PowerMode-IPsec
Verbessern der IPsec-Leistung mit PowerMode-IPsec
PowerMode IPsec (PMI) ist ein Betriebsmodus , der IPsec-Leistungsverbesserungen mithilfe von Vector Packet Processing und Intel Advanced Encryption Standard New Instructions (AES-NI) ermöglicht. PMI verwendet einen kleinen Softwareblock innerhalb der Packet Forwarding Engine, der die Datenflussverarbeitung umgeht und den AES-NI-Befehlssatz für eine optimierte Leistung der IPsec-Verarbeitung nutzt, die aktiviert wird, wenn PMI aktiviert ist.
- PMI-Verarbeitung
- PMI-Statistik
- Advanced Encryption Standard New Instructions (AES-NI) und Inline Field-Programmable Gate Array (FPGA)
- Unterstützte und nicht unterstützte Funktionen für PMI
- Vorteile von PMI
- Konfigurieren der PMI für den Sicherheitsdatenfluss
- Grundlegendes zum symmetrischen fetten IPsec-Tunnel
PMI-Verarbeitung
Sie können die PMI-Verarbeitung aktivieren oder deaktivieren:
- Aktivieren Sie die PMI-Verarbeitung mithilfe des Befehls Konfigurationsmodus.
set security flow power-mode-ipsec
- Deaktivieren Sie die PMI-Verarbeitung mithilfe des Befehls Konfigurationsmodus.
delete security flow power-mode-ipsec
Durch Ausführen dieses Befehls wird die Anweisung aus der Konfiguration gelöscht.
Für SRX4100 SRX4200 Geräte, auf denen Junos OS Version 18.4R1, Firewalls der SRX4600-Serie mit Junos OS Version 20.4R1 ausgeführt werden, und vSRX Virtual Firewall mit Junos OS Version 18.3R1, nachdem Sie die PMI aktiviert oder deaktiviert haben, müssen Sie das Gerät neu starten, damit die Konfiguration wirksam wird. Für SRX5000 Line- und vSRX Virtual Firewall-Instanzen, auf denen Junos OS Version 19.2R1 ausgeführt wird, ist jedoch kein Neustart erforderlich.
PMI-Statistik
Sie können die PMI-Statistiken mit dem Befehl Betriebsmodus überprüfen.show security flow pmi statistics
Sie können den PMI- und Fat-Tunnel-Status mit dem Befehl "Betriebsmodus" überprüfen.show security flow status
Advanced Encryption Standard New Instructions (AES-NI) und Inline Field-Programmable Gate Array (FPGA)
Ab Junos OS Version 20.4R1 können Sie die PMI-Leistung mithilfe von AES-NI verbessern. AES-NI im PMI-Modus hilft beim Lastausgleich in SPUs und unterstützt den symmetrischen Fat-Tunnel in SPC3-Karten. Dies führt zu einer beschleunigten Datenverkehrsverarbeitungsleistung und einem höheren Durchsatz für IPsec-VPN. PMI verwendet AES-NI für die Verschlüsselung und FPGA für die Entschlüsselung kryptografischer Vorgänge.
Um die PMI-Verarbeitung mit AES-NI zu aktivieren, fügen Sie die Anweisung auf Hierarchieebene ein.power-mode-ipsec
[edit security flow]
Um Inline-FPGA zu aktivieren oder zu deaktivieren, fügen Sie die Anweisung auf Hierarchieebene ein.inline-fpga-crypto (disabled | enabled)
[edit security forwarding-process application-services]
Unterstützte und nicht unterstützte Funktionen für PMI
Eine Tunnelsitzung kann entweder PMI oder Nicht-PMI sein.
Wenn eine Sitzung mit nicht unterstützten Funktionen konfiguriert ist, die in und aufgeführt sind, wird die Sitzung als Nicht-PMI markiert, und der Tunnel wechselt in den Nicht-PMI-Modus.Tabelle 1Tabelle 2 Sobald der Tunnel in den Nicht-PMI-Modus wechselt, kehrt der Tunnel nicht in den PMI-Modus zurück.
Tabelle 1 fasst die unterstützten und nicht unterstützten PMI-Funktionen der Firewalls der SRX-Serie zusammen.
Unterstützte Funktionen in PMI |
Nicht unterstützte Funktionen in PMI |
---|---|
IKE-Funktionalität (Internet Key Exchange) |
IPsec-in-IPsec-Tunnel |
AutoVPN mit Datenverkehrsselektoren |
Layer-4-7-Anwendungen: Application Firewall und AppSecure |
Hohe Verfügbarkeit |
GPRS-Tunneling-Protokoll (GTP)- und Stream Control Transmission Protocol (SCTP)-Firewalls |
IPv6 |
Host-Datenverkehr |
Stateful-Firewall |
Multicast |
ST0-Schnittstelle |
Verschachtelte Tunnel |
Datenverkehrs-Selektoren |
Bildschirmoptionen |
NAT-T |
DES-CBC-Verschlüsselungsalgorithmus |
GTP-U-Szenario mit TEID-Verteilung und asymmetrischer Fat-Tunnel-Lösung |
3DES-CBC-Verschlüsselungsalgorithmus |
Quality of Service (QoS) |
Application Layer Gateway (ALG) |
First-Path- und Fast-Path-Verarbeitung für Fragment-Handling und einheitliche Verschlüsselung. |
|
NAT |
|
AES-GCM-128- und AES-GCM-256-Verschlüsselungsalgorithmus. Wir empfehlen Ihnen, den AES-GCM-Verschlüsselungsalgorithmus zu verwenden, um eine optimale Leistung zu erzielen. |
|
AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA1-Verschlüsselungsalgorithmus |
|
AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA2-Verschlüsselungsalgorithmus |
|
NULL-Verschlüsselungsalgorithmus |
|
Tabelle 2 Fasst die unterstützten und nicht unterstützten PMI-Funktionen auf der MX-SPC3-Servicekarte zusammen.
Die MX-SPC3-Servicekarte unterstützt keinen NP-Cache und keine IPsec-Sitzungsaffinität.
Unterstützte Funktionen in PMI |
Nicht unterstützte Funktionen in PMI |
---|---|
IKE-Funktionalität (Internet Key Exchange) |
Layer-4-7-Anwendungen: Application Firewall, AppSecure und ALGs |
AutoVPN mit Traffic-Selektoren, ADVPN |
Multicast |
Hohe Verfügbarkeit |
Verschachtelte Tunnel |
IPv6 |
Bildschirmoptionen |
Stateful-Firewall |
Application Layer Gateway (ALG) |
ST0-Schnittstelle |
|
Datenverkehrs-Selektoren |
|
Dead Peer Detection (DPD) |
|
Anti-Replay-Prüfung |
|
NAT |
|
Post/Pre-Fragment |
|
eingehende Klartextfragmente und ESP-Fragmente |
|
AES-GCM-128- und AES-GCM-256-Verschlüsselungsalgorithmus. Wir empfehlen Ihnen, den AES-GCM-Verschlüsselungsalgorithmus zu verwenden, um eine optimale Leistung zu erzielen. |
|
AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA1-Verschlüsselungsalgorithmus |
|
AES-CBC-128, AES-CBC-192 und AES-CBC-256 mit SHA2-Verschlüsselungsalgorithmus |
|
NULL-Verschlüsselungsalgorithmus |
Beachten Sie die folgenden Überlegungen zur Verwendung von PMI:
- Antireplay window size
Die Größe des Antireplay-Fensters beträgt standardmäßig 64 Pakete. Wenn Sie fat-tunnel konfigurieren, wird empfohlen, die Größe des Antireplay-Fensters auf mindestens 512 Pakete zu erhöhen.
- Class of Service (CoS)
- Ab Junos OS Version 19.1R1 unterstützt Class of Service (CoS) die Konfiguration von BA-Klassifizierern (Behavior Aggregate), MF-Klassifizierern (Multifield) und Rewrite-Rule-Funktionen in PMI auf SRX5K-SPC3 Services Processing Card (SPC)-Karten.
Wenn Sie PMI für eine Flow-Sitzung aktivieren, wird das CoS auf der Grundlage eines Flows durchgeführt. Das bedeutet, dass das erste Paket eines neuen Datenflusses die CoS-Informationen in der Datenflusssitzung zwischenspeichert. Dann verwenden die nachfolgenden Pakete des Datenstroms die in der Sitzung zwischengespeicherten CoS-Informationen wieder.
- Encryption algorithm
Junos OS Version 19.3R1 unterstützt die Optionen aes-128-cbc, aes-192-cbc und aes-256-cbc auf SRX4100, SRX4200 und vSRX Virtual Firewall im PMI-Modus, um die IPsec-Leistung zu verbessern, zusammen mit der vorhandenen Unterstützung im normalen Modus.
- GTP-U
- Ab Junos OS Version 19.2R1 unterstützt PMI GTP-U-Szenarien mit TEID-Verteilung und asymmetrischer Fat-Tunnel-Lösung.
- Ab Junos OS Version 19.3R1, GTP-U-Szenario mit TEID-Verteilung und asymmetrischer Fat-Tunnel-Lösung und Software Receive Side Scaling-Funktion auf der virtuellen vSRX-Firewall und der virtuellen vSRX-Firewall.
- LAG and redundant (reth) interfaces
- PMI wird auf Link Aggregation Group (LAG)- und redundanten Ethernet-Schnittstellen (RETH) unterstützt.
- PMI fragmentation check
PMI führt eine Prüfung vor und nach der Fragmentierung durch. Wenn die PMI Pakete vor und nach der Fragmentierung erkennt, werden Pakete im PMI-Modus nicht zugelassen. Die Pakete kehren in den Nicht-PMI-Modus zurück.
Alle Fragmente, die auf einer Schnittstelle empfangen werden, durchlaufen PMI nicht.
- PMI for NAT-T
- PMI für NAT-T wird nur auf SRX5400-, SRX5600- SRX5800-Reihe unterstützt, die mit der SRX5K-SPC3 Services Processing Card (SPC) oder mit der virtuellen vSRX-Firewall ausgestattet sind.
- PMI support (vSRX)
Ab Junos OS Version 19.4R1 unterstützen virtuelle vSRX-Firewall-Instanzen:
Per-Flow-CoS-Funktionen für GTP-U-Datenverkehr im PMI-Modus.
CoS-Funktionen im PMI-Modus. Die folgenden CoS-Funktionen werden im PMI-Modus unterstützt:
Klassifizierung
Funktionen zum Umschreiben von Regeln
Queuing
Shaping
Zeitplanung
Vorteile von PMI
Verbessert die Leistung von IPsec.
Konfigurieren der PMI für den Sicherheitsdatenfluss
Im folgenden Abschnitt wird beschrieben, wie Sie die PMI für den Sicherheitsdatenfluss konfigurieren.
Um die PMI für den Sicherheitsdatenfluss zu konfigurieren, müssen Sie den Sitzungscache für IOCs und die Sitzungsaffinität aktivieren:
Aktivieren des Sitzungscaches auf IOCs (IOC2 und IOC3)
user@host# set chassis fpc <fpc-slot> np-cache
Aktivieren der VPN-Sitzungsaffinität
user@host# set security flow load-distribution session-affinity ipsec
Erstellen Sie einen Sicherheitsfluss in PMI.
user@host#set security flow power-mode-ipsec
Bestätigen Sie Ihre Konfiguration, indem Sie den Befehl eingeben.
show security
user@host# show security flow { power-mode-ipsec; }
Grundlegendes zum symmetrischen fetten IPsec-Tunnel
Um den Durchsatz des IPsec-Tunnels zu verbessern, können Sie die Fat-Tunnel-Technologie verwenden.
Ab Junos OS Version 19.4R1 können Sie Fat IPsec-Tunnel auf SRX5400-, SRX5600- und SRX5800-Leitung mit SRX5K-SPC3-Servicekarte und vSRX Virtual Firewall-Instanzen konfigurieren.
Ab Junos OS Version 21.1R1 können Sie den fetten IPsec-Tunnel auf der MX-SPC3-Servicekarte konfigurieren.
Ein neuer CLI-Befehl wird eingeführt, um den fetten IPsec-Tunnel zu aktivieren. Die fette IPsec-Tunnelfunktion ist standardmäßig deaktiviert. Der neu eingeführte CLI-Befehl befindet sich in der Hierarchie .fat-core
set security distribution-profile
Wenn Sie den Fat-Core aktivieren, wird die folgende Konfiguration angezeigt:
security { distribution-profile { fat-core; } }
Bevor Sie den fetten IPsec-Tunnel konfigurieren, stellen Sie sicher, dass Folgendes konfiguriert ist.
Konfigurieren Sie für eine schnelle Pfadweiterleitung den IOC-Cache für die Sitzungsinformationen mit dem Befehl.
set chassis fpc FPC slot np-cache
Um die Sitzungsaffinität zu aktivieren, verwenden Sie den Befehl.
set security flow load-distribution session-affinity ipsec
Um den Energiemodus zu aktivieren, verwenden Sie den Befehl.
set security flow power-mode-ipsec
Siehe auch
Beispiel: Konfigurieren des Verhaltensaggregatklassifikators in PMI
In diesem Beispiel wird gezeigt, wie BA-Klassifizierer (Behavior Aggregate) für eine Firewall der SRX-Serie konfiguriert werden, um die Weiterleitungsbehandlung von Paketen in PMI zu bestimmen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewall der SRX-Serie.
Junos OS Version 19.1R1 und höhere Versionen.
Bevor Sie beginnen:
Bestimmen Sie die Weiterleitungsklasse und das PLP, die standardmäßig jedem bekannten DSCP zugewiesen sind, den Sie für den Verhaltensaggregatklassifizierer konfigurieren möchten.
Überblick
Konfigurieren Sie Verhaltensaggregatklassifizierer, um die Pakete, die gültige DSCPs enthalten, in die entsprechenden Warteschlangen zu klassifizieren. Nach der Konfiguration wenden Sie den Klassifikator für das Verhaltensaggregat auf die richtigen Schnittstellen an. Sie überschreiben die standardmäßige IP-Rangfolgeklassifizierung, indem Sie eine Klassifizierung definieren und auf eine logische Schnittstelle anwenden. Um neue Klassifizierer für alle Codepunkttypen zu definieren, schließen Sie die Anweisung auf Hierarchieebene ein.classifiers
[edit class-of-service]
Legen Sie in diesem Beispiel den Aggregatklassifikator DSCP-Verhalten auf als Standard-DSCP-Zuordnung fest .ba-classifier
Legen Sie eine Best-Effort-Weiterleitungsklasse als , eine beschleunigte Weiterleitungsklasse als , eine gesicherte Weiterleitungsklasse als und eine Netzwerksteuerungsweiterleitungsklasse als fest.be-class
ef-class
af-class
nc-class
Wenden Sie abschließend den Verhaltensaggregat-Klassifikator auf die Schnittstelle ge-0/0/0 an.
Tabelle 2 zeigt, wie der Verhaltensaggregat-Klassifizierer eingehenden Paketen in den vier Weiterleitungsklassen Verlustprioritäten zuweist.
mf-classifier Weiterleitungsklasse |
Für CoS-Datenverkehrstyp |
ba-classifier Zuordnungen |
---|---|---|
|
Best-Effort-Datenverkehr |
Codepunkt mit hoher Priorität: 000001 |
|
Beschleunigte Weiterleitung von Datenverkehr |
Codepunkt mit hoher Priorität: 101111 |
|
Gesicherter Weiterleitungsverkehr |
Codepunkt mit hoher Priorität: 001100 |
|
Datenverkehr zur Netzwerksteuerung |
Codepunkt mit hoher Priorität: 110001 |
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann im Konfigurationsmodus ein .[edit]
commit
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 101111 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001100 set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points 110001 set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Verhaltensaggregatklassifikatoren für ein Gerät in PMI:
Konfigurieren Sie die Serviceklasse.
[edit] user@host# edit class-of-service
Konfigurieren Sie Verhaltensaggregatklassifizierer für DiffServ-CoS (Differentiated Services).
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
Konfigurieren Sie einen Best-Effort-Weiterleitungsklassenklassifizierer.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be-class loss-priority high code-points 000001
Konfigurieren Sie einen Klassenklassifizierer für die beschleunigte Weiterleitung.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 101111
Konfigurieren Sie einen Klassifizierer für die gesicherte Weiterleitungsklassen.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class af-class loss-priority high code-points 001100
Konfigurieren Sie einen Klassifizierer für die Weiterleitungsklassen der Netzwerksteuerung.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class nc-class loss-priority high code-points 110001
Wenden Sie den Verhaltensaggregat-Klassifikator auf eine Schnittstelle an.
[edit] user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show class-of-service
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show class-of-service classifiers { dscp ba-classifier { import default; forwarding-class be-class { loss-priority high code-points 000001; } forwarding-class ef-class { loss-priority high code-points 101111; } forwarding-class af-class { loss-priority high code-points 001100; } forwarding-class nc-class { loss-priority high code-points 110001; } } } interfaces { ge-0/0/0 { unit 0 { classifiers { dscp ba-classifier; } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob der Klassifikator auf die Schnittstellen angewendet wird
Zweck
Stellen Sie sicher, dass der Klassifikator auf die richtigen Schnittstellen angewendet wird.
Was
Geben Sie im Betriebsmodus den Befehl ein.show class-of-service interface ge-0/0/0
user@host> show class-of-service interface ge-0/0/0 Physical interface: ge-0/0/0, Index: 144 Queues supported: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge-1/0/3, Index: 333 Object Name Type Index Classifier v4-ba-classifier dscp 10755
Bedeutung
Die Schnittstellen werden wie erwartet konfiguriert.
Beispiel: Konfigurieren des Behavior Aggregate Classifier in PMI für virtuelle vSRX-Firewall-Instanzen
Dieses Beispiel zeigt, wie BA-Klassifizierer (Behavior Aggregate) für eine vSRX Virtual Firewall-Instanz konfiguriert werden, um die Weiterleitungsbehandlung von Paketen in PMI zu bestimmen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine virtuelle vSRX-Firewall-Instanz.
Junos OS Version 19.4R1 und höhere Versionen.
Bevor Sie beginnen:
Bestimmen Sie die Weiterleitungsklasse und die Paketverlustprioritäten (Packet Loss Priorities, PLP), die standardmäßig jedem bekannten DSCP zugewiesen sind, den Sie für den Verhaltensaggregatklassifizierer konfigurieren möchten.
Überblick
Konfigurieren Sie Verhaltensaggregatklassifizierer, um die Pakete, die gültige DSCPs enthalten, in die entsprechenden Warteschlangen zu klassifizieren. Nach der Konfiguration wenden Sie den Klassifikator für das Verhaltensaggregat auf die richtigen Schnittstellen an. Sie überschreiben die standardmäßige IP-Rangfolgeklassifizierung, indem Sie eine Klassifizierung definieren und auf eine logische Schnittstelle anwenden. Um neue Klassifizierer für alle Codepunkttypen zu definieren, schließen Sie die Anweisung auf Hierarchieebene ein.classifiers
[edit class-of-service]
Legen Sie in diesem Beispiel den Aggregatklassifikator DSCP-Verhalten auf als Standard-DSCP-Zuordnung fest .ba-classifier
Legen Sie eine Best-Effort-Weiterleitungsklasse als , eine beschleunigte Weiterleitungsklasse als , eine gesicherte Weiterleitungsklasse als und eine Netzwerksteuerungsweiterleitungsklasse als fest.be-class
ef-class
af-class
nc-class
Wenden Sie abschließend den Verhaltensaggregat-Klassifikator auf die Schnittstelle ge-0/0/0 an.
Tabelle 2 zeigt, wie der Verhaltensaggregat-Klassifizierer eingehenden Paketen in den vier Weiterleitungsklassen Verlustprioritäten zuweist.
mf-classifier Weiterleitungsklasse |
Für CoS-Datenverkehrstyp |
ba-classifier Zuordnungen |
---|---|---|
|
Best-Effort-Datenverkehr |
Codepunkt mit hoher Priorität: 000001 |
|
Beschleunigte Weiterleitung von Datenverkehr |
Codepunkt mit hoher Priorität: 101111 |
|
Gesicherter Weiterleitungsverkehr |
Codepunkt mit hoher Priorität: 001100 |
|
Datenverkehr zur Netzwerksteuerung |
Codepunkt mit hoher Priorität: 110001 |
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann im Konfigurationsmodus ein .[edit]
commit
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af11 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af31 set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21 set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6 set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50 set class-of-service drop-profiles drop_profile fill-level 50 drop-probability 100 set class-of-service forwarding-classes queue 0 be set class-of-service forwarding-classes queue 1 ef set class-of-service forwarding-classes queue 2 low_delay set class-of-service forwarding-classes queue 3 low_loss set class-of-service interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice set class-of-service schedulers voice buffer-size temporal 5k set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Verhaltensaggregatklassifikatoren für ein Gerät in PMI:
Konfigurieren Sie die Serviceklasse.
[edit] user@host# edit class-of-service
Konfigurieren Sie Verhaltensaggregatklassifizierer für DiffServ-CoS (Differentiated Services).
[edit class-of-service] user@host# edit classifiers dscp ba-classifier
Konfigurieren Sie einen Best-Effort-Weiterleitungsklassenklassifizierer.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be loss-priority low code-points be
Konfigurieren Sie einen Klassenklassifizierer für die beschleunigte Weiterleitung.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority low code-points ef user@host# set forwarding-class ef-class loss-priority high code-points af41 user@host# set forwarding-class ef-class loss-priority high code-points af11 user@host# set forwarding-class ef-class loss-priority high code-points af31 user@host# set forwarding-class low_delay loss-priority low code-points af21 user@host# set forwarding-class low_loss loss-priority low code-points cs6
Konfigurieren Sie Drop-Profile.
[edit class-of-service drop-profiles] user@host# set drop_profile fill-level 20 drop-probability 50 user@host# set drop_profile fill-level 50 drop-probability 100
Konfigurieren Sie die Warteschlangen für Weiterleitungsklassen.
[edit class-of-service forwarding-classes ] user@host# set queue 0 be user@host# set queue 1 ef user@host# set queue 2 low_delay user@host# set 3 low_loss
Wenden Sie den Klassifikator auf die Schnittstellen an.
[edit class-of-service] user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
Konfigurieren Sie die Scheduler.
[edit class-of-service] user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice user@host# set schedulers voice buffer-size temporal 5k user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show class-of-service
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show class-of-service classifiers { dscp ba-classifier { forwarding-class be { loss-priority low code-points be; } forwarding-class ef { loss-priority low code-points ef; loss-priority high code-points [ af41 af11 af31 ]; } forwarding-class low_delay { loss-priority low code-points af21; } forwarding-class low_loss { loss-priority low code-points cs6; } } } drop-profiles { drop_profile { fill-level 20 drop-probability 50; fill-level 50 drop-probability 100; } } forwarding-classes { queue 0 be; queue 1 ef; queue 2 low_delay; queue 3 low_loss; } interfaces { ge-0/0/1 { unit 0 { classifiers { dscp ba-classifier; } } } ge-0/0/3 { unit 0 { scheduler-map SCHEDULER-MAP; shaping-rate 2k; } } } scheduler-maps { SCHEDULER-MAP { forwarding-class ef scheduler voice; } } schedulers { voice { buffer-size temporal 5k; drop-profile-map loss-priority any protocol any drop-profile drop_profile; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob der Klassifikator auf die Schnittstellen angewendet wird
Zweck
Überprüfen Sie, ob der Klassifizierer ordnungsgemäß konfiguriert ist, und vergewissern Sie sich, dass die Weiterleitungsklassen ordnungsgemäß konfiguriert sind.
Was
Geben Sie im Betriebsmodus den Befehl ein.show class-of-service forwarding-class
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority be 0 0 0 low normal low ef 1 1 1 low normal low low_delay 2 2 2 low normal low low_loss 3 3 3 low normal low
Bedeutung
Die Ausgabe zeigt die konfigurierten benutzerdefinierten Klassifikatoreinstellungen.
Beispiel: Konfigurieren und Anwenden eines Firewall-Filters für einen Mehrfeld-Klassifikator in PMI
In diesem Beispiel wird gezeigt, wie ein Firewallfilter so konfiguriert wird, dass Datenverkehr mithilfe des DSCP-Werts und des MF-Klassifizierers (Multifield) in PMI in eine andere Weiterleitungsklasse klassifiziert wird.
Der Classifier erkennt Pakete, die für Class of Service (CoS) von Interesse sind, sobald sie auf einer Schnittstelle eintreffen. MF-Klassifizierer werden verwendet, wenn ein BA-Klassifikator (Simple Behavior Aggregate) nicht ausreicht, um ein Paket zu klassifizieren, wenn Peering-Router keine CoS-Bits markiert haben oder wenn die Markierung des Peering-Routers nicht vertrauenswürdig ist.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewall der SRX-Serie.
Junos OS Version 19.1R1 und höhere Versionen.
Bevor Sie beginnen:
Bestimmen Sie die Weiterleitungsklassen, die standardmäßig jedem bekannten DSCP zugewiesen sind, den Sie für die MF-Klassifizierung konfigurieren möchten. Weitere Informationen finden Sie unter Verbessern der IPsec-Leistung mit PowerMode-IPsec.
Überblick
In diesem Beispiel wird erläutert, wie Sie den Firewall-Filter konfigurieren.mf-classifier
Um die MF-Klassifizierung zu konfigurieren, erstellen und benennen Sie die Klasse des gesicherten Weiterleitungsdatenverkehrs, legen Sie die Übereinstimmungsbedingung fest, und geben Sie dann die Zieladresse als 192.168.44.55 an. Erstellen Sie die Weiterleitungsklasse für die gesicherte Weiterleitung von DiffServ-Datenverkehr als und legen Sie die Verlustpriorität auf niedrig fest.af-class
Erstellen und benennen Sie in diesem Beispiel die Datenverkehrsklasse für die beschleunigte Weiterleitung, und legen Sie die Übereinstimmungsbedingung für die Datenverkehrsklasse für die beschleunigte Weiterleitung fest. Geben Sie als Zieladresse 192.168.66.77 an. Erstellen Sie die Weiterleitungsklasse für die beschleunigte Weiterleitung von DiffServ-Datenverkehr als und setzen Sie den Policer auf .ef-class
ef-policer
Erstellen und benennen Sie die Netzwerksteuerungs-Datenverkehrsklasse, und legen Sie die Übereinstimmungsbedingung fest.
Erstellen und benennen Sie in diesem Beispiel die Weiterleitungsklasse für die Netzwerksteuerungsdatenverkehrsklasse als und benennen Sie die Weiterleitungsklasse für die Best-Effort-Datenverkehrsklasse als .nc-class
be-class
Wenden Sie abschließend den Firewallfilter für die Mehrfeldklassifizierung als Eingabe- und Ausgabefilter auf jeden kunden- oder hostorientierten Filter an, der den Filter benötigt. In diesem Beispiel ist die Schnittstelle für den Eingabefilter ge-0/0/2 und die Schnittstelle für den Ausgabefilter ge-0/0/4.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann im Konfigurationsmodus ein .[edit]
commit
set firewall filter mf-classifier interface-specific set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55 set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class set firewall filter mf-classifier term assured-forwarding then loss-priority low set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77 set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class set firewall filter mf-classifier term expedited-forwarding then policer ef-policer set firewall filter mf-classifier term network-control from precedence net-control set firewall filter mf-classifier term network-control then forwarding-class nc-class set firewall filter mf-classifier term best-effort then forwarding-class be-class set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie einen Firewall-Filter für einen Mehrfeld-Klassifikator für ein Gerät in PMI:
Erstellen Sie den Klassifizierungsfilter für mehrere Felder, und benennen Sie ihn.
[edit] user@host# edit firewall filter mf-classifier user@host# set interface-specific
Erstellen und benennen Sie den Begriff für die gesicherte Weiterleitungsdatenverkehrsklasse.
[edit firewall filter mf-classifier] user@host# edit term assured-forwarding
Geben Sie die Zieladresse für den gesicherten Weiterleitungsdatenverkehr an.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set from destination-address 192.168.44.55
Erstellen Sie die Weiterleitungsklasse, und legen Sie die Verlustpriorität für die zugesicherte Weiterleitungsdatenverkehrsklasse fest.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set then forwarding-class af-class user@host# set then loss-priority low
Erstellen und benennen Sie den Begriff für die Datenverkehrsklasse der beschleunigten Weiterleitung.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term expedited-forwarding
Geben Sie die Zieladresse für den beschleunigten Weiterleitungsdatenverkehr an.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set from destination-address 192.168.66.77
Erstellen Sie die Weiterleitungsklasse, und wenden Sie den Policer für die Datenverkehrsklasse für die beschleunigte Weiterleitung an.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set then forwarding-class ef-class user@host# set then policer ef-policer
Erstellen Sie den Begriff, und benennen Sie ihn für die Datenverkehrsklasse der Netzwerksteuerung.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term network-control
Erstellen Sie die Übereinstimmungsbedingung für die Datenverkehrsklasse der Netzwerksteuerung.
[edit firewall filter mf-classifier term network-control] user@host# set from precedence net-control
Erstellen und benennen Sie die Weiterleitungsklasse für die Datenverkehrsklasse der Netzwerksteuerung.
[edit firewall filter mf-classifier term network-control] user@host# set then forwarding-class nc-class
Erstellen und benennen Sie den Begriff für die Best-Effort-Datenverkehrsklasse.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term best-effort
Erstellen und benennen Sie die Weiterleitungsklasse für die Best-Effort-Datenverkehrsklasse.
[edit firewall filter mf-classifier term best-effort] user@host# set then forwarding-class be-class
Wenden Sie den Firewallfilter für die Mehrfeldklassifizierung als Eingabefilter an.
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
Wenden Sie den Firewallfilter für die Mehrfeldklassifizierung als Ausgabefilter an.
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show firewall filter mf-classifier
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show firewall filter mf-classifier interface-specific; term assured-forwarding { from { destination-address { 192.168.44.55/32; } } then { loss-priority low; forwarding-class af-class; } } term expedited-forwarding { from { destination-address { 192.168.66.77/32; } } then { policer ef-policer; forwarding-class ef-class; } } term network-control { from { precedence net-control; } then forwarding-class nc-class; } term best-effort { then forwarding-class be-class; }
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show interfaces
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show show interfaces ge-0/0/2 { unit 0 { family inet { filter { input mf-classifier; } } } } ge-0/0/4 { unit 0 { family inet { filter { output mf-classifier; } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen eines Firewallfilters für eine Multifield-Klassifiziererkonfiguration
Zweck
Stellen Sie sicher, dass ein Firewallfilter für eine Multifield-Klassifizierung auf einem Gerät ordnungsgemäß konfiguriert ist, und vergewissern Sie sich, dass die Weiterleitungsklassen ordnungsgemäß konfiguriert sind.
Was
Geben Sie im Konfigurationsmodus den Befehl ein.show class-of-service forwarding-class
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Bedeutung
Die Ausgabe zeigt die konfigurierten benutzerdefinierten Klassifikatoreinstellungen.
Beispiel: Konfigurieren und Anwenden von Umschreibungsregeln auf einem Sicherheitsgerät in PMI
In diesem Beispiel wird gezeigt, wie Umschreibungsregeln für ein Gerät in PMI konfiguriert und angewendet werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewall der SRX-Serie.
Junos OS Version 19.1R1 und höhere Versionen.
Bevor Sie beginnen:
Erstellen und konfigurieren Sie die Weiterleitungsklassen. Weitere Informationen finden Sie unter Verbessern der IPsec-Leistung mit PowerMode-IPsec.
Überblick
In diesem Beispiel wird erläutert, wie Rewrite-Regeln konfiguriert werden, um CoS-Werte für Pakete, die vom Kunden oder Host empfangen werden, durch die Werte zu ersetzen, die von anderen Firewalls der SRX-Serie erwartet werden. Sie müssen keine Rewrite-Regeln konfigurieren, wenn die empfangenen Pakete bereits gültige CoS-Werte enthalten. Rewrite-Regeln wenden die Weiterleitungsklasseninformationen und die Paketverlustpriorität an, die intern vom Gerät verwendet werden, um den CoS-Wert für ausgehende Pakete festzulegen. Nachdem Sie die Umschreibungsregeln konfiguriert haben, wenden Sie sie auf die richtigen Schnittstellen an.
Konfigurieren Sie in diesem Beispiel die Rewrite-Regel für DiffServ CoS als .rewrite-dscps
Geben Sie die Best-Effort-Weiterleitungsklasse als , die beschleunigte Weiterleitungsklasse als , eine gesicherte Weiterleitungsklasse als und eine Netzwerksteuerungsklasse als an.be-class
ef-class
af-class
nc-class
Wenden Sie abschließend die Umschreibungsregel auf die Schnittstelle ge-0/0/0 an.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann im Konfigurationsmodus ein .[edit]
commit
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren und wenden Sie Umschreibungsregeln für ein Gerät in PMI an:
Konfigurieren Sie Rewrite-Regeln für DiffServ CoS.
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
Konfigurieren Sie Best-Effort-Regeln für das Umschreiben von Weiterleitungsklassen.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
Konfigurieren Sie Regeln für das Umschreiben von beschleunigten Weiterleitungsklassen.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
Konfigurieren Sie eine gesicherte Weiterleitungsklasse Rewrite-Regeln.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
Konfigurieren Sie Regeln zum Umschreiben einer Netzwerksteuerungsklasse.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
Wenden Sie Umschreibungsregeln auf eine Schnittstelle an.
[edit class-of-service] user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show class-of-service
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show class-of-service interfaces { ge-0/0/0 { unit 0 { rewrite-rules { dscp rewrite-dscps; } } } } rewrite-rules { dscp rewrite-dscps { forwarding-class be-class { loss-priority low code-point 000000; loss-priority high code-point 000001; } forwarding-class ef-class { loss-priority low code-point 101110; loss-priority high code-point 101111; } forwarding-class af-class { loss-priority low code-point 001010; loss-priority high code-point 001100; } forwarding-class nc-class { loss-priority low code-point 110000; loss-priority high code-point 110001; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen der Konfiguration von Rewrite-Regeln
Zweck
Stellen Sie sicher, dass die Umschreibungsregeln ordnungsgemäß konfiguriert sind.
Was
Geben Sie im Betriebsmodus den Befehl ein.show class-of-service
user@host> show class-of-service Physical interface: ge-0/0/0, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge0/0/0, Index: 71 Object Name Type Index Classifier ipprec-compatibility ip 13
Bedeutung
Rewrite-Regeln werden wie erwartet auf der ge-0/0/0-Schnittstelle konfiguriert.
Konfigurieren des IPsec-ESP-Authentifizierungsmodus in PMI
Mit dem PMI wurde ein neuer Datenpfad eingeführt, um einen hohen IPsec-Durchsatz zu erreichen. Ab Junos OS Version 19.4R1 können Sie in SRX5000 Linie mit der SRX5K-SPC3-Karte den reinen ESP-Authentifizierungsmodus (Encapsulating Security Payload) im PMI-Modus verwenden, der Authentifizierung, Integritätsprüfung und Replay-Schutz bietet, ohne die Datenpakete zu verschlüsseln.
Ab Junos OS Version 22.1R3 unterstützen wir die PMI Express Path Processing für Passthrough-ESP-Datenverkehr auf den Firewalls der SRX-Serie.
Bevor Sie beginnen:
Stellen Sie sicher, dass die Sitzung PMI-fähig ist. Siehe VPN-Sitzungsaffinität .
So konfigurieren Sie den reinen ESP-Authentifizierungsmodus: