Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN-Sitzungsaffinität

Die Leistung des IPSec-VPN-Datenverkehrs zur Minimierung des Paketweiterleitungsaufwands kann durch Aktivierung einer VPN-Sitzungsaffinität und Leistungsbeschleunigung optimiert werden.

Verständnis der VPN-Sitzungsaffinität

Eine VPN-Sitzungsaffinität tritt auf, wenn sich eine Cleartext-Sitzung in einer Services Processing Unit (SPU) befindet, die sich von der SPU, in der sich die IPsec-Tunnelsitzung befindet, unterscheiden. Ziel der VPN-Sitzungsaffinität ist es, die Cleartext- und IPsec-Tunnelsitzung im selben SPU zu lokalisieren. Diese Funktion wird nur auf Geräten SRX5400, SRX5600 und SRX5800 unterstützt.

Ohne VPN-Sitzungsaffinität kann sich eine von einem Datenfluss erstellte Cleartext-Sitzung in einem SPU befinden, und die von IPsec erstellte Tunnelsitzung könnte sich in einem anderen SPU befinden. Für die Routen von Cleartext-Paketen an den IPsec-Tunnel wird ein SPU- zu SPU-Forward oder Hop benötigt.

Standardmäßig ist die VPN-Sitzungsaffinität auf Geräten der SRX-Serie deaktiviert. Wenn die VPN-Sitzungsaffinität aktiviert ist, wird eine neue Cleartext-Sitzung auf denselben SPU wie bei der IPsec-Tunnelsitzung gesetzt. Vorhandene Cleartext-Sitzungen werden nicht beeinträchtigt.

Junos OS Release 15.1X49-D10 stellt die SRX5K-MPC3-100G10G (IOC3) und SRX5K-MPC3-40G10G (IOC3) für SRX5400-, SRX5600- und SRX5800-Geräte vor.

Die SRX5K-MPC (IOC2) und die IOC3 unterstützen VPN-Sitzungsaffinität durch verbesserte Datenflussmodul- und Sitzungs-Cache. Bei IOCs erstellt das Datenflussmodul Sitzungen für IPsec-Tunnel-basierten Datenverkehr vor der Verschlüsselung und nach der Entschlüsselung auf dem tunnelbasierten SPU und installiert den Sitzungs-Cache für die Sitzungen, sodass die IOC die Pakete an den gleichen SPU umleiten kann, um den Aufwand für die Paketweiterleitung zu minimieren. Der Datenverkehr von Express Path (früher als Services Offloading bezeichnet) und NP-Cache-Datenverkehr nutzen dieselbe Sitzungs-Cache-Tabelle auf den IOCs.

Um aktive Tunnelsitzungen auf SPUs anzuzeigen, verwenden Sie den Befehl und geben Sie die Steckplätze show security ipsec security-association für Flexible PIC Concentrator (FPC) und Physical Interface Card (PIC) an, die den SPU enthalten. Zum Beispiel:

Sie müssen die Tunnelverteilungs- und Datenverkehrsmuster in Ihrem Netzwerk prüfen, um zu bestimmen, ob eine VPN-Sitzungsaffinität aktiviert werden sollte.

Beginnend mit Junos OS Release 12.3X48-D50, Junos OS Release 15.1X49-D90 und Junos OS Release 17.3R1, wenn die VPN-Sitzungsaffinität bei SRX5400-, SRX5600- und SRX5800-Geräten aktiviert ist, wird der Tunnel-Overhead anhand der ausgehandelten Verschlüsselungs- und Authentifizierungsalgorithmen auf der Anker services Processing Unit (SPU) berechnet. Wenn sich die konfigurierte Verschlüsselung oder Authentifizierung ändert, wird der Tunnel-Overhead in der Anker-SPU aktualisiert, wenn eine neue IPsec-Sicherheitsgemeinschaft etabliert wird.

Folgende Einschränkungen sind der VPN-Sitzungsaffinität zu folgen:

  • Der Datenverkehr über logische Systeme wird nicht unterstützt.

  • Wenn eine Änderung der Route vor sich geht, bleiben etablierte Cleartext-Sitzungen auf einem SPU bestehen und der Datenverkehr wird wenn möglich umgeleitet. Sitzungen, die nach der Routenänderung erstellt werden, können auf einem anderen SPU eingerichtet werden.

  • Die VPN-Sitzungsaffinität wirkt sich nur auf den Selbstdatenverkehr aus, der auf dem Gerät endet (auch als Host-eingehender Datenverkehr bekannt); selbst Datenverkehr, der von dem Gerät stammt (auch host-ausgehender Datenverkehr genannt), wird nicht davon betroffen.

  • Die Multicast-Replikations- und Weiterleitungsleistung wird nicht beeinträchtigt.

Aktivierung von VPN-Sitzungsaffinität

Standardmäßig ist die VPN-Sitzungsaffinität auf Geräten der SRX-Serie deaktiviert. Aktivieren der VPN-Sitzungsaffinität kann unter bestimmten Bedingungen den VPN-Durchsatz verbessern. Diese Funktion wird nur auf Geräten SRX5400, SRX5600 und SRX5800 unterstützt. In diesem Abschnitt wird beschrieben, wie die Anwendung CLI aktivierung der VPN-Sitzungsaffinität verwendet wird.

Ermitteln, ob Clear-Text-Sitzungen an IPSec-Tunnelsitzungen auf einem anderen SPU weitergeleitet werden. Verwenden Sie show security flow session den Befehl, um Sitzungsinformationen zu Clear-Text-Sitzungen anzuzeigen.

In dem Beispiel gibt es eine Tunnelsitzung auf FPC 3, PIC 0 und eine Klartextsitzung auf FPC 6, PIC 0. Auf FPC 3, PIC 0 wird eine Weiterleitungssitzung (Sitzungs-ID 60017354) eingerichtet.

Junos OS Release 15.1X49-D10 bietet eine Sitzungsaffinitätsunterstützung bei IOCs (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] und SRX5K-MPC3-40G10G [IOC3]) sowie Junos OS Release 12.3X48-D30 führt die Sitzungsaffinitätsunterstützung für IOC2 ein. Sie können die Sitzungsaffinität für die IPsec-Tunnelsitzung auf den IOC FPCs aktivieren. Um eine IPsec-VPN-Affinität zu aktivieren, müssen Sie den Sitzungs-Cache auf IOCs mithilfe des Befehls set chassis fpc fpc-slot np-cache aktivieren.

Aktivierung von VPN-Sitzungsaffinität:

  1. Verwenden Sie im Konfigurationsmodus den set Befehl, um eine VPN-Sitzungsaffinität zu aktivieren.
  2. Prüfen Sie Ihre Änderungen an der Konfiguration, bevor Sie sich für die Commits.
  3. Commit für die Konfiguration.

Nachdem Sie die VPN-Sitzungsaffinität aktivieren, verwenden Sie den Befehl, um show security flow session Sitzungsinformationen zu Clear-Text-Sitzungen anzuzeigen.

Nachdem die VPN-Sitzungsaffinität aktiviert ist, wird die Clear-Text-Sitzung immer auf FPC 3, PIC 0 angezeigt.

Beschleunigen der Leistung des IPSec-VPN-Datenverkehrs

Sie können die IPSec-VPN-Leistung beschleunigen, indem Sie die Leistungsbeschleunigungsparameter konfigurieren. Standardmäßig ist die VPN-Leistungsbeschleunigung auf Geräten der SRX-Serie deaktiviert. Die Aktivierung der VPN-Leistungsbeschleunigung kann den VPN-Durchsatz durch VPN-Sitzungsaffinität verbessern. Diese Funktion wird nur auf Geräten mit SRX5400, SRX5600 und SRX5800 unterstützt.

In diesem Thema wird beschrieben, wie die Lösung CLI AKTIVIERUNG DER VPN-Leistungsbeschleunigung verwendet wird.

Um eine Leistungsbeschleunigung zu ermöglichen, müssen Sie sicherstellen, dass Cleartext-Sitzungen und IPsec-Tunnelsitzungen auf derselben Services Processing Unit (SPU) eingerichtet werden. Beginnend mit Junos OS Release 17.4R1 wird die IPsec-VPN-Leistung optimiert, wenn die VPN-Sitzungsaffinität und die Leistungsbeschleunigungsfunktionen aktiviert sind. Weitere Informationen zur Aktivierung von Sitzungsaffinität finden Sie unter Understanding VPN Session Affinity (Verstehen der VPN-Sitzungsaffinität).

So aktivieren Sie die IPSec-VPN-Leistungsbeschleunigung:

  1. Aktivieren der VPN-Sitzungsaffinität.
  2. Aktivieren der IPsec-Leistungsbeschleunigung.
  3. Prüfen Sie Ihre Änderungen an der Konfiguration, bevor Sie sich für die Commits.
  4. Commit für die Konfiguration.

Nachdem Sie die VPN-Leistungsbeschleunigung aktivieren, verwenden Sie show security flow status den Befehl, um den Datenstromstatus anzuzeigen.

IPsec-Verteilungsprofil

Beginnend mit Junos OS Release 19.2R1 können Sie ein oder mehrere IPsec-Verteilungsprofile für IPsec-Sicherheitszuordnungen (SAs) konfigurieren. Tunnel werden gleichmäßig über alle im konfigurierten Verteilungsprofil angegebenen Ressourcen (SPCs) verteilt. Sie wird nur in der SPC3 und im gemischten Modus (SPC3 + SPC2) unterstützt und nicht auf SPC1- und SPC2-Systemen. Verwenden Sie mit dem Befehl für das IPsec-Verteilungsprofil set security ipsec vpn vpn-name distribution-profile distribution-profile-name Tunnel mit einem angegebenen:

  • Slot

  • Pic

Alternativ können Sie auch die standardmäßigen IPsec-Verteilungsprofile verwenden:

  • default-spc2-profile — Verwenden Sie dieses vordefinierte Standardprofil zum Verknüpfen von IPsec-Tunneln mit allen verfügbaren SPC2-Karten.

  • default-spc3-profile — Verwenden Sie dieses vordefinierte Standardprofil, um IPsec-Tunnel mit allen verfügbaren SPC3-Karten zu verknüpfen.

Sie können nun einem bestimmten VPN-Objekt ein Profil zuweisen, bei dem alle zugehörigen Tunnel basierend auf diesem Profil verteilt werden. Wenn dem VPN-Objekt kein Profil zugewiesen wird, verteilt das Gerät der SRX-Serie diese Tunnel automatisch gleichmäßig auf alle Ressourcen.

Sie können ein VPN-Objekt entweder einem benutzerdefinierten Profil oder einem vordefinierten (Standard)-Profil zuordnen.

Ausgehend vom Junos OS release 20.2R2 werden die ungültigen Thread-IDs, die im Verteilungsprofil konfiguriert sind, ohne eine Commit-Check-Fehlermeldung ignoriert. Der IPsec-Tunnel wird entsprechend dem konfigurierten Verteilungsprofil verankert, bei dem ungültige Thread-IDs nicht korrekt angezeigt werden.

Im folgenden Beispiel werden alle dem Profil-ABC zugeordneten Tunnel auf FPC 0, PIC 0 verteilt.

Verbessern der IPsec-Leistung mit PowerMode-IPsec

PowerMode IPsec (PMI) ist ein neuer Betriebsmodus, der anhand der Vector Packet Processing- und Intel AES-NI-Anweisungen IPsec-Leistungsverbesserungen für IPsec ermöglicht. PMI verwendet einen kleinen Softwareblock innerhalb des Packet Forwarding Engine, der die Datenflussverarbeitung umgeht und den AES-NI-Befehlssatz für eine optimierte Leistung der IPsec-Verarbeitung nutzt und aktiviert wird, wenn PMI aktiviert ist.

Sie aktivieren die PMI-Verarbeitung mit dem set security flow power-mode-ipsec Konfigurationsmodusbefehl.

Verwenden Sie den Konfigurationsmodusbefehl, um die PMI-Verarbeitung zu deaktivieren, delete security flow power-mode-ipsec um die Anweisung aus der Konfiguration zu löschen.

Für GERÄTE der SRX4100-SrX4200-Software, auf denen Junos OS Release 18.4R1, SRX4600-Geräte mit Junos OS Release 20.4R1 ausgeführt werden, und vSRX vSRX die Junos OS Release 18.3R1 ausführen, nachdem Sie den PMI aktiviert oder deaktiviert haben, müssen Sie das Gerät neu starten, um die Konfiguration zum Zweck zu aktivieren. Für Geräte der SRX5000-Reihe vSRX Instanzen, auf denen Junos OS Release 19.2R1 läuft, ist jedoch kein Neustart erforderlich.

Die MX-SPC3 Services Card unterstützt keine NP-Cache- und IPsec-Sitzungsaffinität.

Sie können den PMI- und Fat Tunnel-Status mithilfe des show security flow status Betriebsmodusbefehls überprüfen.

Sie können die PMI-Statistiken mit dem Befehl show security flow pmi statistics operational mode überprüfen.

Eine Tunnelsitzung kann entweder PMI oder Nicht-PMI sein. Wenn eine Sitzung mit einer der in aufgeführten nicht unterstützten Funktionen konfiguriert ist, wird die Sitzung als Nicht-PMI markiert, und der Tunnel wird in den Tabelle 1Tabelle 2 Nicht-PMI-Modus aktiviert. Wenn der Tunnel in den Nicht-PMI-Modus übergeht, wird der PMI-Modus nicht mehr aktiviert.

Tabelle 1 fasst die unterstützten und nicht unterstützten PMI-Funktionen auf Geräten der SRX-Serie zusammen.

Tabelle 1: Zusammenfassung der Funktionen, die in PowerMode-IPsec auf Geräten der SRX-Serie unterstützt werden

Unterstützte Funktionen in PowerMode-IPsec

Nicht unterstützte Funktionen in PowerMode-IPsec

Internet Key Exchange (IKE)

IPsec-in-IPsec-Tunnel

AutoVPN mit Datenverkehrs-Selektoren

Layer-4-7-Anwendungen: Application Firewall und AppSecure

Hohe Verfügbarkeit

GPRS Tunneling Protocol (GTP) und Stream Control Transmission Protocol (SCTP)-Firewalls

IPv6

Hostdatenverkehr

Stateful-Firewall

Multicast

ST0-Schnittstelle

Verschachtelte Tunnel

Datenverkehrs-Selektoren

Filteroptionen

NAT-T

DES-CBC-Verschlüsselungsalgorithmus

GTP-U-Szenario mit TEID-Verteilung und asymmetrischer Fat Tunnel-Lösung

3DES-CBC-Verschlüsselungsalgorithmus

Quality of Service (QoS)

Anwendungsebene-Gateway (ALG)

Erster Pfad und schnelle Pfadverarbeitung zur Fragmentbehandlung und vereinheitlichte Verschlüsselung.

NAT

AES-GCM-128 und AES-GCM-256-Verschlüsselungsalgorithmus. Wir empfehlen Ihnen, den AES-GCM-Verschlüsselungsalgorithmus für eine optimale Leistung zu verwenden.

AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA1-Verschlüsselungsalgorithmus

AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA2-Verschlüsselungsalgorithmus

NULL-Verschlüsselungsalgorithmus

 

Tabelle 2 fasst die unterstützten und nicht unterstützten PMI-Funktionen auf der MX-SPC3-Servicekarte zusammen.

Tabelle 2: Zusammenfassung der Funktionen, die in PowerMode IPsec auf der MX-SPC3 Services Card unterstützt werden

Unterstützte Funktionen in PowerMode-IPsec

Nicht unterstützte Funktionen in PowerMode-IPsec

Internet Key Exchange (IKE)

Layer-4-7-Anwendungen: Application Firewall, AppSecure und ALGs

AutoVPN mit Datenverkehrs-Selektoren, ADVPN

Multicast

Hohe Verfügbarkeit

Verschachtelte Tunnel

IPv6

Filteroptionen

Stateful-Firewall

Anwendungsebene-Gateway (ALG)

ST0-Schnittstelle

Datenverkehrs-Selektoren

Dead Peer Detection (DPD)

Anti-Replay-Prüfung

NAT

Post/Vor-Fragment

eingehende Clear-Text-Fragmente und ESP-Fragment

AES-GCM-128 und AES-GCM-256-Verschlüsselungsalgorithmus. Wir empfehlen Ihnen, den AES-GCM-Verschlüsselungsalgorithmus für eine optimale Leistung zu verwenden.

AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA1-Verschlüsselungsalgorithmus

AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA2-Verschlüsselungsalgorithmus

NULL-Verschlüsselungsalgorithmus

Beachten Sie die folgenden Verwendungsüberlegungen bei PMI:

  • Die Größe des Antireplay-Fensters beträgt standardmäßig 64 Pakete. Wenn Sie Fat-Tunnel konfigurieren, wird empfohlen, die Größe des Antireplay-Fensters auf mehr als oder gleich 512 Pakete zu erhöhen.

  • PMI führt eine Vor-Fragmentierungs- und Post-Fragmentierungs-Prüfung durch. Wenn der PMI Vorfragmentierungs- und Post-Fragmentierungspakete erkennt, sind Pakete im PMI-Modus nicht zulässig. Die Pakete kehren in den Nicht-PMI-Modus zurück.

  • Alle an einer Schnittstelle empfangenen Fragmente werden nicht durch PMI gehen.

  • PMI wird auf LAG (Link Aggregation Group) und redundanten Ethernet (Reth)-Schnittstellen unterstützt.

  • PMI für NAT-T wird nur auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt, die mit der SRX5K-SPC3 Services Processing Card (SPC) oder mit vSRX.

Class of Service (CoS) unterstützt ab Junos OS Release 19.1R1 die Konfiguration von BEHAVIOR Aggregation (BA)-Klassifizierer, Multifield (MF)-Klassifizierern und Rewrite-Regelfunktionen in PMI auf SRX5K-SPC3 Services Processing Card (SPC)-Karten.

PowerMode IPsec (PMI) unterstützt ab dem Junos OS Release 19.2R1 GTP-U-Szenario mit TEID-Verteilung und einer asymmetrischen Fat Tunnel-Lösung.

Beginnend mit Junos OS Release 19.3R1, GTP-U-Szenario mit TEID-Verteilung und asymmetrischer Fat Tunnel-Lösung und Software Recieve Side Scaling-Funktion auf vSRX und vSRX 3.0.

Junos OS Release 19.3R1 unterstützt die Optionen aes-128-cbc, aes-192-cbc und aes-256-cbc auf SRX4100, SRX4200 und vSRX im Power Mode IPsec-Modus, um die IPsec-Leistung und die vorhandene Unterstützung im Normalmodus zu verbessern.

Beginnend im Junos OS Release 19.4R1 werden vSRX Instanzen unterstützt-

  • Funktionen pro CoS für GTP-U-Datenverkehr im PowerMode IPsec (PMI)-Modus.

  • Class of Service (CoS)-Funktionen im PowerMode IPsec (PMI)-Modus. Im PMI-Modus werden die folgenden CoS unterstützt:

    • Klassifizierung

    • Rewrite-Regelfunktionen

    • Queuing

    • Shaping

    • Zeitplanung

Vorteile von PowerMode-IPsec

  • Verbessert die Leistung von IPsec.

Konfigurieren von Security Flow PMI

Im folgenden Abschnitt werden Sie beschrieben, wie Sie Security Flow PMI konfigurieren.

Für die Konfiguration von PowerMode IPsec im Sicherheitsfluss aktivieren Sie viel Session-Cache auf IOCs und Sitzungsaffinität:

  1. Aktivieren des Sitzungs-Cache auf IOCs (IOC2 und IOC3)

  2. Aktivieren der VPN-Sitzungsaffinität

  3. Erstellen Sie einen Sicherheitsfluss in PMI.

  4. Bestätigen Sie Ihre Konfiguration durch Eingabe des show security Befehls.

Beispiel: Konfigurationsverhalten aggregierter Klassifizierer in PMI

In diesem Beispiel wird gezeigt, wie Sie Behavior Aggregate (BA)-Klassifizierer für ein SRX-Gerät konfigurieren, um die Weiterleitungsbehandlung von Paketen in PowerMode IPsec (PMI) zu bestimmen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Gerät der SRX-Serie

  • Junos OS Release 19.1R1 neuere Versionen.

Bevor Sie beginnen:

  • Bestimmen der Weiterleitungsklasse und des PLP, die standardmäßig jedem bekannten DSCP zugewiesen sind, den Sie für den Verhaltensaggregatverklassifizierer konfigurieren möchten.

Überblick

Konfigurieren von aggregierten Verhaltensklassifizierern zur Klassifizierung der Pakete, die gültige DSCPs enthalten, in geeignete Warteschlangen. Nach der Konfiguration wenden Sie den Behavior Aggregation Classifier auf die richtigen Schnittstellen an. Sie setzen den Standard-IP-Precedence-Klassifizierer außer Kraft, indem Sie einen Klassifizierer definieren und auf eine logische Schnittstelle anwenden. Um neue Klassifizierer für alle Codepunkttypen zu definieren, schließen Sie die classifiers Anweisung auf der [edit class-of-service] Hierarchieebene ein.

In diesem Beispiel wird das aggregierte DSCP-Verhalten als ba-classifier Standard-DSCP-Zuordnung festgelegt. Festlegen einer Best-Effort-Weiterleitungsklasse als , einer beschleunigten Weiterleitungsklasse als , einer bewährten Weiterleitungsklasse as und einer be-class Netzwerksteuerungsweiterleitungsklasse ef-classaf-classnc-class als. Wenden Sie schließlich den Behavior Aggregateifier auf die Schnittstelle ge-0/0/0 an.

Tabelle 2 zeigt, wie der Verhaltensaggregator Verlustprioritäten in den vier Weiterleitungsklassen eingehenden Paketen zuordnt.

Tabelle 3: Beispiel-Baklassifizierer Verlustprioritätszuweisungen

MF-Klassifizierer Weiterleitungsklasse

Für CoS Datenverkehrstyp

Klassifizierungszuweisungen

be-class

Best-Effort-Datenverkehr

Codepunkt mit hoher Priorität: 000001

ef-class

Beschleunigter Weiterleitungsverkehr

Codepunkt mit hoher Priorität: 101111

af-class

Gesicherter Weiterleitungsverkehr

Codepunkt mit hoher Priorität: 001100

nc-class

Netzwerksteuerungsverkehr

Codepunkt mit hoher Priorität: 110001

Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus im benutzerhandbuch Junos OS CLI Benutzerhandbuch.

So konfigurieren Sie Behavior Aggregate Classifiers für ein Gerät in PMI:

  1. Konfiguration der Class-of-Service.

  2. Konfigurieren von Verhaltensaggregatifizierungs-Klassifizierern für differenzierte Services (DiffServ) CoS.

  3. Konfigurieren Sie einen Best-Effort-Classifier für die Weiterleitung.

  4. Konfigurieren Sie einen beschleunigten Weiterleitungsklassifizierer.

  5. Konfigurieren Sie einen garantierten Weiterleitungsklassifizierer.

  6. Konfigurieren Sie einen Weiterleitungsklassenklassifizierer für die Netzwerksteuerung.

  7. Wenden Sie den Verhaltensaggregatifizierungsklassifizierer auf eine Schnittstelle an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show class-of-service eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Klassifizierer auf die Schnittstellen

Zweck

Achten Sie darauf, dass der Klassifizierer auf die richtigen Schnittstellen angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show class-of-service interface ge-0/0/0 ein.

Bedeutung

Die Schnittstellen werden wie erwartet konfiguriert.

Beispiel: Configuring Behavior Aggregate Classifier in PMI for vSRX instances (Konfiguration von Verhalten aggregierter Klassifizierer in PMI für vSRX Instanzen)

In diesem Beispiel wird gezeigt, wie Die Behavior Aggregation (BA)-Klassifizierer für eine vSRX Instanz zur Bestimmung der Weiterleitungsbehandlung von Paketen in PowerMode IPsec (PMI) konfiguriert werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Eine vSRX Instanz.

  • Junos OS Release 19.4R1 und späteren Versionen.

Bevor Sie beginnen:

  • Bestimmen der Weiterleitungsklasse und Paketverlustprioritäten (PLP), die standardmäßig jedem bekannten DSCP zugewiesen werden, den Sie für den Verhaltensaggregator konfigurieren möchten.

Überblick

Konfigurieren von aggregierten Verhaltensklassifizierern zur Klassifizierung der Pakete, die gültige DSCPs enthalten, in geeignete Warteschlangen. Nach der Konfiguration wenden Sie den Behavior Aggregation Classifier auf die richtigen Schnittstellen an. Sie setzen den Standard-IP-Precedence-Klassifizierer außer Kraft, indem Sie einen Klassifizierer definieren und auf eine logische Schnittstelle anwenden. Um neue Klassifizierer für alle Codepunkttypen zu definieren, schließen Sie die classifiers Anweisung auf der [edit class-of-service] Hierarchieebene ein.

In diesem Beispiel wird das aggregierte DSCP-Verhalten als ba-classifier Standard-DSCP-Zuordnung festgelegt. Festlegen einer Best-Effort-Weiterleitungsklasse als , einer beschleunigten Weiterleitungsklasse als , einer bewährten Weiterleitungsklasse as und einer be-class Netzwerksteuerungsweiterleitungsklasse ef-classaf-classnc-class als. Wenden Sie schließlich den Behavior Aggregateifier auf die Schnittstelle ge-0/0/0 an.

Tabelle 2 zeigt, wie der Verhaltensaggregator Verlustprioritäten in den vier Weiterleitungsklassen eingehenden Paketen zuordnt.

Tabelle 4: Beispiel-Baklassifizierer Verlustprioritätszuweisungen

MF-Klassifizierer Weiterleitungsklasse

Für CoS Datenverkehrstyp

Klassifizierungszuweisungen

be-class

Best-Effort-Datenverkehr

Codepunkt mit hoher Priorität: 000001

ef-class

Beschleunigter Weiterleitungsverkehr

Codepunkt mit hoher Priorität: 101111

af-class

Gesicherter Weiterleitungsverkehr

Codepunkt mit hoher Priorität: 001100

nc-class

Netzwerksteuerungsverkehr

Codepunkt mit hoher Priorität: 110001

Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus im benutzerhandbuch Junos OS CLI Benutzerhandbuch.

So konfigurieren Sie Behavior Aggregate Classifiers für ein Gerät in PMI:

  1. Konfiguration der Class-of-Service.

  2. Konfigurieren von Verhaltensaggregatifizierungs-Klassifizierern für differenzierte Services (DiffServ) CoS.

  3. Konfigurieren Sie einen Best-Effort-Classifier für die Weiterleitung.

  4. Konfigurieren Sie einen beschleunigten Weiterleitungsklassifizierer.

  5. Konfiguration von Dropdown-Profilen

  6. Konfigurieren Sie die Warteschlangen für Weiterleitungsklassen.

  7. Wenden Sie den Klassifizierer auf die Schnittstellen an.

  8. Konfigurieren Sie die Scheduler.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show class-of-service eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Klassifizierer auf die Schnittstellen

Zweck

Vergewissern Sie sich, dass der Klassifizierer ordnungsgemäß konfiguriert ist, und bestätigen Sie, dass die Weiterleitungsklassen korrekt konfiguriert wurden.

Aktion

Geben Sie im Betriebsmodus den Befehl show class-of-service forwarding-class ein.

Bedeutung

Die Ausgabe zeigt die konfigurierten benutzerdefinierten Klassifizierereinstellungen.

Beispiel: Konfigurieren und Anwenden eines Firewall-Filters für einen Multifield-Klassifizierer in PMI

In diesem Beispiel wird gezeigt, wie Sie einen Firewall-Filter konfigurieren, um Datenverkehr mithilfe von DSCP-Wert und MF-Klassifizierer in PowerMode IPsec (PMI) in verschiedene Weiterleitungsklasse zu klassifizieren.

Der Klassifizierer erkennt wichtige Pakete für Class-of-Service (CoS), wenn sie an einer Schnittstelle eintreffen. MF-Klassifizierer werden verwendet, wenn eine BA-Klassifizierer (Simple Behavior Aggregation) nicht zur Klassifizierung eines Pakets reicht, wenn die Peering-Router nicht über CoS-Bits markiert sind oder die Markierung des Peering-Routers nicht vertrauenswürdig ist.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Gerät der SRX-Serie

  • Junos OS Release 19.1R1 neuere Versionen.

Bevor Sie beginnen:

Überblick

In diesem Beispiel wird erklärt, wie der Firewall-Filter konfiguriert mf-classifier wird. Um den MF-Klassifizierer zu konfigurieren, können Sie die Weiterleitungsverkehrsklasse erstellen und benennen, die Übereinstimmungsbedingung festlegen und dann die Zieladresse als 192.168.44.55 angeben. Erstellen Sie die Weiterleitungsklasse für gesicherten DiffServ-Datenverkehr bei hoher af-class Verlustpriorität.

Erstellen und benennen Sie in diesem Beispiel die beschleunigte Weiterleitungsverkehrsklasse, und legen Sie die Übereinstimmungsbedingung für die beschleunigte Weiterleitungsverkehrsklasse fest. Geben Sie die Zieladresse 192.168.66.77 an. Erstellen Sie die Weiterleitungsklasse für beschleunigten DiffServ-Datenverkehr und ef-class legen Sie den Policer auf ef-policer fest. Erstellen und benennen Sie die Datenverkehrsklasse für die Netzwerksteuerung, und legen Sie die Bedingungen fest.

Erstellen Sie in diesem Beispiel die Weiterleitungsklasse für die Datenverkehrsklasse der Netzwerksteuerung als und nennen Sie die Weiterleitungsklasse für die Datenverkehrsklasse mit dem besten nc-class Aufwand als be-class . Wenden Sie den Firewall-Filter zur Klassifizierung mit mehreren Feldern schließlich als Ein- und Ausgabefilter auf jeden Kunden- oder Host-Ausgerichtet an, der den Filter benötigt. In diesem Beispiel ist die Schnittstelle für den Eingangsfilter ge-0/0/2 und die Schnittstelle für den Ausgabefilter ge-0/0/4.

Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus im benutzerhandbuch Junos OS CLI Benutzerhandbuch.

So konfigurieren Sie einen Firewall-Filter für einen Mehrfeld-Klassifizierer für ein Gerät in PMI:

  1. Den Multifield-Klassifizierer-Filter erstellen und benennen.

  2. Den Begriff für die gesicherte Weiterleitungsverkehrsklasse erstellen und benennen.

  3. Geben Sie die Zieladresse für gesicherten Weiterleitungsverkehr an.

  4. Erstellen Sie die Weiterleitungsklasse, und legen Sie die Verlustpriorität für die gesicherte Datenverkehrsklasse fest.

  5. Den Begriff für die beschleunigte Weiterleitungsverkehrsklasse erstellen und benennen.

  6. Geben Sie die Zieladresse für den beschleunigten Weiterleitungsverkehr an.

  7. Erstellen Sie die Weiterleitungsklasse und wenden Sie den Policer auf die beschleunigte Weiterleitungsverkehrsklasse an.

  8. Den Begriff für die Datenverkehrsklasse für die Netzwerksteuerung erstellen und benennen.

  9. Erstellen Sie die Bedingungen für die Netzwerksteuerungs-Datenverkehrsklasse.

  10. Die Weiterleitungsklasse für die Datenverkehrsklasse für die Netzwerksteuerung erstellen und benennen.

  11. Den Begriff für die Best-Effort-Datenverkehrsklasse erstellen und benennen.

  12. Erstellen und benennen Sie die Weiterleitungsklasse für die Datenverkehrsklasse mit dem besten Aufwand.

  13. Wenden Sie den Firewall-Filter mit mehreren Feldern als Eingangsfilter an.

  14. Wenden Sie den Firewall-Filter mit mehreren Feldern als Ausgabefilter an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show firewall filter mf-classifier eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show interfaces eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung eines Firewall-Filters für die Konfiguration einer Klassifizierung mit mehreren Feldern

Zweck

Stellen Sie sicher, dass ein Firewall-Filter für einen Mehrfeld-Klassifizierer auf einem Gerät korrekt konfiguriert ist, und stellen Sie sicher, dass die Weiterleitungsklassen korrekt konfiguriert sind.

Aktion

Geben Sie im Konfigurationsmodus den Befehl show class-of-service forwarding-class ein.

Bedeutung

Die Ausgabe zeigt die konfigurierten benutzerdefinierten Klassifizierereinstellungen.

Beispiel: Konfigurieren und Anwenden von Rewrite-Regeln auf einem Sicherheitsgerät in PMI

In diesem Beispiel wird gezeigt, wie Sie Regeln für die Umschreibung eines Geräts in PowerMode IPsec (PMI) konfigurieren und anwenden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Gerät der SRX-Serie

  • Junos OS Release 19.1R1 neuere Versionen.

Bevor Sie beginnen:

Überblick

In diesem Beispiel wird erläutert, wie Sie Rewrite-Regeln konfigurieren, um CoS Werte zu ersetzen, die von einem Kunden oder Host empfangen werden, durch die Werte, die von anderen SRX-Geräten erwartet werden. Sie müssen keine Rewrite-Regeln konfigurieren, wenn die empfangenen Pakete bereits gültige CoS enthalten. Rewrite-Regeln wenden die Informationen der Weiterleitungsklasse und die Priorität bei Paketverlusten an, die intern vom Gerät verwendet werden, um den CoS Wert auf ausgehenden Paketen zu erstellen. Wenden Sie diese nach der Konfiguration der Rewrite-Regeln auf die richtigen Schnittstellen an.

Konfigurieren Sie in diesem Beispiel die Rewrite-Regel für DiffServ rewrite-dscps CoS. Geben Sie die Best-Effort-Weiterleitungsklasse als , beschleunigte Weiterleitungsklasse als , eine zugesicherte Weiterleitungsklasse als und eine Netzwerksteuerungsklasse be-class als ef-classaf-classnc-class an. Wenden Sie schließlich die Rewrite-Regel auf die GE-0/0/0-Schnittstelle an.

Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus im benutzerhandbuch Junos OS CLI Benutzerhandbuch.

So konfigurieren und anwenden Sie Rewrite-Regeln für ein Gerät in PMI:

  1. Konfigurieren Sie Rewrite-Regeln für DiffServ-CoS.

  2. Konfigurieren Sie Best-Effort-Rewrite-Regeln für die Weiterleitungsklasse.

  3. Konfigurieren Sie beschleunigte Weiterleitungsklassen-Rewrite-Regeln.

  4. Konfigurieren Sie eine garantierte Weiterleitungsklassen-Rewrite-Regeln.

  5. Konfigurieren Sie eine Netzwerksteuerungsklassen-Rewrite-Regeln.

  6. Wenden Sie Rewrite-Regeln auf eine Schnittstelle an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show class-of-service eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Konfiguration von Rewrite-Regeln

Zweck

Stellen Sie sicher, dass Rewrite-Regeln korrekt konfiguriert sind.

Aktion

Geben Sie im Betriebsmodus den Befehl show class-of-service ein.

Bedeutung

Rewrite-Regeln werden wie erwartet auf ge-0/0/0-Schnittstelle konfiguriert.

Konfigurieren des IPsec-ESP-Authentifizierungsmodus in PMI

Mit dem PowerMode IPsec (PMI) wurde ein neuer Datenpfad eingeführt, um eine hohe IPsec-Durchsatzleistung zu erreichen. Beginnend mit Junos OS Release 19.4R1 auf Geräten der SRX5000-Serie mit SRX5K-SPC3-Karte können Sie den Authentifizierungsmodus (Security Payload, ESP) im PMI-Modus verwenden, der Authentifizierung, Integritätsprüfung und Wiedergabeschutz ohne Verschlüsselung der Datenpakete bietet.

Bevor Sie beginnen:

So konfigurieren Sie den ESP-Authentifizierungsmodus:

  1. Konfigurieren Sie IPsec-Vorschlag und -Richtlinie.
  2. Bestätigen Sie Ihre Konfiguration durch Eingabe des show security ipsec Befehls.

    Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Understanding the Loopback Interface for a High Availability VPN

In einer IPSec-VPN-Tunnelkonfiguration muss für die Kommunikation mit dem Peer-Gateway eine externe Schnittstelle IKE werden. Das Angeben einer Loopback-Schnittstelle für die externe Schnittstelle eines VPN ist eine gute Vorgehensweise, wenn mehrere physische Schnittstellen zum Erreichen eines Peer-Gateways verwendet werden können. Durch die Anker eines VPN-Tunnels auf der Loopback-Schnittstelle ist keine abhängigkeit von der physischen Schnittstelle für erfolgreiches Routing erforderlich.

Die Verwendung einer Loopback-Schnittstelle für VPN-Tunnel wird von eigenständigen Geräten der SRX-Serie sowie auf Geräten der SRX-Serie in Gehäuseclustern unterstützt. In einer gehäusebasierten aktiv-passiven Bereitstellung können Sie eine logische Loopback-Schnittstelle erstellen und diese zu einem Mitglied einer Redundanzgruppe machen, sodass sie zum Anker von VPN-Tunneln verwendet werden kann. Die Loopback-Schnittstelle kann in jeder Redundanzgruppe konfiguriert und als externe Schnittstelle für das Gateway IKE werden. VPN-Pakete werden auf dem Knoten verarbeitet, auf dem die Redundanzgruppe aktiv ist.

Wird die Loopback-Schnittstelle als externe Schnittstelle des IKE-Gateways verwendet, muss sie auf SRX5400-, SRX5600- und SRX5800-Geräten in einer anderen Redundanzgruppe als RG0 konfiguriert werden.

In der Gehäuse-Cluster-Einrichtung wählt der Knoten, auf dem die externe Schnittstelle aktiv ist, einen SPU, um den VPN-Tunnel zu ankern. IKE- und IPsec-Pakete werden auf diesem SPU verarbeitet. So ermittelt eine aktive externe Schnittstelle den Anker-SPU.

Sie können mit dem show chassis cluster interfaces Befehl Informationen auf der redundanten Pseudointerface anzeigen.

Release-Verlaufstabelle
Release
Beschreibung
12.3X48-D50
Beginnend mit Junos OS Release 12.3X48-D50, Junos OS Release 15.1X49-D90 und Junos OS Release 17.3R1, wenn die VPN-Sitzungsaffinität bei SRX5400-, SRX5600- und SRX5800-Geräten aktiviert ist, wird der Tunnel-Overhead anhand der ausgehandelten Verschlüsselungs- und Authentifizierungsalgorithmen auf der Anker services Processing Unit (SPU) berechnet.
17.4R1
Beginnend mit Junos OS Release 17.4R1 wird die IPsec-VPN-Leistung optimiert, wenn die VPN-Sitzungsaffinität und die Leistungsbeschleunigungsfunktionen aktiviert sind.
Junos OS Release 20.2R
Ausgehend vom Junos OS release 20.2R2 werden die ungültigen Thread-IDs, die im Verteilungsprofil konfiguriert sind, ohne eine Commit-Check-Fehlermeldung ignoriert. Der IPsec-Tunnel wird entsprechend dem konfigurierten Verteilungsprofil verankert, bei dem ungültige Thread-IDs nicht korrekt angezeigt werden.