차세대 서비스 개요
이 주제는 차세대 서비스에 대한 개요를 제공하며 다음 주제를 포함합니다
MX 시리즈 5G 유니버설 라우터 서비스 개요
MX 시리즈 5G 유니버설 라우터는 여러 유형의 서비스 인터페이스를 지원하며, 이러한 인터페이스는 MX 시리즈 라우터를 통과할 때 트래픽을 검사, 모니터링, 조작하기 위한 특정 기능을 제공합니다. 서비스는 적응형 서비스와 차세대 서비스로 분류할 수 있으며, 각 범주는 인라인 서비스 인터페이스 및 멀티서비스 인터페이스 옵션을 제공합니다. 표 1 에는 이러한 서비스를 제공하는 카드가 나와 있습니다.
MX-SPC3는 MS 유형 카드를 대체하여 고급 규모 및 용량과 함께 전반적인 성능을 크게 향상시킵니다.
MX 시리즈 5G 유니버설 라우팅 플랫폼 |
|||||
|---|---|---|---|---|---|
적응형 서비스 |
차세대 서비스 |
||||
증권 시세 표시기
인라인 서비스 |
MS-DPC (영문)
|
MS-MPC (영어)
|
MS-MIC
|
증권 시세 표시기
인라인 서비스 |
MX-SPC3 시리즈
|
멀티서비스(MS) PIC 또는 어댑티브 서비스(AS) PIC를 사용하여 MS-DPC, MS-MPC 및 MS-MIC 카드에서 적응형 서비스를 실행할 수 있습니다.
차세대 서비스는 MPC 카드 및 MX-SPC3 보안 서비스 카드에서 실행할 수 있습니다.
인라인 서비스는 MX 시리즈 MPC(Modular Port Concentrator)에서 구성됩니다. 인라인 서비스 인터페이스는 패킷 포워딩 엔진에 상주하는 가상의 물리적 인터페이스입니다. MPC를 통과하는 트래픽에 대해 고성능 처리를 제공하며 섀시 슬롯 용량 및 활용도를 극대화할 수 있습니다.
멀티서비스 보안 카드(MS-DPC, MS-MPC, MS-MIC 또는 MX-SPC3)는 개별 MPC를 넘어 MX 섀시를 통과하는 모든 트래픽에 적용할 수 있는 서비스를 제공합니다. 또한 다양한 보안 기능을 대규모로 고성능으로 지원하는 전용 프로세싱 기능도 제공합니다.
Adaptive Services 개요
적응형 서비스는 MPC와 MS-DPC, MS-MPC 및 MS-MIC 멀티서비스 보안 카드에서 인라인으로 실행됩니다. 어댑티브 서비스(AS) PIC 및 멀티서비스 PIC를 사용하면 서비스 및 애플리케이션 집합을 구성하여 동일한 PIC에서 여러 서비스를 수행할 수 있습니다. AS 및 멀티서비스 PIC는 하나 이상의 서비스 집합에서 구성할 수 있는 다양한 서비스를 제공합니다.
주니퍼 네트웍스 MX 시리즈 5G 유니버설 라우팅 플랫폼에서 MS-DPC는 MS-MPC와 기본적으로 동일한 기능을 제공합니다. 두 플랫폼의 인터페이스는 동일한 방식으로 구성됩니다.
인라인 서비스를 포함한 Adaptive Services에 대한 자세한 내용은 Adaptive Services 개요를 참조하십시오.
인라인 서비스
또한 Adaptive Services는 인라인 서비스 인터페이스를 사용하여 인라인 서비스를 제공합니다. 인라인 서비스 인터페이스는 패킷 포워딩 엔진에 상주하는 가상 인터페이스입니다.
MPC에서만 인라인 서비스는 명명 규칙이 아닌 ms-fpc/pic/port 명명 규칙을 si-fpc/pic/port 사용하여 구성합니다.
차세대 서비스
차세대 서비스는 MX 및 SRX 보안 서비스의 결합된 기능을 제공하여 MX 시리즈 라우터를 통과하는 트래픽을 검사, 모니터링, 조작할 수 있도록 지원합니다. 차세대 서비스는 MX240, MX480 및 MX960 라우터의 MX-SPC3 보안 서비스 카드와 MPC(Modular Port Concentrator)에서 인라인으로 지원됩니다. 인라인 및 MX-SPC3 카드에서 지원되는 차세대 서비스에 대한 요약을 제공하는 표 2를 참조하십시오. 인라인 및 MX-SPC3 기반 서비스를 동시에 사용할 수 있습니다.
가상 멀티서비스 명명 규칙을 vms-fpc/pic/port사용하여 MX-SPC3 보안 서비스 카드에서 차세대 서비스를 구성합니다.
MX 시리즈 5G 유니버설 라우터에서 지원되는 서비스 요약
표 2 는 차세대 서비스에서 지원되는 서비스에 대한 요약을 제공합니다.
| 차세대 서비스: 인라인(si-) 인터페이스 및 MX-SPC3 |
||||
|---|---|---|---|---|
| 서비스 기능 |
인라인 서비스 |
MX-SPC3 시리즈 |
||
| Junos OS 릴리스 |
서브 서비스 |
Junos OS 릴리스 |
서브 서비스 |
|
| 씨지나트 |
19.3R2 시리즈 |
Basic-NAT44 및 NAT66 정적 대상 NAT Twice-NAT44 기본 6rd 소프트와이어 NPTv6 시리즈 |
19.3R2 시리즈 |
기본-NAT44 기본-NAT66 다이나믹-NAT44 정적 대상 NAT 기본-NAT-PT NAPT-PT NAPT44 (영어) NAPT66 시리즈 포트 블록 할당 결정론적 nat44 및 nat64 EIM(End Point Independent Mapping)/EIF(End Point Independent Filtering) 영구 NAT – APP(Application Pool Pairing) Twice-NAT44 – 기본, 동적 및 NAPT NAT64 (영어) XLAT-464 NPTv6 시리즈 |
| 20.1R1 시리즈 |
PCP(Port Control Protocol) – v1 및 v2 |
|||
| 20.2R1 시리즈 |
지도-E |
DS-라이트 나트46 |
||
| Traffic Load Balancer |
19.3R2 시리즈 |
19.3R2 시리즈 |
||
| SecIntel(ATP 클라우드 IP 위협 피드) |
19.3R2 시리즈 |
해당 사항 없음 |
||
| 스테이트풀 방화벽 서비스 |
해당 사항 없음 |
19.3R2 시리즈 |
||
| 침입 탐지 서비스(IDS) |
해당 사항 없음 |
19.3R2 시리즈 |
||
| DNS 요청 필터링 |
해당 사항 없음 |
19.3R2 시리즈 |
||
| 어그리게이션 멀티서비스 인터페이스 |
해당 사항 없음 |
19.3R2 시리즈 |
||
| 섀시 간 고가용성 |
해당 사항 없음 |
19.3R2 시리즈 |
CGNAT, 스테이트풀 방화벽, IDS |
|
| URL 필터링 |
해당 사항 없음 |
20.1R1 시리즈 |
||
| 제이플로 |
20.1R1 시리즈 |
해당 사항 없음 |
||
| RPM 및 TWAMP |
20.1R1 시리즈 |
해당 사항 없음 |
||
| 비디오 모니터링 |
20.1R1 시리즈 |
해당 사항 없음 |
||
| IPSec VPN | 해당 사항 없음 | 21.1R1 시리즈 | 경로 기반 사이트 2 사이트 VPN 트래픽 선택기 기반 VPN 자동 VPN IPsec을 통한 라우팅 프로토콜(BGP/OSPF) |
|
| 인라인 IPsec | 24.2R1 시리즈 | 해당 사항 없음 | ||
SPC3 라인 카드의 IPsec 지원에 대한 자세한 내용은 MX-SPC3 서비스 카드에서 IPsec VPN 구성을 참조하십시오.
차세대 서비스 문서
라우터에 MX-SPC3 서비스 카드가 설치되어 있으면 MX240, MX480 및 MX960에서 차세대 서비스를 실행할 수 있습니다. 모든 MX 라우터 설명서는 TechLibrary 를 참조하십시오. 차세대 서비스의 경우 다음 설명서를 참조하세요.
차세대 서비스에 대해 알아보고 구성하려면 라우팅 디바이스용 차세대 서비스 인터페이스 사용자 가이드 (본 가이드)를 참조하십시오.
MX-SPC3 카드 설치 또는 교체에 대한 자세한 내용은 MX 시리즈 5G 유니버설 라우팅 플랫폼 인터페이스 모듈 참조를 참조하십시오.
플로우 및 샘플 트래픽 모니터링 - 트래픽 플로우 모니터링, 패킷 플로우 캡처, 어카운팅 또는 폐기를 위한 트래픽 샘플링, 외부 디바이스로의 포트 미러링 및 실시간 성능 모니터링 구성 방법을 설명하는 모니터링, 샘플링 및 수집 서비스 인터페이스 기능 가이드를 참조하십시오.
차세대 서비스 지원
차세대 서비스를 실행하려면 MX 시리즈 라우터에서 활성화해야 합니다. 이를 통해 운영 체제는 차세대 서비스를 위한 자체 운영 체제(OS)를 실행할 수 있습니다.
레거시 서비스 카드에서 MX-SPC3로 서비스를 마이그레이션하는 경우 수행해야 할 특정 단계가 있습니다. 차세대 서비스 CLI는 이러한 레거시 서비스와 다릅니다. 자세한 내용은 MX-SPC3에서 적응형 서비스와 차세대 서비스 간의 구성 차이점을 참조하십시오.
다른 서비스 카드와의 호환성
MX-SPC3 서비스 카드는 표 3에 설명된 대로 MX 시리즈 스위치 패브릭, 라우팅 엔진 및 MS-MPC 라인 카드와 완벽하게 호환됩니다.
스위치 패브릭 |
경로 엔진 |
MPC 라인 카드 |
|---|---|---|
증권 시세 표시기 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB〈블랙〉 RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E 및 MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB〈블랙〉 RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E 및 MPC3E-3D-NG MPC4E-3D MPC5E 및 MPC5EQ MPC7E 및 MPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB〈블랙〉 RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E 및 MPC5EQ MPC7E 및 MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
MX-SPC3 서비스 카드 구성
MX-SPC3 서비스 카드의 인터페이스는 가상 다중 서비스(vms) PIC라고 합니다. MX-SPC3 인터페이스를 구성할 때 다음과 같이 인터페이스를 인터페이스로 vms- 지정합니다.
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
CLI의 차이 외에도 멀티서비스(MS) 유형(MS-DPC, MS-MPC 및 MS-MIC) 카드와 MX-SPC3 서비스 카드 간의 기본 하드웨어 차이를 알고 있어야 합니다. MS 유형 카드에는 4개의 CPU 컴플렉스가 포함되어 있는 반면 MX-SPC3 카드에는 더 강력하지만 2개의 CPU 컴플렉스가 포함되어 있습니다. 각 CPU 콤플렉스는 단일 PIC를 서비스합니다. 즉, MS 유형 카드는 4개의 PIC를 지원하는 반면 MX-SPC3은 2개의 PIC를 지원합니다. MS 유형 카드는 특수 멀티서비스(MS) 및 적응형 서비스(AS) PIC를 사용하는 반면, MX-SPC3 카드의 PIC는 통합됩니다.
PIC의 수는 인터페이스 수에 직접적인 영향을 미치기 때문에 MX-SPC3의 각 인터페이스에 논리 유닛을 추가하여 인터페이스 수를 4개로 늘려야 할 수도 있습니다. 예를 들어, 현재 MS 유형 카드에서 4개의 인터페이스를 모두 사용하고 인터페이스당 서비스 세트가 있는 경우, MX-SPC3에서 인터페이스당 2개의 논리 장치를 생성하여 총 인터페이스 수를 4개로 만든 다음 4개의 서비스 세트를 이 4개의 논리 인터페이스에 다시 연결할 수 있습니다.
트래픽에 서비스를 적용하는 방법
차세대 서비스를 구성할 때 다음 방법 중 하나를 사용하여 해당 서비스를 적용할 수 있습니다.
MX 라우터의 특정 인터페이스를 통해 흐르는 트래픽에 구성된 서비스를 적용합니다.
특정 다음 홉을 목적지로 하는 트래픽에 구성된 서비스를 적용합니다.
MX-SPC3 서비스 카드에서 IPsec VPN 구성
MX-SPC3 서비스 카드에서 IPsec을 구성하려면 표 4에 표시된 대로 [edit services]의 IPsec CLI 구성이 [edit security] 계층 수준의 CLI 구성으로 대체되므로 [edit security] 계층 수준에서 CLI 구성 문을 사용합니다
| 현재 MX 구성 | 과 동등한 MX-SPC3 구성 |
|---|---|
| set services ipsec-vpn traceoptions | 보안 ike 추적 옵션 설정 |
| set services ipsec-vpn ike 제안 | 보안 IKE(Internet Key Exchange) 제안 설정 |
| 서비스 ipsec-vpn ike 정책 설정 | 보안 IKE(Internet Key Exchange) 정책 설정 |
| 서비스 ipsec-vpn ike 정책 policy-name 응답 설정 나쁜 SPI | 보안 ike 응답 - 나쁜 SPI 설정 |
| set services ipsec-vpn ipsec 제안 | 보안 ipsec 제안 설정 |
| set services ipsec-vpn ipsec 정책 | 보안 IPsec 정책 설정 |
| [source-address| destination-address]에서 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 설정 | 보안 ipsec vpn vpn-name 트래픽 선택기 selector-name 설정 [local-ip | remote-ip] |
| ipsec-inside-interface에서 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 설정 | 보안 ipsec vpn vpn-name 바인딩 인터페이스 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어를 term-name 설정한 다음 remote-gateway를 설정합니다. | 보안 IKE(Internet Key Exchange) 게이트웨이 gw-name 주소 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어를 term-name 설정한 다음 backup-remote-gateway를 설정합니다. | 보안 IKE(Internet Key Exchange) 게이트웨이 gw-name 주소 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 설정 다음 dead-peer-detection | 보안 IKE(Internet Key Exchange) 게이트웨이 gw-name dead-peer-detection 설정 |
| set services ipsec-vpn rule rule-name term term-name , then dynamic ike-policy | 보안 IKE(Internet Key Exchange) 게이트웨이 gw-nameike-policy 설정 |
| services ipsec-vpn rule rule-name term term-name 을 설정한 다음 동적 ipsec-policy를 설정합니다. | 보안 ipsec vpn vpn-name ike ipsec-policy 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어 term-name 설정 후 수동 설정 | 보안 설정 IPSec VPN vpn-name 수동 설정 |
| 서비스 ipsec-vpn 규칙 rule-name 용어를 term-name 설정한 다음 clear-don't-fragment-bit | 보안 ipsec vpn vpn-name df-bit clear 설정 |
| set services ipsec-vpn rule rule-name term term-name 을 누른 다음 copy-don't-fragment-bit | 보안 ipsec vpn vpn-name df-bit 복사 설정 |
| set services ipsec-vpn rule rule-name term term-name then set-don't-fragment-bit | 보안 ipsec vpn vpn-name df-bit 복사 설정 |
| services ipsec-vpn rule rule-name term term-name 을 설정한 다음 tunnel-mtu를 설정합니다. | 보안 ipsec vpn vpn-name tunnel-mtu 설정 |
| services ipsec-vpn rule rule-name term term-name 을 설정한 다음 no-anti-replay 설정합니다 | 보안 ipsec vpn vpn-name ike no-anti-replay 설정 |
| set services ipsec-vpn 규칙 rule-name 일치 방향 | 보안 ipsec vpn vpn-name일치 방향 설정 |
| set services ipsec-vpn establish-tunnels | 보안 ipsec vpn vpn-nameestablish-tunnels 설정 |
| 서비스 설정 서비스 설정 svc-set-name ipsec-vpn-옵션 로컬 게이트웨이 address | 보안 설정 ipsec vpn vpn-nameIKE 게이트웨이 gateway-name |
| 서비스 설정 서비스 설정 svc-set-name ipsec-vpn 옵션 지우기 조각 비트 설정 | 글로벌 서비스 세트 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 서비스 설정 svc-set-name ipsec-vpn-options copy-dont-fragment-bit 설정 | 글로벌 서비스 세트 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 설정 서비스 설정 svc-set-name ipsec-vpn-옵션 set-dont-fragment-bit 설정 | 글로벌 서비스 세트 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 설정 서비스 설정 svc-set-name ipsec-vpn 옵션 udp-캡슐화 | 보안 ipsec vpn vpn-nameudp-encapsulate 설정 |
| 서비스 설정 서비스 설정 svc-set-name ipsec-vpn 옵션 no-anti-replay | 글로벌 서비스 세트 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 설정 서비스 설정 svc-set-name ipsec-vpn 옵션 패시브 모드 터널링 | 보안 ipsec vpn vpn-name passive-mode-tunneling 설정 |
| 서비스 서비스 설정 svc-set-name ipsec-vpn-options 터널 최대 전송 단위(MTU) | 글로벌 서비스 세트 설정이 없습니다. VPN 개체별로 구성해야 합니다. |
| 서비스 서비스 설정 svc-set-name ipsec-vpn-rules 설정 | 서비스 서비스 설정 svc-set-name ipsec-vpn-rules 설정 |
| set services ipsec-vpn rule <rule-name> term <term-name> 다음 tunnel-mtu | 보안 ipsec vpn<vpn-name> tunnel-mtu 설정 |
터널 최대 전송 단위(MTU) 이해하기
st0에 대한 MTU는 인터페이스 수준에 있습니다. tunnel-MTU 기능을 사용하면 터널 레벨 MTU를 달성할 수 있습니다. Tunnel-MTU 기능을 사용하면 VPN 개체 수준에서 MTU를 구성할 수 있습니다. 터널 최대 전송 단위(MTU)를 구성하여 터널 최대 전송 단위(MTU)를 제어할 수 있으며, st0 최대 전송 단위(MTU) 또는 IFL 최대 전송 단위(MTU)가 구성되지 않은 경우 MTU 동작에 영향을 미칩니다. IPv6 트래픽에 대해 구성할 수 있는 최소 터널 MTU는 1390입니다.
터널 MTU 기능은 PMI(전원 모드 IPSec)에서 지원되지 않습니다. 터널-mtu 구성은 트래픽 선택기 수준이 아닌 VPN 계층에 있으므로 터널-mtu 구성은 해당 VPN에 속한 모든 터널(모든 TS)에 적용됩니다. 터널 최대 전송 단위(MTU) 구성 변경은 치명적인 변경(기존 터널 삭제)으로 간주됩니다. no-icmp-packet-too-big의 구성 변경은 치명적인 것으로 간주되지 않습니다.
사전 단편화는 최소 터널 최대 전송 단위(MTU) 구성의 IPsec 터널 오버헤드 또는 IFL 최대 전송 단위(MTU) 외부의 AMS를 고려하여 수행됩니다. 포스트 단편화는 외부 인터페이스에서 MTU를 설정해야 하며 해당 IPsec 카운터는 송신 트래픽에 대해 증가하지 않습니다. 사후 단편화는 MX-SPC3 카드가 아닌 IOC에서 수행합니다. MX-SPC3에서 inet 및 inet6 제품군에 대한 기본 st0 MTU는 9192이며, VPN 계층에서 tunnel-mtu 구성에 대한 기본값은 없습니다. IPv6 패킷은 소스 호스트에서 단편화되고 중간 라우터에서는 단편화되지 않으므로 IPv6 패킷에는 사전 단편화가 적용되지 않습니다.
IPv4 패킷의 경우 다음과 같은 경우에 사전 단편화, 사후 단편화 및 ICMP Fragmentation needed and DF set 오류가 발생합니다.
- 내부 패킷 길이가 tunnel-MTU와 터널 오버헤드의 차이보다 작으면 단편화가 발생하지 않습니다.
- 내부 패킷 길이가 tunnel-mtu 및 터널 오버헤드의 차이보다 크고 내부 패킷 DF 비트가 설정되지 않은 경우 사전 단편화가 발생합니다.
- 내부 패킷 길이가 터널 최대 전송 단위(MTU)와 터널 오버헤드의 차이보다 크고 외부 터널 DF 비트가 설정되지 않은 경우 캡슐화, 사후 단편화가 발생합니다.
- 내부 패킷 길이가 tunnel-MTU와 터널 오버헤드의 차이보다 크고 내부 패킷 DF 비트와 외부 터널 DF 비트가 모두 설정된 경우 패킷이 삭제되고 ICMP
Fragmentation Needed and DF Set오류가 다시 전송됩니다.
IPv6 패킷의 경우 다음과 같은 경우에 사전 단편화, 사후 단편화 및 ICMP Packet Too Big 오류가 발생합니다.
- 내부 패킷 길이가 tunnel-MTU와 터널 오버헤드의 차이보다 작으면 단편화가 발생하지 않습니다.
- 내부 패킷 길이가 터널 최대 전송 단위(MTU)와 터널 오버헤드의 차이보다 크고 외부 터널 DF 비트가 설정되지 않은 경우 캡슐화, 사후 단편화가 발생합니다.
- 내부 패킷 길이가 tunnel-MTU와 터널 오버헤드의 차이보다 크고 외부 터널 DF 비트가 설정된 경우 패킷이 손실되고 설정되지 않은 경우
no-icmp-packet-too-bigICMPPacket Too Big오류가 전송됩니다. - 내부 패킷 길이가 tunnel-mtu 및 터널 오버헤드의 차이보다 크고 외부 터널 DF 비트가 설정된 경우 패킷이 삭제되고 이 설정된 경우
no-icmp-packet-too-bigICMPPacket Too Big오류가 전송되지 않습니다
st0 최대 전송 단위(MTU)와 터널 최대 전송 단위(MTU)의 차이
- 터널 최대 전송 단위(MTU)는 st0 최대 전송 단위(MTU)와 다른 수준입니다.
- st0 MTU는 인터페이스 레벨 MTU이며 tunnel-MTU 기능은 터널 레벨 MTU를 달성합니다.
- MX-SPC3에서 PFE는 st0 최대 전송 단위(MTU)를 확인하여 패킷을 단편화하거나 삭제합니다. 따라서, 패킷은 flowd 또는 IPsec에 도달하지 않으며 MTU 작업을 제어할 수 없습니다.
- VPN tunnel-mtu 구성 값이 st0 MTU보다 적습니다.