PowerMode IPsec
Mejora del rendimiento de IPsec con PowerMode IPsec
PowerMode IPsec (PMI) es un modo de operación que proporciona mejoras de rendimiento de IPsec mediante el procesamiento de paquetes vectoriales y las nuevas instrucciones estándar de cifrado avanzado de Intel (AES-NI). PMI utiliza un pequeño bloque de software dentro del motor de reenvío de paquetes que omite el procesamiento de flujo y utiliza el conjunto de instrucciones AES-NI para un rendimiento optimizado del procesamiento IPsec que se activa cuando PMI está habilitado.
- Procesamiento de PMI
- Estadísticas PMI
- Nuevas instrucciones estándar de cifrado avanzado (AES-NI) y matriz de puertas programables en línea (FPGA)
- Funciones compatibles y no compatibles con PMI
- Beneficios del PMI
- Configuración del PMI del flujo de seguridad
- Entendiendo el túnel de grasa simétrico
Procesamiento de PMI
Puede activar o desactivar el procesamiento PMI:
- Habilite el procesamiento de PMI mediante el comando de
set security flow power-mode-ipsecmodo de configuración. - Deshabilite el procesamiento PMI mediante el comando de
delete security flow power-mode-ipsecmodo de configuración. Al ejecutar este comando, se elimina la instrucción de la configuración.
Por SRX4100, SRX4200 dispositivos que ejecutan Junos OS versión 18.4R1, firewalls serie SRX4600 que ejecutan Junos OS versión 20.4R1 y Firewall virtual vSRX con Junos OS versión 18.3R1 después de habilitar o deshabilitar el PMI, debe reiniciar el dispositivo para que la configuración surta efecto. Sin embargo, para las instancias de SRX5000 línea y de firewall virtual vSRX que ejecutan Junos OS versión 19.2R1, no es necesario reiniciar.
Estadísticas PMI
Puede comprobar las estadísticas del PMI mediante el comando del show security flow pmi statistics modo operativo.
Puede comprobar el estado del PMI y del túnel gordo mediante el comando del show security flow status modo operativo.
Nuevas instrucciones estándar de cifrado avanzado (AES-NI) y matriz de puertas programables en línea (FPGA)
A partir de Junos OS versión 20.4R1, puede mejorar el rendimiento del PMI mediante AES-NI. AES-NI en modo PMI ayuda a equilibrar la carga en SPU y admite el túnel de grasa simétrico en tarjetas SPC3. Esto da como resultado un rendimiento de manejo de tráfico acelerado y un mayor rendimiento para VPN IPsec. PMI utiliza AES-NI para el cifrado y FPGA para el descifrado de la operación criptográfica.
Para habilitar el procesamiento de PMI con AES-NI, incluya la power-mode-ipsec instrucción en el nivel jerárquico [edit security flow] .
Para habilitar o deshabilitar la FPGA en línea, incluya la inline-fpga-crypto (disabled | enabled) instrucción en el nivel jerárquico [edit security forwarding-process application-services] .
Funciones compatibles y no compatibles con PMI
Una sesión de túnel puede ser PMI o no PMI.
Si una sesión está configurada con alguna característica no compatible enumerada en Tabla 1 y Tabla 2, la sesión se marca como no PMI y el túnel pasa al modo no PMI. Una vez que el túnel entra en el modo no PMI, el túnel no vuelve al modo PMI.
Tabla 1 resume las funciones de PMI admitidas y no compatibles de los firewalls de la serie SRX.
Funciones admitidas en PMI |
Funciones no compatibles en PMI |
|---|---|
Funcionalidad de intercambio de claves por Internet (IKE) |
Túneles IPsec en IPsec |
AutoVPN con selectores de tráfico |
Capas 4 - 7 aplicaciones: firewall de aplicaciones y AppSecure |
Alta disponibilidad |
Firewalls del protocolo de tunelización GPRS (GTP) y del protocolo de transmisión de control de corrientes (SCTP) |
IPv6 |
Tráfico de host |
Firewall de estado |
multidifusión |
Interfaz st0 |
Túneles anidados |
Selectores de tráfico |
Opciones de pantalla |
NAT-T |
Algoritmo de cifrado DES-CBC |
Escenario GTP-U con distribución TEID y solución de túnel de grasa asimétrico |
Algoritmo de cifrado 3DES-CBC |
Calidad del servicio (QoS) |
Puerta de enlace de la capa de aplicación (ALG) |
|
Procesamiento de la primera ruta y de la ruta rápida para el manejo de fragmentos y el cifrado unificado. |
Algoritmo de autenticación HMAC-SHA-384 |
| TDR |
Algoritmo de autenticación HMAC-SHA-512 |
Algoritmo de cifrado AES-GCM-128 y AES-GCM-256. Le recomendamos que utilice el algoritmo de cifrado AES-GCM para un rendimiento óptimo. |
|
| AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA1algoritmo de cifrado con algoritmo de autenticación HMAC-SHA1-96 |
|
| AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA2algoritmo de cifrado con algoritmo de autenticación HMAC-SHA-256-128 |
|
Algoritmo de cifrado NULL |
|
Tabla 2 resume las funciones de PMI compatibles y no compatibles de la tarjeta de servicios MX-SPC3.
La tarjeta de servicios MX-SPC3 no admite la caché np ni la afinidad de sesión IPsec.
Funciones admitidas en PMI |
Funciones no compatibles en PMI |
|---|---|
Funcionalidad de intercambio de claves por Internet (IKE) |
Capas 4 - 7 aplicaciones: firewall de aplicaciones, AppSecure y ALG |
AutoVPN con selectores de tráfico, ADVPN |
multidifusión |
Alta disponibilidad |
Túneles anidados |
IPv6 |
Opciones de pantalla |
Firewall de estado |
Puerta de enlace de la capa de aplicación (ALG) |
|
Interfaz st0 |
Algoritmo de autenticación HMAC-SHA-384 |
|
Selectores de tráfico |
Algoritmo de autenticación HMAC-SHA-512 |
Detección de pares muertos (DPD) |
|
Comprobación anti-reproducción |
|
TDR |
|
Post/Pre-fragmento |
|
Fragmentos de texto sin cifrar entrantes y fragmentos ESP |
|
Algoritmo de cifrado AES-GCM-128 y AES-GCM-256. Le recomendamos que utilice el algoritmo de cifrado AES-GCM para un rendimiento óptimo. |
|
| AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA1algoritmo de cifrado con algoritmo de autenticación HMAC-SHA1-96 |
|
| AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA2algoritmo de cifrado con algoritmo de autenticación HMAC-SHA-256-128 |
|
Algoritmo de cifrado NULL |
Tenga en cuenta las siguientes consideraciones de uso con PMI:
- Antireplay window size
El tamaño de la ventana antirreproducción es de 64 paquetes de forma predeterminada. Si configura fat-tunnel, se recomienda aumentar el tamaño de la ventana Antirreproducción a mayor o igual que 512 paquetes.
- Class of Service (CoS)
- A partir de Junos OS versión 19.1R1, Class of Service (CoS) admite la configuración del clasificador de agregado de comportamiento (BA), el clasificador de múltiples campos (MF) y las funciones de regla de reescritura en PMI en tarjetas de tarjeta de procesamiento de servicios (SPC) SRX5K-SPC3.
Si habilita PMI para una sesión de flujo, el CoS se realiza en función de cada flujo. Esto significa que el primer paquete de un nuevo flujo almacena en caché la información de CoS en la sesión de flujo. Luego, los paquetes subsiguientes del flujo reutilizan la información de CoS almacenada en caché en la sesión.
- Encryption algorithm
Junos OS versión 19.3R1 admite las opciones aes-128-cbc, aes-192-cbc y aes-256-cbc en SRX4100, SRX4200 y el firewall virtual vSRX en modo PMI para mejorar el rendimiento de IPsec, junto con la compatibilidad existente en modo normal.
- GTP-U
- A partir de Junos OS versión 19.2R1, PMI admite el escenario GTP-U con distribución TEID y solución de túnel de grasa asimétrico.
- A partir de Junos OS versión 19.3R1, escenario GTP-U con distribución TEID y solución de túnel de grasa asimétrico y función de escalado en lado de recepción de software en el firewall virtual vSRX y el firewall virtual vSRX.
- LAG and redundant (reth) interfaces
- PMI se admite en interfaces de grupo de agregación de vínculos (LAG) y Ethernet redundantes (reth).
- PMI fragmentation check
PMI realiza una comprobación previa y posterior a la fragmentación. Si el PMI detecta paquetes de prefragmentación y postfragmentación, no se permiten paquetes a través del modo PMI. Los paquetes volverán al modo no PMI.
Los fragmentos recibidos en una interfaz no pasan por PMI.
- PMI for NAT-T
- PMI para NAT-T solo se admite en SRX5400, SRX5600 SRX5800 línea equipada con la tarjeta de procesamiento de servicios (SPC) SRX5K-SPC3 o con el firewall virtual vSRX.
- PMI support (vSRX)
A partir de Junos OS versión 19.4R1, las instancias de firewall virtual vSRX admiten:
CoS por flujo funciona para el tráfico GTP-U en modo PMI.
Funciones de CoS en modo PMI. Las siguientes características de CoS son compatibles con el modo PMI:
Clasificador
Funciones de regla de reescritura
Colas
Formación
Programación
Beneficios del PMI
Mejora el rendimiento de IPsec.
Configuración del PMI del flujo de seguridad
En la siguiente sección se describe cómo configurar el PMI del flujo de seguridad.
Para configurar el PMI de flujo de seguridad, debe habilitar la caché de sesión en las IOC y la afinidad de sesión:
Habilitar la caché de sesión en IOC (IOC2 e IOC3)
user@host# set chassis fpc <fpc-slot> np-cache
Habilitar la afinidad de sesión VPN
user@host# set security flow load-distribution session-affinity ipsec
Crear flujo de seguridad en PMI.
user@host#set security flow power-mode-ipsec
Confirme la configuración introduciendo el
show securitycomando.user@host# show security flow { power-mode-ipsec; }
Entendiendo el túnel de grasa simétrico
Para mejorar el rendimiento del túnel IPsec, puede usar la tecnología de túnel grueso.
A partir deJunos OS versión 19.4R1, puede configurar el túnel IPsec FAT en SRX5400, SRX5600 y SRX5800 línea con la tarjeta de servicio SRX5K-SPC3 y las instancias de firewall virtual vSRX.
A partir de Junos OS versión 21.1R1, puede configurar el túnel IPsec FAT en la tarjeta de servicios MX-SPC3.
Se introduce un nuevo comando de CLI para habilitar el túnel IPsec gordo. La característica de túnel IPsec grueso está deshabilitada de forma predeterminada. El nuevo comando de CLI introducido está fat-core en la set security distribution-profile jerarquía. Cuando habilita el fat-core, se muestra la siguiente configuración:
security {
distribution-profile {
fat-core;
}
}
Antes de configurar el túnel IPsec grueso, asegúrese de que se ha configurado lo siguiente.
-
Para un reenvío rápido de rutas, configure la caché IOC para la información de la sesión mediante el
set chassis fpc FPC slot np-cachecomando. -
Para habilitar la afinidad de sesión, use el
set security flow load-distribution session-affinity ipseccomando. -
Para activar el modo de energía, use el
set security flow power-mode-ipseccomando.
Consulte también
Ejemplo: Configuración del clasificador de agregados de comportamiento en PMI
En este ejemplo se muestra cómo configurar clasificadores de agregados de comportamiento (BA) para un firewall de la serie SRX a fin de determinar el tratamiento de reenvío de paquetes en PMI.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewall de la serie SRX.
Junos OS versión 19.1R1 y versiones posteriores.
Antes de empezar:
Determine la clase de reenvío y el PLP que se asignan de forma predeterminada a cada DSCP conocido que desee configurar para el clasificador de agregado de comportamiento.
Descripción general
Configure clasificadores agregados de comportamiento para clasificar los paquetes que contienen DSCP válidos en las colas adecuadas. Una vez configurado, se aplica el clasificador de agregado de comportamiento a las interfaces correctas. Para anular el clasificador de precedencia IP predeterminado, defina un clasificador y lo aplique a una interfaz lógica. Para definir nuevos clasificadores para todos los tipos de punto de código, incluya la classifiers instrucción en el nivel de [edit class-of-service] jerarquía.
En este ejemplo, establezca el clasificador agregado de comportamiento DSCP en ba-classifier como la asignación DSCP predeterminada. Establezca una clase de reenvío de máximo esfuerzo como be-class, una clase de reenvío acelerado como ef-class, una clase de reenvío asegurado como af-class, y una clase de reenvío de control de red como nc-class. Por último, aplique el clasificador de agregado de comportamiento a la interfaz ge-0/0/0.
La Tabla 2 muestra cómo el clasificador de agregado de comportamiento asigna prioridades de pérdida a los paquetes entrantes en las cuatro clases de reenvío.
mf-classifier Clase de reenvío |
Para el tipo de tráfico CoS |
Asignaciones de clasificador de ba |
|---|---|---|
|
Tráfico de mejor esfuerzo |
Punto de código de alta prioridad: 000001 |
|
Tráfico de reenvío acelerado |
Punto de código de alta prioridad: 101111 |
|
Tráfico de reenvío garantizado |
Punto de código de alta prioridad: 001100 |
|
Tráfico de control de red |
Punto de código de alta prioridad: 110001 |
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 101111 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001100 set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points 110001 set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar clasificadores agregados de comportamiento para un dispositivo en PMI:
Configure la clase de servicio.
[edit] user@host# edit class-of-service
Configure clasificadores agregados de comportamiento para CoS de servicios diferenciados (DiffServ).
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
Configure un clasificador de clase de reenvío de máximo esfuerzo.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be-class loss-priority high code-points 000001
Configure un clasificador de clase de reenvío acelerado.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 101111
Configure un clasificador de clase de reenvío seguro.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class af-class loss-priority high code-points 001100
Configure un clasificador de clase de reenvío de control de red.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class nc-class loss-priority high code-points 110001
Aplique el clasificador de agregado de comportamiento a una interfaz.
[edit] user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Resultados
Desde el modo de configuración, confírmela con el comando show class-of-service. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
La comprobación del clasificador se aplica a las interfaces
Propósito
Asegúrese de que el clasificador se aplica a las interfaces correctas.
Acción
Desde el modo operativo, ingrese el show class-of-service interface ge-0/0/0 comando.
user@host> show class-of-service interface ge-0/0/0 Physical interface: ge-0/0/0, Index: 144 Queues supported: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge-1/0/3, Index: 333 Object Name Type Index Classifier v4-ba-classifier dscp 10755
Significado
Las interfaces se configuran como se esperaba.
Ejemplo: Configuración del clasificador de agregados de comportamiento en PMI para instancias de vSRX Virtual Firewall
En este ejemplo se muestra cómo configurar clasificadores de agregado de comportamiento (BA) para una instancia de firewall virtual vSRX a fin de determinar el tratamiento de reenvío de paquetes en PMI.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Una instancia de firewall virtual vSRX.
Junos OS versión 19.4R1 y versiones posteriores.
Antes de empezar:
Determine la clase de reenvío y las prioridades de pérdida de paquetes (PLP) que se asignan de forma predeterminada a cada DSCP conocido que desee configurar para el clasificador de agregado de comportamiento.
Descripción general
Configure clasificadores agregados de comportamiento para clasificar los paquetes que contienen DSCP válidos en las colas adecuadas. Una vez configurado, se aplica el clasificador de agregado de comportamiento a las interfaces correctas. Para anular el clasificador de precedencia IP predeterminado, defina un clasificador y lo aplique a una interfaz lógica. Para definir nuevos clasificadores para todos los tipos de punto de código, incluya la classifiers instrucción en el nivel de [edit class-of-service] jerarquía.
En este ejemplo, establezca el clasificador agregado de comportamiento DSCP en ba-classifier como la asignación DSCP predeterminada. Establezca una clase de reenvío de máximo esfuerzo como be-class, una clase de reenvío acelerado como ef-class, una clase de reenvío asegurado como af-class, y una clase de reenvío de control de red como nc-class. Por último, aplique el clasificador de agregado de comportamiento a la interfaz ge-0/0/0.
La Tabla 2 muestra cómo el clasificador de agregado de comportamiento asigna prioridades de pérdida a los paquetes entrantes en las cuatro clases de reenvío.
mf-classifier Clase de reenvío |
Para el tipo de tráfico CoS |
Asignaciones de clasificador de ba |
|---|---|---|
|
Tráfico de mejor esfuerzo |
Punto de código de alta prioridad: 000001 |
|
Tráfico de reenvío acelerado |
Punto de código de alta prioridad: 101111 |
|
Tráfico de reenvío garantizado |
Punto de código de alta prioridad: 001100 |
|
Tráfico de control de red |
Punto de código de alta prioridad: 110001 |
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af11 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af31 set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21 set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6 set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50 set class-of-service drop-profiles drop_profile fill-level 50 drop-probability 100 set class-of-service forwarding-classes queue 0 be set class-of-service forwarding-classes queue 1 ef set class-of-service forwarding-classes queue 2 low_delay set class-of-service forwarding-classes queue 3 low_loss set class-of-service interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice set class-of-service schedulers voice buffer-size temporal 5k set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar clasificadores agregados de comportamiento para un dispositivo en PMI:
Configure la clase de servicio.
[edit] user@host# edit class-of-service
Configure clasificadores agregados de comportamiento para CoS de servicios diferenciados (DiffServ).
[edit class-of-service] user@host# edit classifiers dscp ba-classifier
Configure un clasificador de clase de reenvío de máximo esfuerzo.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be loss-priority low code-points be
Configure un clasificador de clase de reenvío acelerado.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority low code-points ef user@host# set forwarding-class ef-class loss-priority high code-points af41 user@host# set forwarding-class ef-class loss-priority high code-points af11 user@host# set forwarding-class ef-class loss-priority high code-points af31 user@host# set forwarding-class low_delay loss-priority low code-points af21 user@host# set forwarding-class low_loss loss-priority low code-points cs6
Configure los perfiles de colocación.
[edit class-of-service drop-profiles] user@host# set drop_profile fill-level 20 drop-probability 50 user@host# set drop_profile fill-level 50 drop-probability 100
Configure las colas de clases de reenvío.
[edit class-of-service forwarding-classes ] user@host# set queue 0 be user@host# set queue 1 ef user@host# set queue 2 low_delay user@host# set 3 low_loss
Aplique el clasificador a las interfaces.
[edit class-of-service] user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
Configure los programadores.
[edit class-of-service] user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice user@host# set schedulers voice buffer-size temporal 5k user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Resultados
Desde el modo de configuración, confírmela con el comando show class-of-service. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile drop_profile;
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
La comprobación del clasificador se aplica a las interfaces
Propósito
Compruebe que el clasificador está configurado correctamente y confirme que las clases de reenvío están configuradas correctamente.
Acción
Desde el modo operativo, ingrese el show class-of-service forwarding-class comando.
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority be 0 0 0 low normal low ef 1 1 1 low normal low low_delay 2 2 2 low normal low low_loss 3 3 3 low normal low
Significado
El resultado muestra los valores del clasificador personalizado configurados.
Ejemplo: Configuración y aplicación de un filtro de firewall para un clasificador multicampo en PMI
En este ejemplo se muestra cómo configurar un filtro de firewall para clasificar el tráfico a una clase de reenvío diferente mediante el valor DSCP y el clasificador de múltiples campos (MF) en PMI.
El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan a una interfaz. Los clasificadores de MF se utilizan cuando un clasificador de agregado de comportamiento simple (BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen marcados los bits CoS o cuando el marcado del enrutador de emparejamiento no es de confianza.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewall de la serie SRX.
Junos OS versión 19.1R1 y versiones posteriores.
Antes de empezar:
Determine la clase de reenvío asignada de forma predeterminada a cada DSCP conocido que desee configurar para el clasificador de MF. Consulte Mejora del rendimiento de IPsec con PowerMode IPsec.
Descripción general
En este ejemplo, se explica cómo configurar el filtro mf-classifierde firewall. Para configurar el clasificador de MF, cree y asigne un nombre a la clase de tráfico de reenvío asegurado, establezca la condición de coincidencia y, a continuación, especifique la dirección de destino como 192.168.44.55. Cree la clase de reenvío para reenvío asegurado del tráfico de DiffServ como af-class y establezca la prioridad de pérdida en baja.
En este ejemplo, cree y asigne un nombre a la clase de tráfico de reenvío acelerado y establezca la condición de coincidencia para la clase de tráfico de reenvío acelerado. Especifique la dirección de destino como 192.168.66.77. Cree la clase de reenvío para el reenvío acelerado del tráfico de DiffServ como ef-class y establezca el aplicador en ef-policer. Cree y asigne un nombre a la clase de tráfico de control de red y establezca la condición de coincidencia.
En este ejemplo, cree y asigne un nombre a la clase de reenvío para la clase de tráfico de control de red como nc-class y asigne un nombre a la clase de reenvío para la clase de tráfico de mejor esfuerzo como be-class. Por último, aplique el filtro de firewall clasificador de múltiples campos como filtro de entrada y salida en cada cliente o host que necesite el filtro. En este ejemplo, la interfaz para el filtro de entrada es ge-0/0/2 y la interfaz para el filtro de salida es ge-0/0/4.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set firewall filter mf-classifier interface-specific set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55 set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class set firewall filter mf-classifier term assured-forwarding then loss-priority low set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77 set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class set firewall filter mf-classifier term expedited-forwarding then policer ef-policer set firewall filter mf-classifier term network-control from precedence net-control set firewall filter mf-classifier term network-control then forwarding-class nc-class set firewall filter mf-classifier term best-effort then forwarding-class be-class set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar un filtro de firewall para un clasificador de campos múltiples para un dispositivo en PMI:
Cree y asigne un nombre al filtro clasificador de varios campos.
[edit] user@host# edit firewall filter mf-classifier user@host# set interface-specific
Cree y asigne un nombre al término para la clase de tráfico de reenvío asegurado.
[edit firewall filter mf-classifier] user@host# edit term assured-forwarding
Especifique la dirección de destino para el tráfico de reenvío asegurado.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set from destination-address 192.168.44.55
Cree la clase de reenvío y establezca la prioridad de pérdida para la clase de tráfico de reenvío asegurado.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set then forwarding-class af-class user@host# set then loss-priority low
Cree y asigne un nombre al término para la clase de tráfico de reenvío acelerado.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term expedited-forwarding
Especifique la dirección de destino para el tráfico de reenvío acelerado.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set from destination-address 192.168.66.77
Cree la clase de reenvío y aplique el aplicador de políticas para la clase de tráfico de reenvío acelerado.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set then forwarding-class ef-class user@host# set then policer ef-policer
Cree y asigne un nombre al término para la clase de tráfico de control de red.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term network-control
Cree la condición de coincidencia para la clase de tráfico de control de red.
[edit firewall filter mf-classifier term network-control] user@host# set from precedence net-control
Cree y asigne un nombre a la clase de reenvío para la clase de tráfico de control de red.
[edit firewall filter mf-classifier term network-control] user@host# set then forwarding-class nc-class
Cree y asigne un nombre al término para la clase de tráfico de mejor esfuerzo.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term best-effort
Cree y asigne un nombre a la clase de reenvío para la clase de tráfico de mejor esfuerzo.
[edit firewall filter mf-classifier term best-effort] user@host# set then forwarding-class be-class
Aplique el filtro de firewall del clasificador de varios campos como filtro de entrada.
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
Aplique el filtro de firewall clasificador de varios campos como filtro de salida.
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Resultados
Desde el modo de configuración, confírmela con el comando show firewall filter mf-classifier. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
Desde el modo de configuración, confírmela con el comando show interfaces. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
filter {
output mf-classifier;
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de un filtro de firewall para una configuración de clasificador de varios campos
Propósito
Compruebe que un filtro de firewall para un clasificador de varios campos está configurado correctamente en un dispositivo y confirme que las clases de reenvío están configuradas correctamente.
Acción
En el modo de configuración, escriba el comando show class-of-service forwarding-class.
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
El resultado muestra los valores del clasificador personalizado configurados.
Ejemplo: Configuración y aplicación de reglas de reescritura en un dispositivo de seguridad en PMI
En este ejemplo se muestra cómo configurar y aplicar reglas de reescritura para un dispositivo en PMI.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewall de la serie SRX.
Junos OS versión 19.1R1 y versiones posteriores.
Antes de empezar:
Crear y configurar las clases de reenvío. Consulte Mejora del rendimiento de IPsec con PowerMode IPsec.
Descripción general
En este ejemplo se explica cómo configurar reglas de reescritura para reemplazar los valores de CoS en los paquetes recibidos del cliente o del host por los valores esperados por otros firewalls de la serie SRX. No es necesario configurar reglas de reescritura si los paquetes recibidos ya contienen valores CoS válidos. Las reglas de reescritura aplican la información de la clase de reenvío y la prioridad de pérdida de paquetes utilizada internamente por el dispositivo para establecer el valor CoS en los paquetes salientes. Después de configurar las reglas de reescritura, aplíquelas a las interfaces correctas.
En este ejemplo, configure la regla de reescritura para DiffServ CoS como rewrite-dscps. Especifique la clase de reenvío de mejor esfuerzo como be-class, clase de reenvío acelerado como ef-class, una clase de reenvío asegurado como af-class, y una clase de control de red como nc-class. Por último, aplique la regla de reescritura a la interfaz ge-0/0/0.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar y aplicar reglas de reescritura para un dispositivo en PMI:
Configure reglas de reescritura para DiffServ CoS.
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
Configure reglas de reescritura de clases de reenvío de mejor esfuerzo.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
Configure reglas de reescritura de clases de reenvío acelerado.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
Configure reglas de reescritura de clase de reenvío seguro.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
Configure reglas de reescritura de clase de control de red.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
Aplicar reglas de reescritura a una interfaz.
[edit class-of-service] user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Resultados
Desde el modo de configuración, confírmela con el comando show class-of-service. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de la configuración de reglas de reescritura
Propósito
Compruebe que las reglas de reescritura estén configuradas correctamente.
Acción
Desde el modo operativo, ingrese el show class-of-service comando.
user@host> show class-of-service Physical interface: ge-0/0/0, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge0/0/0, Index: 71 Object Name Type Index Classifier ipprec-compatibility ip 13
Significado
Las reglas de reescritura se configuran en la interfaz ge-0/0/0 como se esperaba.
Configurar el modo de autenticación ESP IPsec en PMI
El PMI introdujo una nueva ruta de datos para lograr un alto rendimiento de rendimiento de IPsec. A partir de Junos OS versión 19.4R1, en SRX5000 línea con la tarjeta SRX5K-SPC3, puede utilizar el modo de solo autenticación de carga de seguridad encapsuladora (ESP) en el modo PMI, que proporciona autenticación, comprobación de integridad y protección contra reproducción sin cifrar los paquetes de datos.
A partir de la versión 22.1R3 de Junos OS, admitimos el procesamiento de ruta PMI express para el tráfico ESP de paso a través de los firewalls de la serie SRX.
Antes de empezar:
Asegúrese de que la sesión sea compatible con PMI. Consulte Afinidad de sesión VPN .
Para configurar el modo de solo autenticación ESP: