Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Diferencias de configuración entre los servicios adaptables y los servicios de última generación en el MX-SPC3

Visión general

Los servicios de próxima generación en MX-SPC3 requieren que configure servicios de manera diferente a lo que está acostumbrado con los servicios adaptables, que se ejecutan en tarjetas tipo MS (MS-MPC, MS-MIC y MS-DPC). La configuración de la tarjeta de servicios MX-SPC3 se alinea más estrechamente con la forma en que configura la puerta de enlace de servicios serie SRX. Una vez que esté familiarizado con este enfoque más unificado, debería poder configurar los servicios en estas dos plataformas de una manera más fluida, lo que, en última instancia, se traduce en menos sobrecarga de capacitación y menor riesgo de errores de configuración.

Además de las diferencias de CLI, debe tener en cuenta las diferencias básicas de hardware entre las tarjetas del tipo de multiservicios (MS-DPC, MS-MPC y MS-MIC) y la tarjeta de servicios MX-SPC3. Las tarjetas tipo MS contienen cuatro complejos de CPU, mientras que la MX-SPC3, aunque más potente, contiene dos complejos de CPU. Cada CPU compleja ofrece una sola PIC, lo que significa que las tarjetas tipo MS admiten cuatro PIC, mientras que la MX-SPC3 admite dos PIC. Las tarjetas tipo MS usan PIC multiservicios especiales (MS) y pic de servicios adaptables (AS), mientras que las PIC de la tarjeta MX-SPC3 están integradas.

Dado que la cantidad de PIC afecta directamente al número de interfaces (Tabla 1), es posible que deba agregar unidades lógicas a cada interfaz en mx-SPC3 para aumentar el número de interfaces a cuatro. Por ejemplo, si actualmente usa las cuatro interfaces en la tarjeta de tipo MS y tiene un conjunto de servicios por interfaz, puede crear dos unidades lógicas por interfaz en MX-SPC3 para llevar el número total de interfaces a cuatro y, luego, volver a asociar los cuatro conjuntos de servicios a estas cuatro interfaces lógicas.

Tabla 1: Diferencias de hardware: Tarjetas tipo MS versus tarjeta MX-SPC3

Tarjetas MS

MX-SPC3

Número de complejos de CPU

4

2

Número de PIC por complejo de CPU

1

1

Número de interfaces por PIC

1

1

Número total de interfaces en la tarjeta

4

2

Nota:

Consulte la Referencia del módulo de interfaz de plataforma de enrutamiento universal serie MX 5G para obtener más información sobre el hardware MX-SPC3.

En las siguientes secciones, se proporciona una descripción general de las diferencias básicas de configuración entre los servicios en las tarjetas tipo MS y los servicios en la tarjeta MX-SPC3. La intención de estas secciones es ayudarlo a empezar mediante el uso de ejemplos básicos para ilustrar los cambios principales. Estos ejemplos muestran un subconjunto de las opciones de configuración de la CLI y no reemplazan el tratamiento más formal del tema que se encuentra en la Guía del usuario de interfaces de servicios de próxima generación para dispositivos de enrutamiento y la Guía de referencia de CLI de Junos OS.

Los ejemplos de configuración de estas secciones se presentan en paralelo para que pueda ver fácilmente las diferencias entre los dos. Los ejemplos están diseñados para mostrarle cómo configurar las funciones de tarjeta de tipo MS existentes en el MX-SPC3. Los ejemplos no pretenden mostrar cómo configurar las nuevas funciones que solo se encuentran en MX-SPC3. Para obtener legibilidad y facilidad de comparación, el orden de las instrucciones presentadas puede diferir ligeramente del orden real de las instrucciones que se muestran en la CLI.

Si tiene un gran conjunto de servicios adaptables existentes, reconocemos que estos cambios podrían ser un inconveniente para usted. Para ayudarlo a migrar de tarjetas tipo MS a MX-SPC3, le sugerimos que proceda de la siguiente manera:

  • Vea los ejemplos de esta guía para obtener una vista general de los cambios necesarios.

  • Vea el conjunto de ejemplos de configuración en el artículo de la base de conocimiento KB35348.

  • Consulte esta guía y la Guía de referencia de la CLI de Junos OS para comprender todas las características, las opciones de configuración y la sintaxis.

  • Comuníquese con JTAC para obtener ayuda con su migración.

No es necesario realizar estos cambios de configuración si continúa ejecutando servicios adaptables en las tarjetas de tipo MS. Sin embargo, una vez que implemente el MX-SPC3 en un enrutador, debe reemplazar todas las tarjetas tipo MS en ese enrutador y reconfigurar sus servicios para que se alineen con el paradigma de configuración de servicios de próxima generación.

Interfaces

Las tarjetas de tipo MS usan la convención ms-1/0/0de nomenclatura de interfaz, mientras que se especifican interfaces MX-SPC3 mediante el uso de multiservicios virtuales o vms-1/0/0 convención de nomenclatura de interfaz. No se realizan cambios en los nombres de ams las interfaces.mams

Además, varios parámetros que se configuran en services-options una ms interfaz se configuran service-set-options en en un conjunto de servicios.

En la tabla 2 se muestran ejemplos de estos cambios.

Tabla 2: Interfaces y opciones de servicio

Tarjetas tipo MS

MX-SPC3

[edit interfaces]
ms-5/1/0 {
    <...>
}
[edit interfaces]
# Change interface name to vms.
vms-5/1/0 {
    <...>
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        open-timeout 40;
        close-timeout 40;
        inactivity-tcp-timeout 10;
        inactivity-asymm-tcp-timeout 10;
        tcp-tickles 8;
        ignore-errors tcp;
    }
}
[edit services]
service-set sset1 {
    service-set-options {
        # Set tcp parameters under tcp-session.
        tcp-session {
            open-timeout 40;
            close-timeout 40;
            inactivity-tcp-timeout 10;
            inactivity-asymm-tcp-timeout 10;
            tcp-tickles 8;
            ignore-errors tcp;
        }
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        inactivity-non-tcp-timeout 40;
        session-timeout 10;
    }
}
[edit services]
service-set sset1 {
    # Set non-tcp parameters directly under 
    # service-set-options.
    service-set-options {
        inactivity-non-tcp-timeout 40;
        session-timeout 10;
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        fragment-limit 32;
        reassembly-timeout 3;
    }
}

Estos parámetros se codifican de la siguiente manera:

  • límite de fragmentos 62

  • tiempo de espera de reensamblación 2

[edit interfaces]
ms-5/1/0 {
    services-options {
        session-limit {
            maximum 100;
            cpu-load-threshold 12;
            rate 10;
        }
    }
}
[edit services]
# Maximum number of sessions can be 
# specified per service-set.
service-set sset1 {
    service-set-options {
        session-limit {
            maximum 100;
        }
    }
}
[edit interfaces]
# All session-limit parameters continue to be 
# configurable per interface. If the maximum
# number of sessions is different from the associated 
# service-set, the smaller number takes effect.
vms-5/1/0 {
    services-options {
        session-limit {
            maximum 100;
            cpu-load-threshold 12;
            rate 10;
        }
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        pba-interim-logging-interval 10;
    }
}
[edit interfaces]
# Set interim-logging-interval under the nat branch.
nat {
    source {
        pool src-pool {
            port {
                block-allocation {
                    interim-logging-interval 10;
                }
            }
        }
[edit interfaces]
ms-5/1/0 {
    services-options {
        syslog {
            host {
                <...>
            }
        }
    }
}

Consulte service-set syslog stream host.

[edit interfaces]
ms-5/1/0 {
    services-options {
        syslog {
            message-rate-limit 10;
        }
    }
}
[edit services]
service-set sset1 {
    syslog {
        event-rate 10;
    }
}
[edit interfaces]
ms-5/1/0 {
    services-options {
        ignore-errors alg;
        disable-global-timeout-override;
        trio-flow-offload {
            minimum-bytes 1000;
        }
    }
}

No compatible

Conjunto de servicios

La tabla 3 muestra cambios menores en la forma en que se configuran algunos service-set parámetros.

Tabla 3: Conjunto de servicios

Tarjetas tipo MS

MX-SPC3

[edit services]
service-set sset1 {
    tcp-mss 1460;
    service-set-options {
        tcp-non-syn drop-flow-send-rst;
        tcp-fast-open drop;
    }
}
[edit services]
service-set sset1 {
    service-set-options {
        # Set tcp parameters under tcp-session.
        tcp-session {
            tcp-mss 1460;
            tcp-non-syn drop-flow-send-rst;
            tcp-fast-open drop;
        }
    }
}
[edit services]
service-set sset1 {
    replicate-services {
        replication-threshold 180;
    }
}
[edit interfaces]
# Set replication-threshold on the interface.
vms-5/1/0 {
    redundancy-options {
        replication-threshold 180;
    }
}
[edit services]
service-set sset1 {
    syslog {
        host 10.1.1.1 {
            port 514;
        }
    }
}
[edit services]
service-set sset1 {
    syslog
        # Process security logs in the dataplane.
        mode stream;
        stream s1 {
            # Specify host to send security logs to.
            host {
                10.1.1.1;
                port 514;
            }
        }
    }
}
[edit services]
service-set sset1 {
    syslog {
        host local;
    }
}
[edit services]
service-set sset1 {
    syslog
        # Process security logs in the control plane,
        # saving logs to local file specified by rtlog.
        mode event;
    }
}
rtlog {
    traceoptions {
        # Specify filename for logs.
        file rtlog size 1g;
        flag all;
    }
}
[edit services]
service-set sset1 {
    service-order  <...>
}

La orden de servicio es fija.

[edit services]
service-set sset1 {
    sampling-service  <...>
}

El registro de J-Flow se admite en línea.

[edit services]
service-set sset1 {
    tag-rule-sets <...>
    tag-rules  <...>
    hcm-profile  <...>
    hcm-url-rule-sets  <...>
    hcm-url-rules  <...>
    service-set-options {
        bypass-traffic-on-pic-failure;
    }
}

Actualmente no compatible

Firewall de estado

Reglas y políticas

Las reglas de firewall de estado en MX-SPC3 se estructuran de manera ligeramente diferente a las reglas de firewall de estado para los servicios en las tarjetas de tipo MS. En el MX-SPC3, se adjuntan las reglas dentro de un policies contenedor y se definen los términos y acciones de coincidencia para la regla en una policy contenida en la regla.

Al igual que un servicio de firewall con estado en la tarjeta de tipo MS, se crea un conjunto de servicios para asociar una interfaz con un conjunto de reglas. Un conjunto de reglas contiene referencias a una o más reglas. Las reglas se aplican secuencialmente en el orden en que se enumeran hasta que se produce una coincidencia y se realiza una acción.

Cada regla contiene uno o más pares de términos y acciones de coincidencia. En el MX-SPC3, cada par de términos y acciones de coincidencia se denomina política. Las políticas se aplican secuencialmente en el orden en que se especifican hasta que se produce una coincidencia y se realiza una acción.

En la tabla 4, se muestran las diferencias de configuración entre las reglas de estado del firewall en la tarjeta MS y la MX-SPC3. En particular, tenga en cuenta las diferentes definiciones de las permitacciones /deny/reject .

Tabla 4: Reglas y políticas de firewall con estado

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set s1 {
    stateful-firewall-rule-sets rule-set-basic-sfw;
    interface-service {
        service-interface ms-1/1/0;
    }
}
service-set s1 {
    stateful-firewall-rule-sets rule-set-basic-sfw;
    interface-service {
        service-interface vms-1/1/0;
    }
}
stateful-firewall {
# Enclose stateful firewall rules within the policies wrapper.
policies { 
    rule Rule1 {
        match-direction input;
        term ping-https-apps {
            from {
                source-address {
                    any
                }
                destination-address {
                    any
                }
                applications [junos-icmp-ping junos-https];
            }
            then {
                accept/reject/discard
                skip-ids;
                syslog;
            }
        }
        term accept {
            then {
                accept;
            }
        }
    } # end Rule1
    stateful-firewall-rule Rule1 {
        match-direction input;
        # Define match terms and actions in a policy.
        policy ping-https-apps { 
            # Unlike the from statement, the match statement (and
            # source-address, destination-address, and application)
            # are mandatory.
            match {
                source-address any;
                destination-address any;
                application [ junos-icmp-ping  junos-https ];
            }
            then {
                # permit = allow
                # deny = silently drop
                # reject = drop and send ICMP unreachable or TCP RST
                permit/deny/reject
                # skip-ids is not supported. One possible way of 
                # achieving this same goal is to create two 
                # service-sets, one with IDS and one without IDS, 
                # and route your next-hop-service
                # traffic to the desired service set via the associated
                # inside or outside interface.
                log;
            }
        }
        policy accept { 
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    } # end Rule1
    rule Rule2 {
        match-direction output;
        term local {
            from {
                source-address {
                    10.1.3.2/32;
                }
                application-sets APPL-SET1;
            }
            then {
                accept;
            }
        }
    } # end Rule2
    stateful-firewall-rule Rule2 {
        match-direction output;
        policy local {
            match {
                source-address 10.1.3.2/32;
                destination-address any;
                # application can refer to an application set.
                application APPL-SET1;
            }
            then {
                permit;
            }
        } 
        
    } # end Rule2
    rule-set rule-set-basic-sfw {
        rule Rule1;
        rule Rule2;
    }
} # end stateful-firewall
    # Use the stateful-firewall-rule-set element to list the 
    # firewall rules in the order that you want them applied. 
    stateful-firewall-rule-set rule-set-basic-sfw {
        stateful-firewall-rule Rule1;
        stateful-firewall-rule Rule2;
    }
} # end policies

Listas de direcciones y rangos

Las reglas de firewall de estado pueden contener términos de coincidencia que hacen referencia a rangos de direcciones y listas.

En la tarjeta MS, utilice source-address-range y destination-address-range elementos para especificar rangos de direcciones y prefix-list elementos en policy-options para especificar listas de direcciones. El prefix-list elemento no se usa únicamente para reglas de firewall de estado. También se usa el prefix-list elemento para especificar listas de direcciones para su uso dentro de las políticas de enrutamiento.

En el MX-SPC3, el prefix-list elemento no se utiliza para reglas de firewall con estado. Utilice un bajo address-book services para definir listas de direcciones y rangos para su uso dentro de reglas de firewall con estado. El prefix-list elemento aún existe, pero se utiliza exclusivamente para políticas de enrutamiento. Por lo tanto, debe configurar ambos address-book y prefix-list elementos si está especificando listas de direcciones para reglas de firewall con estado y listas de direcciones para políticas de enrutamiento.

En la tabla 5 , se muestran las diferencias entre cómo se especifican las direcciones para las reglas de firewall de estado en la tarjeta MS y mx-SPC3.

Tabla 5: Direcciones

Tarjeta MS

MX-SPC3

[edit]
policy-options {
    prefix-list p1 {
        10.1.22.45/32;
        192.168.0.11/32;
    }
}
[edit services]
    stateful-firewall {
        rule sfw-rule {
            match-direction input;
            term banned-addresses {
                from {
                    source-prefix-list {
                        p1;
                    }
                    source-address-range {
                        low 10.1.22.100 high 10.1.22.109;
                    }
                }
                then {
                    reject;
                    syslog;
                }
            }
        <...>
[edit services]
# Define address lists and address ranges in an address book.
address-book {
    global {
        address-set p1 {
            address p1-a;
            address p1-b;
        }
        address p1-a 10.1.22.45/32;
        address p1-b 192.168.0.11/32;
        address p2 { 
            address-range 10.1.22.100/32 {
                to {
                    10.1.22.109/32;
                }
            } 
        } 
    } 
} # end address-book
policies { 
    stateful-firewall-rule sfw-rule {
    match-direction input;
        policy banned-addresses { 
            match {
                # Refer to the addresses defined in the address book.
                source-address [ p1 p2 ];
                destination-address any;
                application any;
            }
            then {
                deny;
                log;
            }
        <...>

Aplicaciones

Mx-SPC3 admite más aplicaciones integradas de Junos que la tarjeta MS. Puede hacer coincidir en estas aplicaciones integradas cuando crea una regla de firewall de estado.

Para ver la lista completa de aplicaciones integradas, utilice el comando del modo de show groups junos-defaults applications configuración. Por ejemplo:

Traceoptions y contadores

Los firewalls de estado para servicios de última generación en MX-SPC3 admiten capacidades adicionales para ayudar a depurar y contar el tráfico:

  • traceoptions - Utilice para rastrear eventos relacionados con políticas, como búsquedas de políticas y eventos basados en reglas. Los eventos se capturan en el archivo especificado para su visualización.

  • count - Se utiliza para contar eventos relacionados con el tráfico, como los bytes y paquetes entrantes y salientes. Vea los contadores mediante los comandos show:

    • show services policies detail - el resultado incluye contadores relacionados con el tráfico cuando se especifica la opción en la count política

    • show services policies hit-count - el recuento de acierto siempre está disponible, independientemente de si utiliza o no la count opción en su política

En la tabla 6 se muestra cómo utilizar los traceoptions elementos y count :

Tabla 6: Traceoptions and Count

Tarjeta MS

MX-SPC3

No compatible

[edit services]
policies { 
# Enable traceoptions to trace policy-related events.
    traceoptions {
        file policylogs size 10m files 5;
        flag all;
    }
    stateful-firewall-rule Rule1 {
        match-direction input;
        policy my-policy { 
            match {
                source-address any;
                destination-address any;
                application [ junos-dns-udp junos-dns-tcp ];
            }
            then {
                permit
                # Enable counting of traffic events.
                count;
            }
        } # end my-policy
    ...

Traducción de direcciones de red carrier grade (CGNAT)

Configurar TDR para servicios de próxima generación en mx-SPC3 es diferente de configurar TDR en servicios heredados en la tarjeta MS de varias maneras:

  • En el MX-SPC3, se configura el TDR de origen por separado del TDR de destino. Configurar TDR de origen en la rama de origen del árbol de configuración y TDR de destino en la rama de destino del árbol de configuración. El TDR de origen y el TDR de destino tienen sus propios conjuntos de direcciones y reglas en su rama respectiva del árbol de configuración.

  • En el MX-SPC3, si configura tanto TDR de origen como TDR de destino, se aplica primero el TDR de destino y, luego, el TDR de origen se aplica al resultado traducido de TDR de destino. En otras palabras, se escribe la regla TDR de origen no basada en el paquete original, sino en el resultado traducido del TDR de destino.

  • En el MX-SPC3, no configure explícitamente una translation-type. El tipo de traducción está determinado implícitamente por su configuración.

  • En mx-SPC3, la traducción de puerto es el comportamiento predeterminado de las asignaciones dinámicas (en las que diferentes direcciones previas a TDR pueden asignarse a la misma dirección post-NAT con el tiempo). Si no incluye explícitamente la port instrucción en una definición de agrupación, la traducción de puerto se realiza con un intervalo de puertos [1024, 65535], y el puerto se selecciona de forma rotativa. Si no desea que se lleve a cabo la traducción de puerto, debe agregar una port instrucción con la no-translation opción. Este valor predeterminado no se aplica a las asignaciones estáticas en las que una dirección anterior a TDR siempre se asigna a la misma dirección posterior a TDR.

En la tabla 7 a la tabla 19 se muestran ejemplos de cómo se configuran los distintos tipos de traducción en la MX-SPC3.

Tabla 7: Ejemplo: Basic-NAT44

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-basic-nat44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-basic-nat44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
    }
    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            # host-address-base indicates a type of static mapping 
            # where the base address 10.45.1.0/32 maps to the 
            # lowest address in the pool, namely 10.10.10.0/32,
            # and the other addresses map sequentially from there
            # e.g. 10.45.1.1 maps to 10.10.10.1, and so on.
            # Since this is a static mapping, there is no port translation
            # by default.
            # Note that host-address-base does not have to be the 
            # lowest address allowed by the subsequent source rule. 
            # Any packet with a source address allowed by the source rule
            # but is lower than the host-address-base is discarded. 
            host-address-base 10.45.1.0/32;
        }
    rule rule-basic-nat44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.45.1.0/24
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        basic-nat44;
                    }
                }
            }
        }
    }
        rule-set rule-basic-nat44 {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.45.1.0/24;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabla 8: Ejemplo: Basic-NAT66

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-basic-nat66;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-basic-nat66;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 2001:DB8:2222::0/128;
    }
    
        pool src-pool {
            address {
                2001:DB8:2222::0/128;
            }
        }
    rule rule-basic-nat66 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    2001:DB8:1111::0/128;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        basic-nat66;
                    }
                }
            }
        }
    }
        rule-set rule-basic-nat66 {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::0/128;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabla 9: Ejemplo: Dynamic-NAT44

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-dynamic-nat44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-dynamic-nat44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address-range low 10.10.10.2 high 10.10.10.10;
    }
    
        pool src-pool {
            address {
                10.10.10.2/32 to 10.10.10.10/32;
            }
            # Since this is implicitly a dynamic mapping, 
            # there is port translation by default , so we need to
            # explictly specify that we don’t want port translation.
            port {
                no-translation;
            }
        }
    rule rule-dynamic-nat44 {
        match-direction input;
        term t0 {
            from {
                applications junos-icmp-all;
            }
            then {
                no-translation;
            }
        }
        term t1 {
            from {
                destination-address {
                    10.99.0.2/32;
                }
                source-address-range {
                    low 10.45.0.2 high 10.45.0.10;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        dynamic-nat44;
                    }
                }
            }
        }
    }
        rule-set rule-dynamic-nat44 {
            match-direction input;
            rule r0 {
                match {
                    source-address 0.0.0.0/32;
                    application junos-icmp-all;
                }
                then {
                    source-nat {
                        off;
                    }
                }
            }
            rule r1 {
                match {
                    source-address-name addr1;
                    destination-address 10.99.0.2/32;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat

address-book {
    global {
        address addr1 {
            address-range 10.45.0.2/32 {
                to {
                    10.45.0.10/32;
                }
            }
        }
    }
}
Tabla 10: Ejemplo: NAPT-44

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-napt44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-napt44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
        port {
            automatic;
        }
    }

    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            # Since this is implicitly a dynamic mapping,
            # and there is no explicit port statement
            # to indicate otherwise, the default port 
            # mapping behavior takes effect.
        }
    

    rule rule-napt44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.45.1.0/24
                }
                application-sets accept-algs;
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        napt44;
                    }
                }
            }
        }
    }
    
        rule-set rule-napt44 {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.45.1.0/24;
                    application accept-algs;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabla 11: Ejemplo: napt-66

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-napt66;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-napt66;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 2001:DB8:2222::0/112;
        port {
            range low 20000 high 30000;
        }
    }

    
        pool src-pool {
            address {
                2001:DB8:2222::0/112;
            }
            port {
                range {
                    20000;
                    to {
                        30000;
                    }
                }
            }
        }
    

    rule rule-napt66 {
        match-direction input;
        term t1 {
            from {
                source-address {
                     2001:DB8:1111::0/96;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        napt66;
                    }
                }
            }
        }
    }
    
        rule-set rule-napt66 {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::0/96;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabla 12: Ejemplo: NAT-44 determinista

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-dnat-44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-dnat-44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    destination {

    pool dest-pool {
        address 10.10.10.2/32;
    }
    
        pool dest-pool {
            address {
                10.10.10.2/32;
            }
        }
    rule rule-dnat-44 {
        match-direction input;
        term t1 {
            from {
                destination-address {
                    10.45.0.2/32
                }
            }
            then {
                translated {
                    destination-pool dest-pool;
                    translation-type {
                        dnat-44;
                    }
                }
            }
        }
    }
        rule-set rule-dnat-44 {
            match-direction input;
            rule r1 {
                match {
                    destination-address 10.45.0.2/32;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end destination
} # end nat
Tabla 13: Ejemplo: Stateful-NAT464

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-stateful-nat464;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-stateful-nat464-src;
    nat-rule-sets rule-stateful-nat464-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
        port {
            automatic;
        }
    }
    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            port {
                automatic {
                    round-robin;
                }
            }
        }
    rule rule-stateful-nat464 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    2001:DB8:1111::0/96;
                }
                destination-address {
                    2001:DB8:2222::0/96;
                }
                applications [junos-icmp-all junos-icmp-ping junos-traceroute junos-traceroute-ttl 1];
            }
            then {
                translated {
                    source-pool src-pool;
                    clat-prefix 2001:DB8:1111::0/96;
                    destination-prefix 2001:DB8:2222::0/96;
                    translation-type {
                        stateful-nat464;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-stateful-nat464-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::0/96;
                    # Since destination NAT happens first, the 
                    # destination IPv6 prefix has  been stripped off, 
                    # resulting in an IPv4 destination address.
                    destination-address 0.0.0.0/32;
                    application [junos-icmp-all junos-icmp-ping junos-traceroute junos-traceroute-ttl 1];
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                            }
                        clat-prefix 2001:DB8:1111::0/96;
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    # This destination rule applies before the source rule.
        rule-set rule-stateful-nat464-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 2001:DB8:2222::0/96;
                }
                then {
                    destination-nat {
                        destination-prefix 2001:DB8:2222::0/96;
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabla 14: Ejemplo: Stateful-NAT64

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-stateful-nat64;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-stateful-nat64-src;
    nat-rule-sets rule-stateful-nat64-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
        port {
            automatic;
                random-allocation;
            }
        }
        mapping-timeout 500;
    }
    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            port {
                automatic {
                    random-allocation;
                }
            }
            mapping-timeout 500;
        }
    rule rule-stateful-nat64 {
        match-direction input;
        term t1 {
            from {
                destination-address {
                    2001:DB8:2222::0/64;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-prefix 2001:DB8:2222::0/64;
                    translation-type {
                        stateful-nat64;
                    }
                }
            }
        }
        term t2 {
            from {
                destination-address {
                    2001:DB8:3333::0/64;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-prefix 2001:DB8:3333::0/64;
                    translation-type {
                        stateful-nat64;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-stateful-nat64-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 0::0/128;
                    # Since destination NAT applies first, the 
                    # destination address is now IPv4.
                    destination-address 0.0.0.0/32;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    # This destination rule applies before the source rule.
        rule-set rule-stateful-nat64-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 2001:DB8:2222::0/64;
                }
                then {
                    destination-nat {
                        destination-prefix 2001:DB8:2222::0/64;
                    }
                }
            }
            rule r2 {
                match {
                    destination-address 2001:DB8:3333::0/64;
                }
                then {
                    destination-nat {
                        destination-prefix 2001:DB8:3333::0/64;
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabla 15: Ejemplo: Twice-Basic-NAT-44

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-twice-basic-nat-44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-twice-basic-nat-44-src;
    nat-rule-sets rule-twice-basic-nat-44-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.98.10.0/24;
    }
    pool dest-pool {
        address 10.99.10.0/24;
    }
    
        pool src-pool {
            address {
                10.98.10.0/24;
            }
            # host-address-base indicates a type of static mapping where
            # the base address 10.10.10.0/32 maps to the lowest 
            # address in the pool, namely 10.98.10.0/32,
            # and the other addresses map sequentially from there
            # e.g. 10.10.10.1 maps to 10.98.10.1, and so on.
            # Since this is a static mapping, there is no port translation 
            # by default.
            # Note that host-address-base does not have to be the 
            # lowest address allowed by the subsequent source rule. 
            # Any packet with a source address allowed by the source rule
            # but is lower than the host-address-base is discarded. 
            host-address-base 10.10.10.0/32;
        }
    rule rule-twice-basic-nat-44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.10.10.0/24;
                }
                destination-address {
                    10.20.10.0/24;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-pool dest-pool;
                    translation-type {
                        twice-basic-nat-44;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-twice-basic-nat-44-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.10.10.0/24;
                    # Since destination NAT happens first, the destination
                    # address refers to the NAT’d address.
                    destination-address 10.99.10.0/24;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            address {
                10.99.10.0/24;
            }
        }

    # This destination rule applies before the source rule.
        rule-set rule-twice-basic-nat-44-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 10.20.10.0/24;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabla 16: Ejemplo: Dos veces-Dynamic-NAT-44

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-twice-dynamic-nat-44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-twice-dynamic-nat-44-src;
    nat-rule-sets rule-twice-dynamic-nat-44-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.98.10.0/24;
    }
    pool dest-pool {
        address 10.99.10.0/24;
    }
    
        pool src-pool {
            address {
                10.98.10.0/24;
            }
            port {
                no-translation;
            }
        }
    rule rule-twice-dynamic-nat-44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.10.10.0/24;
                }
                destination-address {
                    10.20.10.0/24;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-pool dest-pool;
                    translation-type {
                        twice-dynamic-nat-44;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-twice-dynamic-nat-44-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.10.10.0/24;
                    # Since destination NAT happens first, the destination
                    # address refers to the NAT’d address.
                    destination-address 10.99.10.0/24;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            # By default, address mapping in destination pools is static.
            address {
                10.99.10.0/24;
            }
        }

    # This destination rule applies before the source rule.
        rule-set rule-twice-dynamic-nat-44-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 10.20.10.0/24;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabla 17: Ejemplo: Twice-NAPT-44

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-twice-napt-44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-twice-napt-44-src;
    nat-rule-sets rule-twice-napt-44-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.98.10.0/24;
        port {
            automatic;
            secured-port-block-allocation block-size 256 max-blocks-per-address 1 active-block-timeout 300;
        }
    }
    pool dest-pool {
        address 10.99.10.2/32;
    }
    
        pool src-pool {
            address {
                10.98.10.0/24;
            }
            port {
                automatic {
                    round-robin;
                }
                block-allocation {
                    block-size 256;
                    maximum-blocks-per-host 1;
                    active-block-timeout 300;
                }
            }
        }
    rule rule-twice-napt-44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.10.10.0/24;
                }
                destination-address {
                    10.20.10.2/32;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-pool dest-pool;
                    translation-type {
                        twice-napt-44;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-twice-napt-44-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.10.10.0/24;
                    # Since destination NAT happens first, the
                    # destination address refers to the NAT’d address.
                    destination-address 10.99.10.2/32;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            address {
                10.99.10.2/32;
            }
        }

    # This destination rule applies before the source rule.
        rule-set rule-twice-napt-44-dest {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.10.10.0/24;
                    destination-address 10.20.10.2/32;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabla 18: Ejemplo: Deterministic-NAPT44

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-deterministic-napt44;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-deterministic-napt44;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.0/24;
        port {
            range low 1024 high 19999;
            deterministic-port-block-allocation block-size 256;
        }
        mapping-timeout 120;
    }
    
        pool src-pool {
            address {
                10.10.10.0/24;
            }
            port {
                range {
                    1024;
                    to {
                        19999;
                    }
                }
                deterministic {
                    block-size 256;
                    # host address specifies the subnet that you
                    # want to apply to this pool.
                    host address 10.2.0.0/20;
                }
            }
            mapping-timeout 120;
        }
    rule rule-deterministic-napt44 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    10.2.0.0/18;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    translation-type {
                        deterministic-napt44;
                    }
                    mapping-type endpoint-independent;
                }
            }
        }
    }
        rule-set rule-deterministic-napt44 {
            match-direction input;
            rule r1 {
                match {
                    source-address 10.2.0.0/18;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                        mapping-type endpoint-independent;
                    }
                }
            }
        }
} # end nat
    
    } # end source
} # end nat
Tabla 19: Ejemplo: Deterministic-NAPT64

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-deterministic-napt64;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-deterministic-napt64-src;
    nat-rule-sets rule-deterministic-napt64-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.98.10.0/24;
        port {
            automatic;
            random-allocation;
            }
            deterministic-port-block-allocation block-size 256;
        }
    }
    
        pool src-pool {
            address {
                10.98.10.0/24;
            }
            port {
                automatic {
                    random-allocation;
                }
                deterministic {
                    block-size 256;
                    host address 2001:DB8:1111::1/120;
                }
            }
        }
    rule rule-deterministic-napt64 {
        match-direction input;
        term t1 {
            from {
                source-address {
                    2001:DB8:1111::1/120;
                }
            }
            then {
                translated {
                    destination-prefix 2001:DB8:2222::/96;
                    source-pool src-pool;
                    translation-type {
                        deterministic-napt64;
                    }
                }
            }
        }
    }
    # This source rule applies after the destination rule.
        rule-set rule-deterministic-napt64-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::1/120;
                    # Since destination NAT happens first, the destination
                    # address refers to the NAT’d address.
                    destination-address 0.0.0.0/32;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            address {
                10.99.10.2/32;
            }
        }

    # This destination rule applies before the source rule.
        rule-set rule-destination-napt64-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 2001:DB8:2222::/96;
                }
                then {
                    destination-nat {
                        destination-prefix 2001:DB8:2222::/96;
                    }
                }
            }
        }

    
    } # end destination
} # end nat
Tabla 20: Ejemplo: napt-pt

Tarjeta MS

MX-SPC3

[edit services]
[edit services]
service-set sset1 {
    nat-rules rule-napt-pt;
    interface-service {
        service-interface ms-1/2/0;
    }
}
service-set sset1 {
    nat-rule-sets rule-napt-pt-src;
    nat-rule-sets rule-napt-pt-dest;
    interface-service {
        service-interface vms-2/0/0;
    }
}
nat {
nat {
    source {

    pool src-pool {
        address 10.10.10.2/32;
    }
    pool dest-pool {
        address 10.99.10.2/32;
    }
    
        pool src-pool {
            address {
                10.10.10.2/32;
            }
        }
    rule rule-napt-pt {
        match-direction input;
        term t1 {
            from {
                source-address {
                    2001:DB8:1111::2/128;
                }
                destination-address {
                    2001:DB8:2222::2/128;
                }
            }
            then {
                translated {
                    source-pool src-pool;
                    destination-pool dest-pool;
                    translation-type {
                        napt-pt;
                    }
                }
            }
        }
    }
        rule-set rule-napt-pt-src {
            match-direction input;
            rule r1 {
                match {
                    source-address 2001:DB8:1111::2/128;
                    destination-address 10.99.10.0/24;
                }
                then {
                    source-nat {
                        pool {
                            src-pool;
                        }
                    }
                }
            }
        }
} # end nat
    
    } # end source

    destination {

    
        pool dest-pool {
            address {
                10.99.10.2/32;
            }
        }

        rule-set rule-napt-pt-dest {
            match-direction input;
            rule r1 {
                match {
                    destination-address 2001:DB8:2222::2/128;
                }
                then {
                    destination-nat {
                        pool {
                            dest-pool;
                        }
                    }
                }
            }
        }

    
    } # end destination
} # end nat

Sistema de detección de intrusiones (IDS)

Las reglas de IDS para los servicios de última generación en MX-SPC3 se definen en la screen sucursal. Hay pequeñas diferencias en la nomenclatura de los distintos elementos, pero el cambio principal se encuentra en el comportamiento para detectar paquetes con opciones IPv4 y extensiones IPv6:

  • Para el servicio IDS en la tarjeta MS, el comportamiento predeterminado es detectar y soltar paquetes con opciones IPv4 y extensiones IPv6. Si desea permitir estos paquetes, debe permitirlos explícitamente mediante la configuración.

  • Para el servicio de próxima generación de IDS en MX-SPC3, el comportamiento predeterminado es permitir paquetes con opciones IPv4 y extensiones IPv6. Si desea detectar y eliminar estos paquetes, debe rechazarlos explícitamente mediante la configuración.

En la Tabla 21 se muestran ejemplos de las diferencias de configuración.

Tabla 21: Reglas de IDS

Tarjeta MS

MX-SPC3

[edit services]
service-set sset1 {
    ids-rules r1;
    ids-rules r2;
}
[edit services]
service-set sset1 {
    # Replace ids-rules with ids-option.
    ids-option ids1;
    ids-option ids2;
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            <...>
        }
    }
}
[edit services]
# Define ids rules under the screen branch.
screen {
    # Replace rule with ids-option.
    ids-option ids1 {
        match-direction input;
        # Flatten hierarchy by removing term and placing 
        # contents directly under ids-option.
        <...>
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                allow-ip-options [ loose-source-route route-record router-alert security stream-id strict-source-route timestamp ];
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # By default, all ip options are allowed.
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                <no allow-ip-options configured>
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # Explicitly specify the disallowed options.
        ip {
            loose-source-route-option;
            record-route-option;
            security-option;
            stream-option;
            strict-source-route-option;
            timestamp-option;
            # router-alert option for IPv4 is not supported.
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                allow-ipv6-extension-header [ ah dstopts esp fragment hop-by-hop mobility routing ];
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # By default, all ipv6 extensions are allowed.
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                <no allow-ipv6-extension-header configured>
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        ip {
            # Explicitly specify the disallowed extensions.
            ipv6-extension-header {
                AH-header;
                ESP-header;
                fragment-header;
                hop-by-hop-header;
                mobility-header;
                routing-header;
                # dstoptions is not supported.
            }
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                aggregation {
                    source-prefix 24;
                    destination-prefix 24;
                    source-prefix-ipv6 64;
                    destination-prefix-ipv6 64;
                }
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        aggregation {
            source-prefix-mask 24;
            destination-prefix-mask 24;
            source-prefix-v6-mask 64;
            destination-prefix-v6-mask 64;
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                icmp-fragment-check;
                icmp-large-packet-check;
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # Group icmp checks under icmp.
        icmp {
            fragment;
            large;
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                land-attack-check;
                tcp-winnuke-check;
                tcp-syn-fragment-check;
                tcp-syn-defense;
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        # Group tcp checks under tcp.
        tcp {
            land;
            winnuke;
            syn-frag;
            # tcp-syn-defense is not supported.
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                session-limit {
                    by-source {
                        maximum 100;
                        rate 10;
                        packets 1k;
                    }
                    by-destination {
                        maximum 100;
                        rate 10;
                        packets 1k;
                    }
                }
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        limit-session {
            by-source {
                maximum-sessions 100;
                session-rate 10;
                packet-rate 1k;
            }
            by-destination {
                maximum-sessions 100;
                session-rate 10;
                packet-rate 1k;
            }
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                session-limit {
                    by-source {
                        by-protocol {
                            tcp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                            udp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                            icmp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                        }
                }
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        limit-session {
            by-source {
                by-protocol {
                    tcp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                    udp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                    icmp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                }
            }
        }
    }
}
[edit services]
ids {
    rule r1 {
        match-direction input;
        term t1 {
            then {
                session-limit {
                    by-destination {
                        by-protocol {
                            tcp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                            udp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                            icmp {
                                maximum 100;
                                rate 10;
                                packets 1k;
                            }
                        }
                }
            }
        }
    }
}
[edit services]
screen {
    ids-option ids1 {
        match-direction input;
        limit-session {
            by-destination {
                by-protocol {
                    tcp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                    udp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                    icmp {
                        maximum-sessions 100;
                        session-rate 10;
                        packet-rate 1k;
                    }
                }
            }
        }
    }
}

Migre de la tarjeta MS a la MX-SPC3

Utilice este procedimiento para configurar un enrutador para que admita servicios de última generación.

Normalmente, utilice este procedimiento para migrar un enrutador compatible con servicios heredados en la tarjeta MS a un enrutador compatible con servicios de próxima generación en MX-SPC3, pero este procedimiento se aplica incluso si el enrutador desde el que está migrando no contiene tarjetas de tarjeta MS.

Dado que la configuración de los servicios de última generación no es compatible con el aprovisionamiento de servicios heredados, la migración de un enrutador para admitir servicios de próxima generación en MX-SPC3 requiere que desaprovisione y vuelva a aprovisionar el enrutador por completo. Además:

  • No puede instalar una tarjeta MX-SPC3 en un enrutador que tenga tarjetas MS.

  • No puede configurar servicios de última generación en un enrutador equipado con tarjetas MS.

  • No puede configurar servicios heredados en un enrutador equipado con tarjetas MX-SPC3.

En otras palabras, un enrutador puede ejecutarse con tarjetas MS o MX-SPC3, pero no con ambas al mismo tiempo.

Nota:

Este procedimiento afecta al servicio. Está configurando el enrutador a la configuración predeterminada de fábrica.

  1. Actualice el enrutador a la versión 19.3R2.
  2. Copia de seguridad de la configuración actual del enrutador en un host remoto.
  3. Establezca el enrutador a la configuración predeterminada de fábrica.
    1. Cargue el enrutador con la configuración predeterminada de fábrica:
    2. Configure la interfaz de administración con la misma dirección IP que tenía antes de cargar la configuración predeterminada de fábrica:
    3. Configure SSH para que pueda continuar accediendo al enrutador. Por ejemplo:
    4. Confirme los cambios.
  4. Habilite los servicios de próxima generación en el enrutador.

    Junos OS proporciona un parámetro operativo para todo el sistema que habilita si desea configurar los servicios de próxima generación en un enrutador. De forma predeterminada, este parámetro no está habilitado.

    Desde el modo operativo:

    Nota:

    Esta configuración es persistente y sobrevive a un reinicio.

  5. Reinicie el enrutador.
  6. Reemplace las tarjetas de tarjeta MS con tarjetas MX-SPC3.
  7. Vuelva a aprovisionar el enrutador.

    Como punto de partida, puede restaurar la copia de seguridad desde el paso 2 , pero es posible que deba cambiar esta configuración para que sea compatible con los servicios de próxima generación antes de poder confirmar.