Übersicht über Services der nächsten Generation
Dieses Thema bietet einen Überblick über Services der nächsten Generation und umfasst die folgenden Themen
Übersicht über 5G Universal Router Services
Die universellen 5G-Router unterstützen verschiedene Arten von Serviceschnittstellen, die spezifische Funktionen für die Prüfung, Überwachung und Manipulation des Datenverkehrs bieten, während er einen Router passiert. Services können in Adaptive Services und Services der nächsten Generation kategorisiert werden, wobei jede Kategorie Inline-Serviceschnittstellen und Multiservices-Schnittstellenoptionen bietet. Tabelle 1 listet die Karten auf, die diese Dienste erbringen.
Die MX-SPC3 ersetzt MS-Karten und bietet eine signifikante Gesamtleistungsverbesserung zusammen mit High-End-Skalierbarkeit und -Kapazität.
Universelle Routing-Plattform 5G |
|||||
|---|---|---|---|---|---|
Adaptive Services |
Services der nächsten Generation |
||||
MPC
Inline-Services |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
Inline-Services |
MX-SPC3
|
Adaptive Services können auf MS-DPC-, MS-MPC- und MS-MIC-Karten mit Multiservices (MS) PICs oder Adaptive Services (AS) PIC ausgeführt werden.
Services der nächsten Generation können auf MPC-Karten und der MX-SPC3-Karte für Sicherheitsservices ausgeführt werden.
Inline-Services werden auf Modular Port Concentrators (MPCs) konfiguriert. Inline-Serviceschnittstellen sind virtuelle physische Schnittstellen, die sich auf der Packet Forwarding Engine befinden. Sie bieten eine Hochleistungsverarbeitung des Datenverkehrs, der das MPC passiert, und ermöglichen es Ihnen, die Kapazität und Auslastung Ihrer Gehäusesteckplätze zu maximieren.
Multiservice-Sicherheits-Karten (MS-DPC, MS-MPC, MS-MIC oder MX-SPC3) bieten Services, die auf jeden Datenverkehr angewendet werden können, der das Chassis passiert, über ein einzelnes MPC hinaus. Sie bieten auch dedizierte Verarbeitung zur Unterstützung einer Vielzahl von Sicherheitsfunktionen in großem Umfang und mit hoher Leistung.
Adaptive Services – Übersicht
Adaptive Services laufen inline auf MPCs und auf MS-DPC-, MS-MPC- und MS-MIC-Multiservice-Sicherheitskarten. Mit Adaptive Services (AS) PICs und Multiservices-PICs können Sie mehrere Services auf demselben PIC ausführen, indem Sie eine Reihe von Services und Anwendungen konfigurieren. Die AS- und Multiservices-PICs bieten eine Reihe von Services, die Sie in einem oder mehreren Service-Sets konfigurieren können.
Bei Juniper Networks 5G Universelle Routing-Plattformen bietet der MS-DPC im Wesentlichen die gleichen Funktionen wie der MS-MPC. Die Schnittstellen auf beiden Plattformen sind auf die gleiche Weise konfiguriert.
Weitere Informationen zu adaptiven Diensten, einschließlich Inlinediensten, finden Sie unter Übersicht über adaptive Dienste.
Inline-Services
Adaptive Services verwenden auch Inline-Serviceschnittstellen , um Inline-Services bereitzustellen. Inline-Serviceschnittstellen sind virtuelle Schnittstellen, die sich auf der Packet Forwarding Engine befinden.
Sie konfigurieren Inline-Services nur auf MPCs, indem Sie die Namenskonvention si-fpc/pic/port und nicht die ms-fpc/pic/port Namenskonvention verwenden.
Services der nächsten Generation
Next Gen Services bieten die kombinierten Funktionen von Sicherheitsservices und ermöglichen es Ihnen, den Datenverkehr auf dem Weg durch den Router zu inspizieren, zu überwachen und zu manipulieren. Services der nächsten Generation werden sowohl inline auf Modular Port Concentrators (MPCs) als auch auf der MX-SPC3-Sicherheitsservicekarte in MX240-, MX480- und MX960-Routern unterstützt, die diese Funktion unterstützen. Bitte beachten Sie Tabelle 2, die eine Zusammenfassung der Services der nächsten Generation enthält, die sowohl inline als auch auf der MX-SPC3-Karte unterstützt werden. Inline- und MX-SPC3-basierte Services können gleichzeitig genutzt werden.
Sie konfigurieren Next Gen Services auf der MX-SPC3 Security Services Karte mit der virtuellen Multiservices-Namenskonvention : vms-fpc/pic/port.
Zusammenfassung der von den universellen 5G-Routern der MX-Serie unterstützten Services
Tabelle 2 enthält eine Zusammenfassung der Services, die unter Next Gen Services unterstützt werden.
| Services der nächsten Generation: Inline-Schnittstelle (si-) Schnittstelle und SPC3 |
||||
|---|---|---|---|---|
| Service-Funktion |
Inline-Services |
SPC3 |
||
| Version von Junos OS |
Sub-Service |
Version von Junos OS |
Sub-Service |
|
| CGNAT |
19.3R2 |
Basic-NAT44 und NAT66 Statische Ziel-NAT Twice-NAT44 Basic 6. Softwires NPTv6 |
19.3R2 |
Basic-NAT44 Basis-NAT66 Dynamic-NAT44 Statische Ziel-NAT Grund-NAT-PT NAPT-PT NAPP44 NAPT66 Zuweisung von Portblöcken Deterministic-nat44 und nat64 Endpunktunabhängige Zuordnung (EIM)/Endpunktunabhängige Filterung (EIF) Persistente NAT – Kopplung von Anwendungspools (APP) Twice-NAT44 – Basic, Dynamic und NAPT NAT64 XLAT-464 NPTv6 |
| 20.1R1 |
Port Control Protocol (PCP) – v1 und v2 |
|||
| 20.2R1 |
MAP-E |
DS-Lite NAT46 |
||
| Load Balancer für Datenverkehr |
19.3R2 |
19.3R2 |
||
| SecIntel (ATP-Cloud IP-Bedrohungs-Feeds) |
19.3R2 |
N/A |
||
| Stateful Firewall Services |
N/A |
19.3R2 |
||
| Intrusion Detection Services (IDS) |
N/A |
19.3R2 |
||
| Filterung von DNS-Anfragen |
N/A |
19.3R2 |
||
| Aggregierte Multiservice-Schnittstellen |
N/A |
19.3R2 |
||
| Hohe Verfügbarkeit zwischen den Gehäusen |
N/A |
19.3R2 |
CGNAT, Stateful Firewall, IDS |
|
| URL-Filterung |
N/A |
20.1R1 |
||
| JFlow |
20.1R1 |
N/A |
||
| Drehzahl und TWAMP |
20.1R1 |
N/A |
||
| Videoüberwachung |
20.1R1 |
N/A |
||
| IPsec VPN | N/A | 21.1R1 | Routenbasiertes Site 2-Site-VPN Auf Datenverkehrsauswahl basierende VPNs AutoVPN Routing-Protokolle (BGP/OSPF) über IPsec |
|
| Inline-IPsec | 24,2R1 | N/A | ||
Weitere Informationen zur IPsec-Unterstützung auf der SPC3-Linecard finden Sie unter Konfigurieren von IPsec-VPN auf der MX-SPC3-Servicekarte .
Dokumentation für Services der nächsten Generation
Sie können Services der nächsten Generation auf den MX240-, MX480- und MX960-Routern ausführen, die diese Funktion unterstützen, wenn Sie die SPC3-Servicekarte im Router installiert haben. In unserer TechLibrary finden Sie die gesamte Dokumentation zum Router. Informationen zu Services der nächsten Generation finden Sie in der folgenden Dokumentation:
Informationen zu Services der nächsten Generation und deren Konfiguration finden Sie im Benutzerhandbuch für Serviceschnittstellen der nächsten Generation für Routing-Geräte (dieses Handbuch).
Weitere Informationen zum Installieren oder Ersetzen der SPC3-Karte finden Sie unter MX-Serie 5G Universelle Routing-Plattform Interface Module Reference.
So überwachen Sie Datenströme und Stichprobendatenverkehr: Weitere Informationen finden Sie im Funktionshandbuch für Überwachungs-, Stichproben- und Erfassungsdienstschnittstellen, in dem die Konfiguration der Datenverkehrsflussüberwachung, der Erfassung von Paketflüssen, der Datenverkehrsabtastung für die Abrechnung oder Verwerfung, der Portspiegelung auf ein externes Gerät und der Leistungsüberwachung in Echtzeit beschrieben wird.
Aktivierung von Services der nächsten Generation
Um Next Gen Services ausführen zu können, müssen Sie sie auf dem Router aktivieren. Dadurch kann das Betriebssystem sein eigenes Betriebssystem (OS) für Services der nächsten Generation ausführen.
Es gibt bestimmte Schritte, die Sie ausführen müssen, wenn Sie Ihre Services von Legacy-Servicekarten auf die SPC3 migrieren. Die Next Gen Services CLI unterscheidet sich von diesen Legacy-Services. Weitere Informationen finden Sie unter Konfigurationsunterschiede zwischen adaptiven Services und Services der nächsten Generation.
Kompatibilität mit anderen Servicekarten
Die SPC3 Services Card ist End-to-End kompatibel mit den Switch Fabrics, Routing Engines und MS-MPC Linecards, wie in Tabelle 3 beschrieben.
Switch Fabric |
Routing-Engine |
MPC Linecards |
|---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E und MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E und MPC3E-3D-NG MPC4E-3D MPC5E und MPC5EQ MPC7E und MPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E und MPC5EQ MPC7E und MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
Konfiguration der SPC3 Services Card
Die Schnittstellen auf der SPC3-Servicekarte werden als Virtual Multi Service (vms) PIC bezeichnet. Wenn Sie eine SPC3-Schnittstelle konfigurieren, geben Sie die Schnittstelle wie folgt als vms- Schnittstelle an:
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
Abgesehen von den CLI-Unterschieden müssen Sie die grundlegenden Hardwareunterschiede zwischen Karten vom Multiservices-Typ (MS-DPC, MS-MPC und MS-MIC) und der SPC3-Servicekarte kennen. MS-Karten enthalten vier CPU-Komplexe, während die SPC3-Karte zwar leistungsfähiger ist, aber zwei CPU-Komplexe enthält. Jeder CPU-Komplex bedient ein einzelnes PIC, was bedeutet, dass MS-Karten vier PICs unterstützen, während die SPC3 zwei PIC unterstützt. MS-Karten verwenden spezielle Multiservices (MS) und adaptive Services (AS) PICs, während die PICs auf der SPC3-Karte integriert sind.
Da sich die Anzahl der PICs direkt auf die Anzahl der Schnittstellen auswirkt, müssen Sie möglicherweise jeder Schnittstelle auf dem SPC3 logische Einheiten hinzufügen, um die Anzahl der Schnittstellen auf vier zu erhöhen. Wenn Sie beispielsweise derzeit alle vier Schnittstellen auf der MS-Typkarte verwenden und über einen Servicesatz pro Schnittstelle verfügen, können Sie zwei logische Einheiten pro Schnittstelle auf der SPC3 erstellen, um die Gesamtzahl der Schnittstellen auf vier zu erhöhen, und dann die vier Servicesätze diesen vier logischen Schnittstellen erneut zuordnen.
Methoden zum Anwenden von Services auf den Datenverkehr
Wenn Sie Services der nächsten Generation konfigurieren, können Sie diese Services mit einer der folgenden Methoden anwenden:
Wenden Sie die konfigurierten Services auf Datenverkehr an, der über eine bestimmte Schnittstelle auf dem Router fließt.
Wenden Sie die konfigurierten Services auf Datenverkehr an, der für einen bestimmten nächsten Hop bestimmt ist.
Konfiguration des IPsec-VPN auf der SPC3-Servicekarte
Um IPsec auf der SPC3-Servicekarte zu konfigurieren, verwenden Sie die CLI-Konfigurationsanweisungen auf der Hierarchieebene [edit security], da die IPsec-CLI-Konfiguration auf deredit services [] durch die CLI-Konfiguration auf der Hierarchieebene [Sicherheit bearbeiten] ersetzt wird, wie in Tabelle 4 dargestellt
| Aktuelle MX-Konfiguration | Äquivalente MX-SPC3-Konfiguration |
|---|---|
| Festlegen von Services IPsec-VPN-Trace-Optionen | Festlegen von IKE-Trace-Optionen für Sicherheit |
| Set-Services, IPsec-VPN, IKE-Vorschlag | Sicherheit IKE-Vorschlag festlegen |
| Festlegen der Services IPSEC-VPN IKE-Richtlinie | Festlegen der IKE-Sicherheitsrichtlinie |
| Services festlegen, IPSEC-VPN, IKE-Richtlinie policy-name , respond-bad-spi | Sicherheit IKE Respond-Bad-SPI festlegen |
| Set-Services, IPsec-VPN, IPSec-Vorschlag | IPSec-Vorschlag für Sicherheit festlegen |
| Festlegen der IPSec-VPN-IPSec-Richtlinie für Services | Festlegen einer IPSec-Sicherheitsrichtlinie |
| Festlegen des IPSec-VPN-Regelterms rule-name term-name für Services von [Quelladresse| Zieladresse] | Sicherheits-IPsec-VPN-Datenverkehrsselektor vpn-name selector-name einstellen [local-ip | Remote-ip] |
| Festlegen des IPSec-VPN-Regelbegriffs rule-name term-name für Services aus ipsec-inside-interface | Sicherheit einstellen IPsec VPN vpn-name Bind-Interface |
| Festlegen des IPSec-VPN-Regelterms rule-name term-name für Services und dann Remote-Gateway | Sicherheits-IKE-Gateway-Adresse gw-name festlegen |
| Festlegen des IPSec-VPN-Regelterms rule-name term-name für Services und dann Backup-Remote-Gateway | Sicherheits-IKE-Gateway-Adresse gw-name festlegen |
| Festlegen des IPSec-VPN-Regelterms rule-name term-name für Services und dann der Erkennung von toten Peers | Sicherheit IKE Gateway gw-name Dead-Peer-Erkennung einstellen |
| Festlegen der IPSec-VPN-Regelbedingung rule-name term-name für Services, dann dynamische IKE-Richtlinie | Sicherheit IKE-Gateway gw-nameIKE-Richtlinie festlegen |
| Festlegen des Regelbegriffs rule-name term-name für Services IPSec-VPN, dann der dynamischen IPsec-Richtlinie | Sicherheit IPSec VPN vpn-name ike IPSEC-Richtlinie festlegen |
| Festlegen der IPSec-VPN-Regelbedingung rule-name term-name für Services, dann manuell | Sicherheits-IPsec-VPN-Handbuch vpn-name festlegen |
| Festlegen des IPSec-VPN-Regelbegriffs rule-name term-name für Dienste und dann Clear-Don-T-Fragment-Bit | Sicherheit IPSec VPN vpn-name DF-Bit Clear einstellen |
| Festlegen des IPSec-VPN-Regelbegriffs rule-name term-name für Dienste und Kopieren, Nicht-Fragmentieren des Bits | Sicherheit einstellen IPsec VPN vpn-name DF-Bit Kopie |
| set services ipsec-vpn rule-name rule term term-name , then set-don-not-fragment-bit | Sicherheit einstellen IPsec VPN vpn-name DF-Bit Kopie |
| Festlegen des IPSec-VPN-Regelbegriffs rule-name term-name für Services, dann Tunnel-MTU | Sicherheit einstellen IPsec VPN vpn-name Tunnel-MTU |
| Festlegen der IPSec-VPN-Regelbedingung rule-name term-name für Services, dann kein Anti-Replay | Sicherheit IPSec VPN vpn-name ike no-anti-replay einstellen |
| Festlegen der Übereinstimmungsrichtung der IPSec-VPN-Regel rule-name für Services | Festlegen der IPSec-VPN-Übereinstimmungsrichtung vpn-namefür Sicherheit |
| Dienste festlegen IPSec-VPN Tunnel einrichten | Sicherheit festlegen IPsec VPN vpn-nameTunnel einrichten |
| set services service-set svc-set-name ipsec-vpn-options local-gateway address | Sicherheit IPSec VPN vpn-nameIKE Gateway einstellen gateway-name |
| set services service-set svc-set-name ipsec-vpn-options clear-don-t-fragment-bit | Keine globale Serviceset-Einstellung. Muss pro VPN-Objekt konfiguriert werden. |
| set services service-set svc-set-name ipsec-vpn-options copy-don-t-fragment-bit | Keine globale Serviceset-Einstellung. Muss pro VPN-Objekt konfiguriert werden. |
| set services service-set svc-set-name ipsec-vpn-options set-don't-fragment-bit | Keine globale Serviceset-Einstellung. Muss pro VPN-Objekt konfiguriert werden. |
| set services service-set svc-set-name ipsec-vpn-options udp-encapsulate | set security ipsec vpn vpn-nameudp-encapsulate |
| set services service-set svc-set-name ipsec-vpn-options no-anti-replay | Keine globale Serviceset-Einstellung. Muss pro VPN-Objekt konfiguriert werden. |
| set services service-set svc-set-name ipsec-vpn-options passive-mode-tunneling | Sicherheit einstellen IPsec VPN vpn-name Passive-Mode-Tunneling |
| set services service-set svc-set-name ipsec-vpn-options tunnel-mtu | Keine globale Serviceset-Einstellung. Muss pro VPN-Objekt konfiguriert werden. |
| set services service-set svc-set-name ipsec-vpn-rules festlegen | set services service-set svc-set-name ipsec-vpn-rules festlegen |
| Services setzen IPSec-VPN-Regel <Regelname> Begriff <Begriff-Name> dann Tunnel-MTU | Sicherheit IPSec VPN <VPN-Name> Tunnel-MTU festlegen |
Tunnel-MTU verstehen
Die MTU für st0 liegt auf Schnittstellenebene. Mit der Tunnel-MTU-Funktion erreichen wir MTU auf Tunnel-Ebene. Mit der Tunnel-MTU-Funktion können wir die MTU auf VPN-Objektebene konfigurieren. Sie können Tunnel-mtu so konfigurieren, dass die Tunnel-MTU gesteuert wird, wenn st0 MTU oder IFL MTU nicht konfiguriert ist, wirkt sich dies auf das Verhalten der MTU aus. Die minimale Tunnel-MTU, die Sie für IPv6-Datenverkehr konfigurieren können, beträgt 1390.
Die Tunnel-MTU-Funktion wird auf PMI (Power Mode IPSec) nicht unterstützt. Die Tunnel-mtu-Konfiguration erfolgt auf VPN-Hierarch und nicht auf Datenverkehrsselektorebene, daher gilt die Tunnel-mtu-Konfiguration für alle Tunnel (alle TS), die zu diesem VPN gehören. Die Änderung der Tunnel-MTU-Konfiguration wird als katastrophale Änderung betrachtet (löscht den vorhandenen Tunnel). Eine Konfigurationsänderung von no-icmp-packet-too big wird nicht als katastrophal angesehen.
Die Vor-Fragmentierung erfolgt unter Berücksichtigung des IPsec-Tunnel-Overheads der minimalen Tunnel-MTU-Konfiguration oder AMS außerhalb der IFL-MTU. Für die Post-Fragmentierung muss die MTU auf der externen Schnittstelle festgelegt werden, und die entsprechenden IPsec-Zähler werden für ausgehenden Datenverkehr nicht erhöht. Die Post-Fragmentierung erfolgt durch IOC und nicht durch MX-SPC3-Karte. In MX-SPC3 ist die Standard-st0-MTU für inet und inet6-Familie 9192, es gibt keinen Standardwert für die Tunnel-mtu-Konfiguration in der VPN-Hierarchie. IPv6-Pakete werden auf dem Quellhost fragmentiert und nicht auf Zwischenroutern, sodass die Vor-Fragmentierung nicht für IPv6-Pakete gilt.
Bei IPv4-Paketen tritt der Fehler vor der Fragmentierung, nach der Fragmentierung und ICMP Fragmentation needed and DF set in den folgenden Fällen auf:
- Wenn die innere Paketlänge kleiner ist als die Differenz zwischen Tunnel-MTU und Tunnel-Overhead, tritt keine Fragmentierung auf.
- Wenn die innere Paketlänge größer ist als die Differenz zwischen Tunnel und MTU und dem Tunnel-Overhead und das innere Paket-DF-Bit nicht festgelegt ist, tritt eine Vor-Fragmentierung auf.
- Wenn die innere Paketlänge größer als die Differenz zwischen Tunnel-MTU und Tunnel-Overhead ist und das äußere DF-Bit im Tunnel nicht festgelegt ist, erfolgt eine Kapselung und eine Nach-Fragmentierung.
- Wenn die innere Paketlänge größer ist als die Differenz zwischen Tunnel-MTU und Tunnel-Overhead und sowohl das innere Paket-DF-Bit als auch das äußere Tunnel-DF-Bit festgelegt ist, wird das Paket verworfen und der ICMP-Fehler
Fragmentation Needed and DF Setzurückgesendet.
Bei IPv6-Paketen treten die Fehler vor der Fragmentierung, nach der Fragmentierung und ICMP Packet Too Big in den folgenden Fällen auf:
- Wenn die innere Paketlänge kleiner ist als die Differenz zwischen Tunnel-MTU und Tunnel-Overhead, tritt keine Fragmentierung auf.
- Wenn die innere Paketlänge größer als die Differenz zwischen Tunnel-MTU und Tunnel-Overhead ist und das äußere DF-Bit im Tunnel nicht festgelegt ist, erfolgt eine Kapselung und eine Nach-Fragmentierung.
- Wenn die innere Paketlänge größer ist als die Differenz zwischen Tunnel-MTU und Tunnel-Overhead und das äußere DF-Bit im Tunnel festgelegt ist, wird das Paket verworfen, und wenn
no-icmp-packet-too-biges nicht festgelegt ist, wird ein ICMP-FehlerPacket Too Biggesendet. - Wenn die innere Paketlänge größer als die Differenz zwischen Tunnel-MTU und Tunnel-Overhead ist und das äußere DF-Bit im Tunnel festgelegt ist, wird das Paket verworfen, und wenn
no-icmp-packet-too-biggesetzt, wird kein ICMP-FehlerPacket Too Biggesendet
Unterschied zwischen st0 MTU und Tunnel MTU
- Tunnel-MTU ist auf einem anderen Niveau als st0 MTU.
- st0 MTU ist MTU auf Schnittstellenebene und die Tunnel-MTU-Funktion erreicht MTU auf Tunnel-Ebene
- In MX-SPC3 prüft PFE st0 mtu, um das Paket zu fragmentieren oder zu verwerfen. Daher erreicht das Paket weder Flowd noch IPsec und hat keine Kontrolle über die MTU-Aktion.
- Der VPN-Tunnel-MTU-Konfigurationswert ist kleiner als die st0-MTU.