新一代服务概述
本主题概述了新一代服务,并包括以下主题
MX 系列 5G 通用路由器服务概述
MX 系列 5G 通用路由器支持多种类型的服务接口,这些接口提供在流量通过 MX 系列路由器时用于检查、监控和纵流量的特定功能。服务可分为自适应服务和下一代服务,每个类别都提供内联服务接口和多服务接口选项。 表 1 列出了提供这些服务的卡。
MX-SPC3 取代了 MS 型卡,整体性能有了显著提升,同时规模和容量也达到了高端水平。
MX 系列 5G 通用路由平台 |
|||||
|---|---|---|---|---|---|
自适应服务 |
新一代服务 |
||||
MPC
内联服务 |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
内联服务 |
MX-SPC3
|
自适应服务可以使用多服务 (MS) PIC 或自适应服务 (AS) PIC 在 MS-DPC、MS-MPC 和 MS-MIC 卡上运行。
新一代服务可以在 MPC 卡和 MX-SPC3 安全服务卡上运行。
内联服务配置在 MX 系列模块化端口集中器 (MPC) 上。内联服务接口是驻留在数据包转发引擎上的虚拟物理接口。它们对通过 MPC 的流量提供高性能处理,并允许您最大限度地提高机箱插槽容量和利用率。
多服务安全卡(MS-DPC、MS-MPC、MS-MIC 或 MX-SPC3)提供的服务可应用于在单个 MPC 之外通过 MX 机箱传输的任何流量。它们还提供专用处理功能,可大规模、高性能地支持各种安全功能。
自适应服务概述
自适应服务在 MPC 以及 MS-DPC、MS-MPC 和 MS-MIC 多服务安全卡上以内联方式运行。通过自适应服务 (AS) PIC 和多服务 PIC,您可以通过配置一组服务和应用程序在同一 PIC 上执行多项服务。AS 和多服务 PIC 提供一系列服务,您可以在一个或多个服务集中配置这些服务。
在瞻博网络 MX 系列 5G 通用路由平台上,MS-DPC 提供与 MS-MPC 基本相同的功能。两个平台上的接口以相同的方式配置。
有关自适应服务(包括内联服务)的详细信息,请参阅 自适应服务概述。
内联服务
自适应服务还使用 内联服务接口 来提供 内联 服务。内联服务接口是驻留在数据包转发引擎上的虚拟接口。
只能使用命名约定 si-fpc/pic/port (而非 ms-fpc/pic/port 命名约定)在 MPC 上配置内联服务。
新一代服务
新一代服务提供 MX 和 SRX 安全服务的组合功能,使您能够在流量通过 MX 系列路由器时对其进行检查、监控和作。模块化端口集中器 (MPC) 和 MX240、MX480 和 MX960 路由器中的 MX-SPC3 安全服务卡均支持新一代服务。请参阅 表 2,其中汇总了 MX-SPC3 卡内联和受支持的新一代服务。可以同时使用内联服务和基于 MX-SPC3 的服务。
您可以使用 虚拟多服务 命名约定在 MX-SPC3 安全服务卡上配置新一代服务: vms-fpc/pic/port。
MX 系列 5G 通用路由器支持的服务摘要
表 2 总结了新一代服务所支持的服务。
| 新一代服务:内联 (si-) 接口和 MX-SPC3 |
||||
|---|---|---|---|---|
| 服务特色 |
内联服务 |
MX-SPC3 |
||
| Junos OS 版本 |
子服务 |
Junos OS 版本 |
子服务 |
|
| CGNAT |
19.3R2 |
Basic-NAT44 和 NAT66 静态目标 NAT Twice-NAT44 基础版 第 6 根软线 NPTv6 |
19.3R2 |
基本 NAT44 Basic-NAT66 动态-NAT44 静态目标 NAT 基本-NAT-PT NAPT-PT型 NAPT44型 NAPT66型 端口块分配 确定性 -nat44 和 nat64 端点无关映射 (EIM)/端点无关过滤 (EIF) 持久 NAT – 应用池配对 (APP) Twice-NAT44 – 基本、动态和 NAPT NAT64型 XLAT-464型 NPTv6 |
| 20.1R1 |
端口控制协议 (PCP) – v1 和 v2 |
|||
| 20.2R1 |
MAP-E |
DS-精简版 NAT46系列 |
||
| 流量负载均衡器 |
19.3R2 |
19.3R2 |
||
| SecIntel(ATP 云 IP 威胁源) |
19.3R2 |
不适用 |
||
| 状态防火墙服务 |
不适用 |
19.3R2 |
||
| 入侵检测服务 (IDS) |
不适用 |
19.3R2 |
||
| DNS 请求过滤 |
不适用 |
19.3R2 |
||
| 聚合多服务接口 |
不适用 |
19.3R2 |
||
| 机箱间高可用性 |
不适用 |
19.3R2 |
CGNAT、状态防火墙、IDS |
|
| URL 过滤 |
不适用 |
20.1R1 |
||
| JFlow |
20.1R1 |
不适用 |
||
| RPM 和 TWAMP |
20.1R1 |
不适用 |
||
| 视频监控 |
20.1R1 |
不适用 |
||
| IPSec VPN | 不适用 | 21.1R1 | 基于路由的站点 2 站点 VPN 基于流量选择器的 VPN AutoVPN IPsec 路由协议 (BGP/OSPF) |
|
| 内联 IPsec | 24.2R1 | 不适用 | ||
有关 SPC3 线卡上的 IPsec 支持的详细信息,请参阅 在 MX-SPC3 服务卡上配置 IPsec VPN 。
下一代服务文档
如果路由器中安装了 MX-SPC3 服务卡,则可以在 MX240、MX480 和 MX960 上运行新一代服务。请参阅我们的 技术库 ,了解所有 MX 路由器文档。有关新一代服务,请参阅以下文档:
要了解和配置新一代服务,请参阅 路由设备下一代服务接口用户指南 (本指南)。
有关安装或更换 MX-SPC3 卡的详细信息,请参阅 MX 系列 5G 通用路由平台接口模块参考。
要监控流和对流量进行采样 — 请参阅 《监控、采样和收集服务接口功能指南》,其中介绍了如何配置流量监控、数据包流捕获、用于计费或丢弃的流量采样、将端口镜像到外部设备以及实时性能监控。
实现新一代服务
要运行新一代服务,您必须在 MX 系列路由器上启用它。这使作系统能够为下一代服务运行自己的作系统 (OS)。
如果要将服务从旧服务卡迁移到 MX-SPC3,则需要执行一些特定步骤。新一代服务 CLI 不同于这些传统服务。有关详细信息,请参阅 MX-SPC3 上的自适应服务和下一代服务之间的配置差异。
与其他服务卡的兼容性
如 表 3 所述,MX-SPC3 服务卡与 MX 系列交换机结构、路由引擎和 MS-MPC 线卡端到端兼容。
交换机结构 |
路由引擎 |
MPC 线卡 |
|---|---|---|
SCBE(英语:SCBE) |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E 和 MPC3E-3D-NG MPC4E-3D型 MPC-3D-16XGE |
SCBE2型 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E 和 MPC3E-3D-NG MPC4E-3D型 MPC5E 和 MPC5EQ MPC7E 和 MPC7EQ MPC-3D-16XGE |
| SCBE3型 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D型 MPC5E 和 MPC5EQ MPC7E 和 MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
配置 MX-SPC3 服务卡
MX-SPC3 服务卡上的接口称为虚拟多服务 (VMS) PIC。配置 MX-SPC3 接口时,请将该接口指定为 vms- 接口,如下所示:
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
除了 CLI 差异之外,您还需要了解多服务 (MS) 类型(MS-DPC、MS-MPC 和 MS-MIC)卡与 MX-SPC3 服务卡之间的基本硬件差异。MS 型卡包含四个 CPU 复合体,而 MX-SPC3 卡虽然功能更强大,但包含两个 CPU 复合体。每个 CPU 复合体服务一个 PIC,这意味着 MS 型卡支持四个 PIC,而 MX-SPC3 支持两个 PIC。MS 型卡使用特殊的多服务 (MS) 和自适应服务 (AS) PIC,而 MX-SPC3 卡上的 PIC 是集成的。
由于 PIC 的数量直接影响接口的数量,因此您可能需要向 MX-SPC3 上的每个接口添加逻辑单元,以将接口数量增加到四个。例如,如果当前使用 MS 型卡上的所有四个接口,并且每个接口都有一个服务集,则可以在 MX-SPC3 上为每个接口创建两个逻辑单元,使接口总数达到四个,然后将这四个服务集重新关联到这四个逻辑接口。
将服务应用于流量的方法
配置下一代服务时,可以使用以下任一方法应用这些服务:
将配置的服务应用于流经 MX 路由器上特定接口的流量。
将配置的服务应用于发往特定下一跃点的流量。
在 MX-SPC3 服务卡上配置 IPsec VPN
要在 MX-SPC3 服务卡上配置 IPsec,请在 [edit security] 层级使用 CLI 配置语句,因为 [edit services] 层级的 IPsec CLI 配置将替换为 [edit security] 层级的 CLI 配置,如表 4 所示
| 当前 MX 配置 | 等效 MX-SPC3 配置 |
|---|---|
| 设置服务 IPsec-VPN 跟踪选项 | 设置安全 IKE 跟踪选项 |
| 设置服务 IPsec-VPN IKE 提议 | 设置安全 IKE 提议 |
| 设置服务 IPsec-VPN IKE 策略 | 设置安全 IKE 策略 |
| 设置服务 IPsec-VPN IKE 策略 policy-name respond-bad-spi | 设置安全 IKE RESPOND-BAD-SPI |
| 设置服务 IPsec-VPN IPsec 提议 | 设置安全 IPsec 提议 |
| 设置服务 IPsec-VPN IPsec 策略 | 设置安全 IPsec 策略 |
| 从 [source-address| destination-address] 设置服务 IPsec-VPN 规则rule-name术语term-name | 设置安全 IPsec VPN vpn-name 流量选择器 selector-name [本地 IP | 远程 IP] |
| 从 IPsec-inside-interface 设置服务 IPsec-VPN 规则rule-name术语term-name | 设置安全 IPsec VPN vpn-name 绑定接口 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置远程网关 | 设置安全 IKE 网关 gw-name 地址 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置 backup-remote-gateway | 设置安全 IKE 网关 gw-name 地址 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置失效对等方检测 | 设置安全 IKE 网关 gw-name 失效对等体检测 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置动态 IKE 策略 | 设置安全 IKE 网关 gw-nameIKE 策略 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置动态 IPsec 策略 | 设置安全 IPsec VPN vpn-name IKE IPsec 策略 |
| 先设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后手动 | 设置安全 IPsec VPN vpn-name 手册 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置 clear-don't-fragment-bit | 设置安全 IPsec VPN vpn-name DF 位清除 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后复制不要分段位 | 设置安全 IPsec VPN vpn-name DF 位复制 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置不分段位 | 设置安全 IPsec VPN vpn-name DF 位复制 |
| 先设置服务 ipsec-vpn 规则 rule-name 术语 term-name ,然后设置隧道 mtu | 设置安全 IPsec VPN vpn-name 隧道-MTU |
| 设置服务 IPsec-VPN 规则 rule-name 期限 term-name ,然后禁止防重放 | 设置安全 IPsec VPN vpn-name IKE 禁止防重放 |
| 设置服务 IPsec-VPN 规则 rule-name 匹配方向 | 设置安全 IPsec VPN vpn-name匹配方向 |
| 设置服务 IPsec-VPN 建立隧道 | 设置安全 IPsec VPN vpn-name建立隧道 |
| set services service-set svc-set-name ipsec-vpn-options local-gateway address | 设置安全 IPsec VPN vpn-nameIKE 网关 gateway-name |
| set services service-set svc-set-name ipsec-vpn-options clear-don't-fragment-bit | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-options copy-don't-fragment-bit | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-options set-don't-fragment-bit | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-options udp-封装 | 设置安全 IPsec VPN vpn-nameUDP-封装 |
| set services-service-set svc-set-name ipsec-vpn-options 无防重放 | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-options passive-mode-tunneling | 设置安全 IPsec VPN vpn-name 被动模式隧道 |
| set services service-set svc-set-name ipsec-vpn-options tunnel-mtu | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-rules | set services service-set svc-set-name ipsec-vpn-rules |
| 设置服务 IPsec-VPN 规则<rule-name> term<term-name> 然后设置 tunnel-mtu | 设置安全 IPsec VPN <VPN 名称>隧道 MTU |
了解隧道 MTU
st0 的 MTU 位于接口级别。借助隧道 MTU 功能,我们实现了隧道级 MTU。借助隧道 MTU 功能,我们可以在 VPN 对象级别配置 MTU。您可以配置 tunnel-mtu 来控制隧道 MTU,如果未配置 st0 MTU 或 IFL MTU,则会影响 MTU 行为。您可以为 IPv6 流量配置的最小隧道 MTU 为 1390。
PMI(电源模式 IPSec)不支持隧道 MTU 功能。tunnel-mtu 配置位于 VPN 层次结构,而非流量选择器级别,因此 tunnel-mtu 配置适用于属于该 VPN 的所有隧道(所有 TS)。隧道 MTU 配置更改被视为灾难性更改(删除现有隧道)。no-icmp-packet-太大的配置更改不会被视为灾难性事件。
预分段时会考虑最小隧道 MTU 配置或 IFL MTU 外部的 AMS 的 IPsec 隧道开销。分段后需要在外部接口上设置 MTU,并且相应的 IPsec 计数器不会针对出口流量递增。后分段由 IOC 完成,而非由 MX-SPC3 卡完成。在 MX-SPC3 中,inet 和 inet6 家族的默认 st0 MTU 为 9192,VPN 层次结构中没有 tunnel-mtu 配置的默认值。IPv6 数据包在源主机上分段,在中间路由器上不分段,因此预分段不适用于 IPv6 数据包。
对于 IPv4 数据包,分段前、分段后和 ICMP Fragmentation needed and DF set 错误在以下情况下发生:
- 当内部数据包长度小于隧道 mtu 和隧道开销之差时,不会发生分段。
- 当内部数据包长度大于隧道 mtu 与隧道开销之差,且未设置内部数据包 DF 位时,就会发生预分段。
- 当内部数据包长度大于隧道 mtu 和隧道开销之差,且未设置外部隧道 DF 位时,将进行封装,并发生分段后。
- 当内部数据包长度大于隧道 mtu 和隧道开销之差,并且同时设置了内部数据包 DF 位和外部隧道 DF 位时,数据包将被丢弃并发回 ICMP
Fragmentation Needed and DF Set错误。
对于 IPv6 数据包,在以下情况下会发生分段前、分段后和 ICMP Packet Too Big 错误:
- 当内部数据包长度小于隧道 mtu 和隧道开销之差时,不会发生分段。
- 当内部数据包长度大于隧道 mtu 和隧道开销之差,且未设置外部隧道 DF 位时,将进行封装,并发生分段后。
- 当内部数据包长度大于隧道 mtu 和隧道开销之差,并且设置了外部隧道 DF 位时,数据包将被丢弃,如果
no-icmp-packet-too-big未设置,则发送 ICMPPacket Too Big错误。 - 当内部数据包长度大于隧道 mtu 和隧道开销之差,并且设置了外部隧道 DF 位时,数据包将被丢弃,如果
no-icmp-packet-too-big设置了,则不会发送 ICMPPacket Too Big错误
st0 MTU 和隧道 MTU 之间的区别
- 与 st0 MTU 相比,隧道 MTU 处于不同的级别。
- st0 MTU 是接口级 MTU,隧道 MTU 功能可实现隧道级 MTU
- 在 MX-SPC3 中,PFE 检查 st0 mtu 以对数据包进行分段或丢弃。因此,数据包不会到达流或 IPsec,并且无法控制 MTU作。
- VPN 隧道 mtu 配置值小于 st0 MTU。