次世代サービスの概要
このトピックでは、次世代サービスの概要と以下のトピックについて説明します
MXシリーズ5Gユニバーサルルーターサービスの概要
MXシリーズ5Gユニバーサルルーターは、数種類のサービスインターフェイスをサポートしており、MXシリーズルーターを通過するトラフィックを検査、監視、操作するための特定の機能を提供します。サービスは、適応型サービスと次世代サービスに分類でき、各カテゴリはインラインサービスインターフェイスとマルチサービスインターフェイスのオプションを提供します。 表 1 に、これらのサービスを提供するカードを示します。
MX-SPC3はMSタイプのカードの後継製品で、全体的なパフォーマンスが大幅に向上するとともに、ハイエンドの拡張性と容量を実現します。
MXシリーズ5Gユニバーサルルーティングプラットフォーム |
|||||
|---|---|---|---|---|---|
アダプティブサービス |
次世代のサービス |
||||
MPC
インラインサービス |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
インラインサービス |
MX-SPC3
|
適応型サービスは、マルチサービス(MS)PICまたは適応可能サービス(AS)PICを使用して、MS-DPC、MS-MPC、およびMS-MICカード上で実行できます。
次世代サービスは、MPCカードとMX-SPC3セキュリティサービスカード上で実行できます。
インラインサービスは、MXシリーズMPC(モジュラーポートコンセントレータ)で設定されます。インライン サービス インターフェイスは、パケット転送エンジン に常駐する仮想物理インターフェイスです。MPCを通過するトラフィックに対して高性能な処理を提供し、シャーシスロットの容量と使用率を最大化できます。
マルチサービスセキュリティカード(MS-DPC、MS-MPC、MS-MIC、またはMX-SPC3)は、個々のMPCだけでなく、MXシャーシを通過するすべてのトラフィックに適用できるサービスを提供します。また、専用の処理能力も提供することで、さまざまなセキュリティ機能を大規模かつ高パフォーマンスでサポートします。
適応サービスの概要
適応型サービスは、MPCとMS-DPC、MS-MPC、MS-MICマルチサービスセキュリティカードでインラインで実行されます。適応可能サービス(AS)PICとマルチサービスPICは、一連のサービスとアプリケーションを設定することで、同じPIC上で複数のサービスを実行することを可能にします。ASおよびマルチサービスPICは、1つまたは複数のサービスセットで設定可能な幅広いサービスを提供します。
ジュニパーネットワークスのMXシリーズ5Gユニバーサルルーティングプラットフォームでは、MS-DPCは基本的にMS-MPCと同じ機能を提供します。両方のプラットフォームのインターフェイスは、同じ方法で設定されます。
インライン サービスを含むアダプティブ サービスの詳細については、「 アダプティブ サービスの概要」を参照してください。
インラインサービス
また、アダプティブ サービスは、 インライン サービス インターフェイス を使用して インライン サービスを提供します。インライン サービス インターフェイスは、パケット転送エンジン に常駐する仮想インターフェイスです。
MPC でのみインライン サービスを設定するには、ms-fpc/pic/port 命名規則ではなく、命名規則 si-fpc/pic/portを使用します。
次世代のサービス
次世代サービスは、MXとSRXセキュリティサービスを組み合わせた機能を提供し、MXシリーズルーターを通過するトラフィックの検査、監視、操作を可能にします。次世代サービスは、MX240、MX480、MX960ルーターのMPC(モジュラーポートコンセントレータ)とMX-SPC3セキュリティサービスカードの両方でインラインでサポートされています。インラインとMX-SPC3カードの両方でサポートされている次世代サービスの概要は、 表2を参照してください。インライン ベースと MX-SPC3 ベース サービスの両方を同時に使用できます。
MX-SPC3 セキュリティ サービス カードに次世代サービスを設定するには、 仮想マルチサービスの 命名規則である vms-fpc/pic/portを使用します。
MXシリーズ5Gユニバーサルルーターでサポートされるサービスの概要
表2 は、次世代サービスでサポートされるサービスの概要を示しています。
次世代サービス:インライン(si-)インターフェイスとMX-SPC3 |
||||
|---|---|---|---|---|
サービスの特長 |
インラインサービス |
MX-SPC3 |
||
Junos OS リリース |
サブサービス |
Junos OS リリース |
サブサービス |
|
CGNAT |
19.3R2 |
Basic-NAT44およびNAT66 静的宛先 NAT Twice-NAT44 ベーシック 6ソフトワイヤー NPTv6 |
19.3R2 |
ベーシック-NAT44 ベーシック-NAT66 ダイナミックNAT44 静的宛先 NAT Basic-NAT-PT NAPT-PT ナプト44 ナプト66 ポートブロックの割り当て Deterministic-nat44 および nat64 エンドポイントに依存しないマッピング(EIM)/エンドポイントに依存しないフィルタリング(EIF) 永続的な NAT – アプリケーション プール ペアリング (APP) Twice-NAT44 – Basic、Dynamic、NAPT NAT64 XLAT-464 NPTv6 |
|
20.1R1 |
ポート制御プロトコル(PCP)– v1およびv2 |
||
20.2R1 |
MAP-E (マップ E) |
|
DS-Lite NAT46 |
|
トラフィックロードバランサー |
19.3R2 |
19.3R2 |
||
SecIntel(ATP Cloud IP脅威フィード) |
19.3R2 |
該当なし |
||
ステートフルファイアウォールサービス |
該当なし |
19.3R2 |
||
侵入検出サービス(IDS) |
該当なし |
19.3R2 |
||
DNS 要求フィルタリング |
該当なし |
19.3R2 |
||
集約型マルチサービスインターフェイス |
該当なし |
19.3R2 |
||
シャーシ間の高可用性 |
該当なし |
19.3R2 |
CGNAT、ステートフルファイアウォール、IDS |
|
URLフィルタリング |
該当なし |
|
20.1R1 |
|
JFlow |
20.1R1 |
|
該当なし |
|
RPM および TWAMP |
20.1R1 |
|
該当なし |
|
ビデオ監視 |
20.1R1 |
|
該当なし |
|
| IPSec VPN | 該当なし | 21.1R1 | ルートベース サイト 2 サイト VPN 交通セレクターベースのVPN AutoVPN IPsec 上のルーティング プロトコル(BGP/OSPF) |
|
| インライン IPsec | 24.2R1 | 該当なし | ||
次世代サービスに関するドキュメント
ルーターに MX-SPC3 サービス カードがインストールされている場合は、MX240、MX480、MX960 で次世代サービスを実行できます。MXルーターに関するすべてのドキュメントについては 、テクニカルライブラリ を参照してください。次世代サービスについては、次のドキュメントを参照してください。
次世代サービスの詳細と設定については、 ルーティングデバイス向け次世代サービスインターフェイスユーザーガイド (このガイド)を参照してください。
MX-SPC3カードの取り付けまたは交換の詳細については、 MXシリーズ5Gユニバーサルルーティングプラットフォームインターフェイスモジュールリファレンスをご覧ください。
フローおよびサンプル トラフィックを監視するには:トラフィック フロー監視、パケットフロー キャプチャ、アカウンティングまたは廃棄のためのトラフィック サンプリング、外部デバイスへのポート ミラーリング、およびリアルタイム パフォーマンス監視の設定方法について説明した『 Monitoring, Sampling, and Collection Services Interfaces Feature Guide』を参照してください。
次世代サービスの実現
次世代サービスを実行するには、MXシリーズルーターで有効にする必要があります。これにより、オペレーティングシステムは、次世代サービス用の独自のオペレーティングシステム(OS)を実行できます。
レガシー サービス カードから MX-SPC3 にサービスを移行する場合、具体的な手順があります。次世代サービスのCLIは、これらのレガシーサービスとは異なります。詳細については、 MX-SPC3 での適応型サービスと次世代サービスの設定の違いを参照してください。
他のサービスカードとの互換性
MX-SPC3 サービス カードは、 表 3 に示すように、MXシリーズ スイッチ ファブリック、ルーティング エンジン、MS-MPC ライン カードとエンドツーエンドで互換性があります。
スイッチファブリック |
ルートエンジン |
MPCライン カード |
|---|---|---|
SCBEの |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3EとMPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2の |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3EとMPC3E-3D-NG MPC4E-3D MPC5EおよびMPC5EQ MPC7EおよびMPC7EQ MPC-3D-16XGE |
| SCBE3の |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5EおよびMPC5EQ MPC7EおよびMPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
MX-SPC3 サービス カードの設定
MX-SPC3サービス カード上のインターフェイスは、仮想マルチサービス(vms)PICと呼ばれます。MX-SPC3インターフェイスを設定する場合、次のようにインターフェイスを vms- インターフェイスとして指定します。
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
CLIの違いとは別に、マルチサービス(MS)タイプ(MS-DPC、MS-MPC、MS-MIC)カードとMX-SPC3サービスカードの基本的なハードウェアの違いに注意する必要があります。MS タイプのカードには 4 つの CPU コンプレックスが含まれていますが、MX-SPC3 カードはより強力ですが、2 つの CPU コンプレックスが含まれています。各 CPU コンプレックスは 1 つの PIC に対応します。つまり、MS タイプのカードは 4 つの PIC をサポートするのに対し、MX-SPC3 は 2 つの PIC をサポートします。MSタイプのカードは特別なマルチサービス(MS)および適応サービス(AS)PICを使用しますが、MX-SPC3カードのPICは統合されています。
PICの数はインターフェイス数に直接影響するため、MX-SPC3の各インターフェイスに論理ユニットを追加して、インターフェイスの数を4つに増やす必要がある場合があります。例えば、現在MSタイプカードで4つのインターフェイスすべてを使用しており、インターフェイスごとにサービスセットがある場合、MX-SPC3でインターフェイスごとに2つの論理ユニットを作成してインターフェイスの合計数を4にし、4つのサービスセットをこれら4つの論理インターフェイスに再関連付けできます。
トラフィックにサービスを適用する方法
次世代サービスを設定する場合、以下のいずれかの方法でそれらのサービスを適用できます。
MXルーター上の特定のインターフェイスを通過するトラフィックに、設定されたサービスを適用します。
特定のネクストホップ宛てのトラフィックに設定されたサービスを適用します。
MX-SPC3 サービス カードでの IPSec VPN の設定
MX-SPC3 サービス カードで IPsec を設定するには、表 4 に示すように、[edit services] の IPsec CLI 設定が [edit security] 階層レベルの CLI 設定に置き換えられるため、[edit security] 階層レベルで CLI 設定ステートメントを使用します
| 現在のMX設定 | 同等のMX-SPC3設定 |
|---|---|
| セットサービス ipsec-vpn traceoptions | セキュリティIKEトレースオプションの設定 |
| set services ipsec-vpn IKE プロポーザル | セキュリティIKEプロポーザルの設定 |
| set services ipsec-vpn IKEポリシー | セキュリティIKEポリシーの設定 |
| セットサービス IPsec-VPN IKEポリシー policy-name respond-bad-spi | セキュリティIKE respond-bad-spiを設定します |
| set services ipsec-vpn ipsecプロポーザル | セキュリティIPsecプロポーザルの設定 |
| set services ipsec-vpn ipsec policy | セキュリティIPsecポリシーの設定 |
| set services ipsec-vpnルール rule-name 条件 term-name from [source-address| destination-address] | セキュリティIPsec VPN vpn-name トラフィックセレクタ selector-name [local-ip | remote-ip]を設定します |
| セットサービスipsec-vpnルール rule-name 条件 term-name ipsec-inside-interfaceから | セキュリティIPsec VPN vpn-name bind-interfaceを設定します |
| set services ipsec-vpnルール rule-name 条件 term-name 次にremote-gateway | セキュリティIKEゲートウェイ gw-name アドレスの設定 |
| set services ipsec-vpnルール rule-name 条件 term-name 次にbackup-remote-gateway | セキュリティIKEゲートウェイ gw-name アドレスの設定 |
| set services ipsec-vpn rule rule-name term term-name then dead-peer-detection | セキュリティIKEゲートウェイ gw-name デッドピア検出を設定します |
| set services ipsec-vpnルール rule-name 条件 term-name 次にdynamic ike-policy | セキュリティIKEゲートウェイ gw-nameike-policyを設定します |
| set services ipsec-vpnルール rule-name 条件 term-name 次にdynamic ipsec-policy | セキュリティIPsec VPN vpn-name IKE ipsecポリシーを設定します |
| サービスのIPsec-VPNルールを条件rule-nameterm-name次に手動に設定します | セキュリティ設定 IPsec VPN vpn-name 手動 |
| set services ipsec-vpnルール rule-name 条件 term-name 次にclear-don't-fragment-bit | set security ipsec vpn vpn-name df-bit clear |
| set services ipsec-vpn rule rule-name 条件 term-name 次にcopy-don't-fragment-bit | set security ipsec vpn vpn-name dfビットコピー |
| set services ipsec-vpnルール rule-name 条件 term-name 次にset-don't-fragment-bit | set security ipsec vpn vpn-name dfビットコピー |
| サービスIPsec-VPNルール rule-name 条件 term-name 次にtunnel-mtuを設定します | セキュリティIPsec VPNをトンネルMTU vpn-name 設定 |
| サービスIPsec-VPNルール rule-name 条件を設定し term-name その後、アンチリプレイなし | セキュリティの設定 IPsec VPN vpn-name IKE 非アンチリプレイ |
| set services ipsec-vpnルール rule-name match-direction | セキュリティIPsec VPN vpn-namematch-directionを設定します |
| セットサービスipsec-vpn確立トンネル | セキュリティIPsec VPN vpn-nameestablish-tunnelsの設定 |
| セットサービスサービスセット svc-set-name ipsec-vpn-optionsローカルゲートウェイ address | セキュリティIPsec VPN vpn-nameIKEゲートウェイの設定 gateway-name |
| セットサービス サービスセット svc-set-name ipsec-vpn-options clear-don't-fragment-bit | グローバル サービスセット設定なし。VPN オブジェクトごとに設定する必要があります。 |
| セットサービス サービスセット svc-set-name ipsec-vpn-options copy-don't-fragment-bit | グローバル サービスセット設定なし。VPN オブジェクトごとに設定する必要があります。 |
| セットサービスサービスセット svc-set-name ipsec-vpn-optionsセットドントフラグメントビット | グローバル サービスセット設定なし。VPN オブジェクトごとに設定する必要があります。 |
| セットサービス サービスセット svc-set-name ipsec-vpn-options udp-encapsulate | セキュリティIPsec VPNの設定 vpn-nameudp-encapsulate |
| セットサービス サービスセット svc-set-name ipsec-vpn-options アンチリプレイなし | グローバル サービスセット設定なし。VPN オブジェクトごとに設定する必要があります。 |
| セットサービスサービスセット svc-set-name ipsec-vpn-optionsパッシブモードトンネリング | セキュリティを設定する ipsec vpn vpn-name passive-mode-tunneling |
| セットサービスサービスセット svc-set-name ipsec-vpn-optionsトンネルMTU | グローバル サービスセット設定なし。VPN オブジェクトごとに設定する必要があります。 |
| セットサービス service-set svc-set-name ipsec-vpn-rules | セットサービス service-set svc-set-name ipsec-vpn-rules |
| set services ipsec-vpn rule <rule-name> term <term-name> then tunnel-mtu | セキュリティIPsec VPN<vpn-name> tunnel-mtuを設定します |
トンネルMTUについて
st0のMTUはインターフェイスレベルです。トンネルMTU機能を使用すると、トンネルレベルMTUを達成できます。トンネルMTU機能を使用すると、VPNオブジェクトレベルでMTUを設定できます。トンネルMTUを制御するようにtunnel-mtuを設定できますが、st0 MTUまたはIFL MTUが設定されていない場合、MTUの動作に影響を与えます。IPv6 トラフィックに設定できる最小トンネル MTU は 1390 です。
トンネル MTU 機能は、PMI(電源モード IPSec)ではサポートされていません。tunnel-mtu設定はトラフィックセレクターレベルではなくVPN階層にあるため、tunnel-mtu設定はそのVPNに属するすべてのトンネル(すべてのTS)に適用されます。トンネルMTU設定の変更は、致命的な変更と見なされます(既存のトンネルを削除します)。no-icmp-packet-too-big の設定変更は、致命的とは見なされません。
プレフラグメンテーションはIPsec トンネル最小トンネルMTU設定またはIFL MTU外のAMSのオーバーヘッドを考慮して行われます。フラグメント化後には、外部インターフェースに MTU を設定する必要があります。エグレス トラフィックでは、対応する IPsec カウンターは増加しません。フラグメント化後の処理は、MX-SPC3 カードではなく IOC によって行われます。MX-SPC3では、inetおよびinet6ファミリーのデフォルトのst0 MTUは9192であり、VPN階層でのtunnel-mtu設定のデフォルト値はありません。IPv6 パケットは、送信元ホストでフラグメント化され、中間ルーターではフラグメント化されないため、IPv6 パケットに事前フラグメント化は適用されません。
IPv4パケットの場合、フラグメント化前、フラグメント化後、およびICMP Fragmentation needed and DF set エラーは、次の場合に発生します。
- 内部パケットの長さがトンネル MTU とトンネル オーバーヘッドの差よりも小さい場合、フラグメント化は発生しません。
- 内部パケット長がトンネル MTU とトンネル オーバーヘッドの差分より大きく、内部パケットの DF ビットが設定されていない場合、事前フラグメント化が発生します。
- 内側のパケット長がトンネル MTU とトンネルのオーバーヘッドの差より大きく、外側のトンネル DF ビットが設定されていない場合、カプセル化が行われ、ポスト フラグメント化が発生します。
- 内部パケット長がトンネルMTUとトンネルオーバーヘッドの差よりも大きく、内部パケットDF ビットと外部トンネルDF ビットの両方が設定されている場合、パケットはドロップされ、ICMP
Fragmentation Needed and DF Setエラーが返送されます。
IPv6パケットの場合、フラグメント化前、フラグメント化後、およびICMP Packet Too Big エラーは、次の場合に発生します。
- 内部パケットの長さがトンネル MTU とトンネル オーバーヘッドの差よりも小さい場合、フラグメント化は発生しません。
- 内側のパケット長がトンネル MTU とトンネルのオーバーヘッドの差より大きく、外側のトンネル DF ビットが設定されていない場合、カプセル化が行われ、ポスト フラグメント化が発生します。
- 内側のパケット長がトンネル MTU とトンネルのオーバーヘッドの差よりも大きく、外側のトンネル DF ビットが設定されている場合、パケットはドロップされ、
no-icmp-packet-too-bigが設定されていない場合は ICMPPacket Too Bigエラーが送信されます。 - 内側のパケット長が tunnel-mtu とトンネルのオーバーヘッドの差よりも大きく、外側のトンネル DF ビットが設定されている場合、パケットは破棄され、
no-icmp-packet-too-bigが設定されている場合、ICMPPacket Too Bigエラーは送信されません
st0 MTU とトンネル MTU の違い
- トンネル MTU は、st0 MTU と異なるレベルにあります。
- st0 MTU はインターフェイス レベル MTU、トンネル MTU 機能はトンネル レベル MTU です。
- MX-SPC3では、PFEはst0 mtuをチェックして、パケットをフラグメント化またはドロップします。したがって、パケットは flowd または IPsec に到達せず、MTU アクションを制御できません。
- VPN トンネル MTU 設定値が st0 MTU 未満です。