Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

プラットフォームとインフラストラクチャ

  • 次世代サービス(MX240、MX480、MX960とMX-SPC3)— Junos OSリリース21.1R1から、リストされているmx-SPC3サービスカードがインストールされたMX シリーズルーター上のIPsec(次世代サービスコンポーネント)がサポートされています。MX-SPC3 MX シリーズで IPsec を設定するには、 [ ] 階層レベルで CLI 設定ステートメント edit security を使用します。MX シリーズ MS-MPC/MS-MIC ライン カードを使用するルーターでは、 [ ] 階層レベルで edit services この機能を設定します。

    メモ:

    MX240、MX480、MX960 MS-MPC/MS-MIC および MX-SPC3 対応ルーターは、次世代サービスに対応しています。このサポートは、Junos OS リリースで19.3R2。

    表 1:MX-SPC3でサポートされる次世代サービス
    機能の 説明
    MX-SPC3 IPsec VPN 機能ライセンス MX-SPC3 サービス カードと一緒に使用しているデバイスMX シリーズ IPsec VPN 機能を使用するには、有効なライセンスが必要です。

    これはバイナリライセンスですコマンド show system license 出力には、ライセンスがインストールされていない場合はライセンス 数が 0、有効なライセンスがインストールされている場合は 1 が表示されます。

    その機能を有効なライセンスで使用できない場合、IPsec VPN トンネルを確立することはできません。ただし、現在アクティブなトンネルは、ライセンスの期限が切れた場合でも、引き続き有効です。有効なライセンスをインストールするまで、ライセンスの有効期限が切れた後にダウンした IPsec VPN トンネルを再確立することはできません。

    「 ライセンス の管理 」を参照してください

    IPsec VPN

    MX-SPC3サービスカードは、セキュリティとルーティングプラットフォーム全体で一貫したIPsec VPN機能を提供します。

    MX-SPC3 用の IPsec は、 [ ] 階層レベル edit security で設定します。

    次世代 サービスの概要を見る

    MX-SPC3 上の AutoVPN 事前共有鍵(PSK)

    VPN ゲートウェイによって使用IKEされる事前共有鍵の異なるポリシーを使用してリモート ピアを認証するには、新しい CLI ステートメントまたは階層レベルで seeded-pre-shared-key ascii-text seeded-pre-shared-key hexadecimal [edit security ike gateway gateway_name] 使用します。VPN ゲートウェイで使用されている事前共有IKEと同じポリシー 共有キーをリモート ピアの認証に許可するには、既存の CLI コマンド pre-shared-key ascii-text または を使用します pre-shared-key hexadecimal

    リモート ピアの認証中に、 階層レベルのステートメントを使用して general-ikeid [edit security ike gateway gateway_name dynamic] 、IKE-ID 検証をバイパスします。

    ハブ アンドスポーク対応デバイスの AutoVPN を参照してください

    IPsec サービス用の既存のアグリゲート マルチサービス(AMS)バンドルに新しいメンバーを追加

    既存の AMS バンドルのトラフィックに影響を与えることなく(IPsec サービス用)AMS バンドルに新しいメンバーを追加するには、非仮想モードで階層の下で ステートメントを設定 no-bundle-flap [edit interfaces interface-name load-balancing-options] HA。設定変更中に、AMS バンドル内の既存のメンバーはフラップされません。

    次世代 サービス向けアグリゲート マルチサービス インターフェイスについて を参照してください

    電力モード IPsec

    MX-SPC3 カードは、VPP(ベクトル パケット処理)と Intel Advanced Encryption Standard New Instructions(AES-NI)を使用して PMI(PowerMode IPsec)をサポートし、IPsec のパフォーマンスを向上させます。PMI 処理は、 コマンドを使用して有効 set security flow power-mode-ipsec にできます。PMI 処理を無効にするには、 コマンドを使用 delete security flow power-mode-ipsec します。

    MX-SPC3 は、単一トンネルのパフォーマンスを向上させる、太いトンネル機能もサポートしています。トンネルの 1 つがトラフィックをロードし、他のトンネルのトラフィックが少ない場合、リソースは fat グループ内で共有されます。その結果、リソースが CPU を使用する状態になります。この機能を有効にするには、 fat-core [ ] 階層レベルで edit security distribution-profile ステートメントを設定します。fatトンネル機能を有効にするには、まずPMI機能を設定する必要があります。

    PowerMode IPsecによる IPsec パフォーマンスの向上 」 、対称 Fat IPsec トンネル、power-mode-ipsec について を参照してください

    CGNAT-XLAT464 でのモビリティのサポート ソースレベルのルール階層レベルで導入し、現在のデュアル変換(464XLAT) clat-ipv6-prefix-length 機能NATアップグレードしました。ソース アドレスと顧客側変換(CLAT)の値が異なる複数の送信元 NAT ルールに、この設定パラメータを使用した単一の NAT ルールを使用できます。この方法により、特定の使用事例の構成方法が簡素化されます。
    複数の地域のタイムゾーンにキャリアグレード NAT [ ] 階層レベルのステートメントを使用して syslog タイムスタンプ(ローカル システム タイムスタンプ) utc-timestamp edit interfaces interface-name services-options をサポートします。
    ネットワーク アドレス変換 - ポート変換(NAT-PT) MX-SPC3 NATで DNS ALG サービスを使用して、NAT-PT をサポートします。

    DNS ALG の設定 」を参照してください

    MPC10E 相互運用性

    MPC10E(MPC10E-15C-MRATE および MPC10E-10C-MRATE)ライン カードは、MX-SPC3 サービス カードと相互運用して、NAT およびステートフル ファイアウォール レイヤー 3 サービスをサポートします。

    MX-SPC3サービスカードでサポートされるプロトコルとアプリケーション

    [次世代サービスの概要を参照してください 。]

  • 認証、許可、アカウンティング —cRPD リリース 21.1R1 から、階層レベルで RADIUS および TACPLUS サーバー上でローカルおよびリモートの許可を設定 [edit system services ssh] できます。以下の機能がサポートされています。

    • ローカル認証とローカル許可

    • TACACS+ 認証、許可、アカウンティング

    • ユーザー テンプレートのサポート

    • 動作コマンドと正規表現をサポート

    • ローカル認証とリモート許可

    [パスワードオプション、tacplus、radius(システム)を参照してください]

  • IS-IS でのSRv6ネットワーク プログラミング — cRPD リリース 21.1R1 から、ルート リフレクタの役割とホスト ルーティングの役割の両方について、コア IPv6 ネットワークで基本的なセグメント ルーティング機能を有効に設定できます。

    階層レベルの IPv6 ネットワークで SRv6 ネットワーク プログラミングを [edit source-packet-routing] 有効にできます。

    メモ:

    エンド sid を設定するために、フレーバー(エンド sid 動作を指定)および柔軟なアルゴリズム オプションはサポートされていません。

    [source-packet-routing ]を参照してください。

  • ECMP ネクストホップ制限の増加 — cRPD リリース 21.1R1 から、階層レベルでマルチパスのネクスト ホップ制限を [edit routing-options maximum-ecmp] 指定できます。これにより、複数のパスでトラフィックのロードバランシングが可能です。デフォルトの ECMP ネクスト ホップ制限は 16 です。

    [Linux 上の ECMP ロード バランシングの routing-options-max-ecmp および Hash Field Selection を参照してください。

  • EVPN Type 5 with VXLAN — cRPDリリース21.1R1から、IPv4とIPv6の両方のプレフィックスアドバタイズメントについて、EVPNタイプ5 Route over VXLANをサポートしています。

    [EVPN-VXLANのカプセル化を使用したEVPN Type-5 VXLAN]

  • SONiCでの複数の KRT チャネルのサポート — SONiC の cRPD では、複数のカーネル ルーティング テーブル(KRT)チャネルをサポートし、ルート テーブル情報を転送テーブル(FIB)にダウンロードできます。サポートされている KRT チャネルは、NetLink ベースのネイティブ Linux カーネル FIB および FpmSyncd ベース SONiC FIB です。

    [SONiC cRPDマルチチャネルK KRTサポート を参照してください]

  • USB(NFX150、NFX250 NextGen、NFX350デバイス)からのファイルの転送 — Junos OS リリース 21.1R1 より、USB パススルー機能を有効にすることで、ファイルを USB から NFX デバイスに転送できます。この機能を有効にするには、 コマンドを使用 set system services usb-pass-through します。組み込みの LTE 機能は、USB パススルー機能を有効にした後は機能しません。

    [NFX150 デバイスでの USBからのファイル転送のサポート 、NFX250 NextGenデバイスでの USB からのファイル転送のサポート 、NFX350デバイスでの USB からのファイル転送のサポートを参照してください。

  • 仮想ポート ピアリング(NFX250 NextGen および NFX350デバイス) — Junos OS リリース 21.1R1 から、仮想ポート ピアリング(VPP)機能を設定して、物理ポートとインターフェイスを仮想ネットワーク機能(VNF)に関連付け、物理インターフェイスが非アクティブになると、対応する仮想インターフェイスも非アクティブになり、物理インターフェイスのステータスが仮想インターフェイスに送信されます。

    VPP 機能は、ネットワーク機能仮想化(NFV)バックプレーンでのみサポートされています。

    [「 NFX350デバイスでのVFS の設定 」と「次世代デバイスでの VFSの設定NFX250する 」を参照してください