Descripción general de los servicios de próxima generación
En este tema, se ofrece una descripción general de los servicios de última generación e incluye los siguientes temas
Descripción general de servicios de enrutador universal de 5G serie MX
Los enrutadores universales de 5G serie MX admiten varios tipos de interfaces de servicios, que proporcionan capacidades específicas para inspeccionar, monitorear y manipular el tráfico a medida que transita un enrutador de la serie MX. Los servicios se pueden clasificar en servicios adaptables y servicios de última generación, y cada categoría ofrece interfaces de servicios en línea y opciones de interfaces de múltiples servicios. En la tabla 1 se enumeran las tarjetas que proporcionan estos servicios.
La MX-SPC3 reemplaza a las tarjetas tipo MS, lo que ofrece una mejora significativa del rendimiento general junto con escala y capacidad de alta gama.
Plataforma de enrutamiento universal 5G serie MX |
|||||
---|---|---|---|---|---|
Servicios adaptables |
Servicios de última generación |
||||
MPC
Servicios en línea |
MS-DPC
|
MS-MPC
|
MS-MIC
|
MPC
Servicios en línea |
MX-SPC3
|
Los servicios adaptables pueden ejecutarse en tarjetas MS-DPC, MS-MPC y MS-MIC mediante el uso de PIC multiservicios (MS) o PIC de servicios adaptables (AS).
Los servicios de última generación pueden ejecutarse en tarjetas MPC y en la tarjeta de servicios de seguridad MX-SPC3.
Los servicios en línea se configuran en concentradores de puertos modulares (MPC) de la serie MX. Las interfaces de servicios en línea son interfaces físicas virtuales que residen en el motor de reenvío de paquetes. Proporcionan un procesamiento de alto rendimiento en el tráfico que transita el MPC, y le permiten maximizar la capacidad y el uso de la ranura del chasis.
Las tarjetas de seguridad multiservicio (MS-DPC, MS-MPC, MS-MIC o MX-SPC3) proporcionan servicios que se pueden aplicar a cualquier tráfico que transite por el chasis MX más allá de un MPC individual. También proporcionan un procesamiento dedicado para admitir una variedad de funciones de seguridad a escala y alto rendimiento.
Descripción general de servicios adaptables
Los servicios adaptables se ejecutan en línea en MPC y en tarjetas de seguridad multiservicio MS-DPC, MS-MPC y MS-MIC. Las PIC de servicios adaptables (AS) y las PIC de varios servicios le permiten realizar varios servicios en la misma PIC mediante la configuración de un conjunto de servicios y aplicaciones. Las PIC del AS y multiservicio ofrecen una gama de servicios que puede configurar en uno o más conjuntos de servicios.
En las plataformas de enrutamiento universal 5G de la serie MX de Juniper Networks, el MS-DPC proporciona esencialmente las mismas capacidades que el MS-MPC. Las interfaces de ambas plataformas están configuradas de la misma manera.
Para obtener más información acerca de los servicios adaptables, incluidos los servicios en línea, consulte Descripción general de los servicios adaptables.
Servicios en línea
Los servicios adaptables también usan interfaces de servicios en línea para proporcionar servicios en línea . Las interfaces de servicios en línea son interfaces virtuales que residen en el motor de reenvío de paquetes.
Los servicios en línea solo se configuran en MPC mediante la convención si-fpc/pic/port
de nomenclatura en lugar de la convención de ms-fpc/pic/port
nomenclatura.
Servicios de última generación
Los servicios de próxima generación ofrecen las capacidades combinadas de los servicios de seguridad MX y SRX, lo que le permite inspeccionar, monitorear y manipular el tráfico a medida que transita el enrutador de la serie MX. Los servicios de próxima generación se admiten en línea en los concentradores de puertos modulares (MPC) y la tarjeta de servicios de seguridad MX-SPC3 en enrutadores MX240, MX480 y MX960. Consulte la Tabla 2, que proporciona un resumen de los servicios de próxima generación compatibles tanto en línea como en la tarjeta MX-SPC3. Tanto los servicios en línea como los basados en MX-SPC3 se pueden utilizar al mismo tiempo.
Los servicios de última generación se configuran en la tarjeta de servicios de seguridad MX-SPC3 mediante la convención de nomenclatura de multiservicios virtuales : vms-fpc/pic/port
.
Resumen de los servicios compatibles con los enrutadores universales 5G serie MX
En la Tabla 2 se proporciona un resumen de los servicios compatibles con los servicios de próxima generación.
Servicios de próxima generación: Interfaz en línea (si-) y MX-SPC3 |
||||
---|---|---|---|---|
Función de servicio |
Servicios en línea |
MX-SPC3 |
||
Versión de Junos OS |
Subservicio |
Versión de Junos OS |
Subservicio |
|
CGNAT |
19.3R2 |
Basic-NAT44 y NAT66 TDR de destino estático Dos veces NAT44 Básico 6rd Softwires NPTv6 |
19.3R2 |
Nat44 básico Básico-NAT66 Dynamic-NAT44 TDR de destino estático NAT-PT básico NAPT-PT NAPT44 NAPT66 Asignación de bloque de puerto Deterministic-nat44 y nat64 Asignación independiente de punto de final (EIM)/filtrado independiente del punto de final (EIF) TDR persistente: emparejamiento de conjuntos de aplicaciones (APP) Dos veces NAT44: básico, dinámico y NAPT NAT64 XLAT-464 NPTv6 |
|
20.1R1 |
Protocolo de control de puertos (PCP): v1 y v2 |
||
20.2R1 |
MAP-E |
|
DS-Lite NAT46 |
|
Equilibrador de carga de tráfico |
19.3R2 |
19.3R2 |
||
SecIntel (fuentes de amenazas de IP SkyATP) |
19.3R2 |
N/A |
||
Servicios de firewall de estado |
N/A |
19.3R2 |
||
Servicios de detección de intrusiones (IDS) |
N/A |
19.3R2 |
||
Filtrado de solicitudes DNS |
N/A |
19.3R2 |
||
Interfaces multiservicios agregadas |
N/A |
19.3R2 |
||
Alta disponibilidad entre chasis |
N/A |
19.3R2 |
CGNAT, firewall de estado, IDS |
|
Filtrado de URL |
N/A |
|
20.1R1 |
|
JFlow |
20.1R1 |
|
N/A |
|
RPM y TWAMP |
20.1R1 |
|
N/A |
|
Monitoreo de video |
20.1R1 |
|
N/A |
|
IPsec VPN | N/A | 21.1R1 | VPN de sitio de sitio 2 basado en rutas VPN basadas en selector de tráfico AUTOVPN Protocolos de enrutamiento (BGP/OSPF) a través de IPsec |
Documentación de servicios de próxima generación
Puede ejecutar servicios de última generación en MX240, MX480 y MX960 si tiene la tarjeta de servicios MX-SPC3 instalada en el enrutador. Consulte nuestra Biblioteca técnica para obtener toda la documentación del enrutador MX. Para servicios de última generación, consulte la documentación siguiente:
Para obtener información y configurar los servicios de última generación, consulte Guía del usuario de interfaces de servicios de última generación para dispositivos de enrutamiento (esta guía).
Para obtener más información sobre cómo instalar o reemplazar la tarjeta MX-SPC3, consulte Referencia del módulo de interfaz de plataforma de enrutamiento universal serie MX 5G.
Para supervisar flujos y muestras de tráfico: consulte la Guía de funciones de interfaces de servicios de supervisión, toma de muestras y recopilación, que describe cómo configurar la supervisión del flujo de tráfico, la captura de flujo de paquetes, la toma de muestras de tráfico para contabilizar o descartar, la duplicación de puertos en un dispositivo externo y la supervisión del rendimiento en tiempo real.
Habilitación de servicios de última generación
Para ejecutar servicios de última generación, debe habilitarlo en el enrutador de la serie MX. Esto permite que el sistema operativo ejecute su propio sistema operativo (OS) para los servicios de próxima generación.
Hay pasos específicos que deberá tomar si está migrando sus servicios de tarjetas de servicios heredadas a MX-SPC3. La CLI de servicios de última generación difiere de estos servicios heredados. Para obtener más información, consulte Diferencias de configuración entre los servicios adaptables y los servicios de última generación en MX-SPC3.
Compatibilidad con otras tarjetas de servicios
La tarjeta de servicios MX-SPC3 es compatible de extremo a extremo con las estructuras de conmutadores serie MX, motores de enrutamiento y tarjetas de línea MS-MPC como se describe en la tabla 3.
Estructura del conmutador |
Motor de ruta |
Tarjetas de línea MPC |
---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E y MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E y MPC3E-3D-NG MPC4E-3D MPC5E y MPC5EQ MPC7E y MPC7EQ MPC-3D-16XGE |
SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E y MPC5EQ MPC7E y MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
Configuración de la tarjeta de servicios MX-SPC3
Las interfaces de la tarjeta de servicios MX-SPC3 se denominan PIC de varios servicios virtuales (vms). Cuando configure una interfaz MX-SPC3, especifique la interfaz como una vms-
interfaz de la siguiente manera:
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
Además de las diferencias de CLI, debe tener en cuenta las diferencias básicas de hardware entre las tarjetas del tipo de multiservicios (MS-DPC, MS-MPC y MS-MIC) y la tarjeta de servicios MX-SPC3. Las tarjetas tipo MS contienen cuatro complejos de CPU, mientras que la MX-SPC3, aunque más potente, contiene dos complejos de CPU. Cada CPU compleja ofrece una sola PIC, lo que significa que las tarjetas tipo MS admiten cuatro PIC, mientras que la MX-SPC3 admite dos PIC. Las tarjetas tipo MS usan PIC multiservicios especiales (MS) y pic de servicios adaptables (AS), mientras que las PIC de la tarjeta MX-SPC3 están integradas.
Dado que la cantidad de PIC afecta directamente al número de interfaces, es posible que deba agregar unidades lógicas a cada interfaz en mx-SPC3 para aumentar el número de interfaces a cuatro. Por ejemplo, si actualmente usa las cuatro interfaces en la tarjeta de tipo MS y tiene un conjunto de servicios por interfaz, puede crear dos unidades lógicas por interfaz en MX-SPC3 para llevar el número total de interfaces a cuatro y, luego, volver a asociar los cuatro conjuntos de servicios a estas cuatro interfaces lógicas.
Métodos para aplicar servicios al tráfico
Cuando configure los servicios de última generación, puede aplicar esos servicios con cualquiera de los métodos siguientes:
Aplique los servicios configurados al tráfico que fluye a través de una interfaz determinada en el enrutador MX.
Aplique los servicios configurados al tráfico destinado a un siguiente salto determinado.
Configuración de VPN IPsec en la tarjeta de servicios MX-SPC3
Para configurar IPsec en la tarjeta de servicio MX-SPC3, utilice las instrucciones de configuración de CLI en el nivel jerárquico [edit security
] ya que la configuración de CLI de IPsec en [edit services
] se sustituye por la configuración de CLI en el nivel jerárquico de [editar seguridad] como se muestra en la tabla 4
Configuración | actual equivalente de MX-SPC3 |
---|---|
establecer evaluaciones de seguimiento ipsec-VPN de servicios | establecer ike de seguridad ike traceoptions |
propuesta de ike ipsec-VPN de establecer servicios | propuesta de ike de establecer seguridad |
establecer la política de ike ipsec-vpn de los servicios | establecer una política de ike de seguridad |
establecer servicios ipsec-vpn ike policy policy-name respond-bad-spi | establecer un ike de seguridad respond-bad-spi |
propuesta ipsec-vpn de set services | propuesta de establecer ipsec de seguridad |
establecer la política ipsec-vpn de los servicios | establecer política ipsec de seguridad |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios desde [dirección de origen | dirección de destino] | establecer el selector de selector-name tráfico vpn vpn-name ipsec de seguridad [local-ip | remote-ip] |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios desde ipsec-inside-interface | establecer seguridad ipsec VPN vpn-name bind-interface |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios y luego la puerta de enlace remota | establecer dirección de puerta de enlace gw-name de ike de seguridad |
establecer el término term-name de la regla rule-name ipsec-vpn de los servicios y, luego, respaldar la puerta de enlace remota | establecer dirección de puerta de enlace gw-name de ike de seguridad |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios y, luego, detección de par muerto | establecer detección de pares muertos de puerta de enlace gw-name de ike de seguridad |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios y, luego, la política de ike dinámica | establecer una política de ike de puerta de enlace gw-namede ike de seguridad |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios y luego la política ipsec dinámica | establecer la seguridad ipsec vpn vpn-name ike ipsec-policy |
establecer el término term-name de la regla rule-name ipsec-VPN de los servicios y luego manual | establecer seguridad ipsec vpn vpn-name manual |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios y, luego, borrar no fragmentar bits | establecer seguridad ipsec vpn vpn-name df-bit claro |
establecer el término term-name de regla rule-name ipsec-VPN de los servicios y, luego, copiar-no-fragment-bit | establecer seguridad ipsec vpn vpn-name copia de df-bit |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios y, luego, establecer no-fragment-bit | establecer seguridad ipsec vpn vpn-name copia de df-bit |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios y luego tunel-mtu | establecer seguridad ipsec VPN vpn-name tunnel-mtu |
establecer el término term-name de regla rule-name ipsec-vpn de los servicios y, luego, no anti-repetición | establecer seguridad ipsec VPN vpn-name ike no-anti-replay |
establecer la dirección de coincidencia de la regla rule-name ipsec-VPN de los servicios | establecer la dirección de coincidencia de VPN vpn-nameipsec de seguridad |
establecer los servicios ipsec-vpn set-tunnels | establecer túneles vpn vpn-nameipsec de seguridad |
establecer servicios de service-set svc-set-name ipsec-vpn-options local-gateway address | establecer la puerta de enlace ipsec VPN vpn-nameike de seguridad gateway-name |
establecer servicios de servicio svc-set-name ipsec-vpn-options clear-don't-fragment-bit | Sin configuración de conjunto de servicios global. Debe configurarse por objeto VPN. |
establecer servicios de servicio svc-set-name ipsec-vpn-options copy-don't-fragment-bit | Sin configuración de conjunto de servicios global. Debe configurarse por objeto VPN. |
establecer servicios de servicio svc-set-name ipsec-vpn-options set-don't-fragment-bit | Sin configuración de conjunto de servicios global. Debe configurarse por objeto VPN. |
establecer servicios de servicio svc-set-name ipsec-vpn-options udp-encapsulate | establecer seguridad ipsec VPN vpn-nameudp-encapsulado |
establecer servicios de service-set svc-set-name ipsec-vpn-options no-anti-replay | Sin configuración de conjunto de servicios global. Debe configurarse por objeto VPN. |
establecer servicios de servicio svc-set-name ipsec-vpn-options pasiva-tunelización de modo | establecer seguridad ipsec VPN vpn-name de tunelización pasiva en modo |
establecer servicios de servicio svc-set-name ipsec-vpn-options tunnel-mtu | Sin configuración de conjunto de servicios global. Debe configurarse por objeto VPN. |
establecer servicios de servicio svc-set-name ipsec-vpn-rules | establecer servicios de servicio svc-set-name ipsec-vpn-rules |
establecer servicios regla ipsec-vpn <rule-name> término < nombre de término> luego tunel-mtu | establecer seguridad ipsec vpn <vpn-name> tunel-mtu |
Descripción de la MTU de túnel
La MTU para st0 está en el nivel de interfaz. Con la función de MTU de túnel, logramos MTU de nivel de túnel. Con la función Tunel-MTU podemos configurar la MTU a nivel de objeto VPN. Puede configurar tunel-mtu para controlar la MTU de túnel, si la MTU st0 o la MTU IFL no están configuradas, afectará el comportamiento de la MTU. La MTU de túnel mínima que puede configurar para el tráfico IPv6 es 1390.
La función MTU de túnel no se admite en PMI (IPSec en modo de alimentación). La configuración tunel-mtu se encuentra en la jerarquía de VPN y no en el nivel del selector de tráfico, por lo tanto, la configuración tunel-mtu se aplica a todos los túneles (todos los TS) que pertenecen a esa VPN. El cambio de configuración de la MTU de túnel se considera un cambio catastrófico (elimina el túnel existente). El cambio de configuración de no icmp-packet-demasiado grande no se considera catastrófico.
La fragmentación previa se realiza teniendo en cuenta la sobrecarga de túnel IPsec de configuración mínima de MTU de túnel o AMS fuera de LA UIF. La post-fragmentación requiere que la MTU se establezca en la interfaz externa y los contadores IPsec correspondientes no se incrementen para el tráfico de salida. La fragmentación posterior se realiza por IOC y no por la tarjeta MX-SPC3. En MX-SPC3, la MTU st0 predeterminada para la familia inet e inet6 es 9192, no hay ningún valor predeterminado para la configuración tunel-mTU en la jerarquía de VPN. Los paquetes IPv6 se fragmentan en el host de origen y no se fragmentan en enrutadores intermedios, por lo que la fragmentación previa no se aplica a los paquetes IPv6.
En el caso de los paquetes IPv4, el error de fragmentación previa, posterior a la fragmentación e ICMP Fragmentation needed and DF set
se produce en los siguientes casos:
- Cuando la longitud interna del paquete es menor que la diferencia de mtu de túnel y sobrecarga de túnel, no se produce fragmentación.
- Cuando la longitud interna del paquete es mayor que la diferencia de sobrecarga de túnel-mtu amd y el bit DF interno del paquete no está establecido, se produce la fragmentación previa.
- Cuando la longitud interna del paquete es mayor que la diferencia de mtu de túnel y sobrecarga de túnel, y el bit DF de túnel externo no está establecido, se produce la encapsulación y la fragmentación posterior.
- Cuando la longitud interna del paquete es mayor que la diferencia entre el mtu de túnel y la sobrecarga del túnel, y tanto el bit DF de paquete interno como el bit DF de túnel externo están configurados, el paquete se pierde y se devuelve el error ICMP
Fragmentation Needed and DF Set
.
En el caso de los paquetes IPv6, el error de fragmentación previa, posterior a la fragmentación e ICMP Packet Too Big
se produce en los siguientes casos:
- Cuando la longitud interna del paquete es menor que la diferencia de mtu de túnel y sobrecarga de túnel, no se produce fragmentación.
- Cuando la longitud interna del paquete es mayor que la diferencia de mtu de túnel y sobrecarga de túnel, y el bit DF de túnel externo no está establecido, se produce la encapsulación y la fragmentación posterior.
- Cuando la longitud interna del paquete es mayor que la diferencia entre el mTU y la sobrecarga del túnel, y el bit DF del túnel externo se establece, el paquete se cae y, si
no-icmp-packet-too-big
no está establecido, se envía el error ICMPPacket Too Big
. - Cuando la longitud interna del paquete es mayor que la diferencia entre el mTU y la sobrecarga de túnel, y el bit DF del túnel externo se establece, el paquete se cae y, si
no-icmp-packet-too-big
está establecido, el error ICMPPacket Too Big
no se envía
Diferencia entre la MTU st0 y la MTU de túnel
- La MTU de túnel está en un nivel diferente en comparación con la MTU st0.
- st0 MTU es una MTU de nivel de interfaz y la función MTU de túnel logra una MTU de nivel de túnel
- En MX-SPC3, PFE comprueba st0 mtu para fragmentar o soltar el paquete. Por lo tanto, el paquete no alcanza el flujo ni IPsec y no tendrá ningún control sobre la acción de MTU.
- El valor de configuración de mtu de túnel de VPN es menor que la MTU st0.