次世代サービスの概要
このトピックでは、次世代サービスの概要を説明し、以下のトピックが含まれています。
MXシリーズ5Gユニバーサルルーターサービスの概要
MXシリーズ5Gユニバーサルルーターは、複数のタイプのサービスインターフェイスをサポートしており、MXシリーズルーターを通過するトラフィックを検査、監視、操作するための特定の機能を提供します。サービスは適応サービスと次世代サービスに分類され、各カテゴリーにはインラインサービスインターフェイスとマルチサービスインターフェイスオプションが用意されています。 表 1 は、これらのサービスを提供するカードを示しています。
MX-SPC3はMSタイプのカードを置き換え、ハイエンドの拡張性と容量とともに全体的なパフォーマンスを大幅に向上させます。
MXシリーズ5Gユニバーサルルーティングプラットフォーム |
|||||
---|---|---|---|---|---|
適応型サービス |
次世代サービス |
||||
Mpc
インライン サービス |
MS-DPC
|
MS-MPC
|
MS-MIC
|
Mpc
インライン サービス |
MX-SPC3
|
マルチサービス(MS)PICまたはアダプティブサービス(AS)PICを使用して、MS-DPC、MS-MPC、MS-MICカードで適応サービスを実行できます。
次世代サービスは、MPCカードとMX-SPC3セキュリティサービスカードで実行できます。
インラインサービスは、MXシリーズモジュラーポートコンセントレータ(MPC)で設定されます。インライン サービス インターフェイスは、パケット転送エンジン上に存在する仮想物理インターフェイスです。MPC を通過するトラフィックにハイパフォーマンスな処理を提供し、シャーシ スロットの容量と使用率を最大限に高めます。
マルチサービス セキュリティ カード(MS-DPC、MS-MPC、MS-MIC、MX-SPC3)は、個々の MPC を超えて MX シャーシを通過するあらゆるトラフィックに適用できるサービスを提供します。また、さまざまなセキュリティ機能を大規模かつ高性能でサポートする専用処理も提供します。
適応サービスの概要
適応サービスは、MPC、MS-DPC、MS-MPC、MS-MICマルチサービスセキュリティカードでインラインで実行されます。適応サービス(AS)PICとマルチサービスPICでは、一連のサービスとアプリケーションを設定することで、同じPIC上で複数のサービスを実行できます。ASおよびマルチサービスPICは、1つ以上のサービスセットで設定できるさまざまなサービスを提供します。
ジュニパーネットワークス MX シリーズ 5G ユニバーサル ルーティング プラットフォームでは、MS-DPC は MS-MPC と基本的に同じ機能を提供します。両方のプラットフォームのインターフェイスは、同じ方法で設定されています。
インラインサービスを含む適応サービスの詳細については、 適応サービスの概要を参照してください。
インラインサービス
適応サービスはまた、 インラインサービスインターフェイス を使用して インライン サービスを提供します。インライン サービス インターフェイスは、パケット転送エンジン上に存在する仮想インターフェイスです。
インラインサービスは、命名規則ではなく、命名規則 si-fpc/pic/port
を使用してMPCでのみ設定します ms-fpc/pic/port
。
次世代サービス
次世代サービスは、MXおよびSRXセキュリティサービスの組み合わせ機能を提供し、MXシリーズルーターを通過するトラフィックの検査、監視、操作を可能にします。次世代サービスは、MPC(モジュラーポートコンセントレータ)とMX240、MX480、MX960ルーターのMX-SPC3セキュリティサービスカードの両方でインラインでサポートされています。インラインと MX-SPC3 カードの両方でサポートされる次世代サービスの概要については、 表 2 を参照してください。インラインベースとMX-SPC3ベースのサービスの両方を同時に使用できます。
仮想マルチサービスの命名規則を使用して、MX-SPC3 セキュリティ サービス カードで次世代サービスを設定しますvms-fpc/pic/port
。
MXシリーズ5Gユニバーサルルーターでサポートされるサービスの概要
表 2 は、次世代サービスでサポートされるサービスの概要を示しています。
次世代サービス:インライン(si-)インターフェイスとMX-SPC3 |
||||
---|---|---|---|---|
サービス機能 |
インラインサービス |
MX-SPC3 |
||
Junos OS リリース |
サブサービス |
Junos OS リリース |
サブサービス |
|
CGNAT |
19.3R2 |
Basic-NAT44およびNAT66 静的ディスティネーション NAT 2 回の NAT44 基本 第 6 次ソフトワイヤ NPTv6 |
19.3R2 |
Basic-NAT44 Basic-NAT66 Dynamic-NAT44 静的ディスティネーション NAT Basic-NAT-PT NAPT-PT NAPT44 NAPT66 ポート ブロックの割り当て 決定論的 nat44 および nat64 エンドポイント非依存マッピング(EIM)/エンドポイント非依存フィルタリング(EIF) 永続的NAT - アプリケーションプールペア(APP) 2 回の NAT44 – 基本、動的、NAPT NAT64 XLAT-464 NPTv6 |
|
20.1R1 |
ポートコントロールプロトコル(PCP)– v1およびv2 |
||
20.2R1 |
MAP-E |
|
DS-Lite NAT46 |
|
トラフィック ロード バランサー |
19.3R2 |
19.3R2 |
||
SecIntel(SkyATP IP 脅威フィード) |
19.3R2 |
N/a |
||
ステートフル ファイアウォール サービス |
N/a |
19.3R2 |
||
侵入検出サービス(IDS) |
N/a |
19.3R2 |
||
DNS リクエスト フィルタリング |
N/a |
19.3R2 |
||
集合型マルチサービス インターフェイス |
N/a |
19.3R2 |
||
シャーシ間の高可用性 |
N/a |
19.3R2 |
CGNAT、ステートフル ファイアウォール、IDS |
|
URL フィルタリング |
N/a |
|
20.1R1 |
|
JFlow |
20.1R1 |
|
N/a |
|
RPM および TWAMP |
20.1R1 |
|
N/a |
|
ビデオ監視 |
20.1R1 |
|
N/a |
|
IPsec VPN | N/a | 21.1R1 | ルートベースサイト2サイトVPN トラフィックセレクターベースVPN AutoVPN IPsec上のルーティングプロトコル(BGP/OSPF) |
次世代サービスのドキュメント
ルーターにMX-SPC3サービスカードがインストールされている場合、MX240、MX480、MX960で次世代サービスを実行できます。すべてのMXルーターのドキュメントについては、 テクニカルライブラリ を参照してください。次世代サービスについては、以下のドキュメントを参照してください。
次世代サービスの詳細と設定については、 ルーティングデバイス用の次世代サービスインターフェイスユーザーガイド (このガイド)を参照してください。
MX-SPC3カードの設置または交換の詳細については、 MXシリーズ5Gユニバーサルルーティングプラットフォームインターフェイスモジュールリファレンスを参照してください。
フローとサンプルトラフィックを監視するには、 監視、サンプリング、および収集サービスインターフェイス機能ガイドを参照してください。トラフィックフロー監視、パケットフローキャプチャ、アカウンティングまたは破棄のためのトラフィックサンプリング、外部デバイスへのポートミラーリング、リアルタイムパフォーマンス監視の設定方法について説明しています。
次世代サービスの実現
次世代サービスを実行するには、MXシリーズルーターで有効にする必要があります。これにより、オペレーティング システムが次世代サービス用の独自の OS(オペレーティング システム)を実行できるようになります。
レガシーサービスカードからMX-SPC3にサービスを移行する場合は、具体的な手順を実行する必要があります。次世代サービス CLI は、従来のサービスとは異なります。詳細については、 MX-SPC3上の適応サービスと次世代サービスの設定の違いを参照してください。
他のサービス カードとの互換性
MX-SPC3サービスカードは、 表3に記載されているMXシリーズスイッチファブリック、ルーティングエンジン、MS-MPCラインカードとエンドツーエンドで互換性があります。
スイッチ ファブリック |
ルート エンジン |
MPC ライン カード |
---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E および MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E および MPC3E-3D-NG MPC4E-3D MPC5E および MPC5EQ MPC7E および MPC7EQ MPC-3D-16XGE |
SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E および MPC5EQ MPC7E および MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
MX-SPC3サービスカードの設定
MX-SPC3サービスカード上のインターフェイスは、仮想マルチサービス(vms)PICと呼ばれます。MX-SPC3インターフェイスを設定する場合、インターフェイスを次のようにインターフェイスとして vms-
指定します。
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
CLI の違いは別として、マルチサービス(MS)タイプ(MS-DPC、MS-MPC、MS-MIC)カードと MX-SPC3 サービス カードの基本的なハードウェアの違いを認識する必要があります。MSタイプカードには4つのCPUコンプレックスが含まれていますが、MX-SPC3カードはより強力ですが、2つのCPUコンプレックスが含まれています。各 CPU は 1 つの PIC をサポートします。つまり、MS タイプ カードは 4 個の PIC をサポートし、MX-SPC3 は 2 個の PIC をサポートします。MSタイプカードは、特別なマルチサービス(MS)とアダプティブサービス(AS)PICを使用しますが、MX-SPC3カード上のPICは統合されています。
PICの数はインターフェイス数に直接影響するため、インターフェイス数を4に増やすために、MX-SPC3の各インターフェイスに論理ユニットを追加する必要がある場合があります。例えば、現在 MS タイプ カードで現在 4 つのインターフェイスすべてを使用し、インターフェイスごとにサービス セットがある場合、MX-SPC3 上でインターフェイスごとに 2 つの論理ユニットを作成してインターフェイスの総数を 4 にし、4 つのサービス セットをこれらの 4 つの論理インターフェイスに再関連付けることができます。
トラフィックにサービスを適用する方法
次世代サービスを構成する場合、これらのサービスを次のいずれかの方法で適用できます。
設定されたサービスを、MXルーター上の特定のインターフェイスを通過するトラフィックに適用します。
設定されたサービスを、特定のネクストホップ宛てのトラフィックに適用します。
MX-SPC3サービスカードでのIPsec VPNの設定
MX-SPC3サービスカードでIPsecを設定するには、表4に示すように、[]のIPsec CLI設定が[edit security
edit security]階層レベルのCLI設定に置き換わるのでedit services
、[]階層レベルでCLI設定ステートメントを使用します。
現在の MX 設定 | と同等の MX-SPC3 設定 |
---|---|
サービス ipsec-vpn トレースオプションの設定 | セキュリティ ike traceoptions の設定 |
サービスipsec-vpn ikeプロポーザルを設定する | セキュリティikeプロポーザルを設定する |
サービスipsec-vpn ikeポリシーを設定する | セキュリティ ike ポリシーの設定 |
設定サービスipsec-vpn ikeポリシー policy-name respond-bad-spi | セキュリティike respond-bad-spiを設定する |
サービスipsec-vpn ipsecプロポーザルを設定する | セキュリティipsecプロポーザルを設定する |
サービスipsec-vpn ipsecポリシーの設定 | セキュリティipsecポリシーの設定 |
[source-address| destination-address]からサービスipsec-vpnルール rule-name 条件 term-name を設定 | セットセキュリティipsec vpn vpn-name トラフィックセレクター selector-name [local-ip | remote-ip] |
ipsec-inside-interfaceからサービスipsec-vpnルール rule-name 条件 term-name を設定 | セキュリティipsec vpn vpn-name バインドインターフェイスを設定する |
サービスipsec-vpnルール rule-name 条件 term-name を設定してからリモートゲートウェイ | セキュリティ ike ゲートウェイ gw-name アドレスの設定 |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、バックアップリモートゲートウェイ | セキュリティ ike ゲートウェイ gw-name アドレスの設定 |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、デッドピア検出と | セットセキュリティikeゲートウェイ gw-name デッドピア検出 |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、動的ike-policy | セット セキュリティ ike ゲートウェイ gw-nameike-policy |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、動的ipsecポリシーを設定する | セキュリティを設定する ipsec vpn vpn-name ike ipsec-policy |
サービスipsec-vpnルール rule-name 条件 term-name を設定してから手動で | セキュリティipsec vpnマニュアルを vpn-name 設定する |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、clear-don't-fragment-bit | セキュリティipsec vpn vpn-name dfビットクリアを設定 |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、copy-don't-fragment-bit | セキュリティipsec vpn vpn-name dfビットコピーを設定する |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、set-don't-fragment-bit | セキュリティipsec vpn vpn-name dfビットコピーを設定する |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、 | セキュリティipsec vpn vpn-name トンネルmtuを設定する |
サービスipsec-vpnルール rule-name 条件 term-name を設定し、非アンチリプレイ | セキュリティを設定する ipsec vpn vpn-name ike no-anti-replay |
セット サービス ipsec-vpn ルール rule-name 一致方向 | セキュリティipsec vpn vpn-nameの一致方向を設定する |
サービスの設定 ipsec-vpn 確立トンネル | セキュリティipsec vpn vpn-name確立トンネルの設定 |
セットサービスセット svc-set-name ipsec-vpn-options local-gateway address | セット セキュリティ ipsec vpn vpn-nameike ゲートウェイ gateway-name |
set services-set svc-set-name ipsec-vpn-options clear-don't-fragment-bit | グローバルサービスセット設定なし。vpn オブジェクト単位で設定する必要があります。 |
セットサービスセット svc-set-name ipsec-vpn-options copy-don't-fragment-bit | グローバルサービスセット設定なし。vpn オブジェクト単位で設定する必要があります。 |
set services-set svc-set-name ipsec-vpn-options set-don't-fragment-bit | グローバルサービスセット設定なし。vpn オブジェクト単位で設定する必要があります。 |
セット サービスセット svc-set-name ipsec-vpn-options udp-encapsulate | セット セキュリティ ipsec vpn vpn-nameudp-encapsulate |
set services-set svc-set-name ipsec-vpn-options no-anti-replay | グローバルサービスセット設定なし。vpn オブジェクト単位で設定する必要があります。 |
set services-set svc-set-name ipsec-vpn-options passive-mode-tunneling | セキュリティipsec vpn vpn-name パッシブモードトンネリングの設定 |
セットサービスセット svc-set-name ipsec-vpn-options tunnel-mtu | グローバルサービスセット設定なし。vpn オブジェクト単位で設定する必要があります。 |
サービスセットipsec-vpn-rulesの設定svc-set-name | サービスセットipsec-vpn-rulesの設定svc-set-name |
サービスipsec-vpnルール<rule-name>用語<ターミナル名>トンネルmtuを設定する | セキュリティipsec vpn<vpn-name>トンネルmtuを設定する |
トンネルMTUについて
st0のMTUはインターフェイスレベルです。トンネルMTU機能により、トンネルレベルのMTUを実現します。トンネルMTU機能により、VPNオブジェクトレベルでMTUを設定できます。トンネルMTUを制御するためにトンネルmtuを設定することができます。st0 MTUまたはIFL MTUが設定されていない場合、MTU動作に影響を与えます。IPv6 トラフィックに設定できる最小トンネル MTU は 1390 です。
トンネルMTU機能は、PMI(電源モードIPSec)ではサポートされていません。トンネルmtu設定はVPN階層であり、トラフィックセレクターレベルではありません。そのため、トンネルmtu設定は、そのVPNに属するすべてのトンネル(すべてのQS)に適用されます。トンネルMTU設定変更は、致命的な変更と見なされます(既存のトンネルを削除します)。no-icmp-packet-too-big の構成変更は、致命的なものとは見なされません。
最小トンネルMTU設定のIPsecトンネルオーバーヘッドまたはIFL MTU外のAMSを考慮して、事前フラグメント化が行われます。事後フラグメント化では、外部インターフェイスでMTUを設定する必要があり、対応するIPsecカウンターはエグレストラフィックに対して増加しません。ポストフラグメント化は、MX-SPC3カードではなくIOCによって行われます。MX-SPC3では、inetおよびinet6ファミリーのデフォルトst0 MTUは9192であり、VPN階層でのトンネルmtu設定のデフォルト値はありません。IPv6 パケットはソース ホストでフラグメント化され、中間ルーターではフラグメント化されないため、事前フラグメント化は IPv6 パケットには適用されません。
IPv4 パケットの場合、次の場合に、事前フラグメント化、後フラグメント化、ICMP Fragmentation needed and DF set
エラーが発生します。
- 内部パケット長がトンネル mtu とトンネルオーバーヘッドの差より小さい場合、フラグメント化は発生しません。
- 内部パケット長がトンネルmtu amdトンネルオーバーヘッドの異なるneceを超え、内側パケットDFビットが設定されていない場合、事前フラグメント化が発生します。
- 内部パケット長がトンネル mtu とトンネルオーバーヘッドの違いよりも大きく、外側トンネル DF ビットが設定されていない場合、カプセル化が行われ、事後フラグメント化が発生します。
- 内部パケット長がトンネル mtu とトンネルオーバーヘッドの違いよりも大きく、内側パケット DF ビットと外部トンネル DF ビットの両方が設定されている場合、パケットはドロップされ、ICMP
Fragmentation Needed and DF Set
エラーが戻されます。
IPv6 パケットでは、次の場合に、事前フラグメント化、後フラグメント化、および ICMP Packet Too Big
エラーが発生します。
- 内部パケット長がトンネル mtu とトンネルオーバーヘッドの差より小さい場合、フラグメント化は発生しません。
- 内部パケット長がトンネル mtu とトンネルオーバーヘッドの違いよりも大きく、外側トンネル DF ビットが設定されていない場合、カプセル化が行われ、事後フラグメント化が発生します。
- 内部パケット長がトンネル mtu とトンネルオーバーヘッドの違いよりも大きく、外側トンネル DF ビットが設定されている場合、パケットはドロップされ、設定されていない場合
no-icmp-packet-too-big
は ICMPPacket Too Big
エラーが送信されます。 - 内部パケット長がトンネル mtu とトンネルオーバーヘッドの違いよりも大きく、外側トンネル DF ビットが設定されている場合、パケットはドロップされ、設定されている場合
no-icmp-packet-too-big
は ICMPPacket Too Big
エラーは送信されません。
st0 MTUとトンネルMTUの違い
- トンネルMTUは、st0 MTUと比較して異なるレベルにあります。
- st0 MTUはインターフェイスレベルMTUで、トンネルMTU機能はトンネルレベルMTUを達成
- MX-SPC3 では、PFE は st0 mtu をチェックしてパケットをフラグメント化またはドロップします。そのため、パケットはフローまたは IPsec に到達せず、MTU アクションを制御できません。
- VPN トンネル-mtu 設定値は st0 MTU 未満です。