自适应服务和多服务接口概述
多服务 PIC 和多服务密集端口集中器 (MS-DPC) 提供 自适应服务接口,允许您通过配置一组服务和应用程序在单个 PIC 上协调多个服务。多服务 PIC 和 MS-DPC 提供一系列您在一个或多个服务集中配置的特殊服务。
多服务 PIC 有三个版本:多服务 100、多服务 400 和多服务 500,它们在内存大小和性能上有所不同。与 AS PIC 相比,所有版本均提供更出色的性能。M Series 和 T Series 路由器(M20 路由器除外)支持多服务 PIC。
多服务 DPC 适用于 MX 系列路由器;它包括多服务 PIC 上支持的功能的一个子集。目前,多服务 DPC 支持以下第 3 层服务:状态防火墙、NAT、IDS、IPsec、主动流监控、RPM 和通用路由封装 (GRE) 隧道(包括 GRE 密钥和分段);它还支持 平滑路由引擎切换 (GRES) 和 Junos OS 的动态应用感知。有关支持的软件包的详细信息,请参阅 启用服务包。
也可以将多个多服务 PIC 分组到聚合多服务 (AMS) 系统中。AMS 配置消除了在系统内使用单独路由器的需求。具有 AMS 配置的主要好处是能够支持跨多个服务 PIC 的流量负载平衡。从 Junos OS 11.4 开始,所有 MX 系列路由器都将在 AMS 基础架构上支持高可用性 (HA) 和网络地址转换 (NAT)。有关详细信息,请参阅 在 AMS 基础架构上配置负载平衡 。
多服务 PIC 基于轮询,而不是基于中断;因此,“平均中断负载”字段中的较高值 show chassis pic 可能并不意味着 PIC 已达到其最大处理限制。
以下服务在服务集中配置,并且仅在自适应服务接口上可用:
状态防火墙 — 一种 防火墙过滤器 ,在评估流量时会考虑从以前的通信和其他应用程序获得的状态信息。
网络地址转换 (NAT) — 一种用于将专用网络上的主机地址隐藏在公共地址池后面的安全程序。
入侵检测服务 (IDS) — 一组用于检测、重定向和防止某些类型的网络攻击和入侵的工具。
IP 安全 (IPsec) — 一组用于配置手动或动态安全关联 (SA) 以加密数据流量的工具。
服务等级 (CoS) — 服务接口的 CoS 功能子集,仅限于 DiffServ 代码点 (DSCP) 标记和转发类分配。服务接口不支持 CoS BA 分类。
这些服务的配置包含一系列规则,您可以将这些规则按优先顺序排列为 规则集。每个规则都遵循防火墙过滤器的结构,其中一条 from 语句包含输入或匹配条件,另一条 then 语句包含满足匹配条件时要执行的作。
多服务 PIC 和 MS-DPC 上还配置了以下服务,但不使用规则集定义:
第 2 层隧道协议 (L2TP) — 一种用于在第 2 层网络中使用点对点协议 (PPP) 封装建立安全隧道的工具。
链路服务智能队列 (LSQ) — 支持 Junos OS 服务类 (CoS) 组件、链路分段和交织 (LFI) (FRF.12)、多链路帧中继 (MLFR)、用户到网络接口 (UNI)、网络到网络接口 (NNI) (FRF.16) 和多链路 PPP (MLPPP) 的接口。
语音服务 — 一种使用压缩实时传输协议 (CRTP) 的功能,使 IP 语音流量能够更有效地使用低速链路。
此外,Junos OS 还包括以下用于配置服务的工具:
应用程序协议定义 — 允许您配置受路由器服务处理的应用程序协议的属性,并将应用程序定义分组到应用程序集中。
服务集定义 - 允许您配置方向规则和缺省设置的组合,以控制服务集中每个服务的行为。
注意:M Series 路由器不支持通过 fxp0 端口将自适应服务接口消息记录到外部服务器。体系结构不支持从管理接口将流量从管理接口注销。相反,数据包转发引擎接口支持对外部服务器的访问。