Descripción general de los servicios de próxima generación
En este tema, se proporciona información general sobre los servicios de nueva generación y se incluyen los siguientes temas
Descripción general de los servicios de enrutador universal 5G
Los enrutadores universales 5G admiten varios tipos de interfaces de servicios, que proporcionan capacidades específicas para inspeccionar, monitorear y manipular el tráfico a medida que transita por un enrutador. Los servicios se pueden clasificar en servicios adaptativos y servicios de próxima generación, y cada categoría proporciona interfaces de servicios en línea y opciones de interfaces de multiservicios. La Tabla 1 enumera las tarjetas que proporcionan estos servicios.
La MX-SPC3 reemplaza las tarjetas tipo MS, lo que proporciona una mejora significativa del rendimiento general junto con escala y capacidad de alta gama.
Plataforma de enrutamiento universal 5G |
|||||
|---|---|---|---|---|---|
Servicios adaptativos |
Servicios de última generación |
||||
MPC
Servicios en línea |
MS-CPC
|
MS-MPC
|
MS-MIC
|
MPC
Servicios en línea |
MX-SPC3
|
Los servicios adaptables se pueden ejecutar en tarjetas MS-CPC, MS-MPC y MS-MIC mediante PIC de multiservicios (MS) o PIC de servicios adaptativos (AS).
Los servicios de última generación pueden ejecutarse en tarjetas MPC y en la tarjeta de servicios de seguridad MX-SPC3.
Los servicios en línea se configuran en concentradores de puerto modulares (MPC). Las interfaces de servicios en línea son interfaces físicas virtuales que residen en el motor de reenvío de paquetes. Proporcionan un procesamiento de alto rendimiento en el tráfico que transita por la MPC y le permiten maximizar la capacidad y utilización de la ranura del chasis.
Las tarjetas de seguridad multiservicio (MS-CPC, MS-MPC, MS-MIC o MX-SPC3) ofrecen servicios que se pueden aplicar a cualquier tráfico que transite por el chasis más allá de una MPC individual. También ofrecen procesamiento dedicado para admitir una variedad de funciones de seguridad a escala y de alto rendimiento.
Descripción general de Adaptive Services
Los servicios adaptativos se ejecutan en línea en MPC y en las tarjetas de seguridad multiservicio MS-CPC, MS-MPC y MS-MIC. Las PIC de servicios adaptativos (AS) y las PIC de multiservicios le permiten realizar varios servicios en la misma PIC mediante la configuración de un conjunto de servicios y aplicaciones. Las PIC de AS y multiservicios ofrecen una gama de servicios que se pueden configurar en uno o más conjuntos de servicios.
En las plataformas de enrutamiento universal 5G de Juniper Networks, el MS-CPC proporciona esencialmente las mismas capacidades que el MS-MPC. Las interfaces en ambas plataformas se configuran de la misma manera.
Para obtener más información acerca de los servicios adaptables, incluidos los servicios en línea, consulte Descripción general de servicios adaptables.
Servicios en línea
Los servicios adaptativos también utilizan interfaces de servicios en línea para proporcionar servicios en línea . Las interfaces de servicios en línea son interfaces virtuales que residen en el motor de reenvío de paquetes.
Los servicios en línea solo se configuran en MPC mediante la convención si-fpc/pic/port de nomenclatura en lugar de la ms-fpc/pic/port convención de nomenclatura.
Servicios de última generación
Los servicios de próxima generación ofrecen las capacidades combinadas de los servicios de seguridad que le permiten inspeccionar, monitorear y manipular el tráfico a medida que transita por el enrutador. Los servicios de próxima generación son compatibles tanto en línea en los concentradores de puertos modulares (MPC) como con la tarjeta de servicios de seguridad MX-SPC3 en los enrutadores MX240, MX480 y MX960 que admiten esta función. Consulte la Tabla 2, que proporciona un resumen de los servicios de próxima generación que se admiten tanto en línea como en la tarjeta MX-SPC3. Se pueden usar al mismo tiempo los servicios en línea y basados en MX-SPC3.
Los servicios de última generación se configuran en la tarjeta de servicios de seguridad MX-SPC3 mediante la convención de nomenclatura de multiservicios virtuales : vms-fpc/pic/port.
Resumen de servicios admitidos en enrutadores universales 5G de la serie MX
En el Cuadro 2 se presenta un resumen de los servicios admitidos en los servicios de próxima generación.
| Servicios de próxima generación: Interfaz en línea (si-) y SPC3 |
||||
|---|---|---|---|---|
| Función de servicio |
Servicios en línea |
SPC3 |
||
| Versión de Junos OS |
Subservicio |
Versión de Junos OS |
Subservicio |
|
| CGNAT |
19.3R2 |
Básico-NAT44 y NAT66 TDR de destino estático Dos veces NAT44 Básico 6º Softwires NPTv6 |
19.3R2 |
Básico-NAT44 NAT66 básico NAT44 dinámico TDR de destino estático Básico-TDR-PT NAPT-PT NAPT44 NAPT66 Asignación de bloques de puerto Deterministic-nat44 y nat64 Mapeo independiente del punto final (EIM)/Filtrado independiente del punto final (EIF) TDR persistente: emparejamiento de grupos de aplicaciones (APP) Twice-NAT44: básico, dinámico y NAPT NAT64 XLAT-464 NPTv6 |
| 20.1R1 |
Protocolo de control de puertos (PCP): v1 y v2 |
|||
| 20.2R1 |
MAP-E |
DS-Lite NAT46 |
||
| Equilibrador de carga de tráfico |
19.3R2 |
19.3R2 |
||
| SecIntel (fuentes de amenazas de IP de ATP Cloud) |
19.3R2 |
N/A |
||
| Servicios de firewall de inspección de estado |
N/A |
19.3R2 |
||
| Servicios de detección de intrusiones (IDS) |
N/A |
19.3R2 |
||
| Filtrado de solicitudes de DNS |
N/A |
19.3R2 |
||
| Interfaces de multiservicios agregadas |
N/A |
19.3R2 |
||
| Alta disponibilidad entre chasis |
N/A |
19.3R2 |
CGNAT, firewall de inspección de estado, IDS |
|
| Filtrado de URL |
N/A |
20.1R1 |
||
| JFlow |
20.1R1 |
N/A |
||
| RPM y TWAMP |
20.1R1 |
N/A |
||
| Monitoreo de video |
20.1R1 |
N/A |
||
| IPsec VPN | N/A | 21.1R1 | VPN del sitio 2 basada en rutas VPN basadas en selector de tráfico VPN automática Protocolos de enrutamiento (BGP/OSPF) a través de IPsec |
|
| IPsec en línea | 24.2R1 | N/A | ||
Consulte Configurar VPN IPsec en la tarjeta de servicios MX-SPC3 para obtener más información sobre la compatibilidad con IPsec en la tarjeta de línea SPC3.
Documentación de servicios de última generación
Puede ejecutar servicios de próxima generación en los enrutadores MX240, MX480 y MX960 que admitan esta característica si tiene la tarjeta de servicios SPC3 instalada en el enrutador. Consulte nuestra biblioteca técnica para obtener toda la documentación del enrutador. Para servicios de próxima generación, consulte la siguiente documentación:
Para obtener información sobre los servicios de próxima generación y configurarlos, consulte Guía del usuario de interfaces de servicios de próxima generación para dispositivos de enrutamiento (esta guía).
Para obtener más información sobre cómo instalar o reemplazar la tarjeta SPC3, consulte Referencia del módulo de interfaz de la plataforma de enrutamiento universal 5G de la serie MX.
Para supervisar flujos y muestrear tráfico, consulte la Guía de funciones de interfaces de servicios de supervisión, muestreo y recopilación, en la que se describe cómo configurar la supervisión del flujo de tráfico, la captura de flujo de paquetes, el muestreo de tráfico para contabilización o descarte, la duplicación de puertos en un dispositivo externo y la supervisión del rendimiento en tiempo real.
Habilitación de servicios de próxima generación
Para ejecutar los servicios de próxima generación, debe habilitarlos en el enrutador. Esto permite que el sistema operativo ejecute su propio sistema operativo (SO) para servicios de próxima generación.
Hay pasos específicos que deberá seguir si va a migrar sus servicios de tarjetas de servicios heredados a SPC3. La CLI de servicios de última generación difiere de estos servicios heredados. Para obtener más información, consulte Diferencias de configuración entre los servicios adaptables y los servicios de próxima generación.
Compatibilidad con otras tarjetas de servicios
La tarjeta de servicios SPC3 es compatible de extremo a extremo con las estructuras de conmutación, los motores de enrutamiento y las tarjetas de línea MS-MPC, como se describe en la Tabla 3.
Estructura del conmutador |
Motor de ruta |
Tarjetas de línea MPC |
|---|---|---|
SCBE |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R |
MPC2E-3D MPC2-3D-NG MPC3E y MPC3E-3D-NG MPC4E-3D MPC-3D-16XGE |
SCBE2 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2E-3D MPC2-3D-NG MPC3E y MPC3E-3D-NG MPC4E-3D MPC5E y MPC5EQ MPC7E y MPC7EQ MPC-3D-16XGE |
| SCBE3 |
RE-S-1800X4-16G-BB RE-S-1800X4-16G-UPG-BB RE-S-1800X4-16G-S RE-S-1800X4-16G-R RE-S-1800X4-32G-BB RE-S-1800X4-32G-UB RE-S-1800X4-32G-S RE-S-1800X4-32G-R RE-S-X6-64G-BB RE-S-X6-64G-UB RE-S-X6-64G-S RE-S-X6-64G-R RE-S-X6-128G-S-BB RE-S-X6-128G-S-S RE-S-X6-128G-S-R |
MPC2-3D-NG MPC3E-3D-NG MPC4E-3D MPC5E y MPC5EQ MPC7E y MPC7EQ MPC-3D-16XGE MPC10E-10C MPC10E-15C |
Configuración de la tarjeta de servicios SPC3
Las interfaces en la tarjeta de servicios SPC3 se denominan PIC de multiservicio virtual (vms). Cuando configure una interfaz SPC3, especifique la interfaz como una vms- interfaz de la siguiente manera:
user@host# set services service-set service-set-name interface-service service-interface vms-slot-number/pic-number/0.logical-unit-number
Aparte de las diferencias de la CLI, debe tener en cuenta las diferencias básicas de hardware entre las tarjetas de tipo multiservicios (MS-CPC, MS-MPC y MS-MIC) y la tarjeta de servicios SPC3. Las tarjetas de tipo MS contienen cuatro complejos de CPU, mientras que la tarjeta SPC3, aunque es más potente, contiene dos complejos de CPU. Cada complejo de CPU da servicio a una única PIC, lo que significa que las tarjetas de tipo MS admiten cuatro PIC, mientras que la SPC3 admite dos PIC. Las tarjetas tipo MS utilizan PIC especiales de multiservicios (MS) y servicios adaptativos (AS), mientras que las PIC de la tarjeta SPC3 están integradas.
Dado que el número de PIC afecta directamente al número de interfaces, es posible que tenga que agregar unidades lógicas a cada interfaz en la SPC3 para aumentar el número de interfaces a cuatro. Por ejemplo, si actualmente usa las cuatro interfaces de la tarjeta tipo MS y tiene un conjunto de servicios por interfaz, puede crear dos unidades lógicas por interfaz en la SPC3 para elevar el número total de interfaces a cuatro y, luego, volver a asociar los cuatro conjuntos de servicios a estas cuatro interfaces lógicas.
Métodos para aplicar servicios al tráfico
Cuando configure servicios de próxima generación, puede aplicar esos servicios con cualquiera de los siguientes métodos:
Aplique los servicios configurados al tráfico que fluye a través de una interfaz determinada en el enrutador.
Aplique los servicios configurados al tráfico destinado a un próximo salto determinado.
Configurar VPN IPsec en una tarjeta de servicios SPC3
Para configurar IPsec en la tarjeta de servicio SPC3, utilice las instrucciones de configuración de la CLI en el nivel de jerarquía [edit security], ya que la configuración de la CLI IPsec en el [edit services] se sustituye por la configuración de la CLI en el nivel de jerarquía [edit security], como se muestra en la tabla 4
| Configuración MX actual | Equivalente a la configuración MX-SPC3 |
|---|---|
| establecer servicios ipsec-vpn traceoptions | Establecer seguridad ike traceoptions |
| establecer servicios IPsec-VPN Propuesta de IKE | Establecer propuesta de IKE de seguridad |
| Establecer servicios IPsec-VPN Política IKE | Establecer política de IKE de seguridad |
| establecer servicios ipsec-vpn política policy-name ike respond-bad-spi | establecer seguridad ike respond-bad-spi |
| establecer servicios ipsec-vpn propuesta de ipsec | Establecer propuesta de IPsec de seguridad |
| establecer servicios ipsec-vpn política ipsec | Establecer política IPsec de seguridad |
| Establecer término term-name de regla rule-name ipsec-VPN de servicios desde [dirección-origen| dirección-destino] | set security ipsec vpn vpn-name traffic-selector selector-name [local-ip | remote-ip] |
| Establecer servicios IPsec-VPN término term-name de regla rule-name desde IPsec-inside-Interface | establecer seguridad ipsec vpn vpn-name bind-interface |
| establecer servicios ipsec-vpn término de term-name regla rule-name y luego puerta de enlace remota | establecer seguridad dirección de puerta de enlace gw-name ike |
| establezca el término term-name de la regla rule-name ipsec-vpn de los servicios y, luego, backup-remote-gateway | establecer seguridad dirección de puerta de enlace gw-name ike |
| establezca el término term-name de la regla rule-name ipsec-vpn de servicios y, luego, la detección de pares inactivos | establecer seguridad puerta de enlace gw-name ike detección dead-peer-peer |
| Establezca el término term-name de la regla rule-name ipsec-VPN de los servicios y, luego, la política dinámica de IKE | establecer seguridad puerta de enlace gw-nameike ike-policy |
| establecer servicios ipsec-vpn término term-name de regla rule-name y, luego, ipsec-policy dinámico | establecer seguridad ipsec vpn vpn-name ike ipsec-policy |
| Establecer servicios IPsec-VPN Término term-name de regla rule-name y luego manual | Establecer seguridad IPsec VPN vpn-name manual |
| establecer servicios ipsec-vpn término de term-name regla rule-name y luego clear-don-t-fragment-bit | establecer seguridad ipsec vpn vpn-name df-bit clear |
| Establezca el término term-name de la regla rule-name ipsec-VPN de los servicios y, luego, copie no fragmente el bit | set security ipsec vpn vpn-name df-bit copy |
| establecer servicios ipsec-vpn término de term-name regla rule-name y, luego, set-don-t-fragment-bit | set security ipsec vpn vpn-name df-bit copy |
| establecer servicios ipsec-vpn término de regla rule-name term-name then túnel-mtu | set security vpn ipsec vpn-name túnel-mtu |
| establecer servicios ipsec-vpn término de term-name regla rule-name y luego no-anti-replay | set security ipsec vpn vpn-name ike no-anti-replay |
| establecer servicios ipsec-vpn rule rule-name match-direction | establecer seguridad IPsec VPN vpn-namematch-direction |
| establecer servicios ipsec-vpn establecer-túneles | establecer seguridad ipsec vpn vpn-namesetless-tunnels |
| set services service-set svc-set-name ipsec-vpn-options puerta de enlace local address | Establecer seguridad IPsec VPN vpn-namepuerta de enlace IKE gateway-name |
| set services service-set svc-set-name ipsec-vpn-options clear-don't-fragment-bit | Sin configuración global de conjunto de servicios. Debe configurarse por objeto vpn. |
| set services service-set svc-set-name ipsec-vpn-options copy-don't-fragment-bit | Sin configuración global de conjunto de servicios. Debe configurarse por objeto vpn. |
| set services service-set svc-set-name ipsec-vpn-options set-don't-fragment-bit | Sin configuración global de conjunto de servicios. Debe configurarse por objeto vpn. |
| set services service-set svc-set-name ipsec-vpn-options encapsulado udp | set security ipsec vpn vpn-nameudp-encapsulate |
| set services service-set svc-set-name ipsec-vpn-options no-anti-replay | Sin configuración global de conjunto de servicios. Debe configurarse por objeto vpn. |
| set services service-set svc-set-name ipsec-vpn-options túnel modo pasivo | establecer seguridad ipsec vpn vpn-name modo pasivo túnel |
| set services service-set svc-set-name ipsec-vpn-options túnel-mtu | Sin configuración global de conjunto de servicios. Debe configurarse por objeto vpn. |
| set services service-set svc-set-name ipsec-vpn-rules | set services service-set svc-set-name ipsec-vpn-rules |
| establecer servicios ipsec-vpn rule <rule-name> término <term-name> luego túnel-MTU | set security ipsec vpn <vpn-name> túnel-mtu |
Descripción de la UMT de túnel
La UMT para st0 se encuentra en el nivel de interfaz. Con la función de UMT de túnel, logramos una UMT a nivel de túnel. Con la función Tunnel-UMT podemos configurar UMT en el nivel de objeto VPN. Puede configurar túnel-mtu para controlar la UMT del túnel; si st0 UMT o IFL UMT no está configurado, afectará el comportamiento de la UMT. La UMT mínima de túnel que puede configurar para el tráfico IPv6 es 1390.
La característica UMT de túnel no se admite en PMI (modo de alimentación IPSec). La configuración tunnel-mtu se encuentra en el jerarca VPN y no en el nivel del selector de tráfico, por lo tanto, la configuración túnel-mtu se aplica a todos los túneles (todos los TS) que pertenecen a esa VPN. El cambio en la configuración de la UMT del túnel se considera un cambio catastrófico (elimina el túnel existente). El cambio de configuración de no-icmp-packet-too-big no se considera catastrófico.
La prefragmentación se realiza teniendo en cuenta la sobrecarga del túnel IPsec de la configuración mínima de UMT del túnel o AMS fuera de la UMT de IFL. La fragmentación posterior requiere que se establezca UMT en la interfaz externa y los contadores IPsec correspondientes no se incrementan para el tráfico de salida. La fragmentación posterior la realiza IOC y no la tarjeta MX-SPC3. En MX-SPC3, la UMT st0 predeterminada para inet y la familia inet6 es 9192, no hay ningún valor predeterminado para la configuración de túnel-mtu en la jerarquía VPN. Los paquetes IPv6 se fragmentan en el host de origen y no en los enrutadores intermedios, por lo que la prefragmentación no se aplica a los paquetes IPv6.
En el caso de los paquetes IPv4, la prefragmentación, la posfragmentación y el error ICMP Fragmentation needed and DF set se producen en los siguientes casos:
- Cuando la longitud interna del paquete es menor que la diferencia entre la MTU del túnel y la sobrecarga del túnel, no se produce fragmentación.
- Cuando la longitud interna del paquete es mayor que la diferencia de túnel-MTU y túnel sobrecarga y no se establece el bit DF del paquete interno, se produce la prefragmentación.
- Cuando la longitud interna del paquete es mayor que la diferencia de la sobrecarga del túnel y el túnel, y el bit DF del túnel externo no está establecido, se produce la encapsulación y la fragmentación posterior.
- Cuando la longitud del paquete interno es mayor que la diferencia entre la MTU del túnel y la sobrecarga del túnel, y se establecen tanto el bit DF del paquete interno como el bit DF del túnel externo, se descarta el paquete y se devuelve el error ICMP
Fragmentation Needed and DF Set.
En el caso de los paquetes IPv6, la prefragmentación, la postfragmentación y el error ICMP Packet Too Big se producen en los siguientes casos:
- Cuando la longitud interna del paquete es menor que la diferencia entre la MTU del túnel y la sobrecarga del túnel, no se produce fragmentación.
- Cuando la longitud interna del paquete es mayor que la diferencia de la sobrecarga del túnel y el túnel, y el bit DF del túnel externo no está establecido, se produce la encapsulación y la fragmentación posterior.
- Cuando la longitud interna del paquete es mayor que la diferencia de la sobrecarga del túnel y el túnel, y se establece el bit DF del túnel externo, el paquete se descarta y, si
no-icmp-packet-too-bigno se establece, se envía un error ICMPPacket Too Big. - Cuando la longitud interna del paquete es mayor que la diferencia de la sobrecarga del túnel y el túnel, y se establece el bit DF del túnel externo, el paquete se descarta y, si
no-icmp-packet-too-bigse establece, no se envía el error ICMPPacket Too Big
Diferencia entre st0 UMT y UMT de túnel
- La UMT de túnel está en un nivel diferente en comparación con la UMT st0.
- st0 UMT es una UMT a nivel de interfaz y la característica de UMT de túnel logra una UMT a nivel de túnel
- En MX-SPC3, PFE comprueba st0 mtu para fragmentar o descartar el paquete. Por lo tanto, el paquete no llega a flowd o IPsec y no tendrá ningún control sobre la acción de la UMT.
- El valor de configuración de la VPN túnel-mtu es menor que la UMT st0.