次世代サービスの概要
このトピックでは、次世代サービスの概要を説明し、以下のトピックについて説明します
5Gユニバーサルルーターサービスの概要
5Gユニバーサルルーターは、いくつかのタイプのサービスインターフェイスをサポートしており、ルーターを通過するトラフィックを検査、監視、操作するための特定の機能を提供します。サービスはアダプティブサービスと次世代サービスに分類でき、各カテゴリにはインラインサービスインターフェイスとマルチサービスインターフェイスオプションがあります。 表1 に、これらのサービスを提供するカードを示します。
MX-SPC3 は MS タイプのカードに代わるものであり、全体的なパフォーマンスが大幅に向上し、ハイエンドの拡張性と容量も実現します。
5Gユニバーサルルーティングプラットフォーム |
|||||
|---|---|---|---|---|---|
アダプティブサービス |
次世代サービス |
||||
MPC
インラインサービス |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
インラインサービス |
MX-SPC3
|
アダプティブ サービスは、マルチサービス(MS)PICまたはアダプティブ サービス(AS)PICを使用して、MS-DPC、MS-MPC、MS-MICカードで実行できます。
次世代サービスは、MPCカードとMX-SPC3セキュリティサービスカードで実行できます。
インラインサービスは、MPC(モジュラーポートコンセントレータ)で設定されます。インライン サービス インターフェイスは、パケット転送エンジン上に存在する仮想物理インターフェイスです。MPCを通過するトラフィックに対して高性能な処理を提供し、シャーシスロットの容量と使用率を最大化できます。
マルチサービスセキュリティカード(MS-DPC、MS-MPC、MS-MIC、またはMX-SPC3)は、個々のMPCにとどまらず、シャーシを通過するあらゆるトラフィックに適用可能なサービスを提供します。また、さまざまなセキュリティ機能を大規模かつ高性能にサポートするための専用処理も提供します。
アダプティブサービスの概要
アダプティブ サービスは、MPC と MS-DPC、MS-MPC、MS-MIC マルチサービス セキュリティ カードでインラインで実行されます。アダプティブサービス(AS)PICとマルチサービスPICでは、一連のサービスとアプリケーションを設定することで、同じPIC上で複数のサービスを実行することができます。ASとマルチサービスPICは、1つ以上のサービスセットで設定できるさまざまなサービスを提供します。
ジュニパーネットワークスの5Gユニバーサルルーティングプラットフォームでは、MS-DPCはMS-MPCと基本的に同じ機能を提供します。両プラットフォームのインターフェイスは同じように設定されています。
インラインサービスを含むアダプティブサービスの詳細については、「 アダプティブサービスの概要」を参照してください。
インラインサービス
また、アダプティブ サービス は、インライン サービス インターフェイス を使用して インライン サービスを提供します。インライン サービス インターフェイスは、パケット転送エンジン上に存在する仮想インターフェイスです。
インラインサービスは、ms-fpc/pic/port命名規則ではなく命名規則si-fpc/pic/portを使用してMPCでのみ設定します。
次世代サービス
次世代サービスは、セキュリティサービスを組み合わせた機能で、ルーターを通過するトラフィックの検査、監視、操作を可能にします。次世代サービスは、この機能をサポートするMX240、MX480、MX960ルーターのモジュラーポートコンセントレータ(MPC)とMX-SPC3セキュリティサービスカードの両方でインラインでサポートされています。表 2は、インラインとMX-SPC3カードの両方でサポートされている次世代サービスの概要を示しています。インラインサービスとMX-SPC3ベースのサービスの両方を同時に使用できます。
MX-SPC3 セキュリティサービスカード上で次世代サービスは、 仮想マルチサービス 命名規則( vms-fpc/pic/port)を使用して設定します。
MXシリーズ5Gユニバーサルルーターでサポートされているサービスの概要
表2は 、次世代サービスでサポートされているサービスの概要を示しています。
| 次世代サービス:インライン(si-)インターフェイスとSPC3 |
||||
|---|---|---|---|---|
| サービス機能 |
インラインサービス |
SPC3 |
||
| Junos OSリリース |
サブサービス |
Junos OSリリース |
サブサービス |
|
| CGNAT |
19.3R2 |
Basic-NAT44およびNAT66 静的宛先 NAT Twice-NAT44ベーシック 第6回 ソフトワイヤー NPTv6 |
19.3R2 |
ベーシック-NAT44 ベーシック-NAT66 ダイナミック-NAT44 静的宛先 NAT 基本-NAT-PT NAPT-PT NAPT44 NAPT66 ポートブロックの割り当て Deterministic-nat44およびnat64 エンドポイント独立マッピング(EIM)/エンドポイント独立フィルタリング(EIF) 永続的なNAT - アプリケーションプールペアリング(APP) Twice-NAT44 – ベーシック、ダイナミック、NAPT NAT64 XLAT-464 NPTv6 |
| 20.1R1 |
ポート制御プロトコル(PCP)– v1およびv2 |
|||
| 20.2R1 |
MAP-E |
DS-Lite NAT46 |
||
| トラフィックロードバランサ |
19.3R2 |
19.3R2 |
||
| SecIntel(ATPクラウドIP脅威フィード) |
19.3R2 |
該当なし |
||
| ステートフルファイアウォールサービス |
該当なし |
19.3R2 |
||
| 侵入検出サービス(IDS) |
該当なし |
19.3R2 |
||
| DNSリクエストフィルタリング |
該当なし |
19.3R2 |
||
| 集合型マルチサービス インターフェイス |
該当なし |
19.3R2 |
||
| シャーシ間の高可用性 |
該当なし |
19.3R2 |
CGNAT、ステートフルファイアウォール、IDS |
|
| URLフィルタリング |
該当なし |
20.1R1 |
||
| JFlow |
20.1R1 |
該当なし |
||
| RPM と TWAMP |
20.1R1 |
該当なし |
||
| ビデオ監視 |
20.1R1 |
該当なし |
||
| IPsec VPN | 該当なし | 21.1R1 | ルートベース サイト2 サイトVPN トラフィックセレクターベースのVPN 自動VPN IPsec 上のルーティング プロトコル(BGP/OSPF) |
|
| インラインIPsec | 24.2R1 | 該当なし | ||
SPC3ラインカードでのIPsecサポートの詳細については、「 MX-SPC3サービスカードでのIPsec VPNの設定 」を参照してください。
次世代サービスに関するドキュメント
この機能をサポートするMX240、MX480、およびMX960ルーターにSPC3サービスカードがインストールされている場合、次世代サービスをMXルーターで実行できます。すべてのルータードキュメントについては、 テクニカルライブラリ を参照してください。次世代サービスについては、以下のドキュメントを参照してください。
次世代サービスの詳細と設定については、 ルーティングデバイス用次世代サービスインターフェイスユーザーガイド (このガイド)を参照してください。
SPC3カードの取り付けまたは交換の詳細については、 MXシリーズ5Gユニバーサルルーティングプラットフォームインターフェイスモジュールリファレンスを参照してください。
フローとサンプルトラフィックを監視するには — トラフィックフロー監視、パケットフローキャプチャ、アカウンティングまたは破棄のためのトラフィックサンプリング、外部デバイスへのポートミラーリング、リアルタイムパフォーマンス監視の設定方法について説明した、監視 、サンプリング、および収集サービスインターフェイス機能ガイドを参照してください。
次世代サービスの実現
次世代サービスを実行するには、ルーターで有効にする必要があります。これにより、オペレーティングシステムは、次世代サービス向けに独自のオペレーティングシステム(OS)を実行することができます。
従来のサービスカードからSPC3にサービスを移行する場合、実行する必要がある特定の手順があります。次世代サービスCLIは、これらのレガシーサービスとは異なります。詳細については、「 アダプティブ サービスと次世代サービスの構成の違い」を参照してください。
他のサービスカードとの互換性
SPC3サービスカードは、 表3に示すように、スイッチファブリック、ルーティングエンジン、MS-MPCラインカードとエンドツーエンドで互換性があります。
スイッチファブリック |
ルートエンジン |
MPCラインカード |
|---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E および MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E および MPC3E-3D-NG MPC4E-3D MPC5E および MPC5EQ MPC7EおよびMPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E および MPC5EQ MPC7EおよびMPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
SPC3 サービス カードの設定
SPC3サービスカードのインターフェイスは、仮想マルチサービス(vms)PICと呼ばれます。SPC3インターフェイスを設定する場合、次のようにインターフェイスを vms- インターフェイスとして指定します。
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
CLIの違いとは別に、マルチサービス(MS)タイプ(MS-DPC、MS-MPC、MS-MIC)カードとSPC3サービスカードの基本的なハードウェアの違いにも注意する必要があります。MS タイプのカードには 4 つの CPU コンプレックスが含まれていますが、SPC3 カードはより強力ですが 2 つの CPU コンプレックスが含まれています。各 CPU コンプレックスは 1 つの PIC に対応します。つまり、MS タイプのカードは 4 つの PIC をサポートするのに対し、SPC3 は 2 つの PIC をサポートします。MSタイプのカードは特別なマルチサービス(MS)PICとアダプティブサービス(AS)PICを使用しますが、SPC3カードのPICは統合されています。
PICの数はインターフェイス数に直接影響するため、SPC3の各インターフェイスに論理ユニットを追加して、インターフェイスの数を4に増やす必要がある場合があります。例えば、現在 MS タイプ カードで 4 つのインターフェイスすべてを使用していて、インターフェイスごとにサービス セットがある場合、SPC3 でインターフェイスごとに 2 つの論理ユニットを作成してインターフェイスの総数を 4 にし、4 つのサービス セットをこれら 4 つの論理インターフェイスに再関連付けることができます。
サービスをトラフィックに適用する方法
次世代サービスを設定する場合、以下のいずれかの方法でそれらのサービスを適用できます。
設定されたサービスを、ルーター上の特定のインターフェイスを通過するトラフィックに適用します。
特定のネクストホップを宛先とするトラフィックに、設定されたサービスを提供します。
SPC3サービスカードでのIPsec VPNの設定
SPC3サービスカードでIPsecを設定するには、[edit security]階層レベルでCLI設定ステートメントを使用します。表4に示すように、[edit services]でのIPsec CLI設定が[edit security]階層レベルのCLI設定に置き換えられます
| 現在のMX構成 | と同等のMX-SPC3構成 |
|---|---|
| サービスipsec-vpnトレースオプションを設定 | セキュリティIKEトレースオプションを設定 |
| サービスipsec-vpn IKEプロポーザルの設定 | セキュリティIKEプロポーザルの設定 |
| サービスipsec-vpn IKEポリシーを設定 | セキュリティIKEポリシーを設定 |
| サービスipsec-vpn IKEポリシーを設定 policy-name respond-bad-spi | セキュリティIKE respond-bad-spiを設定 |
| サービスipsec-vpn ipsecプロポーザルを設定 | セキュリティIPsecプロポーザルを設定 |
| サービスipsec-vpn ipsecポリシーを設定 | セキュリティIPsecポリシーを設定 |
| [source-address| destination-address]からサービスIPsec-VPNルール rule-name 条件 term-name を設定 | セキュリティIPsec VPNをトラフィックセレクターselector-namevpn-name設定 [local-ip | remote-ip] |
| ipsec-inside-interfaceからサービスipsec-vpnルール rule-name 期間 term-name を設定 | セキュリティIPsec VPNをバインドインターフェイス vpn-name 設定 |
| サービスipsec-vpnルールを条件 rule-name 設定し、次にremote-gateway term-name 設定します | セキュリティIKEゲートウェイの gw-name アドレスを設定 |
| サービスipsec-vpnルールを条件 rule-name 設定し、次にbackup-remote-gateway term-name 設定します | セキュリティIKEゲートウェイの gw-name アドレスを設定 |
| サービスipsec-vpnルールを rule-name 条件 term-name 設定し、その後デッドピア検出を設定します | セキュリティIKEゲートウェイをデッドピア検出 gw-name 設定 |
| サービスIPSec-VPNルールを条件rule-name設定し、動的IKEポリシーterm-name | セキュリティIKEゲートウェイ gw-nameIKE-POLICYの設定 |
| サービスipsec-vpnルールを条件 rule-name 設定し、次に動的ipsec-policy term-name 設定します | セキュリティIPsec VPNをIKE ipsec-policy vpn-name 設定 |
| サービスIPSec-VPNルールを条件 rule-name 設定 term-name 次に手動を設定します | セキュリティIPsec VPN vpn-name 手動を設定 |
| サービスipsec-vpnルールを条件term-namerule-name設定し、次にclear-don't-fragment-bitを設定します | セキュリティIPsec VPNをDFビットクリア vpn-name 設定 |
| サービスipsec-vpnルール rule-name 条件 term-name 設定し、copy-don't-fragment-bitを設定します | セキュリティIPsec VPNをDFビットコピー vpn-name 設定 |
| サービスipsec-vpnルールを rule-name 条件 term-name 設定し、次にset-don't-fragment-bitを設定します | セキュリティIPsec VPNをDFビットコピー vpn-name 設定 |
| サービスipsec-vpnルールを条件rule-nameterm-name次にトンネル-MTUを設定します | セキュリティIPsec VPNを vpn-name トンネル-MTUに設定 |
| サービスipsec-vpnルールを rule-name 条件 term-name 設定し、その後はno-anti-replayを設定します | セキュリティIPsec VPNをIKE vpn-name アンチリプレイなしに設定 |
| サービスipsec-vpnルールを一致方向 rule-name 設定 | セキュリティIPsec VPN vpn-namematch-directionを設定 |
| サービスipsec-vpn establish-tunnelsを設定 | セキュリティIPsec VPNを設定 vpn-nameestablish-tunnels |
| set services service-set svc-set-name ipsec-vpn-options local-gateway address | セキュリティIPsec VPN vpn-nameIKEゲートウェイを設定 gateway-name |
| set services service-set svc-set-name ipsec-vpn-options clear-don't-fragment-bit | グローバルなサービスセット設定はありません。VPNオブジェクトごとに設定する必要があります。 |
| set services service-set svc-set-name ipsec-vpn-options copy-don't-fragment-bit | グローバルなサービスセット設定はありません。VPNオブジェクトごとに設定する必要があります。 |
| set services service-set svc-set-name ipsec-vpn-options set-don't-fragment-bit | グローバルなサービスセット設定はありません。VPNオブジェクトごとに設定する必要があります。 |
| set services service-set svc-set-name ipsec-vpn-options udp-encapsulate | セキュリティIPsec VPN vpn-nameUDP-encapsulateを設定 |
| set services service-set svc-set-name ipsec-vpn-options no-anti-replay | グローバルなサービスセット設定はありません。VPNオブジェクトごとに設定する必要があります。 |
| set services service-set svc-set-name ipsec-vpn-options passive-mode-tunneling | セキュリティIPsec VPNをパッシブモードトンネリング vpn-name 設定 |
| set services service-set svc-set-name ipsec-vpn-options トンネル-mtu | グローバルなサービスセット設定はありません。VPNオブジェクトごとに設定する必要があります。 |
| set services service-set svc-set-name ipsec-vpn-rules | サービスサービスセットをipsec-vpn-rules svc-set-name 設定 |
| サービスipsec-vpnルール<rule-name>条件<term-name>を設定し、次にトンネル-mtuを設定します | セキュリティIPsec VPN<vpn-name>トンネル-mtuを設定 |
トンネル MTU について
st0のMTUはインターフェイスレベルです。トンネル-MTU機能により、トンネルレベルのMTUを実現します。Tunnel-MTU機能を使用すると、VPNオブジェクトレベルでMTUを設定できます。トンネル-mtuを設定してトンネルMTUを制御することができます。st0 MTUまたはIFL MTUが設定されていない場合、MTU動作に影響します。IPv6トラフィックに設定できる最小トンネルMTUは1390です。
トンネル MTU 機能は、PMI(電源モード IPSec)ではサポートされていません。tunnel-mtu設定はVPN階層にあり、トラフィックセレクターレベルではないため、トンネル-mtu設定はそのVPNに属するすべてのトンネル(すべてのTS)に適用されます。トンネル MTU 構成の変更は、致命的な変更(既存のトンネルの削除)と見なされます。no-icmp-packet-too-bigの設定変更は、致命的とは見なされません。
事前フラグメント化は、最小トンネルMTU設定のIPsecトンネルオーバーヘッド、またはIFL MTU外のAMSを考慮して行われます。ポストフラグメント化では、外部インターフェイスでMTUを設定する必要があり、対応するIPsecカウンターはエグレストラフィックに対して増加しません。ポストフラグメント化は、MX-SPC3カードではなくIOCによって行われます。MX-SPC3では、inetおよびinet6ファミリーのデフォルトのst0 MTUは9192であり、VPN階層でのトンネル-MTU設定のデフォルト値はありません。IPv6パケットは送信元ホストでフラグメント化され、中間ルーターではフラグメント化されないため、IPv6パケットには事前フラグメント化は適用されません。
IPv4パケットでは、以下のケースでpre-フラグメント化、post-フラグメント化、ICMP Fragmentation needed and DF set エラーが発生します。
- 内部パケット長がトンネル-mtuとトンネルオーバーヘッドの差より小さい場合、フラグメント化は発生しません。
- 内部パケット長がトンネル-MTU AMD トンネル オーバーヘッドの差分より大きく、内部パケットの DF ビットが設定されていない場合、事前フラグメント化が発生します。
- 内側のパケット長がトンネル-mtuとトンネルオーバーヘッドの差よりも大きく、外側のトンネルDFビットが設定されていない場合、カプセル化が行われ、事後フラグメント化が発生します。
- 内部パケット長がトンネル-mtuとトンネルオーバーヘッドの差よりも大きく、内部パケットDFビットと外部トンネルDFビットの両方が設定されている場合、パケットはドロップされ、ICMP
Fragmentation Needed and DF Setエラーが送り返されます。
IPv6パケットでは、以下の場合にpre-フラグメント化、post-フラグメント化、ICMP Packet Too Big エラーが発生します。
- 内部パケット長がトンネル-mtuとトンネルオーバーヘッドの差より小さい場合、フラグメント化は発生しません。
- 内側のパケット長がトンネル-mtuとトンネルオーバーヘッドの差よりも大きく、外側のトンネルDFビットが設定されていない場合、カプセル化が行われ、事後フラグメント化が発生します。
- 内側パケット長がトンネル-mtuとトンネルオーバーヘッドの差より大きく、外側トンネルDFビットが設定されている場合、パケットはドロップされ、
no-icmp-packet-too-bigが設定されていない場合はICMPPacket Too Bigエラーが送信されます。 - 内側のパケット長がトンネル-mtuとトンネルオーバーヘッドの差よりも大きく、外側のトンネルDFビットが設定されている場合、パケットはドロップされ、
no-icmp-packet-too-bigが設定されている場合はICMPPacket Too Bigエラーは送信されません
st0 MTUとトンネルMTUの違い
- Tunnel-MTUは、st0 MTUとは異なるレベルにあります。
- st0 MTUはインターフェイスレベルのMTUであり、トンネル-MTU機能はトンネルレベルのMTUを達成します
- MX-SPC3では、PFEはst0 mtuをチェックしてパケットをフラグメント化またはドロップします。したがって、パケットはフローまたはIPsecに到達せず、MTUアクションを制御できません。
- VPNトンネル-MTU設定値がst0 MTU未満です。