自适应服务和多服务接口概述
多服务 PIC 和多服务密集端口集中器 (MS-DPC) 提供 自适应服务接口,允许您通过配置一组服务和应用程序,在单个 PIC 上协调多个服务。多服务 PIC 和 MS-DPC 提供一系列您在一个或多个服务集中配置的特殊服务。
多服务 PIC 有三个版本:多服务 100、多服务 400 和多服务 500,它们在内存大小和性能上有所不同。与 AS PIC 相比,所有版本均提供增强的性能。M 系列和 T 系列路由器(M20 路由器除外)支持多服务 PIC。
多服务 DPC 可用于 MX 系列路由器;它包括多服务 PIC 上支持的功能的子集。目前,多服务 DPC 支持以下第 3 层服务:状态防火墙、NAT、IDS、IPsec、主动流量监控、RPM 和通用路由封装 (GRE) 隧道(包括 GRE 密钥和分段);它还支持 Junos OS 的 平滑路由引擎切换 (GRES) 和动态应用程序感知。有关支持的包的详细信息,请参阅 启用服务包。
还可以将多个多服务 PIC 分组到一个聚合的多服务 (AMS) 系统中。AMS 配置消除了在系统内使用单独路由器的需求。具有 AMS 配置的主要好处是能够支持跨多个服务 PIC 的流量负载平衡。从 Junos OS 11.4 开始,所有 MX 系列路由器都将在 AMS 基础架构上支持高可用性 (HA) 和网络地址转换 (NAT)。有关更多信息 ,请参阅在 AMS 基础设施上配置负载平衡 。
多服务 PIC 基于轮询,而不是基于中断;因此,“中断负载平均值”字段中的高值 show chassis pic 可能并不意味着 PIC 已达到其最大处理限制。
以下服务在服务集中配置,仅在自适应服务接口上可用:
有状态防火墙 — 一种 防火墙过滤器 ,在评估流量时会考虑从以前的通信和其他应用程序派生的状态信息。
网络地址转换 (NAT) — 一种安全过程,用于在公用地址池后面隐藏专用网络上的主机地址。
入侵检测服务 (IDS) — 一组用于检测、重定向和防止某些类型的网络攻击和入侵的工具。
IP 安全 (IPsec) — 一组工具,用于配置手动或动态安全关联 (SA) 以加密数据流量。
服务等级 (CoS) — 服务接口的 CoS 功能子集,仅限于 DiffServ 代码点 (DSCP) 标记和转发类分配。服务接口不支持 CoS BA 分类。
这些服务的配置包括一系列规则,您可以按优先级顺序排列这些规则作为 规则集。每个规则都遵循防火墙过滤器的结构,其中一条语句包含输入或匹配条件,一条 from 语句包含在 then 满足匹配条件时要执行的操作。
还会在多服务 PIC 和 MS-DPC 上配置以下服务,但不使用规则集定义:
第 2 层隧道协议 (L2TP) — 一种使用点对点协议 (PPP) 封装跨第 2 层网络设置安全隧道的工具。
链路服务智能排队 (LSQ) — 支持 Junos OS 服务等级 (CoS) 组件、链路分段和交错 (LFI) (FRF.12)、多链路帧中继 (MLFR) 用户到网络接口 (UNI) 网络到网络接口 (NNI) (FRF.16) 和多链路 PPP (MLPPP) 的接口。
语音服务 — 一种使用压缩实时传输协议 (CRTP) 的功能,使 IP 语音流量能够更有效地使用低速链路。
此外,Junos OS 还包括以下用于配置服务的工具:
应用程序协议定义 - 允许您配置受路由器服务处理的应用程序协议的属性,并将应用程序定义分组到应用程序集中。
服务集定义 - 允许您配置方向规则和默认设置的组合,以控制服务集中每个服务的行为。
注意:M 系列路由器不支持通过端口将 fxp0 自适应服务接口消息记录到外部服务器。该架构不支持系统记录来自管理接口的流量。相反,数据包转发引擎接口支持访问外部服务器。