电源模式 IPsec
通过电源模式 IPsec 提高 IPsec 性能
PowerMode IPsec (PMI) 是一种操作 模式,它使用矢量数据包处理和英特尔高级加密标准新指令 (AES-NI) 提供 IPsec 性能改进。PMI 利用数据包转发引擎内部的一个小软件块来绕过流处理,并利用 AES-NI 指令集来优化启用 PMI 时激活的 IPsec 处理性能。
采购经理人指数处理
您可以启用或禁用 PMI 处理:
- 使用
set security flow power-mode-ipsec配置模式命令启用 PMI 处理。 - 使用
delete security flow power-mode-ipsec配置模式命令禁用 PMI 处理。执行此命令将从配置中删除语句。
对于SRX4100,启用或禁用 PMI 后,SRX4200运行 Junos OS 18.4R1 版的设备、运行 Junos OS 20.4R1 版的SRX4600系列防火墙以及运行 Junos OS 18.3R1 版的 vSRX 虚拟防火墙,必须重新启动设备才能使配置生效。但是,对于运行 Junos OS 19.2R1 版SRX5000 系列和 vSRX 虚拟防火墙实例,不需要重新启动。
采购经理人指数统计
您可以使用操作模式命令验证 show security flow pmi statistics PMI 统计信息。
您可以使用操作模式命令验证 show security flow status PMI 和胖隧道状态。
高级加密标准新指令 (AES-NI) 和内联现场可编程门阵列 (FPGA)
从 Junos OS 20.4R1 版 开始,您可以使用 AES-NI 增强 PMI 性能。PMI 模式下的 AES-NI 有助于平衡 SPU 中的负载,并支持 SPC3 卡中的对称胖隧道。这样可以提高 IPsec VPN 的流量处理性能和吞吐量。PMI使用AES-NI 进行加密,使用FPGA解密加密操作。
要使用 AES-NI 启用 PMI 处理,请在层次结构级别包含power-mode-ipsec[edit security flow]语句。
要启用或禁用内联 FPGA,请在层次结构级别包含 inline-fpga-crypto (disabled | enabled) 语句 [edit security forwarding-process application-services] 。
PMI 支持和不支持的功能
隧道会话可以是 PMI,也可以是非 PMI。
如果会话配置了 和 表 2中表 1列出的任何不受支持的功能,则该会话将被标记为非 PMI,隧道将进入非 PMI 模式。隧道进入非 PMI 模式后,隧道不会返回到 PMI 模式。
表 1 总结了 SRX 系列防火墙上支持和不支持的 PMI 功能。
PMI 中支持的功能 |
PMI 中不支持的功能 |
|---|---|
互联网密钥交换 (IKE) 功能 |
IPsec-in-IPsec 隧道 |
带有流量选择器的自动VPN |
第 4 层 - 7 层应用:应用程序防火墙和 AppSecure |
高可用性 |
GPRS 隧道协议 (GTP) 和流控制传输协议 (SCTP) 防火墙 |
IPv6 |
主机流量 |
有状态防火墙 |
组播 |
st0 接口 |
嵌套隧道 |
流量选择器 |
筛选选项 |
NAT-T |
DES-CBC 加密算法 |
具有TEID分布和非对称脂肪隧道解的GTP-U场景 |
3DES-CBC 加密算法 |
服务质量 (QoS) |
应用层网关 (ALG) |
|
第一路径和快速路径处理,用于片段处理和统一加密。 |
HMAC-SHA-384 身份验证算法 |
| NAT |
HMAC-SHA-512 身份验证算法 |
AES-GCM-128 和 AES-GCM-256 加密算法。我们建议您使用 AES-GCM 加密算法以获得最佳性能。 |
|
| 采用 SHA1 加密算法的 AES-CBC-128、AES-CBC-192 和 AES-CBC-256 采用 HMAC-SHA1-96 身份验证算法的加密算法 |
|
| 采用 SHA2 加密算法的 AES-CBC-128、AES-CBC-192 和 AES-CBC-256 采用 HMAC-SHA-256-128 认证算法的加密算法 |
|
NULL 加密算法 |
|
表 2 汇总了 MX-SPC3 服务卡上支持和不支持的 PMI 功能。
MX-SPC3 服务卡不支持 np 缓存和 IPsec 会话关联。
PMI 中支持的功能 |
PMI 中不支持的功能 |
|---|---|
互联网密钥交换 (IKE) 功能 |
第 4 层 - 7 层应用:应用程序防火墙、AppSecure 和 ALG |
AutoVPN 带流量选择器、ADVPN |
组播 |
高可用性 |
嵌套隧道 |
IPv6 |
筛选选项 |
有状态防火墙 |
应用层网关 (ALG) |
|
st0 接口 |
HMAC-SHA-384 身份验证算法 |
|
流量选择器 |
HMAC-SHA-512 身份验证算法 |
失效对等体检测 (DPD) |
|
防重放检查 |
|
NAT |
|
片段后/片段前 |
|
传入的明文片段和 ESP 片段 |
|
AES-GCM-128 和 AES-GCM-256 加密算法。我们建议您使用 AES-GCM 加密算法以获得最佳性能。 |
|
| 采用 SHA1 加密算法的 AES-CBC-128、AES-CBC-192 和 AES-CBC-256 采用 HMAC-SHA1-96 身份验证算法的加密算法 |
|
| 采用 SHA2 加密算法的 AES-CBC-128、AES-CBC-192 和 AES-CBC-256 采用 HMAC-SHA-256-128 认证算法的加密算法 |
|
NULL 加密算法 |
请注意 PMI 的以下使用注意事项:
- Antireplay window size
默认情况下,防重放窗口大小为 64 个数据包。如果配置胖隧道,则建议将防重放窗口大小增加到大于或等于 512 个数据包。
- Class of Service (CoS)
- 从 Junos OS 19.1R1 版开始,服务等级 (CoS) 支持在 SRX5K-SPC3 服务处理卡 (SPC) 卡上的 PMI 中配置行为聚合 (BA) 分类器、多域 (MF) 分类器和重写规则函数。
如果为流会话启用 PMI,则会基于每个流执行 CoS。这意味着,新流的第一个数据包在流会话中缓存 CoS 信息。然后,流的后续数据包会重用会话中缓存的 CoS 信息。
- Encryption algorithm
Junos OS 19.3R1 版支持 PMI 模式下的 SRX4100、SRX4200 和 vSRX 虚拟防火墙上的选项 aes-128-cbc、aes-192-cbc 和 aes-256-cbc,以提高 IPsec 性能,以及正常模式下的现有支持。
- GTP-U
- 从 Junos OS 19.2R1 版开始,PMI 通过 TEID 分布和非对称脂肪隧道解决方案支持 GTP-U 方案。
- 从 Junos OS 19.3R1 版开始,具有 TEID 分布和非对称脂肪隧道解决方案的 GTP-U 场景以及 vSRX 虚拟防火墙和 vSRX 虚拟防火墙上的软件接收端扩展功能。
- LAG and redundant (reth) interfaces
- 链路聚合组 (LAG) 和冗余以太网 (reth) 接口支持 PMI。
- PMI fragmentation check
PMI 执行碎片前和碎片后检查。如果 PMI 检测到分段前和分段后的数据包,则不允许数据包通过 PMI 模式。数据包将返回到非 PMI 模式。
接口上接收的任何片段都不会通过 PMI。
- PMI for NAT-T
- 只有配备 SRX5K-SPC3 服务处理卡 (SPC) 或 vSRX 虚拟防火墙的SRX5400、SRX5600 SRX5800线路支持 NAT-T 的 PMI。
- PMI support (vSRX)
从 Junos OS 19.4R1 版开始,vSRX 虚拟防火墙实例支持:
用于 PMI 模式下 GTP-U 流量的每流 CoS 功能。
PMI 模式下的 CoS 功能。PMI 模式支持以下 CoS 功能:
分类
重写规则函数
排队
成型
调度
PMI的优势
增强了 IPsec 的性能。
配置安全流 PMI
以下部分介绍如何配置安全流 PMI。
要配置安全流 PMI,您必须在 IOC 和会话亲缘关系上启用会话缓存:
在 IOC(IOC2 和 IOC3)上启用会话缓存
user@host# set chassis fpc <fpc-slot> np-cache
启用 VPN 会话相关性
user@host# set security flow load-distribution session-affinity ipsec
在 PMI 中创建安全流。
user@host#set security flow power-mode-ipsec
输入命令确认
show security您的配置。user@host# show security flow { power-mode-ipsec; }
了解对称脂肪 隧道
若要提高 IPsec 隧道的吞吐量,可以使用胖隧道技术。
从 Junos OS 版本 19.4R1 开始,您可以使用 SRX5K-SPC3 服务卡和 vSRX 虚拟防火墙实例在SRX5400、SRX5600和SRX5800线上配置胖 IPsec 隧道。
从 Junos OS 21.1R1 版开始,您可以在 MX-SPC3 服务卡上配置胖 IPsec 隧道。
引入了一个新的 CLI 命令来启用胖 IPsec 隧道。默认情况下,胖 IPsec 隧道功能处于禁用状态。引入的新 CLI 命令位于 fat-core 层次结构中 set security distribution-profile 。启用胖核心时,将显示以下配置:
security {
distribution-profile {
fat-core;
}
}
在配置胖 IPsec 隧道之前,请确保配置了以下内容。
-
对于快速路径转发,请使用命令为
set chassis fpc FPC slot np-cache会话信息配置 IOC 缓存。 -
若要启用会话相关性,请使用
set security flow load-distribution session-affinity ipsec命令。 -
要启用电源模式,请使用
set security flow power-mode-ipsec命令。
另请参阅
示例:在 PMI 中配置行为聚合分类器
此示例说明如何为 SRX 系列防火墙配置行为聚合 (BA) 分类器,以确定 PMI 中数据包的转发处理。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙。
Junos OS 19.1R1 及更高版本。
准备工作:
确定默认情况下分配给要为行为聚合分类器配置的每个已知 DSCP 的转发类和 PLP。
概述
配置行为聚合分类器,以将包含有效 DSCP 的数据包分类到相应的队列。配置后,您可以将行为聚合分类器应用于正确的接口。您可以通过定义分类器并将其应用于逻辑接口来覆盖默认 IP 优先级分类器。若要为所有代码点类型定义新的分类器,请在层次结构级别包含 classifiers 该语句 [edit class-of-service] 。
在此示例中,将 DSCP 行为聚合分类器设置为 ba-classifier 默认 DSCP 映射。将尽力而为转发类 be-class设置为 ,将加速转发类 ef-class设置为 ,将保证转发类 af-class设置为 ,将网络控制转发类 nc-class设置为 。最后,将行为聚合分类器应用于接口 ge-0/0/0。
表 2 显示了行为聚合分类器如何将丢失优先级分配给四个转发类中的传入数据包。
MF 分类器转发类 |
对于 CoS 流量类型 |
BA 分类器作业 |
|---|---|---|
|
尽力而为流量 |
高优先级代码点:000001 |
|
加速转发流量 |
高优先级代码点:101111 |
|
有保证的转发流量 |
高优先级代码点:001100 |
|
网络控制流量 |
高优先级代码点:110001 |
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 101111 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001100 set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points 110001 set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
程序
分步过程
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要在 PMI 中为设备配置行为聚合分类器:
配置服务等级。
[edit] user@host# edit class-of-service
为差分服务 (DiffServ) CoS 配置行为聚合分类器。
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
配置尽力而为的转发类分类器。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be-class loss-priority high code-points 000001
配置加速转发类分类器。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 101111
配置有保证的转发类分类器。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class af-class loss-priority high code-points 001100
配置网络控制转发类分类器。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class nc-class loss-priority high code-points 110001
将行为聚合分类器应用于接口。
[edit] user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
结果
在配置模式下,输入 show class-of-service 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
要确认配置工作正常,请执行以下任务:
验证分类器是否已应用于接口
目的
确保分类器应用于正确的接口。
操作
在操作模式下,输入 show class-of-service interface ge-0/0/0 命令。
user@host> show class-of-service interface ge-0/0/0 Physical interface: ge-0/0/0, Index: 144 Queues supported: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge-1/0/3, Index: 333 Object Name Type Index Classifier v4-ba-classifier dscp 10755
意义
接口按预期配置。
示例:在 PMI 中为 vSRX 虚拟防火墙实例配置行为聚合分类器
此示例说明如何为 vSRX 虚拟防火墙实例配置行为聚合 (BA) 分类器,以确定 PMI 中数据包的转发处理。
要求
此示例使用以下硬件和软件组件:
vSRX 虚拟防火墙实例。
Junos OS 19.4R1 及更高版本。
准备工作:
确定默认情况下分配给要为行为聚合分类器配置的每个已知 DSCP 的转发类和丢包优先级 (PLP)。
概述
配置行为聚合分类器,以将包含有效 DSCP 的数据包分类到相应的队列。配置后,您可以将行为聚合分类器应用于正确的接口。您可以通过定义分类器并将其应用于逻辑接口来覆盖默认 IP 优先级分类器。若要为所有代码点类型定义新的分类器,请在层次结构级别包含 classifiers 该语句 [edit class-of-service] 。
在此示例中,将 DSCP 行为聚合分类器设置为 ba-classifier 默认 DSCP 映射。将尽力而为转发类 be-class设置为 ,将加速转发类 ef-class设置为 ,将保证转发类 af-class设置为 ,将网络控制转发类 nc-class设置为 。最后,将行为聚合分类器应用于接口 ge-0/0/0。
表 2 显示了行为聚合分类器如何将丢失优先级分配给四个转发类中的传入数据包。
MF 分类器转发类 |
对于 CoS 流量类型 |
BA 分类器作业 |
|---|---|---|
|
尽力而为流量 |
高优先级代码点:000001 |
|
加速转发流量 |
高优先级代码点:101111 |
|
有保证的转发流量 |
高优先级代码点:001100 |
|
网络控制流量 |
高优先级代码点:110001 |
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af11 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af31 set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21 set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6 set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50 set class-of-service drop-profiles drop_profile fill-level 50 drop-probability 100 set class-of-service forwarding-classes queue 0 be set class-of-service forwarding-classes queue 1 ef set class-of-service forwarding-classes queue 2 low_delay set class-of-service forwarding-classes queue 3 low_loss set class-of-service interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice set class-of-service schedulers voice buffer-size temporal 5k set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
程序
分步过程
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要在 PMI 中为设备配置行为聚合分类器:
配置服务等级。
[edit] user@host# edit class-of-service
为差分服务 (DiffServ) CoS 配置行为聚合分类器。
[edit class-of-service] user@host# edit classifiers dscp ba-classifier
配置尽力而为的转发类分类器。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be loss-priority low code-points be
配置加速转发类分类器。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority low code-points ef user@host# set forwarding-class ef-class loss-priority high code-points af41 user@host# set forwarding-class ef-class loss-priority high code-points af11 user@host# set forwarding-class ef-class loss-priority high code-points af31 user@host# set forwarding-class low_delay loss-priority low code-points af21 user@host# set forwarding-class low_loss loss-priority low code-points cs6
配置丢弃配置文件。
[edit class-of-service drop-profiles] user@host# set drop_profile fill-level 20 drop-probability 50 user@host# set drop_profile fill-level 50 drop-probability 100
配置转发类队列。
[edit class-of-service forwarding-classes ] user@host# set queue 0 be user@host# set queue 1 ef user@host# set queue 2 low_delay user@host# set 3 low_loss
将分类器应用于接口。
[edit class-of-service] user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
配置调度程序。
[edit class-of-service] user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice user@host# set schedulers voice buffer-size temporal 5k user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
结果
在配置模式下,输入 show class-of-service 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile drop_profile;
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
要确认配置工作正常,请执行以下任务:
验证分类器是否已应用于接口
目的
验证分类器配置是否正确,并确认转发类配置正确。
操作
在操作模式下,输入 show class-of-service forwarding-class 命令。
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority be 0 0 0 low normal low ef 1 1 1 low normal low low_delay 2 2 2 low normal low low_loss 3 3 3 low normal low
意义
输出显示配置的自定义分类器设置。
示例:为 PMI 中的多域分类器配置和应用防火墙过滤器
此示例说明如何配置防火墙过滤器,以通过在 PMI 中使用 DSCP 值和多域 (MF) 分类器将流量分类到不同的转发类。
分类器会在到达接口时检测与服务等级 (CoS) 相关的数据包。当简单行为聚合 (BA) 分类器不足以对数据包进行分类、对等路由器未标记 CoS 位或对等路由器的标记不受信任时,将使用 MF 分类器。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙。
Junos OS 19.1R1 及更高版本。
准备工作:
确定默认情况下分配给要为 MF 分类器配置的每个已知 DSCP 的转发类。请参阅 使用 PowerMode IPsec 提高 IPsec 性能。
概述
此示例说明如何配置防火墙过滤器 mf-classifier。要配置 MF 分类器,请创建并命名有保证的转发流量类,设置匹配条件,然后将目标地址指定为 192.168.44.55。创建转发类以确保将 DiffServ 流量转发为 af-class ,并将丢失优先级设置为低。
在此示例中,创建并命名加速转发流量类,并设置加速转发流量类的匹配条件。将目标地址指定为 192.168.66.77。创建用于加速转发 DiffServ 流量 ef-class 的转发类,并将监管器设置为 ef-policer。创建并命名网络控制流量类并设置匹配条件。
在此示例中,为网络控制流量类 nc-class 创建转发类并将其命名为 ,并将尽力而为流量类的转发类命名为 be-class。最后,将多域分类器防火墙过滤器作为输入和输出过滤器应用于需要该过滤器的每个面向客户或面向主机的过滤器。在此示例中,输入滤波器的接口为 ge-0/0/2,输出滤波器的接口为 ge-0/0/4。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set firewall filter mf-classifier interface-specific set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55 set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class set firewall filter mf-classifier term assured-forwarding then loss-priority low set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77 set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class set firewall filter mf-classifier term expedited-forwarding then policer ef-policer set firewall filter mf-classifier term network-control from precedence net-control set firewall filter mf-classifier term network-control then forwarding-class nc-class set firewall filter mf-classifier term best-effort then forwarding-class be-class set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
程序
分步过程
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要在 PMI 中为设备的多域分类器配置防火墙过滤器,请执行以下操作:
创建并命名多字段分类器筛选器。
[edit] user@host# edit firewall filter mf-classifier user@host# set interface-specific
创建并命名有保证的转发流量类的术语。
[edit firewall filter mf-classifier] user@host# edit term assured-forwarding
指定有保证的转发流量的目标地址。
[edit firewall filter mf-classifier term assured-forwarding] user@host# set from destination-address 192.168.44.55
创建转发类并为有保证的转发流量类设置丢失优先级。
[edit firewall filter mf-classifier term assured-forwarding] user@host# set then forwarding-class af-class user@host# set then loss-priority low
创建并命名加速转发流量类的术语。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term expedited-forwarding
指定加速转发流量的目标地址。
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set from destination-address 192.168.66.77
创建转发类并为加速转发流量类应用监管器。
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set then forwarding-class ef-class user@host# set then policer ef-policer
创建并命名网络控制流量类的术语。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term network-control
为网络控制流量类创建匹配条件。
[edit firewall filter mf-classifier term network-control] user@host# set from precedence net-control
创建并命名网络控制流量类的转发类。
[edit firewall filter mf-classifier term network-control] user@host# set then forwarding-class nc-class
创建并命名尽力而为流量类的术语。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term best-effort
创建并命名尽力而为流量类的转发类。
[edit firewall filter mf-classifier term best-effort] user@host# set then forwarding-class be-class
将多字段分类器防火墙过滤器应用为输入过滤器。
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
应用多字段分类器防火墙过滤器作为输出过滤器。
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
结果
在配置模式下,输入 show firewall filter mf-classifier 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
在配置模式下,输入 show interfaces 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
filter {
output mf-classifier;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
要确认配置工作正常,请执行以下任务:
验证多域分类器配置的防火墙过滤器
目的
验证设备上是否正确配置了多字段分类器的防火墙过滤器,并确认转发类配置正确。
操作
从配置模式,输入 show class-of-service forwarding-class 命令。
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
意义
输出显示配置的自定义分类器设置。
示例:在 PMI 中的安全设备上配置和应用重写规则
此示例说明如何在 PMI 中为设备配置和应用重写规则。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙。
Junos OS 19.1R1 及更高版本。
准备工作:
创建和配置转发类。请参阅 使用 PowerMode IPsec 提高 IPsec 性能。
概述
此示例说明如何配置重写规则,以将从客户或主机接收的数据包的 CoS 值替换为其他 SRX 系列防火墙所需的值。如果收到的数据包已包含有效的 CoS 值,则不必配置重写规则。重写规则应用设备内部使用的转发类信息和丢包优先级,以在出站数据包上建立 CoS 值。配置重写规则后,将其应用于正确的接口。
在此示例中,将 DiffServ CoS rewrite-dscps的重写规则配置为 。尽力而为转发类指定为 be-class,将加速转发类指定为 ef-class,将保证转发类指定为 af-class,将网络控制类指定为 nc-class。最后,将重写规则应用于 ge-0/0/0 接口。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit 。
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
程序
分步过程
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要在 PMI 中为设备配置和应用重写规则:
为 DiffServ CoS 配置重写规则。
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
配置尽力而为转发类重写规则。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
配置加速转发类重写规则。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
配置有保证的转发类重写规则。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
配置网络控件类重写规则。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
将重写规则应用于接口。
[edit class-of-service] user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
结果
在配置模式下,输入 show class-of-service 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
要确认配置工作正常,请执行以下任务:
验证重写规则配置
目的
验证是否正确配置了重写规则。
操作
在操作模式下,输入 show class-of-service 命令。
user@host> show class-of-service Physical interface: ge-0/0/0, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge0/0/0, Index: 71 Object Name Type Index Classifier ipprec-compatibility ip 13
意义
按预期在 ge-0/0/0 接口上配置重写规则。
在 PMI 中配置 IPsec ESP 仅身份验证模式
PMI 引入了一条新的数据路径来实现高 IPsec 吞吐量性能。从 Junos OS 19.4R1 版开始SRX5000与 SRX5K-SPC3 卡配合使用仅封装安全有效负载 (ESP) 验证模式,无需加密数据包即可提供认证、完整性检查和重放保护。
从 Junos OS 22.1R3 版开始,我们支持 SRX 系列防火墙上对直通 ESP 流量进行 PMI 快速路径处理。
准备工作:
确保会话支持 PMI。请参阅 VPN 会话关联 。
要配置仅 ESP 身份验证模式: