차세대 서비스 개요
이 주제는 차세대 서비스에 대한 개요를 제공하며 다음 주제를 포함합니다
5G 유니버설 라우터 서비스 개요
5G 유니버설 라우터는 여러 유형의 서비스 인터페이스를 지원하며, 이는 라우터를 통과할 때 트래픽을 검사, 모니터링 및 조작하기 위한 특정 기능을 제공합니다. 서비스는 적응형 서비스와 차세대 서비스로 분류할 수 있으며, 각 범주는 인라인 서비스 인터페이스와 멀티서비스 인터페이스 옵션을 제공합니다. 표 1 에는 이러한 서비스를 제공하는 카드가 나와 있습니다.
MX-SPC3는 MS 유형 카드를 대체하여 하이엔드 확장성 및 용량과 함께 전반적인 성능을 크게 향상시킵니다.
5G 유니버설 유니버설 라우팅 플랫폼 |
|||||
|---|---|---|---|---|---|
적응형 서비스 |
차세대 서비스 |
||||
MPC
인라인 서비스 |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
인라인 서비스 |
MX-SPC3
|
적응형 서비스는 멀티서비스(MS) PIC 또는 적응형 서비스(AS) PIC를 사용하여 MS-DPC, MS-MPC 및 MS-MIC 카드에서 실행할 수 있습니다.
차세대 서비스는 MPC 카드 및 MX-SPC3 보안 서비스 카드에서 실행할 수 있습니다.
인라인 서비스는 MPC(Modular Port Concentrator)에서 구성됩니다. 인라인 서비스 인터페이스는 패킷 포워딩 엔진에 상주하는 가상 물리적 인터페이스입니다. MPC를 통과하는 트래픽에 대해 고성능 처리를 제공하고 섀시 슬롯 용량과 활용도를 극대화할 수 있도록 해줍니다.
멀티서비스 보안 카드(MS-DPC, MS-MPC, MS-MIC 또는 MX-SPC3)는 개별 MPC를 넘어 섀시를 통과하는 모든 트래픽에 적용할 수 있는 서비스를 제공합니다. 또한 다양한 보안 기능을 대규모로 고성능으로 지원하기 위한 전용 프로세싱도 제공합니다.
적응형 서비스 개요
적응형 서비스는 MPC 및 MS-DPC, MS-MPC 및 MS-MIC 멀티서비스 보안 카드에서 인라인으로 실행됩니다. 적응형 서비스(AS) PIC 및 멀티서비스 PIC를 사용하면 일련의 서비스 및 애플리케이션을 구성하여 동일한 PIC에서 여러 서비스를 수행할 수 있습니다. AS 및 멀티서비스 PIC는 하나 이상의 서비스 집합에서 구성할 수 있는 다양한 서비스를 제공합니다.
주니퍼 네트웍스 5G 유니버설 라우팅 플랫폼에서 MS-DPC는 기본적으로 MS-MPC와 동일한 기능을 제공합니다. 두 플랫폼의 인터페이스는 동일한 방식으로 구성됩니다.
인라인 서비스를 포함한 적응형 서비스에 대한 자세한 내용은 적응형 서비스 개요를 참조하십시오.
인라인 서비스
또한 적응형 서비스는 인라인 서비스 인터페이스를 사용하여 인라인 서비스를 제공합니다. 인라인 서비스 인터페이스는 패킷 포워딩 엔진에 상주하는 가상 인터페이스입니다.
명명 규칙이 아닌 명명 규칙 si-fpc/pic/port 을 사용하여 MPC에서만 인라인 서비스를 구성합니다.ms-fpc/pic/port
차세대 서비스
차세대 서비스는 보안 서비스의 결합된 기능을 제공하여 트래픽이 라우터를 통과할 때 검사, 모니터링 및 조작할 수 있도록 지원합니다. 차세대 서비스는 이 기능을 지원하는 MX240, MX480 및 MX960 라우터의 MPC(Modular Port Concentrator) 및 MX-SPC3 보안 서비스 카드에서 인라인으로 모두 지원됩니다. 인라인 및 MX-SPC3 카드 모두에서 지원되는 차세대 서비스에 대한 요약을 제공하는 표 2를 참조하십시오. 인라인 및 MX-SPC3 기반 서비스를 동시에 사용할 수 있습니다.
MX-SPC3 보안 서비스 카드에서 가상 멀티서비스 명명 규칙 vms-fpc/pic/port을 사용하여 차세대 서비스를 구성합니다.
MX 시리즈 5G 유니버설 라우터에서 지원되는 서비스 요약
표 2 는 차세대 서비스에서 지원되는 서비스에 대한 요약을 제공합니다.
| 차세대 서비스: 인라인(si-) 인터페이스 및 SPC3 |
||||
|---|---|---|---|---|
| 서비스 기능 |
인라인 서비스 |
SPC3 |
||
| Junos OS 릴리스 |
하위 서비스 |
Junos OS 릴리스 |
하위 서비스 |
|
| CGNAT |
19.3R2 |
Basic-NAT44 및 NAT66 정적 대상 NAT Twice-NAT44 기본 제6 소프트와이어 NPTv6 |
19.3R2 |
기본 NAT44 기본 NAT66 동적 NAT44 정적 대상 NAT 기본-NAT-PT NAPT-PT 나PT44 나PT66 포트 블록 할당 Deterministic-nat44 및 nat64 EIM(End Point Independent Mapping)/EIF(End Point Independent Filtering) 영구 NAT – 애플리케이션 풀 페어링(APP) Twice-NAT44 – 기본, 동적 및 NAPT NAT64 XLAT-464 NPTv6 |
| 20.1R1 |
PCP(포트 제어 프로토콜) – v1 및 v2 |
|||
| 20.2R1 |
맵-E |
DS-라이트 NAT46 |
||
| 트래픽 로드 밸런서 |
19.3R2 |
19.3R2 |
||
| SecIntel(ATP 클라우드 IP 위협 피드) |
19.3R2 |
해당 없음 |
||
| 스테이트풀 방화벽 서비스 |
해당 없음 |
19.3R2 |
||
| 침입 탐지 서비스(IDS) |
해당 없음 |
19.3R2 |
||
| DNS 요청 필터링 |
해당 없음 |
19.3R2 |
||
| 어그리게이션 멀티서비스 인터페이스 |
해당 없음 |
19.3R2 |
||
| 섀시 간 고가용성 |
해당 없음 |
19.3R2 |
CGNAT, 스테이트풀 방화벽, IDS |
|
| URL 필터링 |
해당 없음 |
20.1R1 |
||
| 제이플로우 |
20.1R1 |
해당 없음 |
||
| RPM 및 TWAMP |
20.1R1 |
해당 없음 |
||
| 비디오 모니터링 |
20.1R1 |
해당 없음 |
||
| IPsec VPN | 해당 없음 | 21.1R1 | 경로 기반 사이트 2 사이트 VPN 트래픽 선택기 기반 VPN 자동 VPN IPsec을 통한 라우팅 프로토콜(BGP/OSPF) |
|
| 인라인 IPsec | 24.2R1 | 해당 없음 | ||
SPC3 라인 카드의 IPsec 지원에 대한 자세한 내용은 MX-SPC3 서비스 카드에서 IPsec VPN 구성을 참조하십시오.
차세대 서비스 설명서
라우터에 SPC3 서비스 카드가 설치되어 있는 경우 이 기능을 지원하는 MX240, MX480 및 MX960 라우터에서 차세대 서비스를 실행할 수 있습니다. 모든 라우터 문서는 TechLibrary 를 참조하십시오. 차세대 서비스에 대해서는 다음 설명서를 참조하십시오.
차세대 서비스에 대해 알아보고 구성하려면 라우팅 디바이스용 차세대 서비스 인터페이스 사용자 가이드 (이 가이드)를 참조하십시오.
SPC3 카드 설치 또는 교체에 대한 자세한 내용은 MX 시리즈 5G 유니버설 라우팅 플랫폼 인터페이스 모듈 참조 를 참조하십시오.
플로우 및 샘플 트래픽 모니터링 — 트래픽 플로우 모니터링, 패킷 플로우 캡처, 계정 또는 폐기를 위한 트래픽 샘플링, 외부 디바이스로의 포트 미러링 및 실시간 성능 모니터링을 구성하는 방법에 대해 설명하는 모니터링 , 샘플링 및 수집 서비스 인터페이스 기능 가이드를 참조하십시오.
차세대 서비스 지원
차세대 서비스를 실행하려면 라우터에서 활성화해야 합니다. 이를 통해 운영 체제가 차세대 서비스를 위한 자체 운영 체제(OS)를 실행할 수 있습니다.
레거시 서비스 카드에서 SPC3로 서비스를 마이그레이션하는 경우 취해야 할 특정 단계가 있습니다. 차세대 서비스 CLI는 이러한 레거시 서비스와 다릅니다. 자세한 내용은 적응형 서비스와 차세대 서비스 간의 구성 차이점을 참조하십시오.
다른 서비스 카드와의 호환성
SPC3 서비스 카드는 표 3에 설명된 대로 스위치 패브릭, 라우팅 엔진 및 MS-MPC 라인 카드와 엔드 투 엔드로 호환됩니다.
스위치 패브릭 |
경로 엔진 |
MPC 라인 카드 |
|---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E 및 MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E 및 MPC3E-3D-NG MPC4E-3D MPC5E 및 MPC5EQ MPC7E 및 MPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E 및 MPC5EQ MPC7E 및 MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
SPC3 서비스 카드 구성
SPC3 서비스 카드의 인터페이스를 가상 멀티 서비스(vms) PIC라고 합니다. SPC3 인터페이스를 구성할 때 다음과 같이 인터페이스를 인터페이스로 vms- 지정합니다.
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
CLI의 차이점 외에도, 멀티서비스(MS) 유형(MS-DPC, MS-MPC 및 MS-MIC) 카드와 SPC3 서비스 카드 간의 기본 하드웨어 차이를 알고 있어야 합니다. MS 유형 카드에는 4개의 CPU 콤플렉스가 포함되어 있는 반면 SPC3 카드는 더 강력하지만 2개의 CPU 콤플렉스를 포함합니다. 각 CPU 컴플렉스는 단일 PIC를 서비스하며, 이는 MS 유형 카드가 4개의 PIC를 지원하는 반면 SPC3는 2개의 PIC를 지원한다는 것을 의미합니다. MS 유형 카드는 특수 멀티서비스(MS) 및 적응형 서비스(AS) PIC를 사용하는 반면, SPC3 카드의 PIC는 통합됩니다.
PIC의 수는 인터페이스의 수에 직접적인 영향을 미치기 때문에, SPC3의 각 인터페이스에 논리적 유닛을 추가하여 인터페이스 수를 4개로 늘려야 할 수도 있습니다. 예를 들어, 현재 MS 유형 카드에서 4개의 인터페이스를 모두 사용하고 있고 인터페이스당 서비스 세트가 있는 경우, SPC3에서 인터페이스당 2개의 논리 장치를 생성하여 총 인터페이스 수를 4개로 만든 다음 4개의 서비스 세트를 이 4개의 논리 인터페이스에 다시 연결할 수 있습니다.
트래픽에 서비스를 적용하는 방법
차세대 서비스를 구성할 때 다음 방법 중 하나로 해당 서비스를 적용할 수 있습니다.
라우터의 특정 인터페이스를 통해 흐르는 트래픽에 구성된 서비스를 적용합니다.
구성된 서비스를 특정 다음 홉으로 향하는 트래픽에 적용합니다.
SPC3 서비스 카드에서 IPsec VPN 구성
SPC3 서비스 카드에서 IPsec을 구성하려면 표 4와 같이 [edit services]의 IPsec CLI 구성이 [edit security] 계층 수준의 CLI 구성으로 대체됨에 따라 [edit security] 계층 수준에서 CLI 구성 문을 사용합니다
| 현재 MX 구성 | 과 동등한 MX-SPC3 구성 |
|---|---|
| 서비스 ipsec-vpn traceoptions 설정 | 보안 IKE(Internet Key Exchange) 추적 옵션 설정 |
| 서비스 ipsec-vpn ike 제안 설정 | 보안 IKE(Internet Key Exchange) 제안 설정 |
| 서비스 ipsec-vpn ike 정책 설정 | 보안 IKE(Internet Key Exchange) 정책 설정 |
| 서비스 ipsec-vpn ike 정책 policy-name 설정 respond-bad-spi | 보안 IKE respond-bad-spi 설정 |
| 서비스 ipsec-vpn ipsec 제안 설정 | 보안 IPsec 제안 설정 |
| 서비스 ipsec-vpn ipsec 정책 설정 | 보안 IPsec 정책 설정 |
| [소스 주소| 대상 주소]에서 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 설정 | 보안 설정 ipsec vpn vpn-name traffic-selector selector-name [local-ip | remote-ip] |
| ipsec-inside-interface에서 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 설정 | 보안 ipsec vpn vpn-name bind-interface 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 remote-gateway 설정합니다. | 보안 IKE(Internet Key Exchange) 게이트웨이 gw-name 주소 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 backup-remote-gateway 설정합니다 | 보안 IKE(Internet Key Exchange) 게이트웨이 gw-name 주소 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 dead-peer-detection | 보안 IKE(Internet Key Exchange) 게이트웨이 gw-name dead-peer-detection 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 동적 ike-policy 설정합니다 | 보안 IKE(Internet Key Exchange) 게이트웨이 gw-nameike-policy 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 동적 ipsec-policy를 설정합니다 | 보안 ipsec vpn vpn-name ike ipsec-policy 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 수동 설정 | 보안 설정 ipsec vpn vpn-name 수동 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 clear-don't-fragment-bit | 보안 ipsec vpn vpn-name df비트 clear 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 copy-don't-fragment-bit | 보안 설정 ipsec vpn vpn-name df-bit 복사 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 set-don't-fragment-bit | 보안 설정 ipsec vpn vpn-name df-bit 복사 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 터널-MTU를 설정합니다. | 보안 설정 IPSec VPN vpn-name 터널-MTU |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 를 설정한 다음 no-anti-replay | 보안 설정 ipsec vpn vpn-name ike no-anti-replay |
| 서비스 ipsec-vpn 규칙 rule-name match-direction 설정 | 보안 ipsec vpn vpn-namematch-direction 설정 |
| 서비스 설정 ipsec-vpn establish-tunnels | 보안 설정 ipsec vpn vpn-nameestablish-tunnels |
| 서비스 설정 서비스 설정 svc-set-name ipsec-vpn-options local-gateway address | 보안 설정 ipsec vpn vpn-nameike 게이트웨이 gateway-name |
| 서비스 설정 svc-set-name ipsec-vpn-options clear-don't-fragment-bit | 전역 서비스 집합 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 설정 svc-set-name ipsec-vpn-options copy-don't-fragment-bit | 전역 서비스 집합 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 설정 svc-set-name ipsec-vpn-options set-don't-fragment-bit | 전역 서비스 집합 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 서비스 설정 svc-set-name ipsec-vpn-options udp-캡슐화 설정 | 보안 설정 ipsec vpn vpn-nameudp-encapsulate |
| 서비스 설정 ipsec-vpn-options svc-set-name no-anti-replay | 전역 서비스 집합 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| set services service-set svc-set-name ipsec-vpn-options passive-mode-tunneling | 보안 ipsec vpn vpn-name passive-mode-tunneling 설정 |
| 서비스 설정 서비스 설정 svc-set-name ipsec-vpn-옵션 터널-MTU | 전역 서비스 집합 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 설정 서비스 세트 svc-set-name ipsec-vpn-rules | 서비스 설정 서비스 세트 svc-set-name ipsec-vpn-rules |
| 서비스 ipsec-vpn 규칙<rule-name> 용어<term-name>를 설정한 다음, 터널-MTU를 설정합니다. | 보안 설정 ipsec vpn <vpn-name> 터널-MTU |
터널 최대 전송 단위(MTU) 이해하기
st0의 최대 전송 단위(MTU)는 인터페이스 수준에 있습니다. 터널 최대 전송 단위(MTU) 기능을 통해 터널 수준 최대 전송 단위(MTU)를 달성합니다. 터널 최대 전송 단위(MTU) 기능을 사용하면 VPN 개체 수준에서 최대 전송 단위(MTU)를 구성할 수 있습니다. 터널 최대 전송 단위(MTU)를 구성하여 터널 최대 전송 단위(MTU)를 제어할 수 있지만, st0 MTU 또는 IFL MTU가 구성되지 않은 경우 MTU 동작에 영향을 줍니다. IPv6 트래픽에 대해 구성할 수 있는 최소 터널 최대 전송 단위(MTU)는 1390입니다.
터널 최대 전송 단위(MTU) 기능은 PMI(전원 모드 IPSec)에서 지원되지 않습니다. 터널-mtu 구성은 트래픽 선택기 수준이 아닌 VPN 계층에 있으므로 터널-mtu 구성은 해당 VPN에 속한 모든 터널(모든 TS)에 적용됩니다. 터널 최대 전송 단위(MTU) 구성 변경은 치명적인 변경(기존 터널 삭제)으로 간주됩니다. no-icmp-packet-too-big의 구성 변경은 치명적인 것으로 간주되지 않습니다.
사전 단편화는 최소 터널 터널 최대 전송 단위(MTU) 구성의 IPsec 터널 오버헤드 또는 IFL MTU 외부의 AMS를 고려하여 수행됩니다. 사후 단편화는 외부 인터페이스에서 MTU를 설정해야 하며 해당 IPsec 카운터는 송신 트래픽에 대해 증가하지 않습니다. 사후 단편화는 MX-SPC3 카드가 아닌 IOC에 의해 수행됩니다. MX-SPC3에서 inet 및 inet6 제품군의 기본 st0 MTU는 9192이며, VPN 계층에서 터널-MTU 구성에 대한 기본값은 없습니다. IPv6 패킷은 소스 호스트에서 단편화되고 중간 라우터에서는 단편화되지 않으므로 사전 단편화는 IPv6 패킷에 적용되지 않습니다.
IPv4 패킷의 경우 사전 단편화, 사후 단편화 및 ICMP Fragmentation needed and DF set 오류가 다음과 같은 경우에 발생합니다.
- 내부 패킷 길이가 터널-MTU와 터널 오버헤드의 차이보다 작으면 단편화가 발생하지 않습니다.
- 내부 패킷 길이가 터널-MTU 및 터널 오버헤드의 차이보다 크고 내부 패킷 DF 비트가 설정되지 않은 경우 사전 단편화가 발생합니다.
- 내부 패킷 길이가 터널-MTU와 터널 오버헤드의 차이보다 크고 외부 터널 DF 비트가 설정되지 않은 경우 캡슐화 및 사후 단편화가 발생합니다.
- 내부 패킷 길이가 터널-MTU와 터널 오버헤드의 차이보다 크고 내부 패킷 DF 비트와 외부 터널 DF 비트가 모두 설정된 경우 패킷이 삭제되고 ICMP
Fragmentation Needed and DF Set오류가 다시 전송됩니다.
IPv6 패킷의 경우 사전 단편화, 사후 단편화 및 ICMP Packet Too Big 오류가 다음과 같은 경우에 발생합니다.
- 내부 패킷 길이가 터널-MTU와 터널 오버헤드의 차이보다 작으면 단편화가 발생하지 않습니다.
- 내부 패킷 길이가 터널-MTU와 터널 오버헤드의 차이보다 크고 외부 터널 DF 비트가 설정되지 않은 경우 캡슐화 및 사후 단편화가 발생합니다.
- 내부 패킷 길이가 터널-MTU와 터널 오버헤드의 차이보다 크고 외부 터널 DF 비트가 설정된 경우 패킷이 삭제되고
no-icmp-packet-too-big설정되지 않으면 ICMPPacket Too Big오류가 전송됩니다. - 내부 패킷 길이가 터널-MTU와 터널 오버헤드의 차이보다 크고 외부 터널 DF 비트가 설정된 경우 패킷이 삭제되고 설정된 경우
no-icmp-packet-too-bigICMPPacket Too Big오류가 전송되지 않습니다
st0 MTU와 터널 MTU의 차이점
- 터널 최대 전송 단위(MTU)는 st0 MTU와 다른 수준입니다.
- st0 MTU는 인터페이스 수준 MTU이고 터널-MTU 기능은 터널 수준 MTU를 달성합니다.
- MX-SPC3에서 PFE는 패킷을 단편화하거나 삭제하기 위해 st0 mtu를 확인합니다. 따라서 패킷은 flowd 또는 IPsec에 도달하지 않으며 MTU 작업을 제어할 수 없습니다.
- VPN 터널-MTU 구성 값이 st0 MTU보다 작습니다.