Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PowerMode IPsec

Verbessern der IPsec-Leistung mit PowerMode-IPsec

PowerMode IPsec (PMI) ist ein Betriebsmodus , der mit Vector Packet Processing und Intel Advanced Encryption Standard New Instructions (AES-NI) IPsec-Leistungsverbesserungen bietet. PMI nutzt einen kleinen Softwareblock innerhalb der Packet Forwarding Engine, der die Datenflussverarbeitung umgangen hat, und nutzt den AES-NI-Befehlssatz für eine optimierte Leistung der IPsec-Verarbeitung, der aktiviert wird, wenn PMI aktiviert wird.

PMI-Verarbeitung

Sie können die PMI-Verarbeitung aktivieren oder deaktivieren:

  • Aktivieren Sie die PMI-Verarbeitung mithilfe des set security flow power-mode-ipsec Konfigurationsmodus-Befehls.
  • Deaktivieren Sie die PMI-Verarbeitung mithilfe des delete security flow power-mode-ipsec Konfigurationsmodus-Befehls. Durch Ausführung dieses Befehls wird die Anweisung aus der Konfiguration gelöscht.

Für SRX4100-, SRX4200-Geräte, auf denen Junos OS Version 18.4R1 ausgeführt wird, SRX4600-Geräte mit Junos OS Version 20.4R1 und vSRX mit Junos OS Version 18.3R1, nachdem Sie das PMI aktiviert oder deaktiviert haben, müssen Sie das Gerät neu starten, damit die Konfiguration wirksam wird. Für Geräte der SRX5000-Reihe und vSRX-Instanzen, auf denen Junos OS Version 19.2R1 ausgeführt wird, ist ein Neustart jedoch nicht erforderlich.

PMI-Statistiken

Sie können die PMI-Statistiken mithilfe des Befehls " show security flow pmi statistics Betriebsmodus" überprüfen.

Sie können den PMI- und FAT-Tunnelstatus mithilfe des Befehls für den show security flow status Betriebsmodus überprüfen.

Intel QuickAssist (QAT) und Inline Field-Programmable Gate Array (FPGA)

Ab Junos OS Version 20.4R1 können Sie die PMI-Leistung mit Intel QAT und AES-NI verbessern. AES-NI und QAT im PMI-Modus helfen beim Ausgleich der Last in SPUs und unterstützen den symmetrischen Fat Tunnel in SPC3-Karten. Dies führt zu einer beschleunigten Datenverkehrsverarbeitungsleistung und einem höheren Durchsatz für IPsec-VPN. PMI verwendet AES-NI und QAT für die Verschlüsselung und FPGA für die Entschlüsselung des Kryptographiebetriebs.

Um QAT mit AES-NI zu aktivieren, fügen Sie die power-mode-ipsec-qat Anweisung auf Hierarchieebene [edit security flow] ein.

Um Inline-FPGA zu aktivieren oder zu deaktivieren, fügen Sie die inline-fpga-crypto (disabled | enabled) Anweisung auf Hierarchieebene [edit security forwarding-process application-services] ein.

Unterstützte und nicht unterstützte Funktionen für PMI

Eine Tunnelsitzung kann entweder PMI oder Nicht-PMI sein.

Wenn eine Sitzung mit den in Tabelle 1 und Tabelle 2aufgeführten nicht unterstützten Funktionen konfiguriert ist, wird die Sitzung als Nicht-PMI markiert, und der Tunnel geht in den Nicht-PMI-Modus. Sobald der Tunnel in den Nicht-PMI-Modus übergeht, kehrt der Tunnel nicht zum PMI-Modus zurück.

Tabelle 1 fasst die unterstützten und nicht unterstützten PMI-Funktionen auf Geräten der SRX-Serie zusammen.

Tabelle 1: Zusammenfassung der unterstützten und nicht unterstützten Funktionen in PMI (Geräte der SRX-Serie)

Unterstützte Funktionen in PMI

Nicht unterstützte Funktionen in PMI

Internet Key Exchange (IKE)-Funktionen

IPsec-in-IPsec-Tunnel

AutoVPN mit Datenverkehrs-Selektoren

Layer 4 – 7 Anwendungen: Anwendungs-Firewall und AppSecure

Hohe Verfügbarkeit

GPRS Tunneling Protocol (GTP) und Stream Control Transmission Protocol (SCTP)-Firewalls

IPv6

Host-Datenverkehr

Stateful-Firewall

Multicast

ST0-Schnittstelle

Verschachtelte Tunnel

Datenverkehrs-Selektoren

Filteroptionen

NAT-T

DES-CBC-Verschlüsselungsalgorithmus

GTP-U-Szenario mit TEID-Verteilung und asymmetrischer Fat Tunnel-Lösung

3DES-CBC-Verschlüsselungsalgorithmus

Quality of Service (QoS)

Application Layer Gateway (ALG)

Erster Pfad und schnelle Pfadverarbeitung für die Verarbeitung von Fragmenten und einheitliche Verschlüsselung.

NAT

AES-GCM-128- und AES-GCM-256-Verschlüsselungsalgorithmus. Wir empfehlen Ihnen, den AES-GCM-Verschlüsselungsalgorithmus für optimale Leistung zu verwenden.

AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA1-Verschlüsselungsalgorithmus

AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA2-Verschlüsselungsalgorithmus

NULL-Verschlüsselungsalgorithmus

QAT

Tabelle 2 fasst die unterstützten und nicht unterstützten PMI-Funktionen auf der MX-SPC3 Services Card zusammen.

Die MX-SPC3-Servicekarte unterstützt keine NP-Cache- und IPsec-Sitzungsaffinität.

Tabelle 2: Zusammenfassung der unterstützten und nicht unterstützten Funktionen in PMI (MX-SPC3 Services Card)

Unterstützte Funktionen in PMI

Nicht unterstützte Funktionen in PMI

Internet Key Exchange (IKE)-Funktionen

Layer 4 – 7 Anwendungen: Anwendungs-Firewall, AppSecure und ALGs

AutoVPN mit Datenverkehrsselektoren, ADVPN

Multicast

Hohe Verfügbarkeit

Verschachtelte Tunnel

IPv6

Filteroptionen

Stateful-Firewall

Application Layer Gateway (ALG)

ST0-Schnittstelle

Datenverkehrs-Selektoren

Dead Peer Detection (DPD)

Anti-Replay-Prüfung

NAT

Post/Pre-Fragment

Eingehende Klartextfragmente und ESP-Fragmente

AES-GCM-128- und AES-GCM-256-Verschlüsselungsalgorithmus. Wir empfehlen Ihnen, den AES-GCM-Verschlüsselungsalgorithmus für optimale Leistung zu verwenden.

AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA1-Verschlüsselungsalgorithmus

AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA2-Verschlüsselungsalgorithmus

NULL-Verschlüsselungsalgorithmus

Beachten Sie die folgenden Nutzungsüberlegungen mit PMI:

  • Antireplay window size
    • Das Antireplay-Fenster ist standardmäßig 64 Pakete. Wenn Sie fat-tunnel konfigurieren, wird empfohlen, die Größe des Antireplay-Fensters auf mindestens 512 Pakete zu erhöhen.

  • Class of Service (CoS)
    • Class of Service (CoS) unterstützt ab Junos OS Version 19.1R1 die Konfiguration von BA-Klassifizierern, Multifield (MF)-Klassifizierern und Rewrite-Regelfunktionen in PMI auf SRX5K-SPC3 Services Processing Card (SPC)-Karten.
    • Wenn Sie PMI für eine Datenstromsitzung aktivieren, wird das CoS auf der Grundlage eines Datenstroms ausgeführt. Das bedeutet, dass das erste Paket eines neuen Datenflusses die CoS-Informationen in der Datenflusssitzung im Cache speichert. Anschließend werden die nachfolgenden Pakete des Datenstroms wiederverwendet, die in der Sitzung gespeicherten CoS-Informationen.

  • Encryption algorithm
    • Junos OS Version 19.3R1 unterstützt die Optionen aes-128-cbc, aes-192-cbc und aes-256-cbc auf SRX4100, SRX4200 und vSRX im PMI-Modus, um die IPsec-Leistung sowie die vorhandene Unterstützung im normalen Modus zu verbessern.

  • GTP-U
    • PMI unterstützt ab Junos OS Version 19.2R1 GTP-U-Szenario mit TEID-Verteilung und asymmetrischer Fat Tunnel-Lösung.
    • Beginnend mit Junos OS Version 19.3R1, GTP-U-Szenario mit TEID-Verteilung und asymmetrischer Fat Tunnel-Lösung und Software Receive Side Scaling-Funktion auf vSRX und vSRX 3.0.
  • LAG and redundant (reth) interfaces
    • PMI wird auf Lag-Schnittstellen (Link Aggregation Group) und redundanten Ethernet-Schnittstellen (Reth) unterstützt.
  • PMI fragmentation check
    • PMI führt eine Vorfragmentierungs- und Postfragmentierungsprüfung durch. Wenn der PMI Pakete vor und nach der Fragmentierung erkennt, sind Pakete im PMI-Modus nicht zulässig. Die Pakete werden in den Nicht-PMI-Modus zurückkehren.

    • Alle Fragmente, die an einer Schnittstelle empfangen werden, gehen nicht über PMI.

  • PMI for NAT-T
    • PMI für NAT-T wird nur auf SRX5400-, SRX5600-, SRX5800-Geräten mit SRX5K-SPC3 Services Processing Card (SPC) oder mit vSRX unterstützt.
  • PMI support (vSRX)
    • Ab Junos OS Version 19.4R1 unterstützen vSRX-Instanzen:

      • Per-Flow-CoS-Funktionen für GTP-U-Datenverkehr im PMI-Modus.

      • CoS-Funktionen im PMI-Modus. Die folgenden CoS-Funktionen werden im PMI-Modus unterstützt:

        • Klassifizierung

        • Rewrite-Regelfunktionen

        • Queuing

        • Shaping

        • Zeitplanung

Vorteile von PMI

  • Verbessert die Leistung von IPsec.

Konfigurieren von Security Flow PMI

Im folgenden Abschnitt wird die Konfiguration von Security Flow PMI beschrieben.

Um Security Flow PMI zu konfigurieren, müssen Sie den Sitzungs-Cache auf IOCs und Sitzungsaffinität aktivieren:

  1. Aktivieren des Sitzungscaches auf IOCs (IOC2 und IOC3)

  2. Vpn-Sitzungsaffinität aktivieren

  3. Sicherheitsfluss in PMI erstellen.

  4. Bestätigen Sie Ihre Konfiguration, indem Sie den show security Befehl eingeben.

Beispiel: Konfigurieren des verhaltensaggregaten Klassifizierers in PMI

Dieses Beispiel zeigt, wie Sie Verhaltensaggregate (BA)-Klassifizierer für ein SRX-Gerät konfigurieren, um die Weiterleitungsbehandlung von Paketen in PMI zu bestimmen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Gerät der SRX-Serie.

  • Junos OS Version 19.1R1 und höher.

Bevor Sie beginnen:

  • Bestimmen Sie die Weiterleitungsklasse und PLP, die standardmäßig jedem bekannten DSCP zugewiesen werden, den Sie für den verhaltensaggregaten Klassifizierer konfigurieren möchten.

Überblick

Konfigurieren Sie verhaltensaggregate Klassifizierer, um die Pakete, die gültige DSCPs enthalten, in entsprechende Warteschlangen zu klassifizieren. Nach der Konfiguration wenden Sie den Verhaltensaggregat-Klassifizierer auf die richtigen Schnittstellen an. Sie überschreiben den Standard-IP-Precedence-Klassifizierer, indem Sie einen Klassifizierer definieren und ihn auf eine logische Schnittstelle anwenden. Um neue Klassifizierer für alle Codepunkttypen zu definieren, fügen Sie die classifiers Anweisung auf Hierarchieebene [edit class-of-service] ein.

Legen Sie in diesem Beispiel den aggregierten DSCP-Verhaltensklassifizierer auf ba-classifier die Standard-DSCP-Zuordnung fest. Stellen Sie eine Best-Effort-Weiterleitungsklasse als be-class, eine beschleunigte Weiterleitungsklasse als ef-class, eine gesicherte Weiterleitungsklasse als af-class, und eine Network Control Forwarding Class als nc-class. Wenden Sie schließlich den Verhaltensaggregat-Klassifizierer auf die Schnittstelle ge-0/0/0 an.

Tabelle 2 zeigt, wie der verhaltensaggregate Klassifizierer eingehenden Paketen in den vier Weiterleitungsklassen Verlustprioritäten zuordnet.

Tabelle 3: Beispiel-Ba-Classifier Verlustprioritätszuweisungen

mf-classifier Weiterleitungsklasse

Für CoS-Datenverkehrstyp

Ba-Klassifizierer-Zuordnungen

be-class

Best-Effort-Datenverkehr

Codepunkt mit hoher Priorität: 000001

ef-class

Beschleunigter Weiterleitungsverkehr

Codepunkt mit hoher Priorität: 101111

af-class

Gesicherter Weiterleitungsverkehr

Codepunkt mit hoher Priorität: 001100

nc-class

Datenverkehr zur Netzwerkkontrolle

Codepunkt mit hoher Priorität: 110001

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie Verhaltensaggregat-Klassifizierer für ein Gerät in PMI:

  1. Konfigurieren Sie die Class of Service.

  2. Konfigurieren Sie Verhaltensaggregat-Klassifizierer für Differenzierte Services (DiffServ) CoS.

  3. Konfigurieren Sie einen "Best-Effort Forwarding Classifier".

  4. Konfigurieren Sie einen beschleunigten Weiterleitungsklassifizierer.

  5. Konfigurieren Sie einen Klassifizierer für gesicherte Weiterleitungsklassen.

  6. Konfigurieren Sie einen Network Control Forwarding Classifier.

  7. Wenden Sie den verhaltensaggregaten Klassifizierer auf eine Schnittstelle an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show class-of-service Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:

Überprüfung des Klassifizierers auf die Schnittstellen

Zweck

Stellen Sie sicher, dass der Klassifizierer auf die richtigen Schnittstellen angewendet wird.

Aktion

Geben Sie im Betriebsmodus den show class-of-service interface ge-0/0/0 Befehl ein.

Bedeutung

Die Schnittstellen werden wie erwartet konfiguriert.

Beispiel: Konfigurieren des Verhaltensaggregat-Klassifizierers in PMI für vSRX-Instanzen

Dieses Beispiel zeigt, wie Sie Verhaltensaggregate (BA)-Klassifizierer für eine vSRX-Instanz konfigurieren, um die Weiterleitungsbehandlung von Paketen in PMI zu bestimmen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Eine vSRX-Instanz.

  • Junos OS Version 19.4R1 und höher.

Bevor Sie beginnen:

  • Bestimmen Sie die Weiterleitungsklasse und Packet Loss Priorities (PLP), die standardmäßig jedem bekannten DSCP zugewiesen werden, das Sie für den Verhaltensaggregat-Klassifizierer konfigurieren möchten.

Überblick

Konfigurieren Sie verhaltensaggregate Klassifizierer, um die Pakete, die gültige DSCPs enthalten, in entsprechende Warteschlangen zu klassifizieren. Nach der Konfiguration wenden Sie den Verhaltensaggregat-Klassifizierer auf die richtigen Schnittstellen an. Sie überschreiben den Standard-IP-Precedence-Klassifizierer, indem Sie einen Klassifizierer definieren und ihn auf eine logische Schnittstelle anwenden. Um neue Klassifizierer für alle Codepunkttypen zu definieren, fügen Sie die classifiers Anweisung auf Hierarchieebene [edit class-of-service] ein.

Legen Sie in diesem Beispiel den aggregierten DSCP-Verhaltensklassifizierer auf ba-classifier die Standard-DSCP-Zuordnung fest. Stellen Sie eine Best-Effort-Weiterleitungsklasse als be-class, eine beschleunigte Weiterleitungsklasse als ef-class, eine gesicherte Weiterleitungsklasse als af-class, und eine Network Control Forwarding Class als nc-class. Wenden Sie schließlich den Verhaltensaggregat-Klassifizierer auf die Schnittstelle ge-0/0/0 an.

Tabelle 2 zeigt, wie der verhaltensaggregate Klassifizierer eingehenden Paketen in den vier Weiterleitungsklassen Verlustprioritäten zuordnet.

Tabelle 4: Beispiel-Ba-Classifier Verlustprioritätszuweisungen

mf-classifier Weiterleitungsklasse

Für CoS-Datenverkehrstyp

Ba-Klassifizierer-Zuordnungen

be-class

Best-Effort-Datenverkehr

Codepunkt mit hoher Priorität: 000001

ef-class

Beschleunigter Weiterleitungsverkehr

Codepunkt mit hoher Priorität: 101111

af-class

Gesicherter Weiterleitungsverkehr

Codepunkt mit hoher Priorität: 001100

nc-class

Datenverkehr zur Netzwerkkontrolle

Codepunkt mit hoher Priorität: 110001

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie Verhaltensaggregat-Klassifizierer für ein Gerät in PMI:

  1. Konfigurieren Sie die Class of Service.

  2. Konfigurieren Sie Verhaltensaggregat-Klassifizierer für Differenzierte Services (DiffServ) CoS.

  3. Konfigurieren Sie einen "Best-Effort Forwarding Classifier".

  4. Konfigurieren Sie einen beschleunigten Weiterleitungsklassifizierer.

  5. Konfigurieren Sie Unterbrechungsprofile.

  6. Konfigurieren Sie die Warteschlangen für Weiterleitungsklassen.

  7. Wenden Sie den Klassifizierer auf die Schnittstellen an.

  8. Konfigurieren Sie die Scheduler.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show class-of-service Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:

Überprüfung des Klassifizierers auf die Schnittstellen

Zweck

Stellen Sie sicher, dass der Klassifizierer ordnungsgemäß konfiguriert ist, und bestätigen Sie, dass die Weiterleitungsklassen richtig konfiguriert sind.

Aktion

Geben Sie im Betriebsmodus den show class-of-service forwarding-class Befehl ein.

Bedeutung

Die Ausgabe zeigt die konfigurierten benutzerdefinierten Klassifizierer-Einstellungen.

Beispiel: Konfigurieren und Anwenden eines Firewall-Filters für einen Multifield-Klassifizierer in PMI

In diesem Beispiel wird gezeigt, wie sie einen Firewall-Filter so konfigurieren, dass der Datenverkehr mithilfe von DSCP-Wert und Multifield -Klassifizierer (MF) in PMI in verschiedene Weiterleitungsklassen klassifiziert wird.

Der Klassifizierer erkennt Pakete, die für Class of Service (CoS) von Interesse sind, wenn sie an einer Schnittstelle ankommen. MF-Klassifizierer werden verwendet, wenn ein BA-Klassifizierer (Simple Behavior Aggregate) nicht ausreicht, um ein Paket zu klassifizieren, wenn Peering-Router keine CoS-Bits markiert haben oder die Kennzeichnung des Peering-Routers nicht vertrauenswürdig ist.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Gerät der SRX-Serie.

  • Junos OS Version 19.1R1 und höher.

Bevor Sie beginnen:

Überblick

In diesem Beispiel wird die Konfiguration des Firewallfilters erläutert mf-classifier. Um den MF-Klassifizierer zu konfigurieren, erstellen und benennen Sie die Datenverkehrsklasse für gesicherte Weiterleitung, legen Sie die Übereinstimmungsbedingung fest und geben Sie dann die Zieladresse als 192.168.44.55 an. Erstellen Sie die Weiterleitungsklasse für gesicherten DiffServ-Datenverkehr af-class und legen Sie die Verlustpriorität auf niedrig fest.

Erstellen und benennen Sie in diesem Beispiel die Klasse für beschleunigten Weiterleitungsverkehr, und legen Sie die Übereinstimmungsbedingung für die Klasse für beschleunigten Weiterleitungsverkehr fest. Geben Sie die Zieladresse als 192.168.66.77 an. Erstellen Sie die Weiterleitungsklasse für die beschleunigte Weiterleitung von DiffServ-Datenverkehr, und ef-class legen Sie den Policer auf ef-policer. Erstellen und benennen Sie die Datenverkehrsklasse für die Netzwerkkontrolle, und legen Sie die Übereinstimmungsbedingung fest.

Erstellen Sie in diesem Beispiel die Weiterleitungsklasse für die Datenverkehrsklasse nc-class für die Netzwerksteuerung, und benennen Sie die Weiterleitungsklasse für die Best-Effort-Datenverkehrsklasse als be-class. Wenden Sie schließlich den Multifield-Klassifizierer-Firewall-Filter als Ein- und Ausgabefilter auf jeden Kunden- oder Host-Filter an, der den Filter benötigt. In diesem Beispiel ist die Schnittstelle für den Eingangsfilter ge-0/0/2 und die Schnittstelle für den Ausgabefilter ge-0/0/4.

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie einen Firewall-Filter für einen Multifield-Klassifizierer für ein Gerät in PMI:

  1. Erstellen Und benennen Sie den Multifield-Klassifizierer-Filter.

  2. Erstellen Sie den Begriff für die Klasse des gesicherten Weiterleitungsdatenverkehrs und benennen Sie sie.

  3. Geben Sie die Zieladresse für gesicherten Weiterleitungsverkehr an.

  4. Erstellen Sie die Weiterleitungsklasse und legen Sie die Verlustpriorität für die Klasse des gesicherten Weiterleitungsverkehrs fest.

  5. Erstellen Sie den Begriff für die Beschleunigte Weiterleitungsverkehrsklasse, und benennen Sie sie.

  6. Geben Sie die Zieladresse für den beschleunigten Weiterleitungsverkehr an.

  7. Erstellen Sie die Weiterleitungsklasse, und wenden Sie den Policer für die Klasse beschleunigten Weiterleitungsverkehrs an.

  8. Erstellen Sie den Begriff für die Datenverkehrsklasse für Netzwerksteuerung und benennen Sie sie.

  9. Erstellen Sie die Übereinstimmungsbedingung für die Datenverkehrsklasse der Netzwerksteuerung.

  10. Erstellen und benennen Sie die Weiterleitungsklasse für die Datenverkehrsklasse für Netzwerkkontrolle.

  11. Erstellen Sie den Begriff für die Best-Effort-Datenverkehrsklasse, und nennen Sie sie.

  12. Erstellen Und benennen Sie die Weiterleitungsklasse für die Best-Effort-Datenverkehrsklasse.

  13. Wenden Sie den Multifield-Klassifizierer-Firewall-Filter als Eingabefilter an.

  14. Wenden Sie den Multifield-Klassifizierer-Firewall-Filter als Ausgabefilter an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show firewall filter mf-classifier Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show interfaces Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:

Überprüfen eines Firewall-Filters für eine Multifield-Klassifiziererkonfiguration

Zweck

Überprüfen Sie, ob ein Firewall-Filter für einen Multifield-Klassifizierer auf einem Gerät ordnungsgemäß konfiguriert ist, und bestätigen Sie, dass die Weiterleitungsklassen richtig konfiguriert sind.

Aktion

Geben Sie im Konfigurationsmodus den show class-of-service forwarding-class Befehl ein.

Bedeutung

Die Ausgabe zeigt die konfigurierten benutzerdefinierten Klassifizierer-Einstellungen.

Beispiel: Konfigurieren und Anwenden von Rewrite-Regeln auf einem Sicherheitsgerät in PMI

Dieses Beispiel zeigt, wie Sie Rewrite-Regeln für ein Gerät in PMI konfigurieren und anwenden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Gerät der SRX-Serie.

  • Junos OS Version 19.1R1 und höher.

Bevor Sie beginnen:

Überblick

In diesem Beispiel wird erläutert, wie Sie Rewrite-Regeln konfigurieren, um CoS-Werte für Pakete zu ersetzen, die vom Kunden oder Host empfangen wurden, durch die Werte, die von anderen SRX-Geräten erwartet werden. Sie müssen keine Rewrite-Regeln konfigurieren, wenn die empfangenen Pakete bereits gültige CoS-Werte enthalten. Rewrite-Regeln wenden die vom Gerät intern verwendeten Weiterleitungsklasseninformationen und Paketverlustpriorität an, um den CoS-Wert bei ausgehenden Paketen zu ermitteln. Nachdem Sie die Rewrite-Regeln konfiguriert haben, wenden Sie sie auf die richtigen Schnittstellen an.

Konfigurieren Sie in diesem Beispiel die Rewrite-Regel für DiffServ CoS als rewrite-dscps. Geben Sie die Weiterleitungsklasse best-effort als be-class, beschleunigte Weiterleitungsklasse als ef-class, eine gesicherte Weiterleitungsklasse als af-classund eine Network Control Class als nc-classan. Wenden Sie die Rewrite-Regel schließlich auf die ge-0/0/0-Schnittstelle an.

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren und wenden Sie Rewrite-Regeln für ein Gerät in PMI an:

  1. Konfigurieren Sie Rewrite-Regeln für DiffServ CoS.

  2. Konfigurieren Sie Best-Effort-Weiterleitungsklassen-Rewrite-Regeln.

  3. Konfigurieren Sie beschleunigte Weiterleitungsklassen-Rewrite-Regeln.

  4. Konfigurieren Sie eine zuverlässige Weiterleitungsklassen-Rewrite-Regeln.

  5. Konfigurieren Sie Eine Network Control Class Rewrite-Regeln.

  6. Wenden Sie Rewrite-Regeln auf eine Schnittstelle an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show class-of-service Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:

Überprüfen der Konfiguration von Rewrite-Regeln

Zweck

Überprüfen Sie, ob Die Regeln für das Umschreiben richtig konfiguriert sind.

Aktion

Geben Sie im Betriebsmodus den show class-of-service Befehl ein.

Bedeutung

Rewrite-Regeln werden wie erwartet auf der GE-0/0/0-Schnittstelle konfiguriert.

Konfiguration des IPsec-ESP-Authentifizierungsmodus in PMI

Das PMI führte einen neuen Datenpfad ein, um eine hohe IPsec-Durchsatzleistung zu erreichen. Ab Junos OS Version 19.4R1 auf Geräten der SRX5000-Serie mit SRX5K-SPC3-Karte können Sie den Encapsulating Security Payload (ESP)-Authentifizierungsmodus im PMI-Modus verwenden, der Authentifizierung, Integritätsprüfung und Wiedergabeschutz bietet, ohne die Datenpakete zu verschlüsseln.

Bevor Sie beginnen:

So konfigurieren Sie den esp-Authentifizierungsmodus:

  1. Konfigurieren Sie IPsec-Vorschlag und -Richtlinie.
  2. Bestätigen Sie Ihre Konfiguration, indem Sie den show security ipsec Befehl eingeben.

    Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .