Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren des Port Control Protocol

In diesem Thema wird beschrieben, wie das Port Control Protocol (PCP) konfiguriert wird. PCP wird auf den MultiServices-PICs MS-DPC, MS-100, MS-400 und MS-500 unterstützt. Ab Junos OS Version 17.4R1 wird PCP für NAPT44 auch auf MS-MPC und MS-MIC unterstützt. Ab Junos OS Version 18.2R1 unterstützt PCP auf MS-MPC und MS-MIC DS-Lite. In Junos OS Version 18.1 und früheren Versionen unterstützt PCP auf MS-MPC und MS-MIC DS-Lite nicht. Ab Junos OS Version 20.2R1 wird PCP auf der MX-SPC3-Sicherheitsservicekarte für CGNAT-Services unterstützt.

Führen Sie die folgenden Konfigurationsaufgaben aus:

Konfigurieren von PCP-Serveroptionen

  1. Geben Sie einen PCP-Servernamen an.
  2. Legen Sie die IPv4- oder IPv6-Adressen des Servers fest. Bei PCP DS-Lite muss die ipv6-address Adresse mit der Adresse des AFTR (Address Family Transition Router oder Softwire Concentrator) übereinstimmen.
    Anmerkung:

    Ab Junos OS Version 18.2R1 unterstützt PCP auf MS-MPC und MS-MIC DS-Lite. In Junos OS Version 18.1 und früheren Versionen unterstützt PCP auf MS-MPC und MS-MIC DS-Lite nicht.

    oder

  3. Geben Sie für PCP DS-Lite den Namen der DS-Lite Softwire-Konzentratorkonfiguration an.
  4. Geben Sie die minimale und maximale Zuordnungslebensdauer für den Server an.
  5. Geben Sie die Zeitlimits für das Generieren von Fehlern mit kurzer oder langer Lebensdauer an.
  6. (Optional): Aktivieren Sie die PCP-Optionen auf dem angegebenen PCP-Server. Die folgenden Optionen stehen zur Verfügung:third-party und prefer-failure. Die Drittanbieteroption ist erforderlich, um Drittanbieteranforderungen durch den PCP-Client zu aktivieren. DS-Lite erfordert diese third-party Option. Die prefer-failure Option fordert die Generierung einer Fehlermeldung an, wenn der PCP-Client eine bestimmte IP-Adresse/einen bestimmten Port anfordert, die nicht verfügbar ist, anstatt eine andere verfügbare Adresse aus dem NAT-Pool zuzuweisen. Wenn prefer-failure dies nicht angegeben ist, weist NAPT44 basierend auf den konfigurierten NAT-Optionen eine verfügbare Adresse/einen verfügbaren Port aus dem NAT-Pool zu.
  7. (Optional): Geben Sie an, welcher NAT-Pool für die Zuordnung verwendet werden soll.
    Anmerkung:

    Wenn Sie nicht explizit einen NAT-Pool für die Zuordnung angeben, führt das Junos OS eine teilweise Regelübereinstimmung basierend auf der Quell-IP, dem Quellport und dem Protokoll durch, und das Junos OS verwendet den NAT-Pool, der für die erste Abgleichsregel konfiguriert ist, um Zuordnungen für PCP zuzuweisen.

    Sie müssen eine explizite Konfiguration verwenden, um mehrere NAT-Pools verwenden zu können.

    Für die MX-SPC3-Sicherheitsservices-Karte und die Next-Gen-Services unterstützt die Anweisung nur einen Poolnamen, der nat-options an einen PCP-Server angehängt werden kann.
  8. (Optional): Konfigurieren Sie die maximale Anzahl von Zuordnungen pro Client. Der Standardwert ist 32 und der Höchstwert ist 128.

Konfigurieren einer PCP-Regel

Eine PCP-Regel verfügt über die gleichen grundlegenden Optionen wie alle Service-Set-Regeln:

  • Eine term Option, mit der eine einzelne Regel mehrere Anwendungen verwenden kann.

    Beim Ausführen der MX-SPC3-Sicherheitsserviceskarte für Services der nächsten Generation ist keine Laufzeit erforderlich.

  • Eine from Option, die den Datenverkehr identifiziert, der der Regel unterliegt.

  • Eine then Option, die angibt, welche Aktion zu ergreifen ist. Im Falle einer PCP-Regel identifiziert diese Option den PCP-Server, der den ausgewählten Datenverkehr verarbeitet

  1. Gehen Sie auf die Hierarchieebene [edit services pcp rule rule-name] und geben Sie die Eingabe an match-direction .
  2. Wechseln Sie zur Hierarchieebene [edit services pcp rule rule-name term term-name] , und geben Sie einen Benennungsnamen an.

    Dieser Schritt ist nicht erforderlich, wenn die MX-SPC3-Sicherheitsserviceskarte für Services der nächsten Generation ausgeführt wird.

  3. (Optional): Geben Sie eine from Option an, um den Datenverkehr zu filtern, der von der Regel für die Verarbeitung ausgewählt werden soll. Wenn Sie die Option weglassen, unterliegt der from gesamte Datenverkehr, der von der Dienstschnittstelle des Servicesatzes verarbeitet wird, der Regel. Auf der [edit services pcp rule rule-name term term-name from] Hierarchieebene stehen Ihnen folgende Optionen zur Verfügung:
    application-sets set-name

    Der Datenverkehr für die Anwendungsmenge wird von der PCP-Regel verarbeitet.

    Dieser Schritt ist nicht erforderlich, wenn die MX-SPC3-Sicherheitsserviceskarte für Services der nächsten Generation ausgeführt wird.
    applications [ application-name ]

    Der Datenverkehr für die Anwendung wird von der PCP-Regel verarbeitet.

    Diese Option ist nicht erforderlich, wenn die MX-SPC3-Sicherheitsservicekarte für Services der nächsten Generation ausgeführt wird.
    destination-address address <except>

    Der Datenverkehr für die Zieladresse oder das Präfix wird von der PCP-Regel verarbeitet. Wenn Sie die except Option einschließen, wird der Datenverkehr für die Zieladresse oder das Präfix nicht von der PCP-Regel verarbeitet.
    destination-address-range high maximum-value low minimum-value <except>

    Der Datenverkehr für den Zieladressbereich wird von der PCP-Regel verarbeitet. Wenn Sie die except Option einschließen, wird der Datenverkehr für den Zieladressbereich nicht von der PCP-Regel verarbeitet.
    destination-port high maximum-value low minimum-value

    Der Datenverkehr für den Zielportbereich wird von der PCP-Regel verarbeitet.

    destination-prefix-list list-name <except>

    Der Datenverkehr für eine Zieladresse in der Präfixliste wird von der PCP-Regel verarbeitet. Wenn Sie die Option einschließen, wird der except Datenverkehr für eine Zieladresse in der Präfixliste nicht von der PCP-Regel verarbeitet.
    source-address address <except>

    Datenverkehr von der Quelladresse oder dem Präfix wird von der PCP-Regel verarbeitet. Wenn Sie die except Option einschließen, wird der Datenverkehr von der Quelladresse oder dem Präfix nicht von der PCP-Regel verarbeitet.
    source-address-range high maximum-value low minimum-value <except>

    Datenverkehr aus dem Quelladressbereich wird von der PCP-Regel verarbeitet. Wenn Sie die except Option einschließen, wird der Datenverkehr aus dem Quelladressbereich nicht von der PCP-Regel verarbeitet.
    source-prefix-list list-name <except>

    Datenverkehr von einer Quelladresse in der Präfixliste wird von der PCP-Regel verarbeitet. Wenn Sie die Option einschließen, wird Datenverkehr except von einer Quelladresse in der Präfixliste nicht von der PCP-Regel verarbeitet.
  4. Legen Sie die then Option zum Identifizieren des Ziel-PCP-Servers fest.

Konfigurieren einer NAT-Regel

So konfigurieren Sie eine NAT-Regel:

  1. Konfigurieren Sie den Namen der NAT-Regel und die Übereinstimmungsrichtung.
  2. Geben Sie den zu verwendenden NAT-Pool an:
  3. Konfigurieren Sie den Übersetzungstyp.
  4. Wenn Sie PCP mit IPv4-zu-IPv4-NAT oder mit DS-Lite verwenden, konfigurieren Sie die endpunktunabhängige Zuordnung (EIM) und die endpunktunabhängige Filterung (EIF).
    Anmerkung:

    Die PCP-Zuordnungen werden nicht erstellt, wenn Sie EIM und EIF nicht mit PCP für IPv4-zu-IPv4-NAT oder für DS-Lite konfigurieren.

Konfigurieren eines Servicesatzes zum Anwenden von PCP

Um PCP zu verwenden, müssen Sie den Regelnamen (oder den Namen einer Liste von Regelnamen) in der pcp-rule rule-name Option angeben.

  1. Wechseln Sie zur Hierarchieebene [edit services service-set service-set-name .
  2. Wenn es sich um einen neuen Servicesatz handelt, geben Sie grundlegende Servicesetinformationen an, einschließlich Schnittstelleninformationen und aller anderen anwendbaren Regeln.
  3. Geben Sie den Namen der PCP-Regel oder -Regelliste an, die zum Senden von Datenverkehr an den angegebenen PCP-Server verwendet wird.
Anmerkung:

Ihr Dienstsatz muss auch alle erforderlichen nat-rule und softwire-rule.

Konfiguration von SYSLOG-Meldungen

Eine neue Syslog-Klasse, Konfigurationsoption, wurde bereitgestellt, pcp-logsum die PCP-Protokollgenerierung zu steuern. Sie bietet die folgenden Protokollierungsebenen:

  • protocol: Alle Protokolle, die sich auf die Erstellung und Löschung von Zuordnungen beziehen, sind auf dieser Protokollierungsebene enthalten.

  • protocol-error—–Alle Protokolle im Zusammenhang mit Protokollfehlern (z. B. Zuordnungsaktualisierung fehlgeschlagen, PCP-Suche fehlgeschlagen, Zuordnungserstellung fehlgeschlagen). sind in dieser Protokollierungsebene enthalten.

  • system-errorSpeicher- und Infrastrukturfehler sind in dieser Protokollierungsstufe enthalten.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
20.2R1
Ab Junos OS Version 20.2R1 wird PCP auf der MX-SPC3-Sicherheitsservicekarte für CGNAT-Services unterstützt.
18.2R1
17.4R1
Ab Junos OS Version 17.4R1 wird PCP für NAPT44 auch auf MS-MPC und MS-MIC unterstützt.