新一代服务概述
本主题概述了下一代服务,包括以下主题
5G 通用路由器服务概述
5G 通用路由器支持多种类型的服务接口,这些接口提供特定功能,用于在流量通过路由器时检查、监控和作流量。服务可分为自适应服务和新一代服务,每个类别都提供内联服务接口和多服务接口选项。 表 1 列出了提供这些服务的卡。
MX-SPC3 取代了 MS 型卡,提供了显着的整体性能改进以及高端的规模和容量。
5G 通用路由平台 |
|||||
|---|---|---|---|---|---|
自适应服务 |
新一代服务 |
||||
MPC
内联服务 |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
内联服务 |
MX-SPC3
|
自适应服务可以使用多服务 (MS) PIC 或自适应服务 (AS) PIC 在 MS-DPC、MS-MPC 和 MS-MIC 卡上运行。
新一代服务可以在 MPC 卡和 MX-SPC3 安全服务卡上运行。
内联服务配置在模块化端口集中器 (MPC) 上。内联服务接口是驻留在数据包转发引擎上的虚拟物理接口。它们可对通过 MPC 传输的流量提供高性能处理,并允许您最大限度提高机箱插槽容量和利用率。
多服务安全性卡(MS-DPC、MS-MPC、MS-MIC 或 MX-SPC3)提供的服务可应用于通过机箱传输的任何流量,而不仅仅是单个 MPC。它们还提供专用处理,以大规模、高性能地支持各种安全功能。
自适应服务概述
自适应服务在 MPC 以及 MS-DPC、MS-MPC 和 MS-MIC 多服务安全卡上内联运行。自适应服务 (AS) PIC 和多服务 PIC 使您能够通过配置一组服务和应用程序在同一 PIC 上执行多项服务。AS 和多服务 PIC 提供一系列可在一个或多个服务集中配置的服务。
在瞻博网络 5G 通用路由平台上,MS-DPC 提供与 MS-MPC 基本相同的功能。两个平台上的接口配置方式相同。
有关自适应服务(包括内联服务)的更多信息,请参阅 自适应服务概述。
内联服务
自适应服务还使用 内联服务接口 来提供 内联 服务。内联服务接口是驻留在数据包转发引擎上的虚拟接口。
您只能使用命名约定 si-fpc/pic/port 而不是 ms-fpc/pic/port 命名约定在 MPC 上配置内联服务。
新一代服务
新一代服务提供安全服务的组合功能,使您能够在流量通过路由器时对其进行检查、监控和作。模块化端口集中器 (MPC) 内联支持新一代服务,在支持此功能的 MX240、MX480 和 MX960 路由器中支持 MX-SPC3 安全服务卡。请参阅 表 2,其中汇总了内联服务和 MX-SPC3 卡支持的下一代服务。可以同时使用内联和基于 MX-SPC3 的服务。
您可以使用 以下虚拟多服务 命名约定在 MX-SPC3 安全服务卡上配置新一代服务: vms-fpc/pic/port。
MX 系列 5G 通用路由器支持的服务摘要
表 2 汇总列出了新一代服务所支持的服务。
| 新一代服务: 内联 (si-) 接口和 SPC3 |
||||
|---|---|---|---|---|
| 服务功能 |
内联服务 |
SPC3 |
||
| Junos OS 版本 |
子服务 |
Junos OS 版本 |
子服务 |
|
| CGNAT |
19.3R2 |
基本 NAT44 和 NAT66 静态目标 NAT 两次 NAT44 基本 第 6 软线 NPTv6 |
19.3R2 |
基本 NAT44 基本 NAT66 动态 NAT44 静态目标 NAT 基本-NAT-PT NAPT-PT NAPT44 NAPT66 端口块分配 确定性 nat44 和 nat64 独立于端点的映射 (EIM)/独立于端点的过滤 (EIF) 持久 NAT – 应用程序池配对 (APP) Twice-NAT44 – 基本、动态和 NAPT NAT64 XLAT-464 NPTv6 |
| 20.1R1 |
端口控制协议 (PCP) – v1 和 v2 |
|||
| 20.2R1 |
MAP-E |
DS-Lite NAT46 |
||
| 流量负载均衡器 |
19.3R2 |
19.3R2 |
||
| SecIntel(ATP 云 IP 威胁信息源) |
19.3R2 |
不适用 |
||
| 有状态防火墙服务 |
不适用 |
19.3R2 |
||
| 入侵检测服务 (IDS) |
不适用 |
19.3R2 |
||
| DNS 请求过滤 |
不适用 |
19.3R2 |
||
| 聚合多服务接口 |
不适用 |
19.3R2 |
||
| 机箱间高可用性 |
不适用 |
19.3R2 |
CGNAT、有状态防火墙、IDS |
|
| URL 过滤 |
不适用 |
20.1R1 |
||
| JFlow |
20.1R1 |
不适用 |
||
| RPM 和 TWAMP |
20.1R1 |
不适用 |
||
| 视频监控 |
20.1R1 |
不适用 |
||
| IPsec VPN | 不适用 | 21.1R1 | 基于路由的站点 2 站点 VPN 基于流量选择器的 VPN AutoVPN 通过 IPsec 的路由协议 (BGP/OSPF) |
|
| 内联 IPsec | 24.2R1 | 不适用 | ||
有关 SPC3 线卡上的 IPsec 支持的更多信息,请参阅在 MX-SPC3 服务卡上配置 IPsec VPN 。
新一代服务文档
如果路由器中安装了 SPC3 服务卡,则可以在支持此功能的 MX240、MX480 和 MX960 路由器上运行新一代服务。请参阅我们的 技术库 以获取所有路由器文档。有关新一代服务,请参阅以下文档:
要了解和配置新一代服务,请参阅适用于 路由设备的下一代服务接口用户指南 (本指南)。
有关安装或更换 SPC3 卡的详细信息,请参阅 MX 系列 5G 通用路由平台接口模块参考。
要监控流量和采样流量 — 请参阅《 监控、采样和收集服务接口功能指南》,其中介绍了如何配置流量监控、数据包流捕获、用于核算或丢弃的流量采样、端口镜像到外部设备以及实时性能监控。
实现新一代服务
要运行新一代服务,必须在路由器上启用它。这使得作系统能够为新一代服务运行自己的作系统 (OS)。
如果要将服务从传统服务卡迁移到 SPC3,则需要执行一些特定步骤。新一代服务 CLI 不同于这些传统服务。有关详细信息,请参阅 自适应服务和下一代服务之间的配置差异。
与其他服务卡的兼容性
如 表 3 所述,SPC3 服务卡与交换机交换矩阵、路由引擎和 MS-MPC 线卡端到端兼容。
交换机交换矩阵 |
路由引擎 |
MPC 线卡 |
|---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E 和 MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E 和 MPC3E-3D-NG MPC4E-3D MPC5E 和 MPC5EQ MPC7E 和 MPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E 和 MPC5EQ MPC7E 和 MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
配置 SPC3 服务卡
SPC3 服务卡上的接口称为虚拟多服务 (VMS) PIC。配置 SPC3 接口时,请按如下方式将该接口指定为 vms- 接口:
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
除了 CLI 差异之外,您还需要了解多服务 (MS) 类型(MS-DPC、MS-MPC 和 MS-MIC)卡与 SPC3 服务卡之间的基本硬件差异。MS 型卡包含四个 CPU 复合体,而 SPC3 卡虽然功能更强大,但包含两个 CPU 复合体。每个 CPU 复杂为一个 PIC 提供服务,这意味着 MS 类型卡支持四个 PIC,而 SPC3 支持两个 PIC。MS 类型卡使用特殊的多服务 (MS) 和自适应服务 (AS) PIC,而 SPC3 卡上的 PIC 是集成的。
由于 PIC 的数量直接影响接口的数量,因此您可能需要向 SPC3 上的每个接口添加逻辑单元,以将接口数量增加到 4 个。例如,如果您当前使用 MS 类型卡上的所有四个接口,并且每个接口都有一个服务集,则可以在 SPC3 上的每个接口创建两个逻辑单元,使接口总数达到 4 个,然后将这四个服务集重新关联到这四个逻辑接口。
将服务应用于流量的方法
配置新一代服务时,可通过以下任一方法应用这些服务:
将配置的服务应用于流经路由器上特定接口的流量。
将配置的服务应用于发往特定下一跃点的流量。
在 SPC3 服务卡上配置 IPsec VPN
要在 SPC3 服务卡上配置 IPsec,请在 [edit security] 层级使用 CLI 配置语句,因为 [edit services] 层级的 IPsec CLI 配置将替换为 [edit security] 层级的 CLI 配置,如 表 4 所示
| 当前 MX 配置 | 等效 MX-SPC3 配置 |
|---|---|
| 设置服务 IPsec-VPN 追踪选项 | 设置安全 IKE traceoptions |
| 设置服务 IPsec-VPN IKE 提议 | 设置安全 IKE 提议 |
| 设置服务 IPsec-VPN IKE 策略 | 设置安全 IKE 策略 |
| 设置服务 IPsec-VPN IKE 策略 policy-name respond-bad-spi | 设置安全 IKE 响应-坏-spi |
| 设置服务 IPsec-VPN IPsec 提议 | 设置安全 IPsec 提议 |
| 设置服务 IPsec-VPN IPsec 策略 | 设置安全 IPsec 策略 |
| 从 [源地址| 目标地址] 设置服务 IPsec-VPN 规则rule-name术语term-name | 设置安全 IPsec VPN vpn-name 流量选择器 selector-name [本地 IP | 远程 IP] |
| 从 IPsec-inside-interface 设置服务 IPsec-VPN 规则rule-name术语term-name | 设置安全性 IPsec VPN vpn-name 绑定接口 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置远程网关 | 设置安全 IKE 网关 gw-name 地址 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置备份远程网关 | 设置安全 IKE 网关 gw-name 地址 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置无效对等体检测 | 设置安全 IKE 网关 gw-name 失效对等体检测 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置动态 IKE-策略 | 设置安全 IKE 网关 gw-nameIKE 策略 |
| 设置服务 ipsec-vpn 规则 rule-name 术语 term-name ,然后设置动态 ipsec-policy | 设置安全 IPsec VPN vpn-name IKE IPsec 策略 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置手册 | 设置安全 IPsec VPN vpn-name 手册 |
| 设置服务 ipsec-vpn 规则 rule-name 术语 term-name ,然后设置 clear-don-don't-fragment-bit | 设置安全 IPsec VPN vpn-name DF 位清除 |
| 设置服务 ipsec-vpn 规则 rule-name 术语 term-name ,然后复制不分段位 | 设置安全 IPsec VPN vpn-name DF 位副本 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置不分段位 | 设置安全 IPsec VPN vpn-name DF 位副本 |
| 设置服务 IPsec-VPN 规则 rule-name 术语 term-name ,然后设置隧道-MTU | 设置安全性 IPsec VPN vpn-name 隧道-MTU |
| 设置服务 ipsec-vpn 规则 rule-name 术语 term-name ,然后无反重放 | 设置安全 IPsec VPN vpn-name IKE 无反重放 |
| 设置服务 IPsec-VPN 规则 rule-name 匹配方向 | 设置安全 IPsec VPN vpn-name匹配方向 |
| 设置服务 IPsec-VPN 建立隧道 | 设置安全 IPsec VPN vpn-name建立隧道 |
| set services service-set svc-set-name ipsec-vpn-options local-gateway address | 设置安全 IPsec VPN vpn-nameIKE 网关 gateway-name |
| set services service-set svc-set-name ipsec-vpn-options clear-don-don-fragment-bit | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-options copy-don't-fragment-bit | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-options set-don't-fragment-bit | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-options udp-encapsulate | 设置安全 IPsec VPN vpn-nameUDP 封装 |
| 设置服务服务设置 svc-set-name ipsec-vpn-options 无防重放 | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| set services service-set svc-set-name ipsec-vpn-options passive-mode-tunneling | 设置安全性 IPsec VPN vpn-name 被动模式隧道 |
| 设置服务服务集 svc-set-name ipsec-vpn-options 隧道-mtu | 无全局服务集设置。必须基于每个 VPN 对象进行配置。 |
| 设置服务服务集 svc-set-name IPsec-vpn-rules | 设置服务服务集 svc-set-name IPsec-vpn-rules |
| 设置服务 IPsec-VPN 规则<规则名称>术语<术语名称>然后设置 隧道-MTU | 设置安全 IPsec VPN <vpn-name> 隧道-MTU |
了解隧道 MTU
st0 的 MTU 位于接口级别。借助隧道 MTU 功能,我们实现了隧道级 MTU。借助隧道 MTU 功能,我们可以在 VPN 对象级别配置 MTU。您可以配置隧道 MTU 来控制隧道 MTU,如果未配置 st0、MTU 或 IFL MTU,则会影响 MTU 行为。您可以为 IPv6 流量配置的最小隧道 MTU 为 1390。
PMI(电源模式 IPSec)不支持隧道 MTU 功能。tunnel-mtu 配置位于 VPN 层次结构,而非流量选择器级别,因此隧道 mtu 配置适用于属于该 VPN 的所有隧道(所有 TS)。隧道 MTU 配置更改被视为灾难性更改(删除现有隧道)。no-icmp-packet-too-big 的配置更改不被视为灾难性事件。
在完成预分段时,会考虑最小隧道 MTU 配置或 IFL MTU 外部的 AMS 的 IPsec 隧道开销。分段后需要在外部接口上设置 MTU,并且出口流量的相应 IPsec 计数器不会递增。后分段由 IOC 完成,而非由 MX-SPC3 卡完成。在 MX-SPC3 中,inet 和 inet6 系列的默认 st0 MTU 为 9192,VPN 层次结构上的隧道 MTU 配置没有默认值。IPv6 数据包在源主机处分段,而在中间路由器上不分段,因此预分段不适用于 IPv6 数据包。
对于 IPv4 数据包,在以下情况下会发生预分段、后分段和 ICMP Fragmentation needed and DF set 错误:
- 当内部数据包长度小于隧道-MTU和隧道开销的差值时,不会发生分段。
- 当内部数据包长度大于隧道-MTU和隧道开销的差额,且未设置内部数据包DF位时,将发生预分段。
- 当内部数据包长度大于隧道 MTU 和隧道开销的差值,且未设置外部隧道 DF 位时,封装,并发生后分段。
- 当内部数据包长度大于隧道 MTU 和隧道开销的差值,并且同时设置了内部数据包 DF 位和外部隧道 DF 位时,数据包将被丢弃,ICMP
Fragmentation Needed and DF Set错误将被发回。
对于 IPv6 数据包,在以下情况下会发生分段前、分段后和 ICMP Packet Too Big 错误:
- 当内部数据包长度小于隧道-MTU和隧道开销的差值时,不会发生分段。
- 当内部数据包长度大于隧道 MTU 和隧道开销的差值,且未设置外部隧道 DF 位时,封装,并发生后分段。
- 当内部数据包长度大于隧道 MTU 和隧道开销之差,并且设置了外部隧道 DF 位时,丢弃数据包,如果未设置,则
no-icmp-packet-too-big发送 ICMPPacket Too Big错误。 - 当内部数据包长度大于隧道 MTU 和隧道开销之差,并且设置了外部隧道 DF 位时,丢弃数据包,如果设置,则
no-icmp-packet-too-big不会发送 ICMPPacket Too Big错误
st0 MTU 和隧道 MTU 之间的区别
- 与 st0 MTU 相比,隧道 MTU 处于不同的级别。
- st0 MTU 是接口级 MTU,隧道-MTU 功能实现隧道级 MTU
- 在 MX-SPC3 中,PFE 检查 st0 mtu 以对数据包进行分片或丢弃。因此,数据包不会到达 flowd 或 IPsec,并且无法控制 MTU作。
- VPN 隧道 MTU 配置值小于 st0 MTU。