Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

プラットフォームとインフラストラクチャ

  • 次世代サービス(MX240、MX480、MX960 と MX-SPC3)—Junos OS リリース 21.1R1 以降、MX-SPC3 サービス カードがインストールされたリストに記載されている MX シリーズ ルーターの IPsec(次世代サービス コンポーネント)をサポートしています。MX-SPC3 を使用して MX シリーズ ルーターで IPsec を設定するには、[] 階層レベルで CLI 設定ステートメントをedit security使用します。MS-MPC/MS-MIC ライン カードを備えた MX シリーズ ルーターでは、この機能を [edit services] 階層レベルで設定します。

    手記:

    MX240、MX480、MX960ルーター(MS-MPC/MS-MICおよびMX-SPC3を備えたルーター)は、次世代サービスをサポートしています。このサポートは、Junos OS リリース 19.3R2 で導入されました。
    表 1:MX-SPC3 でサポートされる次世代サービス
    機能の 説明
    MX-SPC3 IPsec VPN機能ライセンス MX-SPC3 サービス カードを使用して MX シリーズ デバイスで IPsec VPN 機能を使用するには、有効なライセンスが必要です。

    これはバイナリ ライセンスです。コマンド出力には show system license 、ライセンスがインストールされていない場合は0、有効なライセンスがインストールされている場合は1としてライセンス数が表示されます。

    この機能を使用するための有効なライセンスがない場合、IPsec VPN トンネルを確立できません。ただし、現在アクティブなトンネルは、ライセンスが期限切れになった場合でも稼働し続けます。有効なライセンスをインストールするまで、ライセンスの期限切れ後にダウンする IPsec VPN トンネルを再確立することはできません。

    「ライセンスの管理」を参照してください。
    IPsec VPN

    MX-SPC3サービスカードは、セキュリティおよびルーティングプラットフォーム全体で一貫したIPsec VPN機能を提供します。

    MX-SPC3 の IPsec は、[edit security] 階層レベルで設定します。

    次世代サービスの概要を見る
    MX-SPC3 の AutoVPN 事前共有キー(PSK)

    VPN ゲートウェイがリモート ピアの認証に使用するさまざまな IKE 事前共有キーを許可するには、新しい CLI ステートメント seeded-pre-shared-key ascii-text を使用するか seeded-pre-shared-key hexadecimal[edit security ike gateway gateway_name] 階層レベルで使用します。VPN ゲートウェイがリモート ピアの認証に使用したのと同じ IKE 事前共有キーを許可するには、既存の CLI コマンド pre-shared-key ascii-text または pre-shared-key hexadecimal.

    リモート ピアの認証中に、階層レベルの general-ikeid ステートメントを [edit security ike gateway gateway_name dynamic] 使用して IKE-ID 検証をバイパスします。

    「ハブアンドスポークデバイスの AutoVPN」を参照してください。
    IPsec サービス用の既存のアグリゲート マルチサービス(AMS)バンドルに新しいメンバーを追加する

    既存の AMS バンドル上のトラフィックに影響を与えることなく AMS バンドル(IPsec サービス用)に新しいメンバーを追加するには、非 HA モードで階層の下でステートメントを[edit interfaces interface-name load-balancing-options]設定no-bundle-flapします。設定変更中、AMS バンドル内の既存のメンバーはフラップしません。

    次世代サービスのアグリゲート マルチサービス インターフェイスについて」を参照してください。
    PowerMode IPsec

    MX-SPC3 カードは、VPP(ベクトル パケット処理)と Intel Advanced Encryption Standard New Instructions(AES-NI)を備えた PowerMode IPsec(PMI)をサポートしており、IPsec パフォーマンスが向上します。PMI 処理を有効にするには、コマンドを set security flow power-mode-ipsec 使用します。PMI 処理を無効にするには、コマンドを delete security flow power-mode-ipsec 使用します。

    MX-SPC3 は、単一トンネルのパフォーマンスを向上させるファット トンネル機能もサポートしています。いずれかのトンネルにトラフィックがロードされ、他のトンネルのトラフィックが少ない場合、リソースは fat グループ内で共有されます。その結果、リソースの CPU 使用率が均等になります。この機能を有効にするには、[] 階層レベルでステートメントをedit security distribution-profile設定fat-coreします。ファット トンネル機能を有効にするには、まず PMI 機能を設定する必要があります。

    『PowerMode IPsec による IPsec パフォーマンスの向上』、『対称的な太い IPsec トンネルについて』、および『power-mode-ipsec』を参照してください。
    CGNAT–XLAT464 におけるモビリティーのサポート ソースNATルール階層レベルで導入することで、現在のデュアル変換(464XLAT)機能を clat-ipv6-prefix-length アップグレードしました。複数のソース NAT ルールの代わりに、この設定パラメータを使用して 1 つの NAT ルールを使用できます。ソース アドレスと CLAT(Customer-Side Translator)プレフィックス値が異なります。これにより、特定のユースケースシナリオの設定方法が簡素化されます。
    キャリアグレード NAT のタイム ゾーンをサポート [edit interfaces interface-name services-options] 階層レベルのステートメントを使用した utc-timestamp syslog タイムスタンプ(ローカル システム タイムスタンプ)のサポート。
    ネットワーク アドレス変換 - ポート変換(NAT-PT) MX-SPC3サービスカード上のDNS ALGサービスでNAT-PTをサポートしています。

    「DNS ALG の設定」を参照してください。
    MPC10E 相互運用性

    MPC10E(MPC10E-15C-MRATEおよびMPC10E-10C-MRATE)ラインカードは、MX-SPC3サービスカードと相互運用して、NATおよびステートフルファイアウォールレイヤー3サービスをサポートします。

    MX-SPC3サービスカードでサポートされているプロトコルとアプリケーションを参照してください

    [ 次世代サービスの概要を参照してください。