Descripción general de los servicios de próxima generación
En este tema se ofrece información general sobre los servicios de próxima generación y se incluyen los siguientes temas:
Descripción general de los servicios del enrutador universal 5G serie MX
Los enrutadores universales 5G serie MX admiten varios tipos de interfaces de servicios, las cuales proporcionan capacidades específicas para inspeccionar, monitorear y manipular el tráfico mientras transita por un enrutador serie MX. Los servicios se pueden clasificar en Servicios adaptativos y Servicios de próxima generación, y cada categoría proporciona interfaces de servicios en línea y opciones de interfaces de multiservicios. En la Tabla 1 se enumeran las tarjetas que prestan estos servicios.
El MX-SPC3 reemplaza a las tarjetas de tipo MS, proporcionando una mejora significativa del rendimiento general junto con la escala y la capacidad de gama alta.
Plataforma de enrutamiento universal 5G serie MX |
|||||
|---|---|---|---|---|---|
Servicios adaptables |
Servicios de última generación |
||||
MPC
Servicios en línea |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
Servicios en línea |
MX-SPC3
|
Adaptive Services puede ejecutarse en tarjetas MS-DPC, MS-MPC y MS-MIC mediante PIC de multiservicios (MS) o PIC de servicios adaptativos (AS).
Los servicios de próxima generación pueden ejecutarse en tarjetas MPC y en la tarjeta de servicios de seguridad MX-SPC3.
Los servicios en línea se configuran en concentradores de puertos modulares (MPC) de la serie MX. Las interfaces de servicios en línea son interfaces físicas virtuales que residen en el motor de reenvío de paquetes. Proporcionan un procesamiento de alto rendimiento en el tráfico que transita por el MPC y le permiten maximizar la capacidad y la utilización de las ranuras del chasis.
Las tarjetas de seguridad multiservicios (MS-DPC, MS-MPC, MS-MIC o MX-SPC3) proporcionan servicios que se pueden aplicar a cualquier tráfico que transite por el chasis MX más allá de un MPC individual. También proporcionan procesamiento dedicado para admitir una variedad de características de seguridad a escala y alto rendimiento.
Descripción general de Adaptive Services
Los servicios adaptables se ejecutan en línea en MPC y en tarjetas de seguridad multiservicio MS-DPC, MS-MPC y MS-MIC. Las PIC de servicios adaptativos (AS) y las PIC multiservicios permiten realizar varios servicios en el mismo PIC mediante la configuración de un conjunto de servicios y aplicaciones. El AS y las PIC multiservicios ofrecen una gama de servicios que puede configurar en uno o más conjuntos de servicios.
En las plataformas de enrutamiento universal 5G serie MX de Juniper Networks, el MS-DPC proporciona esencialmente las mismas capacidades que el MS-MPC. Las interfaces en ambas plataformas están configuradas de la misma manera.
Para obtener más información acerca de los servicios adaptables, incluidos los servicios en línea, vea Información general sobre los servicios adaptables.
Servicios en línea
Adaptive Services también usa interfaces de servicios en línea para proporcionar servicios en línea . Las interfaces de servicios en línea son interfaces virtuales que residen en el motor de reenvío de paquetes.
Los servicios en línea sólo se configuran en MPC utilizando la convención si-fpc/pic/port de nomenclatura en lugar de la ms-fpc/pic/port convención de nomenclatura.
Servicios de última generación
Los servicios de próxima generación proporcionan las capacidades combinadas de los servicios de seguridad MX y SRX, lo que le permite inspeccionar, monitorear y manipular el tráfico a medida que transita por el enrutador de la serie MX. Los servicios de próxima generación son compatibles tanto en línea con los concentradores de puertos modulares (MPC) como con la tarjeta de servicios de seguridad MX-SPC3 en los enrutadores MX240, MX480 y MX960. Consulte la Tabla 2, que proporciona un resumen de los servicios de próxima generación compatibles tanto en línea como en la tarjeta MX-SPC3. Se pueden utilizar servicios basados en MX-SPC3 y en línea al mismo tiempo.
Los servicios de próxima generación se configuran en la tarjeta de servicios de seguridad MX-SPC3 mediante la convención de nomenclatura de multiservicios virtuales : vms-fpc/pic/port.
Resumen de servicios admitidos en los enrutadores universales 5G serie MX
La Tabla 2 proporciona un resumen de los servicios admitidos por los Servicios de próxima generación.
Servicios de próxima generación: Interfaz en línea (si-) y MX-SPC3 |
||||
|---|---|---|---|---|
Característica de servicio |
Servicios en línea |
MX-SPC3 |
||
Versión de Junos OS |
Subservicio |
Versión de Junos OS |
Subservicio |
|
CGNAT |
19,3R2 |
Básico-NAT44 y NAT66 NAT de destino estático Twice-NAT44 Basic 6º Softwires NPTv6 |
19,3R2 |
Básico-NAT44 Básico-NAT66 Dinámico-NAT44 NAT de destino estático Básico-NAT-PT NAPT-PT NAPT44 NAPT66 Asignación de bloques de puertos Determinista-nat44 y nat64 Mapeo independiente del punto final (EIM)/Filtrado independiente del punto final (EIF) NAT persistente: emparejamiento de grupos de aplicaciones (APP) Twice-NAT44: básico, dinámico y NAPT NAT64 XLAT-464 NPTv6 |
|
20.1R1 |
Protocolo de control de puertos (PCP): v1 y v2 |
||
20.2R1 |
MAPA-E |
|
DS-Lite NAT46 |
|
Equilibrador de carga de tráfico |
19,3R2 |
19,3R2 |
||
SecIntel (fuentes de amenazas IP de ATP Cloud) |
19,3R2 |
N/A |
||
Servicios de firewall de estado |
N/A |
19,3R2 |
||
Servicios de detección de intrusiones (IDS) |
N/A |
19,3R2 |
||
Filtrado de solicitudes DNS |
N/A |
19,3R2 |
||
Interfaces multiservicios agregadas |
N/A |
19,3R2 |
||
Alta disponibilidad entre chasis |
N/A |
19,3R2 |
CGNAT, firewall de estado, IDS |
|
Filtrado de URL |
N/A |
|
20.1R1 |
|
JFlow |
20.1R1 |
|
N/A |
|
RPM y TWAMP |
20.1R1 |
|
N/A |
|
Monitoreo de video |
20.1R1 |
|
N/A |
|
| IPsec VPN | N/A | 21.1R1 | Sitio VPN de sitio 2 basado en rutas VPN basadas en selector de tráfico VPN automática Protocolos de enrutamiento (BGP/OSPF) a través de IPsec |
|
| IPsec en línea | 24.2R1 | N/A | ||
Documentación de servicios de próxima generación
Puede ejecutar servicios de próxima generación en MX240, MX480 y MX960 si tiene la tarjeta de servicios MX-SPC3 instalada en el enrutador. Consulte nuestra biblioteca técnica para obtener toda la documentación del enrutador MX. Para los servicios de próxima generación, consulte la siguiente documentación:
Para obtener información y configurar los servicios de próxima generación, consulte la Guía del usuario de interfaces de servicios de próxima generación para dispositivos de enrutamiento (esta guía).
Para obtener más información sobre la instalación o sustitución de la tarjeta MX-SPC3, consulte Referencia del módulo de interfaz de plataforma de enrutamiento universal 5G de la serie MX.
Para supervisar flujos y tráfico de muestra: consulte la Guía de características Interfaces de servicios de supervisión, muestreo y recopilación, en la que se describe cómo configurar la supervisión del flujo de tráfico, la captura de flujo de paquetes, el muestreo de tráfico para contabilidad o descarte, la creación de reflejo de puertos en un dispositivo externo y la supervisión del rendimiento en tiempo real.
Guía del usuario de los servicios de abonado a la banda ancha
Habilitación de servicios de próxima generación
Para ejecutar Next Gen Services, debe habilitarlo en el enrutador de la serie MX. Esto permite que el sistema operativo ejecute su propio sistema operativo (SO) para los servicios de próxima generación.
Hay pasos específicos que deberá seguir si va a migrar sus servicios de tarjetas de servicios heredadas a MX-SPC3. La CLI de servicios de próxima generación difiere de estos servicios heredados. Para obtener más información, consulte Diferencias de configuración entre Adaptive Services y Next Gen Services en el MX-SPC3.
Compatibilidad con otras tarjetas de servicios
La tarjeta de servicios MX-SPC3 es compatible de extremo a extremo con las estructuras de conmutador de la serie MX, los motores de enrutamiento y las tarjetas de línea MS-MPC, como se describe en la Tabla 3.
Estructura del conmutador |
Motor de ruta |
Tarjetas de línea MPC |
|---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E y MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E y MPC3E-3D-NG MPC4E-3D MPC5E y MPC5EQ MPC7E y MPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E y MPC5EQ MPC7E y MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
Configuración de la tarjeta de servicios MX-SPC3
Las interfaces de la tarjeta de servicios MX-SPC3 se denominan PIC virtual multiservicio (vms). Cuando configure una interfaz MX-SPC3, especifique la interfaz como interfaz vms- de la siguiente manera:
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
Aparte de las diferencias de CLI, debe tener en cuenta las diferencias básicas de hardware entre las tarjetas de tipo multiservicio (MS-DPC, MS-MPC y MS-MIC) y la tarjeta de servicios MX-SPC3. Las tarjetas de tipo MS contienen cuatro complejos de CPU, mientras que la tarjeta MX-SPC3, aunque más potente, contiene dos complejos de CPU. Cada complejo de CPU da servicio a una sola PIC, lo que significa que las tarjetas de tipo MS admiten cuatro PIC, mientras que el MX-SPC3 admite dos PIC. Las tarjetas tipo MS utilizan PIC de multiservicios especiales (MS) y servicios adaptativos (AS), mientras que las PIC de la tarjeta MX-SPC3 están integradas.
Dado que el número de PIC afecta directamente al número de interfaces, es posible que deba agregar unidades lógicas a cada interfaz en la MX-SPC3 para aumentar el número de interfaces a cuatro. Por ejemplo, si actualmente utiliza las cuatro interfaces de la tarjeta de tipo MS y tiene un conjunto de servicios por interfaz, puede crear dos unidades lógicas por interfaz en MX-SPC3 para elevar el número total de interfaces a cuatro y, a continuación, volver a asociar los cuatro conjuntos de servicios a estas cuatro interfaces lógicas.
Métodos para aplicar servicios al tráfico
Al configurar los servicios de próxima generación, puede aplicar dichos servicios con cualquiera de los métodos siguientes:
Aplique los servicios configurados al tráfico que fluye a través de una interfaz determinada en el enrutador MX.
Aplique los servicios configurados al tráfico destinado a un próximo salto determinado.
Configuración de VPN IPsec en la tarjeta de servicios MX-SPC3
Para configurar IPsec en la tarjeta de servicio MX-SPC3, use las instrucciones de configuración de CLI en el nivel de jerarquía [edit security], ya que la configuración de CLI de IPsec en [edit services] se sustituye por la configuración de CLI en el nivel de jerarquía [edit security], tal como se muestra en la tabla 4.
| Configuración MX actual | Configuración MX-SPC3 equivalente |
|---|---|
| Establecer traceoptions IPSec-VPN de servicios | Establecer traceoptions de IKE de seguridad |
| Establecer servicios IPSec-VPN Propuesta de IKE | Establecer propuesta de IKE de seguridad |
| Establecer la política de IKE de IPSec-VPN de servicios | Establecer política de IKE de seguridad |
| Establecer servicios ipsec-vpn política policy-name ike respond-bad-spi | Establecer seguridad ike respond-bad-spi |
| Establecer servicios IPSec-VPN Propuesta IPsec | Establecer propuesta de IPsec de seguridad |
| Establecer política IPSec de servicios IPSec-VPN | Establecer política IPsec de seguridad |
| Establecer términos term-name de regla rule-name IPSec-VPN de servicios desde [dirección-origen| dirección-destino] | Establecer seguridad IPsec VPN vpn-name traffic-selector selector-name [local-ip | remote-ip] |
| Establecer términos term-name de regla rule-name IPSec-VPN de servicios desde IPsec-inside-interface | Establecer interfaz de enlace VPN vpn-name IPsec de seguridad |
| Establecer términos de regla rule-name IPSec-VPN de term-name servicios y luego puerta de enlace remota | Establecer dirección de puerta de enlace gw-name IKE de seguridad |
| Establecer el término term-name de la regla rule-name IPSec-VPN de los servicios y, a continuación, backup-remote-gateway | Establecer dirección de puerta de enlace gw-name IKE de seguridad |
| Establecer el término term-name de la regla rule-name IPSec-VPN de los servicios y, a continuación, la detección de pares muertos | Establecer la seguridad de la puerta de enlace gw-name IKE dead-peer-detection |
| Establecer términos term-name de regla rule-name IPSec-VPN de servicios y, a continuación, política IKE dinámica | Establecer la seguridad de la puerta de enlace gw-namede IKE Política de IKE |
| Establecer términos de regla rule-name term-name IPSec-VPN de servicios y, a continuación, política IPsec dinámica | Establecer seguridad IPsec VPN vpn-name IKE IPSec-Policy |
| Establecer el término de la regla rule-name IPSec-VPN de term-name los servicios y, a continuación, manual | Establecer seguridad IPsec VPN vpn-name manual |
| Establezca el término term-name de la regla rule-name IPSec-VPN de los servicios y luego borre-no-fragmente-bit | Establecer seguridad VPN vpn-name IPsec DF-bit borrar |
| Establezca el término term-name de la regla rule-name IPSec-VPN de los servicios y luego copie-no-fragmente-bit | Establecer seguridad VPN vpn-name IPsec DF-bit Copiar |
| Establezca el término term-name de la regla rule-name IPSec-VPN de los servicios y, a continuación, establezca no fragmentar el bit | Establecer seguridad VPN vpn-name IPsec DF-bit Copiar |
| Establezca el término term-name de la regla rule-name IPSec-VPN de los servicios y, a continuación, túnel-MTU | Establecer seguridad IPsec VPN vpn-name túnel-MTU |
| Establezca el término term-name de la regla rule-name IPSec-VPN de los servicios y, a continuación, no anti-replay | Establecer seguridad IPsec VPN vpn-name IKE No-Anti-Replay |
| Establecer dirección de coincidencia de reglas rule-name IPSec-VPN de servicios | Establecer la dirección de coincidencia de VPN IPsec vpn-namede seguridad |
| Establecer servicios IPSec-VPN establecer-túneles | Establecer seguridad VPN vpn-nameIPsec establecer túneles |
| set services service-set svc-set-name ipsec-vpn-options local-gateway address | Establecer seguridad IPsec VPN vpn-nameIKE puerta de enlace gateway-name |
| set services service-set svc-set-name ipsec-vpn-options clear-don't-fragment-bit | Sin configuración global de conjunto de servicios. Debe configurarse por objeto VPN. |
| set services service-set svc-set-name ipsec-vpn-options copy-don't-fragment-bit | Sin configuración global de conjunto de servicios. Debe configurarse por objeto VPN. |
| set services service-set svc-set-name ipsec-vpn-options set-don't-fragment-bit | Sin configuración global de conjunto de servicios. Debe configurarse por objeto VPN. |
| set services service-set svc-set-name ipsec-vpn-options udp-encapsulate | Establecer seguridad IPsec VPN vpn-nameUDP-encapsular |
| set services service-set svc-set-name ipsec-vpn-options no-anti-replay | Sin configuración global de conjunto de servicios. Debe configurarse por objeto VPN. |
| set services service-set svc-set-name ipsec-vpn-options passive-mode-tunneling | Establecer seguridad VPN IPsec modo vpn-name pasivo-tunelización |
| set services service-set svc-set-name ipsec-vpn-options tunnel-mtu | Sin configuración global de conjunto de servicios. Debe configurarse por objeto VPN. |
| set services service-set svc-set-name ipsec-vpn-rules | set services service-set svc-set-name ipsec-vpn-rules |
| Establecer servicios Regla IPsec-VPN <nombre-regla> término <nombre-término> y, a continuación, túnel-MTU | Set Security IPsec VPN <vpn-name> tunnel-MTU |
Descripción de la MTU de túnel
La MTU para st0 está en el nivel de interfaz. Con la función túnel-MTU logramos MTU a nivel de túnel. Con la función Tunnel-MTU podemos configurar MTU a nivel de objeto VPN. Puede configurar tunnel-mtu para controlar la MTU del túnel; si no está configurada la MTU st0 o la MTU IFL, afectará al comportamiento de la MTU. La MTU de túnel mínima que puede configurar para el tráfico IPv6 es 1390.
La función MTU de túnel no es compatible con PMI (modo de alimentación IPSec). La configuración túnel-mtu está en la jerarquía VPN y no en el nivel del selector de tráfico, por lo tanto, la configuración túnel-mtu se aplica a todos los túneles (todos TS) que pertenecen a esa VPN. El cambio de configuración de MTU de túnel se considera un cambio catastrófico (elimina el túnel existente). El cambio de configuración de no-icmp-packet-too-big no se considera catastrófico.
La fragmentación previa se realiza teniendo en cuenta la sobrecarga del túnel IPsec de la configuración mínima de MTU del túnel o AMS fuera de la MTU IFL. La fragmentación posterior requiere que se establezca MTU en la interfaz externa y que los contadores IPsec correspondientes no se incrementen para el tráfico de salida. La fragmentación posterior es realizada por IOC y no por tarjeta MX-SPC3. En MX-SPC3, la MTU st0 predeterminada para la familia inet e inet6 es 9192, no hay ningún valor predeterminado para la configuración túnel-mtu en la jerarquía VPN. Los paquetes IPv6 se fragmentan en el host de origen y no en los enrutadores intermedios, por lo que la fragmentación previa no se aplica a los paquetes IPv6.
Para los paquetes IPv4, el error de prefragmentación, postfragmentación e ICMP Fragmentation needed and DF set se produce en los siguientes casos:
- Cuando la longitud del paquete interno es menor que la diferencia entre túnel y MTU y la sobrecarga del túnel, no se produce ninguna fragmentación.
- Cuando la longitud del paquete interno es mayor que la diferencia entre la sobrecarga del túnel y el bit DF del paquete interno no está establecido, se produce la fragmentación previa.
- Cuando la longitud del paquete interno es mayor que la diferencia entre la sobrecarga túnel-mtu y túnel, y el bit DF del túnel exterior no está establecido, se produce la encapsulación y la postfragmentación.
- Cuando la longitud del paquete interno es mayor que la diferencia entre la sobrecarga túnel-mtu y túnel, y se establece tanto el bit DF del paquete interno como el bit DF del túnel exterior, el paquete se descarta y se devuelve el error ICMP
Fragmentation Needed and DF Set.
Para los paquetes IPv6, el error de prefragmentación, postfragmentación e ICMP Packet Too Big se produce en los siguientes casos:
- Cuando la longitud del paquete interno es menor que la diferencia entre túnel y MTU y la sobrecarga del túnel, no se produce ninguna fragmentación.
- Cuando la longitud del paquete interno es mayor que la diferencia entre la sobrecarga túnel-mtu y túnel, y el bit DF del túnel exterior no está establecido, se produce la encapsulación y la postfragmentación.
- Cuando la longitud del paquete interno es mayor que la diferencia entre túnel mtu y la sobrecarga del túnel, y se establece el bit DF del túnel exterior, el paquete se descarta y, si
no-icmp-packet-too-bigno está configurado, se envía el error ICMPPacket Too Big. - Cuando la longitud del paquete interno es mayor que la diferencia entre túnel mtu y la sobrecarga del túnel, y se establece el bit DF del túnel exterior, el paquete se descarta y, si
no-icmp-packet-too-bigestá establecido, no se envía el error ICMPPacket Too Big
Diferencia entre MTU st0 y MTU de túnel
- La MTU de túnel se encuentra en un nivel diferente en comparación con la MTU st0.
- st0 MTU es MTU de nivel de interfaz y la función túnel-MTU alcanza MTU de nivel de túnel
- En MX-SPC3, PFE comprueba st0 mtu para fragmentar o descartar el paquete. Por lo tanto, el paquete no llega a flowd o IPsec y no tendrá ningún control sobre la acción de MTU.
- El valor de configuración de túnel de MTU de VPN es menor que la MTU st0.