitar a FPGA em linha, inclua a inline-fpga-crypto (disabled | enabled) declaração no nível de [edit security forwarding-process application-services] hierarquia.
Recursos suportados e não suportados para o PMI
Uma sessão de túnel pode ser PMI ou não PMI. Tabela 1 resume os recursos de PMI suportados e não suportados.
Analise a Tabela 4 seção para obter notas relacionadas à sua plataforma.
Se uma sessão estiver configurada com quaisquer recursos não suportados listados Tabela 1, a sessão será marcada como não-PMI e o túnel entrará no modo não-PMI. Uma vez que o túnel entra no modo não-PMI, o túnel não retorna ao modo PMI.
|
Recursos suportados no PMI |
Recursos não suportados no PMI |
|---|---|
|
Funcionalidade do Internet Key Exchange (IKE) |
Aplicativos de camada 4 a 7: firewall de aplicativos e AppSecure |
|
AutoVPN com seletores de tráfego |
Multicast |
|
Alta disponibilidade |
Túneis aninhados |
|
IPv6 |
Opções de tela |
|
Firewall stateful |
Gateway de camada de aplicativo (ALG) |
|
interface st0 |
Algoritmo de autenticação HMAC-SHA-384 |
|
Seletores de tráfego |
Algoritmo de autenticação HMAC-SHA-512 |
| NAT (no modo PMI, você não pode usar NAT64. O NAT64 funciona corretamente no modo normal, quando o PMI está habilitado.) |
|
| Algoritmo de criptografia AES-GCM-128 e AES-GCM-256. Recomendamos que você use o algoritmo de criptografia AES-GCM para um desempenho ideal. |
|
| AES-CBC-128, AES-CBC-192 e AES-CBC-256 com algoritmo de criptografia SHA1 com algoritmo de autenticação HMAC-SHA1-96 |
|
|
AES-CBC-128, AES-CBC-192 e AES-CBC-256 com algoritmo de criptografia SHA2 com algoritmo de autenticação HMAC-SHA-256-128 |
|
| Algoritmo de criptografia NULL |
|
Observe as seguintes considerações de uso com o PMI:
- Antireplay window size
-
O tamanho da janela antireplay é de 64 pacotes por padrão. Se você configurar o túnel de gordura, é recomendável aumentar o tamanho da janela Antireplay para maior do que ou igual a 512 pacotes.
-
- Class of Service (CoS)
- A classe de serviço (CoS) oferece suporte a classificação de classificador de configuração de comportamento agregado (BA), classificador multicampo (MF) e funções de regra de reescrita no PMI.
-
Se você habilitar o PMI para uma sessão de fluxo, o CoS será executado com base em cada fluxo. Isso significa que o primeiro pacote de um novo cache de fluxo armazena as informações de CoS na sessão de fluxo. Em seguida, os pacotes subsequentes do fluxo reutilizam as informações de CoS armazenadas em cache na sessão.
- Encryption algorithm
-
O PMI oferece suporte às opções aes-128-cbc, aes-192-cbc e aes-256-cbc para melhorar o desempenho do IPsec, juntamente com o suporte existente no modo normal.
-
- GTP-U
- O PMI oferece suporte ao cenário GTP-U com distribuição de TEID e solução de túnel de gordura assimétrica.
- O PMI oferece suporte a um recurso de escalamento lateral de recebimento de software.
- LAG and redundant (reth) interfaces
- O PMI tem suporte em interfaces de grupo de agregação de links (LAG) e ethernet redundante (reth).
- PMI fragmentation check
-
O PMI faz uma verificação pré-fragmentação e pós-fragmentação. Se o PMI detectar pacotes de pré-fragmentação e pós-fragmentação, os pacotes não serão permitidos pelo modo PMI. Os pacotes voltarão ao modo não-PMI.
-
Quaisquer fragmentos recebidos em uma interface não passam pelo PMI.
-
- PMI for NAT-T
- O PMI para NAT-T é suportado apenas na placa de processamento de serviços SRX5K-SPC3 (SPC), ou com firewall virtual vSRX.
- PMI support (vSRX)
-
As instâncias de firewall virtual vSRX oferecem suporte:
-
Funções CoS por fluxo para tráfego GTP-U no modo PMI.
-
Recursos cos no modo PMI. Os seguintes recursos de CoS são suportados no modo PMI:
-
Classificador
-
Funções de regra de reescrita
-
Enfileiramento
-
Formatação
-
Agendamento
-
-
-
Benefícios do PMI
Melhora o desempenho do IPsec.
Configuração do PMI do fluxo de segurança
A seção abaixo descreve como configurar o PMI de fluxo de segurança.
Para configurar o PMI de fluxo de segurança, você deve habilitar o cache de sessão em IOCs e afinidade de sessão:
Habilite o cache de sessão em IOCs (IOC2 e IOC3)
user@host# set chassis fpc <fpc-slot> np-cache
Habilite a afinidade de sessão de VPN
user@host# set security flow load-distribution session-affinity ipsec
Crie fluxo de segurança no PMI.
user@host#set security flow power-mode-ipsec
Confirme sua configuração inserindo o
show securitycomando.user@host# show security flow { power-mode-ipsec; }
Entendendo o túnel de gordura simétrica
Para melhorar a taxa de transferência do túnel IPsec, você pode usar a tecnologia fat tunnel.
Um novo comando CLI é introduzido para habilitar o túnel IPsec gordo. O recurso de túnel IPsec gordo é desativado por padrão. O novo comando CLI introduzido está fat-core na set security distribution-profile hierarquia. Quando você habilita o fat-core, a configuração abaixo é exibida:
security {
distribution-profile {
fat-core;
}
}
Antes de configurar o túnel IPsec gordo, certifique-se de que os seguintes estão configurados.
-
Para um encaminhamento rápido do caminho, configure o cache IOC para as informações da sessão usando o
set chassis fpc FPC slot np-cachecomando. -
Para permitir a afinidade da sessão, use o
set security flow load-distribution session-affinity ipseccomando. -
Para habilitar o modo Power, use o
set security flow power-mode-ipseccomando.
Consulte também
Exemplo: Configuração do classificador agregado de comportamento no PMI
Este exemplo mostra como configurar classificadores agregados de comportamento (BA) para um firewall da Série SRX para determinar o encaminhamento do tratamento de pacotes no PMI.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Firewall da Série SRX.
Versão Junos OS 19.1R1 e versões posteriores.
Antes de começar:
Determine a classe de encaminhamento e o PLP que são atribuídos por padrão a cada DSCP bem conhecido que você deseja configurar para o classificador agregado de comportamento.
Visão geral
Configure classificadores agregados de comportamento para classificar os pacotes que contêm DSCPs válidos para as filas apropriadas. Uma vez configurado, você aplica o classificador agregador de comportamento nas interfaces corretas. Você substitui o classificador padrão de precedência de IP definindo um classificador e aplicando-o em uma interface lógica. Para definir novos classificadores para todos os tipos de ponto de código, inclua a classifiers declaração no nível de [edit class-of-service] hierarquia.
Neste exemplo, definir o classificador ba-classifier agregado de comportamento DSCP como o mapa DSCP padrão. Definir uma classe de encaminhamento de melhor esforço como be-class, uma classe de encaminhamento acelerada como ef-class, uma classe de encaminhamento garantida como af-class, e uma classe de encaminhamento de controle de rede como nc-class. Por fim, aplique o classificador agregado de comportamento na interface ge-0/0/0.
A Tabela 2 mostra como o classificador agregado de comportamento atribui prioridades de perda aos pacotes de entrada nas quatro classes de encaminhamento.
Classe de encaminhamento de classificação mf |
Para tipo de tráfego CoS |
atribuições de classificadores ba |
|---|---|---|
|
Tráfego de melhor esforço |
Ponto de código de alta prioridade: 000001 |
|
Encaminhamento acelerado do tráfego |
Ponto de código de alta prioridade: 101111 |
|
Tráfego de encaminhamento garantido |
Ponto de código de alta prioridade: 001100 |
|
Tráfego de controle de rede |
Ponto de código de alta prioridade: 110001 |
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 101111 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001100 set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points 110001 set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar classificadores agregados de comportamento para um dispositivo no PMI:
Configure a classe de serviço.
[edit] user@host# edit class-of-service
Configure classificadores agregados de comportamento para CoS de serviços diferenciados (DiffServ).
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
Configure um classificador de classificação de encaminhamento de melhor esforço.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be-class loss-priority high code-points 000001
Configure um classificador de classificação de encaminhamento acelerado.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 101111
Configure um classificador de classificação de encaminhamento garantido.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class af-class loss-priority high code-points 001100
Configure um classificador de classificação de encaminhamento de controle de rede.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class nc-class loss-priority high code-points 110001
Aplique o classificador agregador de comportamento em uma interface.
[edit] user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show class-of-service comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
A verificação da classificação é aplicada nas interfaces
Propósito
Certifique-se de que o classificador seja aplicado às interfaces corretas.
Ação
A partir do modo operacional, entre no show class-of-service interface ge-0/0/0 comando.
user@host> show class-of-service interface ge-0/0/0 Physical interface: ge-0/0/0, Index: 144 Queues supported: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge-1/0/3, Index: 333 Object Name Type Index Classifier v4-ba-classifier dscp 10755
Significado
As interfaces estão configuradas como esperado.
Exemplo: Configuração do classificador agregado de comportamento no PMI para instâncias de firewall virtual vSRX
Este exemplo mostra como configurar classificadores agregados de comportamento (BA) para uma instância de firewall virtual vSRX para determinar o tratamento de encaminhamento de pacotes no PMI.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
-
Uma instância de firewall virtual vSRX.
-
Versão Junos OS 19.4R1 e versões posteriores.
Antes de começar:
-
Determine a classe de encaminhamento e o PLP que são atribuídos por padrão a cada DSCP bem conhecido que você deseja configurar para o classificador BA.
Visão geral
Configure os classificadores BA para classificar os pacotes que contêm DSCPs válidos para as filas apropriadas. Uma vez configurado, você aplica o classificador BA nas interfaces corretas. Você substitui o classificador padrão de precedência de IP definindo um classificador e aplicando-o em uma interface lógica. Para definir novos classificadores para todos os tipos de ponto de código, inclua a classifiers declaração no nível de [edit class-of-service] hierarquia.
Neste exemplo, definir o classificador ba-classifier DSCP BA como o mapa DSCP padrão. Definir uma classe de encaminhamento de melhor esforço (BE) como be-class, uma classe de encaminhamento acelerado (EF) como ef-class, uma classe de encaminhamento garantido (AF) como af-class, e uma classe de encaminhamento de controle de rede como nc-class. Por fim, aplique o classificador BA na interface ge-0/0/0.
A Tabela 2 mostra como o classificador ba atribui prioridades de perda aos pacotes de entrada nas quatro classes de encaminhamento.
|
Classe de encaminhamento de classificados multicampo |
Para tipo de tráfego CoS |
Atribuições de classificadores BA |
|---|---|---|
|
|
Tráfego BE |
Ponto de código de alta prioridade: 000001 |
|
|
Tráfego EF |
Ponto de código de alta prioridade: 101111 |
|
|
Tráfego AF |
Ponto de código de alta prioridade: 001100 |
|
|
Tráfego de controle de rede |
Ponto de código de alta prioridade: 110001 |
Configuração
Configuração rápida da CLI
Para configurar o exemplo rapidamente, copie os seguintes comandos e cole os comandos em um arquivo de texto. Em seguida, remova as quebras de linha e ajuste os detalhes para se adequar à sua configuração de rede. Copie e cole os comandos no CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af11 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af31 set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21 set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6 set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50 set class-of-service drop-profiles drop_profile fill-level 50 drop-probability 100 set class-of-service forwarding-classes queue 0 be set class-of-service forwarding-classes queue 1 ef set class-of-service forwarding-classes queue 2 low_delay set class-of-service forwarding-classes queue 3 low_loss set class-of-service interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice set class-of-service schedulers voice buffer-size temporal 5k set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar classificadores BA para um dispositivo no PMI:
Configure o CoS.
[edit] user@host# edit class-of-service
Configure os classificadores BA para CoS de serviços diferenciados (DiffServ).
[edit class-of-service] user@host# edit classifiers dscp ba-classifier
Configure um classificador de classificação de encaminhamento BE.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be loss-priority low code-points be
Configure um classificador de EF.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority low code-points ef user@host# set forwarding-class ef-class loss-priority high code-points af41 user@host# set forwarding-class ef-class loss-priority high code-points af11 user@host# set forwarding-class ef-class loss-priority high code-points af31 user@host# set forwarding-class low_delay loss-priority low code-points af21 user@host# set forwarding-class low_loss loss-priority low code-points cs6
Configure perfis de queda.
[edit class-of-service drop-profiles] user@host# set drop_profile fill-level 20 drop-probability 50 user@host# set drop_profile fill-level 50 drop-probability 100
Configure as filas de aulas de encaminhamento.
[edit class-of-service forwarding-classes ] user@host# set queue 0 be user@host# set queue 1 ef user@host# set queue 2 low_delay user@host# set 3 low_loss
Aplique o classificador nas interfaces.
[edit class-of-service] user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
Configure os agendadores.
[edit class-of-service] user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice user@host# set schedulers voice buffer-size temporal 5k user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show class-of-service comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile drop_profile;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando o aplicativo de classificação para as interfaces
Propósito
Verifique se você configurou corretamente o classificador e confirme a configuração das classes de encaminhamento.
Ação
A partir do modo operacional, entre no show class-of-service forwarding-class comando.
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority be 0 0 0 low normal low ef 1 1 1 low normal low low_delay 2 2 2 low normal low low_loss 3 3 3 low normal low
Significado
A saída mostra as configurações configuradas do classificador personalizado.
Exemplo: Configuração e aplicação de um filtro de firewall para um classificador multicampo no PMI
Este exemplo mostra como configurar um filtro de firewall para classificar o tráfego para diferentes classes de encaminhamento usando o valor de DSCP e o classificador multicampo (MF) no PMI.
O classificador detecta pacotes de interesse para classe de serviço (CoS) quando eles chegam em uma interface. Os classificadores de MF são usados quando um classificador agregado de comportamento simples (BA) é insuficiente para classificar um pacote, quando os roteadores de peering não têm bits CoS marcados, ou a marcação do roteador de peering não é confiável.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Firewall da Série SRX.
Versão Junos OS 19.1R1 e versões posteriores.
Antes de começar:
Determine a classe de encaminhamento que é atribuída por padrão a cada DSCP bem conhecido que você deseja configurar para o classificador MF. Veja a melhoria do desempenho do IPsec com o PowerMode IPsec.
Visão geral
Este exemplo explica como configurar o filtro mf-classifierde firewall. Para configurar o classificador MF, criar e nomear a classe de tráfego de encaminhamento garantida, definir a condição de correspondência e depois especificar o endereço de destino como 192.168.44.55. Crie a classe de encaminhamento para encaminhamento garantido do tráfego DiffServ como af-class e defina a prioridade de perda para baixo.
Neste exemplo, crie e nomeie a classe de tráfego de encaminhamento acelerado e defina a condição de correspondência para a classe de tráfego de encaminhamento acelerado. Especifique o endereço de destino como 192.168.66.77. Crie a classe de encaminhamento para o encaminhamento rápido do tráfego DiffServ como ef-class e definir o policial para ef-policer. Crie e nomeie a classe de tráfego de controle de rede e defina a condição da correspondência.
Neste exemplo, crie e nomeie a classe de encaminhamento para a classe de tráfego de controle de rede como nc-class e nomeie a classe de encaminhamento para a classe de tráfego com melhor esforço como be-class. Por fim, aplique o filtro de firewall de classificação multicampo como um filtro de entrada e saída em cada voltado para o cliente ou voltado para o host que precisa do filtro. Neste exemplo, a interface para filtro de entrada é ge-0/0/2 e a interface para filtro de saída é ge-0/0/4.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.
set firewall filter mf-classifier interface-specific set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55 set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class set firewall filter mf-classifier term assured-forwarding then loss-priority low set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77 set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class set firewall filter mf-classifier term expedited-forwarding then policer ef-policer set firewall filter mf-classifier term network-control from precedence net-control set firewall filter mf-classifier term network-control then forwarding-class nc-class set firewall filter mf-classifier term best-effort then forwarding-class be-class set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar um filtro de firewall para um classificador multicampo para um dispositivo no PMI:
Crie e nomeie o filtro de classificação multicampo.
[edit] user@host# edit firewall filter mf-classifier user@host# set interface-specific
Crie e nomeie o termo para a classe de tráfego de encaminhamento garantida.
[edit firewall filter mf-classifier] user@host# edit term assured-forwarding
Especifique o endereço de destino para tráfego de encaminhamento garantido.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set from destination-address 192.168.44.55
Crie a classe de encaminhamento e defina a prioridade de perda para a classe de tráfego de encaminhamento garantida.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set then forwarding-class af-class user@host# set then loss-priority low
Crie e nomeie o termo para a classe de tráfego de encaminhamento acelerado.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term expedited-forwarding
Especifique o endereço de destino para o tráfego de encaminhamento acelerado.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set from destination-address 192.168.66.77
Crie a classe de encaminhamento e aplique o policial para o encaminhamento acelerado da classe de tráfego.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set then forwarding-class ef-class user@host# set then policer ef-policer
Crie e nomeie o termo para a classe de tráfego de controle de rede.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term network-control
Crie a condição de correspondência para a classe de tráfego de controle de rede.
[edit firewall filter mf-classifier term network-control] user@host# set from precedence net-control
Crie e nomeie a classe de encaminhamento para a classe de tráfego de controle de rede.
[edit firewall filter mf-classifier term network-control] user@host# set then forwarding-class nc-class
Crie e nomeie o termo para a classe de tráfego com melhor esforço.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term best-effort
Crie e nomeie a classe de encaminhamento para a classe de tráfego com melhor esforço.
[edit firewall filter mf-classifier term best-effort] user@host# set then forwarding-class be-class
Aplique o filtro de firewall de classificação multicampo como um filtro de entrada.
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
Aplique o filtro de firewall de classificação multicampo como um filtro de saída.
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show firewall filter mf-classifier comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
A partir do modo de configuração, confirme sua configuração entrando no show interfaces comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
filter {
output mf-classifier;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificação de um filtro de firewall para uma configuração de classificador multicampo
Propósito
Verifique se um filtro de firewall para um classificador multicampo está configurado corretamente em um dispositivo e confirme se as classes de encaminhamento estão configuradas corretamente.
Ação
A partir do modo de configuração, entre no show class-of-service forwarding-class comando.
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
A saída mostra as configurações configuradas do classificador personalizado.
Exemplo: Configuração e aplicação de regras de reescrita em um dispositivo de segurança no PMI
Este exemplo mostra como configurar e aplicar regras de reescrita para um dispositivo no PMI.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Firewall da Série SRX.
Versão Junos OS 19.1R1 e versões posteriores.
Antes de começar:
Crie e configure as aulas de encaminhamento. Veja a melhoria do desempenho do IPsec com o PowerMode IPsec.
Visão geral
Este exemplo explica como configurar regras de reescrita para substituir os valores de CoS em pacotes recebidos do cliente ou host com os valores esperados por outros firewalls da Série SRX. Você não precisa configurar regras de reescrita se os pacotes recebidos já contêm valores de CoS válidos. As regras de reescrita aplicam as informações de classe de encaminhamento e a prioridade de perda de pacotes usada internamente pelo dispositivo para estabelecer o valor cos em pacotes de saída. Depois de configurar as regras de reescrita, aplique-as nas interfaces corretas.
Neste exemplo, configure a regra de reescrita para DiffServ CoS como rewrite-dscps. Especifique a classe de encaminhamento de melhor esforço como be-class, classe de encaminhamento acelerado como ef-class, uma classe de encaminhamento garantida como af-classe uma classe de controle de rede como nc-class. Por fim, aplique a regra de reescrita na interface ge-0/0/0.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar e aplicar regras de reescrita para um dispositivo no PMI:
Configure regras de reescrita para DiffServ CoS.
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
Configure as regras de reescrita de classe com o melhor esforço de encaminhamento.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
Configure regras de reescrita de classe de encaminhamento acelerado.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
Configure uma reescrita de classe de encaminhamento garantida.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
Configure uma classe de reescrita da classe de controle de rede.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
Aplique regras de reescrita em uma interface.
[edit class-of-service] user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show class-of-service comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificação da configuração das regras de reescrita
Propósito
Verifique se as regras de reescrita estão configuradas corretamente.
Ação
A partir do modo operacional, entre no show class-of-service comando.
user@host> show class-of-service Physical interface: ge-0/0/0, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge0/0/0, Index: 71 Object Name Type Index Classifier ipprec-compatibility ip 13
Significado
As regras de reescrita estão configuradas na interface ge-0/0/0, como esperado.
Configure o modo somente para autenticação IPsec ESP no PMI
O PMI introduziu um novo caminho de dados para alcançar um alto desempenho de taxa de transferência de IPsec. Você pode usar o modo somente de autenticação do Encapsulating Security Payload (ESP) no modo PMI, que oferece autenticação, verificação de integridade e proteção de repetição sem criptografar os pacotes de dados.
Antes de começar:
Certifique-se de que a sessão seja capaz de pmi. Veja VPN Session Affinity .
Para configurar o modo somente de autenticação ESP:
Consulte também
Comportamento do PMI específico da plataforma
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Veja a Informações adicionais da plataforma seção para obter mais informações.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para suas plataformas.
| Plataforma | Diferença |
|---|---|
| Série MX com MX-SPC3 |
|
| Série SRX |
|
Informações adicionais da plataforma
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos. Plataformas adicionais podem ser suportadas. Analise a Comportamento do PMI específico da plataforma seção para obter notas relacionadas à sua plataforma.
|
Recursos |
SRX4100SRX4200SRX4600SRX4700 |
linha de SRX5000 com o SPC3 |
Firewalls virtuais vSRX |
|---|---|---|---|
|
Reinicialização necessária após o PMI habilitado ou desativado |
Sim |
Não |
Não para o Junos OS Release 19.2R1 ou posterior Sim para o Junos OS Release 18.3R1 |
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.