配置服务接口
服务接口命名概述
每个接口都有一个接口名称,用于指定介质类型、FPC 所在的插槽、FPC 上安装 PIC 的位置以及 PIC 端口。接口名称可唯一标识系统中单个网络连接器。在配置接口时,以及启用个别接口上的各种功能和属性(例如路由协议)时,您可以使用接口名称。例如,在 命令中显示有关接口的信息时,系统会使用接口 show interfaces
名称。
接口名称由物理部分、逻辑部分和通道部分表示,格式如下:
physical<:channel>.logical
除了通道化 DS3、E1、OC12 和 STM1 接口,名称的通道部分对于所有接口都是可选的。
接口名称的物理部分标识与单个物理网络连接器对应的物理设备。接口名称的这一部分格式如下:
type-fpc/pic/port
type
是介质类型,用于识别网络设备。对于服务接口,可以是以下某一种:
ams
—聚合多服务 (AMS) 接口。AMS 接口是一组可作为单个接口运行的服务接口。AMS 接口在配置中表示amsN
N
,其中是标识 AMS 接口的唯一编号(例如ams0
。在配置中,AMS 接口中的成员接口使用mams-
前缀(例如 , ) 来标识mams-1/2/0
。cp
—流收集器接口。es
—加密接口。gr
—通用路由封装通道接口。gre
—此接口在内部生成,不可配置。ip
—IP-over-IP 封装隧道接口。ipip
—此接口在内部生成,不可配置。ls
—链路服务接口。lsq
—链路服务智能队列 (IQ) 接口;也用于语音服务。mams
—AMS 接口中的成员接口。ml
—多链路接口。mo
—监控服务接口。逻辑 接口mo-fpc/pic/port
.16383 是内部生成的不可配置的接口,用于路由器控制信息流。ms
—多服务模块化接口卡 (MS-MIC) 和多服务模块化端口集中器 (MS-MPC) 上的多服务接口。mt
—组播通道接口。此接口自动生成,但如果需要,您可以对其进行属性配置。mtun
—此接口在内部生成,不可配置。rlsq
—冗余 LSQ 接口。rsp
—冗余自适应服务接口。si
—服务内联接口,仅在 MX3D 系列路由器上配置。sp
—自适应服务接口。逻辑接口sp-fpc/pic/port
.16383 是内部生成的不可配置的接口,用于路由器控制信息流。tap
—此接口在内部生成,不可配置。vt
—虚拟回环通道接口。
另请参阅
启用服务包
对于 AS M7i 路由器中的多服务可用可用卡、多服务 DPC 和内部自适应服务模块 (ASM),有两个服务包:第 2 层和第 3 层。两个服务包在所有自适应服务接口上都受支持,但除了 ASM 上支持的组合软件包外,每个 PIC 只能启用一个服务包。在单个路由器上,您可以通过在平台上安装两个或多个PC 来启用两个服务包。
所有路由引擎 PIC 和 DPC(ES PIC 除外)上会自动启用平稳切换 (GRES)。除了 TX Matrix 路由器M Series,所有路由器、MX 系列和 T Series 路由器上都支持它。切换后,第 3 层服务应保持状态,但第 2 层服务将重新启动。对于 IPsec 服务,互联网密钥交换 (IKE) 协商不会存储,并且必须在切换后重新启动。有关 GRES 的信息,请参阅 Junos OS 高可用性用户指南 。
您可以按 PIC 启用服务包,而不是每个端口。例如,如果配置第 2 层服务包,整个 PIC 将使用配置的软件包。要启用服务包,请包含 层级的 service-package [edit chassis fpc slot-number pic pic-number adaptive-services]
语句,并指定 layer-2
或 layer-3
:
[edit chassis fpc slot-number pic pic-number adaptive-services] service-package (layer-2 | layer-3);
要确定 pic 支持哪个 show chassis hardware
包AS,请发出 命令:如果 PIC 支持第 2 Link Services II
层软件包,则列为 ,如果支持第 3 Adaptive Services II
层软件包,则列为 。要确定多服务 PIC 支持哪个软件包,请发出 show chassis pic fpc-slot slot-number pic-slot slot-number
命令。字段 Package
将显示 值 或 Layer-2
Layer-3
。
ASM 具有一个默认选项 (layer-2-3
),用于组合第 2 层到第 3 层服务包中的可用功能。
在服务包中提交更改后,PIC 脱机,然后立即重新联机。无需手动使 PIC 脱机和联机。
更改服务包会导致与上一个服务包相关联的所有状态信息丢失。只有在没有活动信息流进入 PIC 时,才能更改服务包。
每个包中支持的服务因 PIC 和平台类型不同而不同。 表 1 列出了每个 PIC 和平台的每个服务包内支持的服务。
在 AS 和多服务 FPC 上,链路服务支持包括 Junos OS CoS 组件、LFI (FRF.12)、MLFR 端到端 (FRF.15)、MLFR UNI NNI (FRF.16)、MLPPP (RFC 1990) 和多类 MLPPP。有关详细信息,请参阅 第 2 层服务包功能和接口以及第 2 层服务包功能和接口 。
用于AS 2 层服务的 PIC II 专用于仅支持第 2 层服务包。
服务 |
ASM |
AS/AS2PC 和多服务 PIC |
AS/AS2 和多服务 PIC |
AS2 和多服务 PIC |
AS2 和多服务 PIC |
---|---|---|---|---|---|
2 层服务包(仅) | M7i | M7i、M10i和 M20 | M40e 和 M120 | M320、T320 和 T640 | TX Matrix |
链路服务: |
|||||
|
是的 |
是的 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
不 |
语音服务: |
|||||
|
是的 |
是的 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
不 |
3 层服务包(仅) | M7i | M7i、M10i和 M20 | M40e 和 M120 | M320、T320 和 T640 | TX Matrix |
安全服务: |
|||||
|
是的 |
是的 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
不 |
核算服务: |
|||||
|
是的 |
是的 |
是的 |
是的 |
是的 |
|
不 |
不 |
不 |
是的 |
不 |
|
是的 |
是的 |
是(仅 M40e) |
是的 |
不 |
|
不 |
是的 |
是(仅 M40e) |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
是的 |
LNS 服务: |
|||||
|
是的 |
是(M7i和M10i) |
是(M120) |
不 |
不 |
语音服务: |
|||||
|
是的 |
是的 |
是的 |
是的 |
不 |
2 层和 3 层服务包(常用功能) | M7i | M7i、M10i和 M20 | M40e 和 M120 | M320、T320 和 T640 | TX Matrix |
RPM 服务: |
|||||
|
是的 |
是的 |
是的 |
是的 |
不 |
通道服务: |
|||||
|
是的 |
是的 |
是的 |
是的 |
是的 |
|
是的 |
是的 |
是的 |
不 |
不 |
|
是的 |
是的 |
是的 |
是的 |
不 |
|
是的 |
是的 |
是的 |
是的 |
是的 |
|
不 |
不 |
不 |
不 |
不 |
|
是的 |
是的 |
是的 |
是的 |
是的 |
|
是的 |
是的 |
是的 |
是的 |
是的 |
|
是的 |
是的 |
是的 |
是的 |
是的 |
|
是的 |
是的 |
是的 |
是的 |
是的 |
2 层服务包功能和接口
启用第 2 层服务包时,可配置链路服务。在AS多服务 PIC 和 ASM 上,链路服务包括以下支持:
Junos CoS组件 — 第 2 层服务包功能和接口介绍Junos CoS组件如何在链路服务 IQ (
lsq
) 接口上工作。有关这些Junos CoS的详细信息,请参阅 Junos OS 设备服务等级用户指南 。使用 FRF.12 端到端分片的帧中继链路上的 LFI — FRF.12 标准在规范 FRF.12 的帧中继分片实施协议 中定义。
MLPPP 链路上的 LFI。
MLFR UNI NNI (FRF.16)— FRF.16 标准在多链路帧中继 UNI/NNI 实施协议 FRF.16.1 规范中定义。
MLPPP (RFC 1990)
端到端 MLFR (FRF.15)
对于多链路和多服务AS LSQ 接口,配置语法几乎与多链路和链路服务 PIC 的配置语法相同。主要差别在于使用接口类型描述符而不是 lsq
或 ml
ls
。启用第 2 层服务包时,会自动创建以下接口:
gr-fpc/pic/port ip-fpc/pic/port lsq-fpc/pic/port lsq-fpc/pic/port:0 ... lsq-fpc/pic/port:N mt-fpc/pic/port pd-fpc/pic/port pe-fpc/pic/port sp-fpc/pic/port vt-fpc/pic/port
接口类型 gr
、 ip
、 mt
和 pd
pe
vt
是标准隧道接口,无论启用第 2 层还是第 3 层服务包AS都可用。除了第 2 层服务包不支持某些通道功能之外,这些隧道接口对两个服务包的功能相同,如表 1 所示。
接口类型 lsq-fpc/pic/port
是物理链路服务 IQ (lsq
) 接口。到 的接口 lsq-fpc/pic/port:0
类型 lsq-fpc/pic/port:N
表示 FRF.16 束。在 选项中包括 语句时, mlfr-uni-nni-bundles
将创建这些接口 [edit chassis fpc slot-number pic pic-number]
类型。有关详细信息,请参阅 第 2 层服务包功能和 接口以及链路和多链路服务 接口路由设备用户指南 。
因为应用 sp
需要接口类型,所以会Junos OS。对于第 2 层服务包 sp
,该接口不可配置,但您不应将其禁用。
另请参阅
服务配置过程
按照以下常规步骤配置服务:
示例:服务接口配置
以下配置包括配置接口上的服务所需的全部项:
[edit] interfaces { fe-0/1/0 { unit 0 { family inet { service { input { service-set Firewall-Set; } output { service-set Firewall-Set; } } address 10.1.3.2/24; } } } fe-0/1/1 { unit 0 { family inet { filter { input Sample; } address 172.16.1.2/24; } } } sp-1/0/0 { unit 0 { family inet { address 172.16.1.3/24 { } } } } } forwarding-options { sampling { input { family inet { rate 1; } } output { cflowd 10.1.3.1 { port 2055; version 5; } flow-inactive-timeout 15; flow-active-timeout 60; interface sp-1/0/0 { engine-id 1; engine-type 136; source-address 10.1.3.2; } } } } firewall { filter Sample { term Sample { then { count Sample; sample; accept; } } } } services { stateful-firewall { rule Rule1 { match-direction input; term 1 { from { application-sets Applications; } then { accept; } } term accept { then { accept; } } } rule Rule2 { match-direction output; term Local { from { source-address { 10.1.3.2/32; } } then { accept; } } } } ids { rule Attacks { match-direction output; term Match { from { application-sets Applications; } then { logging { syslog; } } } } } nat { pool public { address-range low 172.16.2.1 high 172.16.2.32; port automatic; } rule Private-Public { match-direction input; term Translate { then { translated { source-pool public; translation-type source napt-44; } } } } } service-set Firewall-Set { stateful-firewall-rules Rule1; stateful-firewall-rules Rule2; nat-rules Private-Public; ids-rules Attacks; interface-service { service-interface sp-1/0/0; } } } applications { application ICMP { application-protocol icmp; } application FTP { application-protocol ftp; destination-port ftp; } application-set Applications { application ICMP; application FTP; } }
配置服务接口的默认超时设置
您可以为应用于整个接口的某些定时器指定全局默认设置。有三种此类语句:
inactivity-timeout
— 设置已建立的流的非活动超时期,之后它们不再有效。open-timeout
— 设置传输控制协议 (TCP) 会话建立超时期,与 SYN-cookie 防御网络入侵一同使用。close-timout
— 设置传输控制协议 (TCP) 会话关闭的超时期。
要配置非活动超时期的设置,请包含 inactivity-timeout
层级的 [edit interfaces interface-name services-options]
语句:
[edit interfaces interface-name services-options] inactivity-timeout seconds;
默认值为 30 秒。可能值的范围为 4 到 86,400 秒。在应用程序协议定义中配置的任何值将替代在此处指定的值;有关详细信息,请参阅 配置应用程序属性 。
要配置 TCP 会话建立超时期的设置,请包含 open-timeout
层级的 [edit interfaces interface-name services-options]
语句:
[edit interfaces interface-name services-options] open-timeout seconds;
默认值为 5 秒。可能值的范围为 4 到 224 秒。在标准 (入侵检测服务) 定义IDS的值将覆盖在此处指定的值;有关详细信息,请参阅 在 MS-IDS 上配置规则 DPC。
要配置 TCP 会话终止超时期的设置,请包含 close-timeout
层级的 [edit interfaces interface-name services-options]
语句:
[edit interfaces interface-name services-options] close-timeout seconds;
默认值为 1 秒。可能值的范围为 2 到 300 秒。
使用活动消息增强 TCP 非活动超时控制
活动消息会自动生成,以防止 TCP 非活动超时。活动消息的默认数量为 4。但是,您可通过在 tcp-tickles
层次结构级别输入 语句来配置活动 [edit interaces interface-name service-options]
消息的数量。
为双向 TCP 流生成超时时,会发送激活数据包以重置计时器。如果流中连续发送的保持活动数据包数达到默认或配置的限制,则对话将被删除。存在几种可能的情况 inactivity-timer
,具体取决于 的设置以及 默认或配置的最大活动消息数。
如果活动消息的已配置值为零
inactivity-timeout
且未配置(在这种情况下,使用默认超时值 30),则不发送活动数据包。当对话流处于空闲状态超过 30 秒时,对话将被删除。如果活动消息的已配置值为零
inactivity-timeout
且 已配置 ,则不会发送活动数据包,并且当对话流处于空闲状态且超过配置的超时值时,将删除对话。inactivity-timeout
如果默认或已配置的最大活动消息数为一些正整数,并且会话的任何流都处于空闲状态,超过发送活动数据包的默认值或已配置值。如果主机未对配置的连续活动数据包数做出响应,则对话将被删除。保持活动数据包之间的间隔为 1 秒。但是,如果主机发送回 ACK 数据包,则相应的流量将处于活动状态,活动数据包将一直发送,直到信息流再次空闲。
另请参阅
配置服务接口的系统日志记录
您可以指定属性,用于控制如何为整个接口生成系统日志消息。如果在层次结构级别为相同 [edit services service-set service-set-name]
属性配置不同的值,则服务集值将覆盖为接口配置的值。有关配置服务集属性的信息,请参阅 配置服务集的系统日志记录 。
从多服务 (ms-) 接口的 Junos OS 版本 14.2R5、15.1R3 和 16.1R1 开始,您无法在 [edit services set service-set-name syslog 主机名类] 层次结构级别中包括 pcp-logs 和 alg-logs 语句来配置 PCP 和 ALG 的系统日志记录。如果尝试提交包含 pcp 日志和 alg-logs 选项的配置,以定义用于 MS- 接口的 PCP 和 ALG 的系统日志记录,将显示错误消息。
要配置接口范围默认系统日志记录值,请包含 syslog
层级的 [edit interfaces interface-name services-options]
语句:
[edit interfaces interface-name services-options] syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; port port-number; } }
host
使用主机名或 IP 地址配置语句,指定系统日志目标服务器。主机名local
将系统日志消息引导至路由引擎。对于外部系统日志服务器,主机名必须从初始数据包(触发会话建立)的相同路由实例到达。您只能指定一个系统日志记录主机名。
从 Junos OS 17.4R1 开始,您最多可以为层次结构下的 ms [edit interfaces interface-name services-options]
接口的每个服务集配置四个系统日志服务器(本地系统日志主机和远程系统日志收集器组合)。
表 2 列出了您可以在层级的配置语句中 [edit interfaces interface-name services-options syslog host hostname]
指定的严重性级别。从 到 emergency
的 info
级别从最高严重性(对工作的影响最大)到最低。
严重性级别 |
描述 |
---|---|
|
包括所有严重性级别 |
|
导致路由器停止运行的系统恐慌或其他情况 |
|
需要立即纠正的情况,例如系统数据库损坏 |
|
硬盘错误等关键情况 |
|
后果一般比紧急、提示和关键级别中的错误更少的错误情况 |
|
需要监控的情况 |
|
不是错误但可能需要特殊处理的情况 |
|
事件或无关注条件 |
建议在正常运行期间将系统日志记录严重性级别 error
设置为 。要监控 PIC 资源使用情况,请将 级别设置为 warning
。要收集在检测到入侵检测系统错误时入侵攻击的信息,请为特定 notice
接口将级别设置为 。要调试配置或日志网络地址转换 (NAT) 功能,请将 级别设置为 info
。
有关系统日志消息的信息,请参阅 系统日志浏览器 。
要使用一个特定设备代码记录到指定系统日志 facility-override
主机的所有操作,请包含 层级的 [edit interfaces interface-name services-options syslog host hostname]
语句:
[edit interfaces interface-name services-options] facility-override facility-name;
支持的设施包括 authorization
、 daemon
ftp
、 user
kernel
local0
和 到 。local7
要指定所有记录到此系统日志主机的文本前缀,请包含 log-prefix
层级的 [edit interfaces interface-name services-options syslog host hostname]
语句:
[edit interfaces interface-name services-options] log-prefix prefix-value;
另请参阅
在 MS-MPC 和 MS-MIC 上配置 TLS 系统日志协议
传输层安全 (TLS) 概述
从 Junos OS 19.1R1 开始,您可以为 MX 路由器的 MS-MPC 或 MS-MIC 服务卡上运行的服务生成的系统日志消息配置 传输层 安全 (TLS)。这些服务可能是以下其中一项:
Junos Address Aware(以前称为 NAT)
Junos VPN Site Secure(以前称为 IPsec 功能)
Junos Network Secure(以前称为状态防火墙功能)
传输层安全 (TLS) 是一种为互联网提供加密技术的应用程序级协议。TLS 依赖证书和私钥交换对实现此安全级别。这是要求通过网络安全交换数据的应用程序的最广泛使用的安全协议,例如文件传输、VPN 连接、即时消息和 IP 语音 (VoIP)。
TLS 协议用于证书交换、互认证和协商密码,以确保流免遭潜在篡改和窃听。TLS 有时称为 安全套接字层 (SSL)。TLS 和 SSL 不可互操作,但是 TLS 当前提供了一些向后兼容性。
TLS 的好处
TLS 结合隐私、认证、机密性和数据完整性,确保在客户端和服务器之间安全地传输数据。
TLS 的三项基本服务
TLS 协议旨在为上面运行的应用程序提供三种基本服务:加密、身份验证和数据完整性。
加密 — 为了建立加密安全的数据通道,服务器和客户端必须同意使用哪些密码套件以及用于加密数据的密钥。TLS 协议指定定义明确的握手顺序以执行此交换。TLS 使用公开密钥加密算法,允许客户端和服务器协商共享密钥,而无需相互建立之前的知识,并且通过未加密的通道进行协商。
认证 — 作为 TLS 握手的一部分,协议允许服务器和客户端认证其身份。客户端与服务器之间的隐式信任(因为客户端接受服务器生成的证书)是 TLS 的一个重要方面。服务器身份验证不会受到影响,这一点极为重要;但实际上,具有异常的自签名证书和证书是丰富的。异常可能包括已过期的证书、与域名不匹配的常用名称实例,等等。
完整性 — 进行加密和身份验证后,TLS 协议将执行消息成帧机制,并使用消息认证代码 (MAC) 标记每条消息。MAC 算法执行有效的校验和,密钥在客户端和服务器之间协商。
TLS 握手
每个 TLS 会话以握手开始,在此期间,客户端和服务器就特定安全密钥以及用于该会话的加密算法达成一致。此时,客户端也将对服务器进行验证。或者,服务器也可对客户端进行验证。握手完成后,可以开始传输加密数据。
使用 TLS 加密系统日志流量
TLS 协议可确保系统日志消息安全地通过网络发送和接收。TLS 使用证书对通信进行身份验证和加密。客户端通过请求其证书和公钥来认证服务器。服务器也可从客户端请求证书,因此也可进行相互认证。
服务器上标识服务器的证书以及服务器颁发的证书授权机构 (证书颁发机构) 证书必须可用于客户端,供 TLS 加密系统日志流量。
对于客户端和服务器之间的相互认证,必须在服务器上提供用于识别客户端的证书证书颁发机构客户端颁发的证书。相互认证可确保系统日志服务器仅接受来自授权客户端的日志消息。
TLS 用作安全传输,用于应对系统日志下面列出的所有主要威胁:
对消息内容进行反披露的机密性。
逐跳对消息进行完整性检查以对抗对消息的修改。
用于应对伪装的服务器或相互认证。
TLS 版本
以下是 TLS 的版本:
TLS 版本 1.0 — 在通信应用程序之间提供隐私和数据完整性,从而提供安全的网络通信
TLS 版本 1.1 — 此增强型 TLS 版本可抵御密码阻止链接 (CBC) 攻击。
TLS 版本 1.2 — 这种增强的 TLS 版本提高了协商加密算法的灵活性。
用于系统日志消息的 TLS 传输协议配置概述
从 Junos OS 19.1R1 版开始,您可以将 MX 系列路由器 配置为对服务在 MX 系列路由器 MPC 或 MS-MIC 服务卡中运行的服务生成的系统日志消息使用 传输层 安全 (TLS)。
以下服务包预装且预配置在 MS-MICS 和 MS-MPC 上:
Junos Traffic Vision(以前称为 Jflow)
Junos Address Aware(以前称为 NAT 功能)
Junos VPN Site Secure(以前称为 IPsec 功能)
Junos Network Secure(以前称为有状态防火墙功能)
Junos服务加密基本 PIC 包
Junos服务应用级别网关
您最多可以为每个组服务配置四个系统日志服务器,并将加密数据发送到服务器。
系统日志消息通过为给定的一组唯一配置参数创建的专用连接发送:
源 IP 地址
目标 IP 地址(TCP/TLS 服务器)
港口
SSL 配置文件名称(用于 TLS 连接)
注意:如果 ssl-profile 未在 tcp-log 层次结构下配置,则它是非 TLS TCP 传输。
如果有多个服务集使用与上述参数相同的参数执行 TCP/TLS 日志记录配置,则从所有服务集的会话生成的日志将共享相同的连接。
此功能同时支持 IPv4 和 IPv6。
即使没有记录事件,配置的 TCP/TLS 连接也一直保持连接,直到存在配置。
TCP/TLS 系统日志配置支持仅在数据平面上安全可靠地日志记录。
对于有多个活动成员的聚合多服务 (AMS),每个成员将创建单独的 TCP/TLS 连接,并且每个成员 PIC 生成的系统日志都通过其唯一连接发送。
为系统日志消息配置 TCP/TLS
您可以使用 TCP/TLS 传输协议以可靠、安全的方式将系统日志消息发送到外部系统日志服务器。
要配置系统日志消息的 TCP/TLS 协议: