Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec basadas en CoS

Puede configurar las funciones de clase de servicio (CoS) de Junos para proporcionar varias clases de servicio para VPN. En el dispositivo, puede configurar varias clases de reenvío para transmitir paquetes, definir qué paquetes se colocan en cada cola de salida, programar el nivel de servicio de transmisión para cada cola y administrar la congestión.

Descripción de VPN IPsec basadas en CoS con varias SA IPsec

Las clases de reenvío de clase de servicio (CoS) configuradas en el dispositivo serie SRX se pueden asignar a asociaciones de seguridad IPsec (SA). Los paquetes para cada FC se asignan a una SA IPsec diferente, lo que proporciona tratamiento de CoS en el dispositivo local y en enrutadores intermedios.

Beneficios de VPN IPsec basadas en CoS con varias SA IPsec

  • Le ayuda a garantizar diferentes flujos de datos, con cada túnel mediante un conjunto independiente de asociaciones de seguridad.

  • Le ayuda a facilitar las implementaciones de VPN IPsec en las que se requiere tráfico diferenciado, como la voz sobre IP.

Descripción general

Esta función es propiedad de Juniper Networks y funciona con plataformas SRX compatibles y versiones de Junos OS. El dispositivo par VPN debe ser un dispositivo serie SRX o una instancia vSRX que admita esta función o cualquier otro producto que admita la misma funcionalidad de la misma manera que el dispositivo de la serie SRX.

Asignación de FCs a SA IPsec

Se pueden configurar hasta 8 clases de reenvío (FC) para una VPN con el multi-sa forwarding-classes nivel de jerarquía [edit security ipsec vpn vpn-name]. La cantidad de SA IPsec negociadas con una puerta de enlace par se basa en la cantidad de FCs configuradas para la VPN. La asignación de FCs a SA IPsec se aplica a todos los selectores de tráfico configurados para la VPN.

Todas las SA IPsec creadas para las FCs de una VPN específica se representan mediante el mismo ID de túnel. Los eventos relacionados con túneles consideran el estado y las estadísticas de todas las SA IPsec. Todas las SA IPsec relacionadas con un túnel se anclan a la misma SPU o el mismo ID de subproceso en dispositivos serie SRX o instancias vSRX.

Negociación sa de IPsec

Cuando se configuran varias FC para una VPN, una SA IPsec única se negocia con el par para cada FC. Además, se negocia una SA IPsec predeterminada para enviar paquetes que no coincidan con una FC configurada. El IPsec predeterminado se negocia incluso si el dispositivo par VPN no está configurado para FCs o no admite la asignación de SA de FC a IPsec. La SA de IPsec predeterminada es la primera SA de IPsec que se negocia y la última SA que se va a derribar.

Según la cantidad de FCs configuradas. Cuando las SA IPsec están en proceso de negociación, los paquetes pueden llegar con una FC para la cual aún no se ha negociado una SA de IPsec. Hasta que se negocia una SA IPsec para una FC determinada, el tráfico se envía a la SA IPsec predeterminada. Un paquete con una FC que no coincide con ninguna de las SA IPsec instaladas se envía en la SA IPsec predeterminada.

La asignación de FCs a SA IPsec se realiza en la puerta de enlace VPN local. Las puertas de enlace locales y par pueden tener FCs configuradas en un orden diferente. Cada puerta de enlace par asigna FCs en el orden en que se completan las negociaciones de SA de IPsec. Por lo tanto, las puertas de enlace locales y pares pueden tener distintas asignaciones de SA de FC a IPsec. Una puerta de enlace deja de negociar nuevas SA IPsec una vez que se alcanza el número configurado de FCs. Una puerta de enlace par puede iniciar más SA IPsec que la cantidad de FCs configuradas en la puerta de enlace local. En este caso, la puerta de enlace local acepta las solicitudes sa de IPsec adicionales, hasta 18 SA IPsec. La puerta de enlace local utiliza los otros SA de IPsec solo para descifrar el tráfico IPsec entrante. Si se recibe un paquete con una FC que no coincide con ninguna FC configurada, el paquete se envía en la SA IPsec de FC predeterminada.

Si se recibe una notificación de eliminación para la SA IPsec predeterminada del dispositivo par, solo se elimina la SA IPsec predeterminada y la SA IPsec predeterminada se negocia recién. Durante este tiempo, se cae el tráfico que puede ir en la SA de IPsec predeterminada. El túnel VPN se reduce solo si la SA de IPsec predeterminada es la última SA.

Si la establish-tunnels immediately opción está configurada y confirmada para la VPN, el dispositivo de la serie SRX negocia la SA de IPsec sin esperar a que llegue el tráfico. Si las negociaciones no se completan para una SA IPsec para una FC configurada, las negociaciones se vuelven a realizar cada 60 segundos.

Si la establish-tunnels on-traffic opción está configurada para la VPN, el dispositivo de la serie SRX negocia las SA de IPsec cuando llega el primer paquete de datos; la FC del primer paquete no importa. Con cualquiera de las opciones, la SA de IPsec predeterminada se negocia primero, luego cada SA de IPsec se negocia una a una en el orden en que las FCs se configuran en el dispositivo.

Reintroducir

Cuando se utilizan varias SA con tráfico de punto de código de servicios diferenciados (DSCP) con selectores de tráfico, se produce el siguiente comportamiento durante la reclave. Cuando los selectores de tráfico realizan la reclave, si uno o más de los selectores de tráfico no pueden volver a clave por cualquier motivo, la SA específica se reduce cuando caduca la vida útil. En este caso, el tráfico que se usa para hacer coincidir la SA específica se envía a través del selector de tráfico predeterminado.

Agregar o eliminar FCs desde una VPN

Cuando las FC se agregan o eliminan de una VPN, las SA de IKE e IPsec para la VPN se suman o se desactivan y reinician las negociaciones. El clear security ipsec security-associations comando borra todas las SA de IPsec.

Detección de pares muertos (DPD)

Cuando el DPD está configurado con esta función, el optimized modo envía sondeos solo cuando hay tráfico saliente y no hay tráfico entrante en ninguna de la SA de IPsec. Mientras que el probe-idle modo envía sondeos solo cuando no hay tráfico saliente ni entrante en ninguna de las SA IPsec. La supervisión de VPN no se admite con la función DPD.

Comandos

El show security ipsec sa details index tunnel-id comando muestra todos los detalles de SA de IPsec, incluido el nombre fc. El show security ipsec stats index tunnel-id comando muestra estadísticas para cada FC.

Características de VPN compatibles

Las siguientes funciones VPN se admiten con VPN IPsec basadas en CoS:

  • VPN de sitio a sitio basadas en rutas. No se admiten VPN basadas en políticas.

  • AutoVPN.

  • Selectores de tráfico.

  • VPN de detección automática (ADVPN).

  • IKEv2. IKEv1 no se admite.

  • Detección de pares muertos (DPD). No se admite la supervisión vpn.

Descripción de selectores de tráfico y VPN IPsec basadas en CoS

Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel VPN si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajuste a un selector de tráfico mediante la asociación de seguridad asociada (SA).

La función VPN IPsec basada en CoS admite los siguientes escenarios

  • Uno o varios selectores de tráfico en una VPN de sitio a sitio basada en rutas con las mismas FCs.

  • Varios selectores de tráfico, con FCs diferentes para cada selector de tráfico. Este escenario requiere configuraciones VPN independientes.

En este tema se describen las configuraciones de VPN y la SA de IPsec que se negocian para cada escenario.

En los siguientes escenarios, se configuran tres FC en el dispositivo de la serie SRX:

En el primer caso, VPN vpn1 se configura con un solo selector de tráfico ts1 y las tres FCs:

En la configuración anterior, se negocian cuatro SA IPsec para el selector de tráfico ts1: uno para la SA IPsec predeterminada y tres para las SA IPsec asignadas a FCs.

En el segundo caso, VPN vpn1 se configura con dos selectores de tráfico ts1 y ts2 y las tres FCs:

En la configuración anterior, se negocian cuatro SA IPsec para el selector de tráfico ts1 y cuatro SA IPsec para el selector de tráfico ts2. Para cada selector de tráfico, hay una SA IPsec negociada para la SA de IPsec predeterminada y tres SA IPsec negociadas para las SA IPsec asignadas a FCs.

En el tercer caso, los selectores de tráfico ts1 y ts2 admiten diferentes conjuntos de FC. Los selectores de tráfico deben configurarse para diferentes VPN:

En la configuración anterior, se negocian cuatro SA IPsec para el selector de tráfico ts1 en VPN vpn1: uno para la SA IPsec predeterminada y tres para las SA IPsec asignadas a FC.

Ejemplo: Configuración de VPN IPsec basadas en CoS

En este ejemplo, se muestra cómo configurar una VPN IPsec basada en CoS con varias SA IPsec para permitir la asignación de paquetes para cada clase de reenvío a una SA IPsec diferente, lo que proporciona tratamiento de CoS en el dispositivo local y en enrutadores intermedios.

Esta función es propiedad de Juniper Networks y solo funciona con plataformas SRX compatibles y versiones de Junos OS. El dispositivo par VPN debe ser un dispositivo serie SRX o una instancia vSRX que admita esta función.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Cualquier dispositivo serie SRX

Antes de comenzar:

  • Comprenda cómo las clases de reenvío de clase de servicio (CoS) configuradas en el dispositivo de la serie SRX se pueden asignar a asociaciones de seguridad IPsec (SA). Consulte Descripción de VPN IPsec basadas en CoS con varias SA IPsec.

  • Comprenda los selectores de tráfico y las VPN IPsec basadas en CoS. Consulte Descripción de selectores de tráfico y VPN IPsec basadas en CoS.

Descripción general

En este ejemplo, configurará una VPN basada en rutas IPsec para una sucursal en Chicago, ya que no es necesario conservar los recursos de túnel ni configurar muchas políticas de seguridad para filtrar el tráfico a través del túnel. Los usuarios de la oficina de Chicago usarán la VPN para conectarse a su sede corporativa en Sunnyvale.

Figura 1 muestra un ejemplo de una topología VPN basada en rutas IPsec. En esta topología, un dispositivo serie SRX se encuentra en Sunnyvale, y un dispositivo de la serie SRX se encuentra en Chicago.

Figura 1: Topología VPN basada en rutas IPsecTopología VPN basada en rutas IPsec

En este ejemplo, puede configurar interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A continuación, configure IKE, IPsec, una política de seguridad y parámetros de CoS. Vea Tabla 1 a través de Tabla 4.

Tabla 1: Información de interfaz, ruta estática e zona de seguridad

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

192.0.2.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (interfaz de túnel)

10.10.11.10/24

Rutas estáticas

0.0.0.0/0 (ruta predeterminada)

El siguiente salto es st0.0.

Zonas de seguridad

Confianza

  • Se permiten todos los servicios del sistema.

  • La interfaz ge-0/0/0.0 está enlazada a esta zona.

Untrust

  • Se permiten todos los servicios del sistema.

  • La interfaz ge-0/0/3.0 está enlazada a esta zona.

Vpn

La interfaz st0.0 está enlazada a esta zona.

Tabla 2: Parámetros de configuración de ICR

Característica

Nombre

Parámetros de configuración

Propuesta

propuesta de ike

  • Método de autenticación: rsa-signatures

  • Grupo Diffie-Hellman: grupo14

  • Algoritmo de autenticación: sha-256

  • Algoritmo de cifrado: aes-256-cbc

Política

ike-policy

  • Modo: Principal

  • Referencia de propuesta: propuesta de ike

  • Método de autenticación de política ICR: rsa-signatures

Gateway

gw-sunnyvale

  • Referencia de política de ICR: ike-policy

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.2.2.2

Tabla 3: Parámetros de configuración IPsec

Característica

Nombre

Parámetros de configuración

Propuesta

ipsec_prop

  • Protocolo: Esp

  • Algoritmo de autenticación: hmac-sha-256

  • Algoritmo de cifrado: aes-256-cbc

Política

ipsec_pol

  • Referencia de propuesta: ipsec_prop

VPN

ipsec_vpn1

  • Referencia de puerta de enlace ICR: gw-chicago

  • Referencia de política IPsec: ipsec_pol

Tabla 4: Parámetros de configuración de política de seguridad

Propósito

Nombre

Parámetros de configuración

La política de seguridad permite el tráfico desde la zona de confianza hasta la zona vpn.

Vpn

  • Criterios de coincidencia:

    • dirección de origen sunnyvale

    • dirección de destino chicago

    • aplicación a cualquier

  • Acción: Permiso

La política de seguridad permite el tráfico desde la zona vpn hasta la zona de confianza.

Vpn

  • Criterios de coincidencia:

    • dirección de origen chicago

    • dirección de destino sunnyvale

    • aplicación a cualquier

  • Acción: Permiso

Configuración

Configuración de la información básica de la red y la zona de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar la información de la interfaz, la ruta estática y la zona de seguridad:

  1. Configure la información de la interfaz Ethernet.

  2. Configure la información de ruta estática.

  3. Configure la zona de seguridad de desconfianza.

  4. Especifique los servicios del sistema permitidos para la zona de seguridad de desconfianza.

  5. Asigne una interfaz a la zona de seguridad.

  6. Especifique los servicios del sistema permitidos para la zona de seguridad.

  7. Configure la zona de seguridad de confianza.

  8. Asigne una interfaz a la zona de seguridad de confianza.

  9. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

  10. Configure la zona de seguridad vpn.

  11. Asigne una interfaz a la zona de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-optionsy show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de CoS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar CoS:

  1. Configure clasificadores agregados de comportamiento para DiffServ CoS.

  2. Configure un clasificador de clase de reenvío de mejor esfuerzo.

  3. Defina el valor DSCP que se va a asignar a la clase de reenvío.

  4. Defina ocho clases de reenvío (nombres de cola) para las ocho colas.

  5. Configure clasificadores en las interfaces de entrada (ge).

  6. Aplique la asignación del programador a la interfaz ge.

  7. Configure la asignación del programador para asociar programadores con clases de reenvío definidas.

  8. Defina los programadores con prioridad y velocidades de transmisión.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show class-of-service configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de IKE

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar IKE:

  1. Cree la propuesta de ICR.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Defina el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de propuesta de IKE.

  6. Cree una política de ICR.

  7. Establezca el modo de política de ICR.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de política ICR.

  10. Cree una puerta de enlace IKE y defina su interfaz externa.

  11. Defina la referencia de política de ICR.

  12. Defina la dirección de puerta de enlace de IKE.

  13. Defina la versión de puerta de enlace IKE.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar IPsec:

  1. Habilite las opciones de seguimiento IPsec.

  2. Cree una propuesta de IPsec.

  3. Especifique el protocolo de propuesta IPsec.

  4. Especifique el algoritmo de autenticación de propuesta IPsec.

  5. Especifique el algoritmo de cifrado de propuesta de IPsec.

  6. Especifique la duración (en segundos) de una asociación de seguridad IPsec (SA).

  7. Cree la política IPsec.

  8. Especifique la referencia de propuesta de IPsec.

  9. Especifique la interfaz que desea enlazar.

  10. Configure la clase de reenvío a la SA de varios IPsec.

  11. Especifique la puerta de enlace IKE.

  12. Especifique las políticas IPsec.

  13. Especifique que el túnel se ponga en marcha de inmediato para negociar SA de IPsec cuando llegue el primer paquete de datos que se enviará.

  14. Configure direcciones IP locales para un selector de tráfico.

  15. Configure direcciones IP remotas para un selector de tráfico.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Habilite las opciones de seguimiento de políticas de seguridad para solucionar los problemas relacionados con las políticas.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar políticas de seguridad:

  1. Cree la política de seguridad para permitir el tráfico de la zona de confianza a la zona vpn.

  2. Cree la política de seguridad para permitir el tráfico de la zona vpn a la zona de confianza.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar asociaciones de seguridad IPsec

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, use los show security ipsec security-associations index 131073 detail comandos and show security ipsec statistics index 131073 .

Para la brevedad, los resultados del comando show no muestran todos los valores de la configuración. Solo se muestra un subconjunto de la configuración. El resto de la configuración del sistema se ha reemplazado por puntos suspensivos (...).

Significado

El resultado del show security ipsec security-associations comando enumera la siguiente información:

  • El número de ID está 131073. Utilice este valor con el comando show security ipsec security-associations index para obtener más información sobre esta SA en particular.

  • Hay un par SA IPsec que usa el puerto 500.

  • Las SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 1949/unlim indica que la duración de la fase caduca en 1949 segundos, y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitado.

  • La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está inactiva.

El show security ike security-associations index 131073 detail comando enumera información adicional sobre la SA con un número de índice de 131073:

  • La identidad local y la identidad remota conforman el ID de proxy para la SA. Una discordancia de ID de proxy es una de las causas más comunes de una falla de fase. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase, incluida la configuración de ID de proxy, son correctas para ambos pares.

  • Muestra todos los detalles de SA secundarios, incluido el nombre de clase de reenvío.

El show security ipsec statistics index 131073 comando enumera estadísticas para cada nombre de clase de reenvío.

  • Un valor de error de cero en el resultado indica una condición normal.

  • Recomendamos ejecutar este comando varias veces para observar cualquier problema de pérdida de paquetes en una VPN. La salida de este comando también muestra las estadísticas de los contadores de paquetes cifrados y descifrados, los contadores de errores, entre otros.

  • Debe habilitar las opciones de seguimiento de flujo de seguridad para investigar qué paquetes ESP están experimentando errores y por qué.

Descripción de la compatibilidad con CoS en interfaces st0

A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, las funciones de clase de servicio (CoS) como clasificador, policía, cola, programación, modelado, marcadores de reescritura y canales virtuales ahora se pueden configurar en la interfaz de túnel seguro (st0) para VPN punto a punto.

La interfaz de túnel st0 es una interfaz interna que las VPN basadas en rutas pueden usar para enrutar tráficos de texto sin formato a un túnel VPN IPsec. Las siguientes funciones de CoS se admiten en la interfaz st0 en todos los dispositivos de la serie SRX y vSRX2.0 disponibles:

  • Clasificadores

  • Agentes de policía

  • Cola, programación y formación

  • Marcadores de reescritura

  • Canales virtuales

A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, se agrega compatibilidad con colas, programación, modelado y canales virtuales a la interfaz st0 para dispositivos SRX5400, SRX5600 y SRX5800. Se agrega compatibilidad con todas las funciones de CoS enumeradas para la interfaz st0 para dispositivos SRX1500, SRX4100 y SRX4200. A partir de Junos OS versión 17.4R1, se agrega compatibilidad con las funciones de CoS enumeradas para la interfaz st0 para dispositivos SRX4600.

Limitaciones de la compatibilidad con CoS en interfaces st0 VPN

Las siguientes limitaciones se aplican a la compatibilidad con CoS en interfaces st0 VPN:

  • El número máximo de colas de software es 2048. Si el número de interfaces st0 supera el 2048, no se pueden crear suficientes colas de software para todas las interfaces st0.

  • Solo las VPN basadas en rutas pueden aplicar funciones de CoS en interfaces st0. Tabla 5 describe la compatibilidad de la función st0 CoS para diferentes tipos de VPN.

    Tabla 5: Soporte de funciones de CoS para VPN
    Características del clasificador VPN de sitio a sitio (P2P) AutoVPN (P2P) VPN automática/VPN de sitio a sitio/AD-VPN (P2MP)

    Clasificadores, policías y marcadores de reescritura

    Apoyado

    Apoyado

    Apoyado

    Colas, programación y formas basadas en interfaces lógicas st0

    Apoyado

    No compatible

    No compatible

    Colas, programación y formación basadas en canales virtuales

    Apoyado

    Apoyado

    Apoyado

  • En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM, una interfaz lógica st0 puede enlazarse a varios túneles VPN. Las ocho colas de la interfaz lógica st0 no pueden redirigir el tráfico a túneles diferentes, por lo que no se admite la tunelización previa.

    La función de canal virtual se puede utilizar como solución alternativa en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

  • Cuando defina una velocidad de modelado de CoS en una interfaz de túnel st0, tenga en cuenta las siguientes restricciones:

    • La velocidad de modelado en la interfaz de túnel debe ser menor que la de la interfaz de salida física.

    • La velocidad de modelado solo mide el tamaño del paquete que incluye el paquete de texto claro interno de capa 3 con un encabezado ESP/AH y una encapsulación de encabezado IP externa. La encapsulación externa de capa 2 agregada por la interfaz física no se tiene en cuenta en la medición de velocidad de modelado.

    • El comportamiento de CoS funciona según lo esperado cuando la interfaz física solo lleva el tráfico de túnel GRE o IP-IP en forma. Si la interfaz física lleva otro tráfico, lo que reduce el ancho de banda disponible para el tráfico de interfaz de túnel, las funciones de CoS no funcionan como se esperaba.

  • En los dispositivos SRX550M, SRX5400, SRX5600 y SRX5800, el límite de ancho de banda y los valores de límite de tamaño de ráfaga en una configuración de policía son una limitación por SPU, no por sistema. Este es el mismo comportamiento del agente de policía que en la interfaz física.

Tabla de historial de versiones
Liberación
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, se agrega compatibilidad con las funciones de CoS enumeradas para la interfaz st0 para dispositivos SRX4600.
15.1X49-D70
A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, se agrega compatibilidad con colas, programación, modelado y canales virtuales a la interfaz st0 para dispositivos SRX5400, SRX5600 y SRX5800. Se agrega compatibilidad con todas las funciones de CoS enumeradas para la interfaz st0 para dispositivos SRX1500, SRX4100 y SRX4200.
15.1X49-D60
A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, las funciones de clase de servicio (CoS) como clasificador, policía, cola, programación, modelado, marcadores de reescritura y canales virtuales ahora se pueden configurar en la interfaz de túnel seguro (st0) para VPN punto a punto.