Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CoS VPN IPsec basés sur le web

Vous pouvez configurer les fonctionnalités de classe de service (CoS) Junos pour fournir plusieurs classes de service pour les VPN. Sur l’équipement, vous pouvez configurer plusieurs classes de transfert pour la transmission de paquets, définir les paquets placés dans chaque file d’attente de sortie, planifier le niveau de service de transmission pour chaque file d’attente et gérer la congestion.

Compréhension CoS VPN IPsec basés sur le système avec plusieurs SA IPsec

Les classes de service (CoS) configurées sur l’équipement SRX Series peuvent être machées en associations de sécurité IPsec. Les paquets de chaque FC sont attachés à un IPsec SA différent, ce qui permet CoS un traitement sur l’équipement local et sur les routeurs intermédiaires.

Avantages des CoS VPN IPsec basés sur le réseau avec plusieurs SA IPsec

  • Aide à garantir différents flux de données, chaque tunnel utilisant un ensemble distinct d’associations de sécurité.

  • Facilite les déploiements DE VPN IPsec lorsque le trafic différencié est requis, comme la voix sur IP.

Présentation

Cette fonctionnalité est la propriété de Juniper Networks et fonctionne avec les plates-formes SRX et les Junos OS de nouvelle version. L’équipement VPN pair doit être un équipement SRX Series ou une instance vSRX qui prend en charge cette fonctionnalité ou tout autre produit qui prend en charge les mêmes fonctionnalités de la même manière que SRX Series périphérique.

Mappage des cartes FCs vers des SA IPsec

Jusqu’à 8 classes de forwarding (FC) peuvent être configurées pour un VPN avec le multi-sa forwarding-classesedit security ipsec vpn vpn-name niveau hiérarchique [] Le nombre d’accords SA IPsec négociés avec une passerelle de peer gateway est basé sur le nombre de CFC configurés pour le VPN. Le mappage de cartes FCs en SA IPsec s’applique à tous les sélecteurs de trafic configurés pour le VPN.

Tous les SA IPsec créés pour les FCs d’un VPN spécifique sont représentés par le même ID de tunnel. Les événements liés aux tunnels examinent l’état et les statistiques de tous les SA IPsec. Tous les SA IPsec liés à un tunnel sont fixés au même SPU ou au même ID de thread sur SRX Series périphériques ou vSRX instances.

Négociation SA IPsec

Lorsque plusieurs FCs sont configurés pour un VPN, un SA IPsec unique est négocié avec le pair pour chaque FC. En outre, un SA IPsec par défaut est négocié pour envoyer des paquets qui ne correspondent pas à un FC configuré. L’IPsec par défaut est négocié même si l’équipement VPN pair n’est pas configuré pour les CFC ou ne prend pas en charge la mise en correspondance SA FC vers IPsec. Le SA IPsec par défaut est le premier SA IPsec à être négocié et le dernier à être désacalé.

Selon le nombre de CFC configurés. Lorsque les SA IPsec sont en cours de négociation, les paquets peuvent arriver avec un FC pour lequel un SA IPsec doit encore être négocié. Jusqu’à ce qu’un SA IPsec pour un FC donné soit négocié, le trafic est envoyé au SA IPsec par défaut. Un paquet contenant un FC qui ne correspond à aucun des SA IPsec installés est envoyé sur le SA IPsec par défaut.

Le mappage des cartes FCs vers les SA IPsec est effectué sur la passerelle VPN locale. Les passerelles locales et pairs peuvent avoir des FCs configurés dans un ordre différent. Chaque passerelle de pairs cartographie les CFC dans l’ordre dans lequel les négociations SA IPsec sont terminées. Par conséquent, les passerelles locales et de peer peuvent avoir différentes mappages SA FC/IPsec. Une passerelle cesse de négocier de nouveaux accords SA IPsec une fois le nombre de CFC configuré atteint. Une passerelle de pair peut initier davantage de SA IPsec que le nombre de FCS configurés sur la passerelle locale. Dans ce cas, la passerelle locale accepte les requêtes SA IPsec supplémentaires, jusqu’à 18 SA IPsec. La passerelle locale utilise uniquement les autres SA IPsec pour le déchiffrement du trafic IPsec entrant. Si un paquet est reçu avec un FC qui ne correspond à aucun FC configuré, le paquet est envoyé sur le SA FC IPsec FC par défaut.

Si une notification de suppression est reçue pour le SA IPsec par défaut depuis l’équipement pair, seul le SA IPsec par défaut est supprimé et le SA IPsec par défaut est récemment négocié. Pendant cette période, le trafic qui peut passer par IPsec SA est abandonné. Le tunnel VPN n’est mis en panne que si le SA IPsec par défaut est le dernier SA.

Si l’option est configurée et engagée pour le VPN, l’équipement SRX Series négocie le sa IPsec sans attendre l’arrivée establish-tunnels immediately du trafic. Si les négociations ne sont pas terminées pour un SA IPsec pour un FC configuré, les négociations sont ressergées toutes les 60 secondes.

Si l’option est configurée pour le VPN, l’équipement SRX Series négocie les SA IPsec lors de l’arrivée du premier paquet de données ; le FC du premier paquet importe establish-tunnels on-traffic peu. Dans les deux cas, le SA IPsec par défaut est négociation en premier, puis chaque SA IPsec est négocié un par un dans l’ordre dans lequel les CFC sont configurés sur l’équipement.

Re-clés

Lorsque vous utilisez des SA multiples avec une orientation du trafic DSCP (Differentiated Services Code Point) avec des sélecteurs de trafic, le comportement suivant se produit lors du re-key. Lorsque les sélecteurs de trafic effectuent un re-keying, si un ou plusieurs des sélecteurs de trafic ne sont pas en mesure de le re-clés pour une raison quelconque, le sa spécifique est mis en panne lorsque la durée de vie expire. Dans ce cas, le trafic qui correspond à un SA spécifique est envoyé à la place par l’intermédiaire du sélecteur de trafic par défaut.

Ajout ou suppression de CFC d’un VPN

Lorsque les SAC sont ajoutés ou supprimés d’un VPN, les SA IKE et IPsec pour VPN sont mis en place ou supprimés et relancent les négociations. La clear security ipsec security-associations commande effacera tous les SA IPsec.

Détection des pairs morts (DPD)

Lorsque DPD est configuré avec cette fonctionnalité, le mode n’envoie des sondes qu’en cas de trafic sortant et aucun trafic entrant sur l’un des sa optimized IPsec. Alors que le mode n’envoie des sondes que lorsqu’il n’y a pas de trafic sortant ou entrant sur l’un des probe-idle SA IPsec. La surveillance VPN n’est pas prise en charge avec la fonctionnalité DPD.

Commandes

La show security ipsec sa details index tunnel-id commande affiche tous les détails du SA IPsec, notamment le nom FC. La show security ipsec stats index tunnel-id commande affiche les statistiques de chaque FC.

Fonctionnalités VPN prise en charge

Les fonctionnalités VPN suivantes sont CoS VPN IPsec basées sur les éléments suivants:

  • VPN de site à site basés sur le routeur. Les VPN basés sur des stratégies ne sont pas pris en charge.

  • VPN automatique.

  • Sélecteurs de trafic.

  • VPN découverte automatique (ADVPNs).

  • IKEv2. IKEv1 n’est pas pris en charge.

  • Détection des pairs morts (DPD). La surveillance VPN n’est pas prise en charge.

Compréhension des sélecteurs de trafic CoS VPN IPsec basés sur le trafic

Un sélecteur de trafic est un accord entre IKE pairs afin d’autoriser le trafic via un tunnel VPN si le trafic correspond à une paire spécifiée d’adresses locales et distantes. Seul le trafic conforme à un sélecteur de trafic est autorisé par l’intermédiaire de l’association de sécurité associée (SA).

La CoS VPN IPsec basée sur le réseau prend en charge les scénarios suivants

  • Un ou plusieurs sélecteurs de trafic dans un VPN de site à site basé sur le routeur avec les mêmes FCS.

  • Plusieurs sélecteurs de trafic, avec des FCs différents pour chaque sélecteur de trafic. Ce scénario nécessite des configurations VPN séparées.

Ce sujet décrit les configurations VPN et le SA IPsec qui sont négociés pour chaque scénario.

Dans les scénarios suivants, trois FCs sont configurés sur l’SRX Series mobile:

Dans le premier scénario, vpn1 est configuré avec un sélecteur de trafic unique ts1 et les trois FCs:

Dans la configuration ci-dessus, quatre SA IPsec sont négociées pour le sélecteur de trafic ts1, un pour le sa IPsec par défaut et trois pour les SA IPsec mapés sur des SAC.

Dans le deuxième scénario, vpn1 est configuré avec deux sélecteurs de trafic ts1 et ts2 et les trois FCs:

Dans la configuration ci-dessus, quatre SA IPsec sont négociées pour le sélecteur de trafic ts1 et quatre SA IPsec sont négociés pour le sélecteur de trafic ts2. Pour chaque sélecteur de trafic, un sa IPsec a été négocié pour le SA IPsec par défaut et trois SA IPsec négociés pour les SA IPsec mapés sur des SAC.

Dans le troisième scénario, les sélecteurs de trafic ts1 et ts2 supportent différents ensembles de CFC. Les sélecteurs de trafic doivent être configurés pour différents VPN:

Dans la configuration ci-dessus, quatre SA IPsec sont négociées pour le sélecteur de trafic ts1 dans VPN1: un pour le SA IPsec par défaut et trois pour les SA IPsec mapés sur des FCS.

Exemple: Configuration CoS VPN IPsec basés sur le web

Cet exemple montre comment configurer un VPN IPsec basé sur CoS avec plusieurs SA IPsec afin de permettre le mappage de paquets pour chaque classe de forwarding vers un autre SA IPsec, fournissant ainsi un traitement CoS sur l’équipement local et sur les routeurs intermédiaires.

Cette fonctionnalité est la propriété de Juniper Networks et fonctionne uniquement avec les plates-formes SRX et les Junos OS de nouvelle version. L’équipement VPN pair doit être un SRX Series ou une instance vSRX qui prend en charge cette fonctionnalité.

Conditions préalables

Cet exemple utilise le matériel suivant:

  • Tous les SRX Series de sécurité

Avant de commencer:

  • Comprenez comment les classes de service (CoS) configurées sur l’équipement SRX Series peuvent être maillonées avec les associations de sécurité IPsec(SA). Découvrez comment CoS VPN IPsec basés sur le réseau avec plusieurs SA IPsec.

  • Comprenez les sélecteurs de trafic et CoS VPN IPsec basés sur le trafic. Découvrez understanding Traffic Selectors and CoS VPN IPsec basés sur le trafic.

Présentation

Dans cet exemple, vous configurez un VPN IPsec basé sur le routeur pour une filiale de Chicago, car vous n’avez pas besoin d’économiser des ressources de tunnel ou de configurer de nombreuses stratégies de sécurité pour filtrer le trafic à travers le tunnel. Les utilisateurs des bureaux de Chicago utiliseront le VPN pour se connecter à leur siège social de Sunnyvale.

Figure 1 montre un exemple de topologie VPN basée sur le routeur IPsec. Dans cette topologie, un SRX Series situé à Sunnyvale et SRX Series à Chicago.

Figure 1 : Topologie VPN basée sur les itinéraires IPsecTopologie VPN basée sur les itinéraires IPsec

Dans cet exemple, vous configurez des interfaces, un routeur par défaut IPv4 et des zones de sécurité. Vous configurez ensuite IKE, IPsec, une stratégie de sécurité et CoS paramètres. Voir Tableau 1Tableau 4 .

Tableau 1 : Informations sur les zones d’interface, de route statique et de sécurité

Fonctionnalité

Nom

Paramètres de configuration

Interfaces

ge-0/0/0.0

192.0.2.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (interface de tunnel)

10.10.11.10/24

Routes statiques

0.0.0.0/0 (route par défaut)

Le saut suivant est st0.0.

Zones de sécurité

Confiance

  • Tous les services système sont autorisés.

  • L’interface ge-0/0/0.0 est liée à cette zone.

Untrust

  • Tous les services système sont autorisés.

  • L’interface ge-0/0/3.0 est liée à cette zone.

Vpn

L’interface st0.0 est liée à cette zone.

Tableau 2 : IKE de configuration

Fonctionnalité

Nom

Paramètres de configuration

Proposition

proposition ike

  • Méthode d’authentification: rsa-signatures

  • Groupe Diffie-Hellman: group14

  • Algorithme d’authentification: sha-256

  • Algorithme de chiffrement: aes-256-cbc

Politique

ike-policy

  • Mode: Principal

  • Référence de proposition: proposition ike

  • IKE d’authentification des stratégies: rsa-signatures

Passerelle

gw-sunnyvale

  • IKE une politique de sécurité: ike-policy

  • Interface externe: ge-0/0/3.0

  • Adresse de la passerelle: 10.2.2.2

Tableau 3 : Paramètres de configuration IPsec

Fonctionnalité

Nom

Paramètres de configuration

Proposition

ipsec_prop

  • Protocole: Esp

  • Algorithme d’authentification: hmac-sha-256

  • Algorithme de chiffrement: aes-256-cbc

Politique

ipsec_pol

  • Référence de proposition: ipsec_prop

VPN

ipsec_vpn1

  • IKE de référence: gw-chicago

  • Référence de stratégie IPsec: ipsec_pol

Tableau 4 : Paramètres de configuration de la stratégie de sécurité

But

Nom

Paramètres de configuration

La stratégie de sécurité autorise le trafic entre la zone de confiance et la zone vpn.

Vpn

  • Critères de correspondance:

    • adresse source sunnyvale

    • adresse de destination chicago

    • application any

  • Action: Permis

La stratégie de sécurité autorise le trafic entre la zone vpn et la zone de confiance.

Vpn

  • Critères de correspondance:

    • adresse source chicago

    • destination sunnyvale

    • application any

  • Action: Permis

Configuration

Configuration des informations de base sur les zones de sécurité et réseau

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer les informations sur l’interface, le routeur statique et les zones de sécurité:

  1. Configurer les informations de l’interface Ethernet.

  2. Configurez les informations de route statiques.

  3. Configurez la zone de sécurité non protégée.

  4. Indiquez les services système autorisés pour la zone de sécurité non protégée.

  5. Attribuez une interface à la zone de sécurité.

  6. Indiquez les services système autorisés pour la zone de sécurité.

  7. Configurez la zone de sécurité de confiance.

  8. Attribuez une interface à la zone de sécurité de confiance.

  9. Indiquez les services système autorisés pour la zone de sécurité de confiance.

  10. Configurez la zone de sécurité vpn.

  11. Attribuez une interface à la zone de sécurité.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show interfacesshow routing-options commandes et les . show security zones Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration des CoS

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer CoS:

  1. Configurez des classificateurs de comportement agrégés pour DiffServ CoS.

  2. Configurez un classificateur de forwarding best-effort.

  3. Définir la valeur DSCP à attribuer à la classe de forwarding.

  4. Définir huit classes de forwarding (noms de file d’attente) pour les huit files d’attente.

  5. Configurez des classificateurs sur les interfaces d’entrée (ge).

  6. Appliquez la carte du planning à l’interface Ge.

  7. Configurez la carte du planning pour associer les planningurs aux classes de forwarding définies.

  8. Définissez les scheduleurs avec la priorité et les taux d’émission.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show class-of-service commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration des IKE

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer IKE:

  1. Créez la IKE de l’offre.

  2. Définissez la méthode IKE d’authentification de proposition de sécurité.

  3. Définir la IKE groupe Diffie-Hellman.

  4. Définissez l’algorithme IKE d’authentification de proposition de sécurité.

  5. Définissez l’algorithme IKE de chiffrement de proposition.

  6. Créez une IKE de sécurité.

  7. Définissez le mode IKE stratégie.

  8. Indiquez une référence à la IKE proposition d’accès.

  9. Définissez la méthode IKE d’authentification des stratégies.

  10. Créez une IKE et définissez son interface externe.

  11. Définissez la référence IKE de stratégie de sécurité.

  12. Définissez l’IKE de la passerelle.

  13. Définir la version IKE passerelle de base.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show security ike commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration d’IPsec

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer IPsec:

  1. Activer les options de traçabilité IPsec.

  2. Créez une proposition IPsec.

  3. Indiquez le protocole de proposition IPsec.

  4. Indiquez l’algorithme d’authentification de proposition IPsec.

  5. Indiquez l’algorithme de chiffrement de proposition IPsec.

  6. Indiquez la durée de vie (en secondes) d’une association de sécurité IPsec (SA).

  7. Créez la stratégie IPsec.

  8. Indiquez la référence de proposition IPsec.

  9. Indiquez l’interface à lier.

  10. Configurez la classe de forwarding vers plusieurs sa IPsec.

  11. Indiquez la IKE de l’accès.

  12. Spécifiez les stratégies IPsec.

  13. Indiquez que le tunnel doit être mis en place immédiatement pour négocier le sa IPsec lors de l’envoi du premier paquet de données.

  14. Configurez les adresses IP locales pour un sélecteur de trafic.

  15. Configurez les adresses IP distantes pour un sélecteur de trafic.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration des stratégies de sécurité

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Activez les stratégies de sécurité et tracez des options pour résoudre les problèmes liés aux stratégies.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer les stratégies de sécurité:

  1. Créez une stratégie de sécurité pour autoriser le trafic entre la zone de confiance et la zone vpn.

  2. Créez une stratégie de sécurité pour autoriser le trafic entre la zone vpn et la zone de confiance.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Vérification des associations de sécurité IPsec

But

Vérifier le statut IPsec.

Action

À partir du mode opérationnel, saisissez la show security ipsec security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez show security ipsec security-associations index 131073 detail les commandes show security ipsec statistics index 131073 et les.

Par fait, les sorties de commande d’affichage n’affichent pas toutes les valeurs de la configuration. Seul un sous-ensemble de la configuration est affiché. Le reste de la configuration du système a été remplacé par des ellipses (ellipses).

Sens

Le résultat de la commande show security ipsec security-associations répertorie les informations suivantes:

  • Le numéro d’ID est 131073. Utilisez cette valeur avec la commande show security-associations security-associations index de l’ipsec pour obtenir plus d’informations sur ce sa particulier.

  • Une paire SA IPsec utilise le port 500.

  • Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou lifesize in KB) sont affichées dans les deux directions. La valeur de 1 949/ unlim indique que la durée de vie de la phase expire en 1 949 secondes et qu’aucune lifesize n’a été spécifiée, ce qui signifie qu’elle est illimitée.

  • La surveillance VPN n’est pas activée pour ce SA, comme indiqué par un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est active et D indique que la surveillance est en panne.

La show security ike security-associations index 131073 detail commande répertorie des informations supplémentaires sur le SA avec un numéro d’index de 131073:

  • L’identité locale et l’identité distante font l’ID proxy du serveur SA. Une insmatérialisation de l’ID proxy est l’une des causes les plus courantes d’une défaillance de phase. Si aucune offre SA IPsec n’est répertoriée, confirmez que les propositions de phase, y compris les paramètres d’ID proxy, sont exactes pour les deux pairs.

  • Affiche tous les détails du SA de l’enfant, y compris le nom de la classe de forwarding.

La show security ipsec statistics index 131073 commande répertorie les statistiques de chaque nom de classe de forwarding.

  • Une valeur d’erreur de zéro dans la sortie indique une condition normale.

  • Il est recommandé d’utiliser cette commande plusieurs fois pour observer les problèmes de perte de paquets sur un VPN. Le résultat de cette commande affiche également les statistiques relatives aux compteurs de paquets chiffrés et déchiffrés, aux compteurs d’erreurs, etc.

  • Vous devez activer des options de traçage des flux de sécurité pour déterminer quels paquets ESP rencontrent des erreurs et pourquoi.

Compréhension CoS de la prise en charge sur les interfaces st0

À partir de Junos OS Release 15.1X49-D60 et Junos OS Release 17.3R1, des fonctionnalités de classe de service (CoS) telles que le classificateur, le policer, la mise en file d’file, la planification, la mise en forme, la réécriture et les canaux virtuels peuvent désormais être configurés sur l’interface de tunnel sécurisé (st0) pour les VPN point à point.

L’interface de tunnel st0 est une interface interne qui peut être utilisée par les VPN basés sur le routeur pour router le trafic cleartext vers un tunnel VPN IPsec. Les fonctionnalités CoS suivantes sont prise en charge sur l’interface st0 sur tous les équipements SRX Series disponibles et sur vSRX2.0:

  • Classificateurs

  • Policers (Mécanismes de contrôle)

  • Mise en file d’interrogation, planification et mise en forme

  • Marqueurs de réécriture

  • Canaux virtuels

Depuis Junos OS Release 15.1X49-D70 et Junos OS Release 17.3R1, la prise en charge des demandes, de la planification, de la mise en forme et des canaux virtuels est ajoutée à l’interface st0 pour les équipements SRX5400, SRX5600 et SRX5800. La prise en charge de toutes les fonctionnalités CoS listées est ajoutée pour l’interface st0 pour SRX1500, SRX4100 et SRX4200. Depuis la Junos OS version 17.4R1, la prise en charge des fonctionnalités CoS répertoriées est ajoutée pour l’interface st0 pour les équipements SRX4600.

Limites de la prise CoS sur les interfaces VPN st0

Les limites suivantes s’appliquent CoS prise en charge sur les interfaces VPN st0:

  • Le nombre maximum pour les files d’attente logicielles est 2048. Si le nombre d’interfaces st0 dépasse ceux de 2048, il n’est pas possible de créer suffisamment de files d’attente logicielles pour toutes les interfaces st0.

  • Seules les VPN basées sur le route peuvent CoS fonctionnalités sur les interfaces st0. Tableau 5 décrit la prise en charge CoS st0 des différents types de VPN.

    Tableau 5 : CoS fonctionnalités de prise en charge des VPN
    Fonctionnalités de classificateur VPN de site à site (P2P) VPN automatique (P2P) Site à site/VPN automatique /AD-VPN (P2MP)

    Classificateurs, policers et marqueurs de réécriture

    Soutenu

    Soutenu

    Soutenu

    Mise en file d’attente, planification et mise en forme basées sur des interfaces logiques st0

    Soutenu

    Non pris en charge

    Non pris en charge

    Mise en file d’attente, planification et mise en forme basées sur les canaux virtuels

    Soutenu

    Soutenu

    Soutenu

  • Sur les SRX300, SRX320, SRX340, SRX345 et SRX550HM, une seule interface logique peut se lier à plusieurs tunnels VPN. Les huit files d’attente pour l’interface logique st0 ne peuvent pas rediriger le trafic vers différents tunnels. Le pré-tunneling n’est donc pas pris en charge.

    La fonctionnalité virtual channel peut être utilisée comme solution de contournement pour les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

  • Lorsque vous définissez un CoS de mise en forme sur une interface de tunnel st0, prenons en compte les restrictions suivantes:

    • Le taux de mise en forme de l’interface de tunnel doit être inférieur à celui de l’interface physique de sortie.

    • Le taux de mise en forme mesure uniquement la taille du paquet qui inclut le paquet cleartext interne de couche 3 avec un en-tête ESP/AH et une encapsulation d’en-tête IP externe. L’encapsulation externe de couche 2 ajoutée par l’interface physique n’est pas prise en compte dans la mesure du taux de mise en forme.

    • Le CoS fonctionne comme prévu lorsque l’interface physique transporte uniquement le trafic GRE ou tunnel IP-IP en forme. Si l’interface physique transporte d’autres trafics, réduisant ainsi la bande passante disponible pour le trafic des interfaces de tunnel, les CoS fonctionnent pas comme prévu.

  • Sur les équipements SRX550M, SRX5400, SRX5600 et SRX5800, les valeurs limites de bande passante et de taille d’rafale dans une configuration de dispositif de contrôle ne sont pas limitées par SPU, mais par système. Il s’agit du même comportement de policer que sur l’interface physique.

Tableau de l'historique des versions
Version
Description
17.4R1
Depuis la Junos OS version 17.4R1, la prise en charge des fonctionnalités CoS répertoriées est ajoutée pour l’interface st0 pour les équipements SRX4600.
15.1X49-D70
Depuis Junos OS Release 15.1X49-D70 et Junos OS Release 17.3R1, la prise en charge des demandes, de la planification, de la mise en forme et des canaux virtuels est ajoutée à l’interface st0 pour les équipements SRX5400, SRX5600 et SRX5800. La prise en charge de toutes les fonctionnalités CoS listées est ajoutée pour l’interface st0 pour SRX1500, SRX4100 et SRX4200.
15.1X49-D60
À partir de Junos OS Release 15.1X49-D60 et Junos OS Release 17.3R1, des fonctionnalités de classe de service (CoS) telles que le classificateur, le policer, la mise en file d’file, la planification, la mise en forme, la réécriture et les canaux virtuels peuvent désormais être configurés sur l’interface de tunnel sécurisé (st0) pour les VPN point à point.