Présentation des services nouvelle génération
Cette rubrique donne un aperçu des services nouvelle génération et comprend les rubriques suivantes
Présentation des services de routeur universel 5G
Les routeurs universels 5G prennent en charge plusieurs types d’interfaces de services, qui offrent des capacités spécifiques pour inspecter, surveiller et manipuler le trafic lorsqu’il transite par un routeur. Les services peuvent être classés en services adaptatifs et services nouvelle génération, chaque catégorie offrant des interfaces de services en ligne et des options d’interfaces multiservices. Le Tableau 1 répertorie les cartes qui fournissent ces services.
Le MX-SPC3 remplace les cartes de type MS, ce qui améliore considérablement les performances globales ainsi qu’une évolutivité et une capacité haut de gamme.
Plate-forme de routage universelle 5G |
|||||
|---|---|---|---|---|---|
Services d’adaptation |
Services nouvelle génération |
||||
MPC
Services en ligne |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
Services en ligne |
MX-SPC3
|
Les services adaptatifs peuvent s’exécuter sur des cartes MS-DPC, MS-MPC et MS-MIC à l’aide de PIC multiservices (MS) ou de services adaptatifs (AS).
Les services nouvelle génération peuvent s’exécuter sur les cartes MPC et la carte de services de sécurité MX-SPC3.
Les services en ligne sont configurés sur des concentrateurs de ports modulaires (MPC). Les interfaces de services en ligne sont des interfaces physiques virtuelles qui résident sur le moteur de transfert de paquets. Ils fournissent un traitement hautes performances du trafic transitant par le MPC et vous permettent d’optimiser la capacité et l’utilisation des emplacements de votre châssis.
Les cartes de Sécurité multiservices (MS-DPC, MS-MPC, MS-MIC ou MX-SPC3) fournissent des services qui peuvent être appliqués à tout trafic transitant par le châssis au-delà d’un simple MPC individuel. Ils fournissent également un traitement dédié pour prendre en charge une variété de fonctionnalités de sécurité à grande échelle et hautes performances.
Présentation des services adaptatifs
Les services adaptatifs s’exécutent en ligne sur les MPC et sur les cartes de sécurité multiservices MS-DPC, MS-MPC et MS-MIC. Services adaptatifs (AS) Les PIC et les PIC multiservices vous permettent d’exécuter plusieurs services sur le même PIC en configurant un ensemble de services et d’applications. Les PIC AS et Multiservices offrent une gamme de services que vous pouvez configurer en un ou plusieurs ensembles de services.
Sur Juniper Networks 5G Plates-formes de routage universelles, le MS-DPC offre essentiellement les mêmes capacités que le MS-MPC. Les interfaces des deux plates-formes sont configurées de la même manière.
Pour plus d’informations sur les services adaptatifs, y compris les services en ligne, consultez Vue d’ensemble des services adaptatifs.
Services en ligne
Les services adaptatifs utilisent également des interfaces de services en ligne pour fournir des services en ligne . Les interfaces de services en ligne sont des interfaces virtuelles qui résident sur le moteur de transfert de paquets.
Vous configurez les services en ligne uniquement sur les MPC à l’aide de la convention si-fpc/pic/port de dénomination plutôt que de la convention de ms-fpc/pic/port nommage.
Services nouvelle génération
Les services nouvelle génération combinent les capacités des services de sécurité pour vous permettre d’inspecter, de surveiller et de manipuler le trafic lorsqu’il transite par le routeur. Les services nouvelle génération sont pris en charge à la fois en ligne sur les concentrateurs de ports modulaires (MPC) et la carte de services de sécurité MX-SPC3 dans les routeurs MX240, MX480 et MX960 qui prennent en charge cette fonctionnalité. Reportez-vous au tableau 2, qui résume les services nouvelle génération pris en charge à la fois en ligne et sur la carte MX-SPC3. Les services en ligne et MX-SPC3 peuvent être utilisés en même temps.
Vous configurez les services nouvelle génération sur la carte de services de sécurité MX-SPC3 à l’aide de la convention de dénomination multiservices virtuelle : vms-fpc/pic/port.
Récapitulatif des services pris en charge sur les routeurs universels MX Series 5G
Le Tableau 2 récapitule les services pris en charge dans le cadre des services nouvelle génération.
| Services nouvelle génération : interface en ligne (si-) et SPC3 |
||||
|---|---|---|---|---|
| Fonctionnalité de service |
Services en ligne |
SPC3 |
||
| Version de Junos OS |
Sous-service |
Version de Junos OS |
Sous-service |
|
| La CGNAT |
19.3R2 |
Basique-NAT44 et NAT66 NAT de destination statique Deux fois NAT44 de base 6ème Softwires NPTv6 |
19.3R2 |
NAT44 de base NAT66 de base NAT44 dynamique NAT de destination statique Basic-NAT-PT NAPT-PT NAPT44 NAPT66 Attribution du bloc de ports Déterministe - nat44 et nat64 Mappage indépendant des points de terminaison (EIM)/Filtrage indépendant des points de terminaison (EIF) NAT persistant – Appariement de pools d’applications (APP) Twice-NAT44 – Basique, Dynamique et NAPT NAT64 XLAT-464 NPTv6 |
| 20.1R1 |
Protocole de contrôle de port (PCP) – v1 et v2 |
|||
| 20.2R1 |
MAP-E |
DS-Lite NAT46 |
||
| Traffic Load Balancer |
19.3R2 |
19.3R2 |
||
| SecIntel (flux de menaces IP ATP Cloud) |
19.3R2 |
S.O. |
||
| Services de pare-feu dynamique |
S.O. |
19.3R2 |
||
| Services de détection d’intrusion (IDS) |
S.O. |
19.3R2 |
||
| Filtrage des requêtes DNS |
S.O. |
19.3R2 |
||
| Interfaces multiservices agrégées |
S.O. |
19.3R2 |
||
| Haute disponibilité entre châssis |
S.O. |
19.3R2 |
CGNAT, pare-feu dynamique, IDS |
|
| Filtrage des URL |
S.O. |
20.1R1 |
||
| JFlow |
20.1R1 |
S.O. |
||
| RPM et TWAMP |
20.1R1 |
S.O. |
||
| Surveillance vidéo |
20.1R1 |
S.O. |
||
| IPsec VPN | S.O. | 21.1R1 | Site 2 basé sur le routage VPN de site VPN basés sur des sélecteurs de trafic AutoVPN Protocoles de routage (BGP/OSPF) sur IPsec |
|
| IPsec en ligne | 24.2R1 | S.O. | ||
Pour plus d’informations sur la prise en charge d’IPsec sur la carte de ligne SPC3, reportez-vous à la section Configuration du VPN IPsec sur la carte de ligne MX-SPC3 .
Documentation sur les services nouvelle génération
Vous pouvez exécuter les services nouvelle génération sur les routeurs MX240, MX480 et MX960 qui prennent en charge cette fonctionnalité, si la carte de services SPC3 est installée sur le routeur. Reportez-vous à notre TechLibrary pour toute la documentation sur les routeurs. Pour les services nouvelle génération, reportez-vous à la documentation suivante :
Pour en savoir plus sur les services de nouvelle génération et les configurer, reportez-vous au Guide de l’utilisateur des interfaces de services de nouvelle génération pour les périphériques de routage (ce guide).
Pour plus d’informations sur l’installation ou le remplacement de la carte SPC3, reportez-vous à la référence des modules d’interface de plate-forme de routage universelle MX Series 5G.
Pour surveiller les flux et échantillonner le trafic : reportez-vous au Guide des fonctionnalités des interfaces des services de surveillance, d’échantillonnage et de collecte, qui décrit comment configurer la surveillance des flux de trafic, la capture des flux de paquets, l’échantillonnage du trafic pour la comptabilisation ou la suppression, la mise en miroir des ports sur un périphérique externe et la surveillance des performances en temps réel.
Activation des services de nouvelle génération
Pour exécuter les services Next Gen, vous devez l’activer sur le routeur. Cela permet au système d’exploitation d’exécuter son propre système d’exploitation (OS) pour les services de nouvelle génération.
Vous devez suivre des étapes spécifiques si vous migrez vos services de cartes de services héritées vers SPC3. Le CLI des services nouvelle génération diffère de ces services hérités. Pour plus d’informations, consultez Différences de configuration entre Adaptive Services et Next Gen Services.
Compatibilité avec d’autres cartes de services
La carte de services SPC3 est compatible de bout en bout avec les fabrics de commutation, les moteurs de routage et les cartes de ligne MS-MPC, comme décrit dans le Tableau 3.
Fabric de commutation |
Moteur de routage |
Cartes de ligne MPC |
|---|---|---|
L' |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E et MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
L’EBC2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E et MPC3E-3D-NG MPC4E-3D MPC5E et MPC5EQ MPC7E et MPC7EQ MPC-3D-16XGE |
| L’EBC3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E et MPC5EQ MPC7E et MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
Configuration de la carte de services SPC3
Les interfaces de la carte de services SPC3 sont appelées PIC multiservice virtuel (vms). Lorsque vous configurez une interface SPC3, vous spécifiez l’interface en tant qu’interface vms- comme suit :
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
Outre les différences entre les CLI, vous devez connaître les différences matérielles de base entre les cartes multiservices (MS-DPC, MS-MPC et MS-MIC) et la carte de services SPC3. Les cartes de type MS contiennent quatre complexes de CPU alors que la carte SPC3, bien que plus puissante, contient deux complexes de CPU. Chaque complexe CPU dessert un seul PIC, ce qui signifie que les cartes de type MS prennent en charge quatre PIC alors que la SPC3 en prend en charge deux. Les cartes de type MS utilisent des PIC multiservices (MS) et de services adaptatifs (AS) spéciaux, tandis que les PIC de la carte SPC3 sont intégrés.
Étant donné que le nombre de PIC affecte directement le nombre d’interfaces, vous devrez peut-être ajouter des unités logiques à chaque interface sur le SPC3 pour augmenter le nombre d’interfaces à quatre. Par exemple, si vous utilisez actuellement les quatre interfaces sur la carte de type MS et que vous disposez d’un ensemble de services par interface, vous pouvez créer deux unités logiques par interface sur le SPC3 pour porter le nombre total d’interfaces à quatre, puis réassocier les quatre ensembles de services à ces quatre interfaces logiques.
Méthodes d’application de services au trafic
Lorsque vous configurez les services de nouvelle génération, vous pouvez appliquer ces services avec l’une des méthodes suivantes :
Appliquez les services configurés au trafic qui transite par une interface particulière sur le routeur.
Appliquez les services configurés au trafic destiné à un saut suivant particulier.
Configuration du VPN IPsec sur la carte de services SPC3
Pour configurer IPsec sur la carte de service SPC3, utilisez les instructions de configuration CLI au niveau de la hiérarchie [edit security], car la configuration CLI IPsec au niveau [edit services] est remplacée par la configuration CLI au niveau de la hiérarchie [modifier la sécurité], comme indiqué dans le Tableau 4
| Configuration MX actuelle | Configuration MX-SPC3 équivalente |
|---|---|
| Définir les services IPsec-VPN traceoptions | Définition des traceoptions ike de sécurité |
| Proposition IKE de services IPsec-VPN | Définir la sécurité Proposition IKE |
| Définir les services Stratégie IPsec-VPN IKE | Définir une stratégie IKE de sécurité |
| Définir les services IPsec-VPN Stratégie policy-name IKE Respond-Bad-SPI | set security ike respond-bad-spi |
| Définir les services IPsec-VPN Proposition IPsec | Définir la sécurité Proposition IPsec |
| Définir les services IPsec-VPN Stratégie IPsec | Définir la sécurité Stratégie IPsec |
| définir les services terme de la règle rule-name term-name IPsec-VPN à partir de [adresse-source|adresse-destination] | Définir la sécurité Sélecteur selector-name de trafic VPN vpn-name IPsec [adresse IP locale | adresse IP distante] |
| Définir les services Terme term-name de règle rule-name IPsec-VPN à partir de ipsec-inside-interface | Définir la sécurité VPN vpn-name IPsec interface de liaison |
| définir les services ipsec-vpn terme term-name de la règle rule-name puis remote-gateway | Définir l’adresse de la passerelle gw-name ike de sécurité |
| set services ipsec-vpn rule-name rule term term-name then backup-remote-gateway | Définir l’adresse de la passerelle gw-name ike de sécurité |
| définir les services terme de la règle rule-name term-name IPsec-VPN puis détection des pairs morts | set security ike gateway gw-name dead-peer-detection |
| Définir les services IPsec-VPN terme term-name de la règle rule-name puis dynamique ike-policy | définir la sécurité ike gateway gw-nameike-policy |
| Définir les services IPsec-VPN terme term-name de la règlerule-name, puis dynamique ipsec-policy | set security ipsec vpn vpn-name ike ipsec-policy |
| définir les services terme de la règle rule-name term-name IPsec-VPN puis manuel | Définir la sécurité VPN IPsec vpn-name manuel |
| définir les services ipsec-vpn terme term-name de la règlerule-name, puis clear-don’t-fragment-bit | Définir la sécurité VPN vpn-name IPsec DF-bit Clear |
| set services ipsec-vpn rule-name rule term term-name then copy-don-t-fragment-bit | Définir la sécurité VPN vpn-name IPsec Copie DF-bit |
| définir les services terme de la règle rule-name term-name IPsec-VPN puis set-don-t-fragment-bit | Définir la sécurité VPN vpn-name IPsec Copie DF-bit |
| Définir les services Terme term-name de la règle rule-name IPsec-VPN, puis tunnel-MTU | Définir la sécurité VPN IPsec vpn-name tunnel-mtu |
| Définir les services Terme term-name de la règle rule-name IPsec-VPN, puis no-anti-replay | set security ipsec vpn vpn-name ike no-anti-replay |
| Définir les services IPsec-VPN règle rule-name match-direction | Définir la sécurité VPN vpn-nameIPsec Match-Direction |
| Services de configuration IPsec-VPN Etablish-tunnels | set security ipsec vpn vpn-nameetablish-tunnels |
| set services service-set svc-set-name ipsec-vpn-options local-gateway address | Définir la sécurité VPN vpn-nameIPsec Passerelle IKE gateway-name |
| set services service-set svc-set-name ipsec-vpn-options clear-don’t-fragment-bit | Pas de paramètre global d’ensemble de services. Doit être configuré par objet vpn. |
| set services service-set svc-set-name ipsec-vpn-options copy-don’t-fragment-bit | Pas de paramètre global d’ensemble de services. Doit être configuré par objet vpn. |
| set services service-set svc-set-name ipsec-vpn-options set-don’t-fragment-bit | Pas de paramètre global d’ensemble de services. Doit être configuré par objet vpn. |
| set services service-set svc-set-name ipsec-vpn-options udp-encapsulate | Définir la sécurité VPN vpn-nameIPsec UDP-encapsulate |
| set services service-set svc-set-name ipsec-vpn-options no-anti-replay | Pas de paramètre global d’ensemble de services. Doit être configuré par objet vpn. |
| set services service-set svc-set-name ipsec-vpn-options_passive-mode-tunneling | Définir la sécurité VPN vpn-name IPsec tunneling en mode passif |
| set services service-set svc-set-name ipsec-vpn-options tunnel-mtu | Pas de paramètre global d’ensemble de services. Doit être configuré par objet vpn. |
| set services service-set svc-set-name ipsec-vpn-rules | set services service-set svc-set-name ipsec-vpn-rules |
| Définissez les services IPsec-VPN rule <rule-name> term <term-name> puis tunnel-MTU | Définir la sécurité VPN IPsec <nom du VPN> tunnel-MTU |
Comprendre la MTU des tunnels
La MTU de st0 est au niveau de l’interface. Avec la fonctionnalité tunnel-MTU, nous obtenons une MTU au niveau du tunnel. Avec la fonctionnalité Tunnel-MTU, nous pouvons configurer MTU au niveau de l’objet VPN. Vous pouvez configurer tunnel-mtu pour contrôler tunnel MTU, si st0 MTU ou IFL MTU n’est pas configuré, cela aura un impact sur le comportement MTU. La MTU de tunnel minimale que vous pouvez configurer pour le trafic IPv6 est de 1390.
La fonctionnalité de tunnel MTU n’est pas prise en charge sur PMI (mode d’alimentation IPSec). La configuration tunnel-mtu se fait au niveau de la hiérarchie VPN et non au niveau du sélecteur de trafic, donc la configuration tunnel-mtu s’applique à tous les tunnels (tous les TS) appartenant à ce VPN. La modification de la configuration de la MTU de tunnel est considérée comme une modification catastrophique (supprime le tunnel existant). Un changement de configuration d’un paquet pas trop volumineux n’est pas considéré comme catastrophique.
Le pré-fragmentation tient compte de l’overhead IPsec tunnel de la configuration MTU tunnel minimum ou de l’AMS en dehors de l’IFL MTU. La post-fragmentation nécessite que la MTU soit définie sur l’interface externe pour que les compteurs IPsec correspondants ne s’incrémentent pas pour le trafic sortant. La post-fragmentation est effectuée par IOC et non par la carte MX-SPC3. Dans MX-SPC3, le MTU st0 par défaut pour inet et inet6 est 9192, il n’y a pas de valeur par défaut pour la configuration tunnel-mtu dans la hiérarchie VPN. Les paquets IPv6 sont fragmentés au niveau de l’hôte source et non fragmentés au niveau des routeurs intermédiaires, de sorte que la pré-fragmentation ne s’applique pas aux paquets IPv6.
Pour les paquets IPv4, l’erreur de pré-fragmentation, de post-fragmentation et ICMP Fragmentation needed and DF set se produit dans les cas suivants :
- Lorsque la longueur du paquet interne est inférieure à la différence entre tunnel-mtu et tunnel surcharge, aucun fragmentation ne se produit.
- Lorsque la longueur du paquet interne est supérieure à la différence de tunnel-mtu et tunnel la surcharge, et que le bit DF du paquet interne n’est pas défini, le pré-fragmentation se produit.
- Lorsque la longueur du paquet interne est supérieure à la différence entre tunnel-mtu et tunnel surcharge, et que le bit DF tunnel externe n’est pas défini, l’encapsulation et la post-fragmentation se produisent.
- Lorsque la longueur du paquet interne est supérieure à la différence entre le mtu du tunnel et la surcharge du tunnel, et que le bit DF du paquet interne et le bit DF du tunnel externe sont définis, le paquet est abandonné et l’erreur ICMP
Fragmentation Needed and DF Setest renvoyée.
Pour les paquets IPv6, l’erreur de pré-fragmentation, de post-fragmentation et ICMP Packet Too Big se produit dans les cas suivants :
- Lorsque la longueur du paquet interne est inférieure à la différence entre tunnel-mtu et tunnel surcharge, aucun fragmentation ne se produit.
- Lorsque la longueur du paquet interne est supérieure à la différence entre tunnel-mtu et tunnel surcharge, et que le bit DF tunnel externe n’est pas défini, l’encapsulation et la post-fragmentation se produisent.
- Lorsque la longueur du paquet interne est supérieure à la différence entre le mtu du tunnel et la surcharge du tunnel, et que le bit DF du tunnel externe est défini, le paquet est abandonné et si
no-icmp-packet-too-bigce n’est pas défini, une erreur ICMPPacket Too Bigest envoyée. - Lorsque la longueur du paquet interne est supérieure à la différence entre le mtu du tunnel et la surcharge du tunnel, et que le bit DF du tunnel externe est défini, le paquet est abandonné et si
no-icmp-packet-too-bigcette option est définie, l’erreur ICMPPacket Too Bign’est pas envoyée
Différence entre st0 MTU et tunnel MTU
- Le MTU tunnel est à un niveau différent de celui de st0 MTU.
- ST0 MTU est une MTU au niveau de l’interface et la fonctionnalité tunnel-MTU atteint la MTU au niveau du tunnel
- Dans le MX-SPC3, le PFE vérifie st0 mtu pour fragmenter ou abandonner le paquet. Par conséquent, le paquet n’atteint pas flowd ou IPsec et n’aura aucun contrôle sur l’action MTU.
- La valeur de configuration MTU du tunnel VPN est inférieure à la MTU st0.