PowerMode IPsec
Lea este tema para obtener información sobre las VPN IPsec (PMI) PowerMode.
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Revise la Comportamiento del PMI específico de la plataforma sección para obtener notas relacionadas con su plataforma.
Consulte la Información adicional de la plataforma sección para obtener más información.
Mejora del rendimiento de IPsec con PowerMode IPsec
PowerMode IPsec (PMI) es un modo de operación que proporciona mejoras de rendimiento de IPsec mediante el procesamiento de paquetes vectoriales y las nuevas instrucciones estándar de cifrado avanzado de Intel (AES-NI). PMI utiliza un pequeño bloque de software dentro del motor de reenvío de paquetes que omite el procesamiento de flujo y utiliza el conjunto de instrucciones AES-NI para un rendimiento optimizado del procesamiento IPsec que se activa cuando PMI está habilitado.
- Procesamiento de PMI
- Estadísticas PMI
- Nuevas instrucciones estándar de cifrado avanzado (AES-NI) y matriz de puertas programables en línea (FPGA)
- Funciones compatibles y no compatibles con PMI
- Beneficios del PMI
- Configuración del PMI del flujo de seguridad
- Entendiendo el túnel de grasa simétrico
Procesamiento de PMI
Puede activar o desactivar el procesamiento PMI:
- Habilite el procesamiento de PMI mediante el comando de
set security flow power-mode-ipsecmodo de configuración. - Deshabilite el procesamiento PMI mediante el comando de
delete security flow power-mode-ipsecmodo de configuración. Al ejecutar este comando, se elimina la instrucción de la configuración.
Estadísticas PMI
Puede comprobar las estadísticas del PMI mediante el comando del show security flow pmi statistics modo operativo.
Puede comprobar el estado del PMI y del túnel gordo mediante el comando del show security flow status modo operativo.
Nuevas instrucciones estándar de cifrado avanzado (AES-NI) y matriz de puertas programables en línea (FPGA)
. AES-NI en modo PMI ayuda a equilibrar la carga en SPU y admite el túnel de grasa simétrico en tarjetas SPC3. Esto da como resultado un rendimiento de manejo de tráfico acelerado y un mayor rendimiento para VPN IPsec. PMI utiliza AES-NI para el cifrado y FPGA para el descifrado de la operación criptográfica.
Para habilitar el procesamiento de PMI con AES-NI, incluya la power-mode-ipsec instrucción en el nivel jerárquico [edit security flow] .
Para habilitar o deshabilitar la FPGA en línea, incluya la inline-fpga-crypto (disabled | enabled) instrucción en el nivel jerárquico [edit security forwarding-process application-services] .
Funciones compatibles y no compatibles con PMI
Una sesión de túnel puede ser PMI o no PMI. Tabla 1 resume las funciones de PMI admitidas y no compatibles.
Revise la Tabla 4 sección para obtener notas relacionadas con su plataforma.
Si una sesión está configurada con alguna de las funciones no compatibles enumeradas en Tabla 1, la sesión se marca como no PMI y el túnel pasa al modo no PMI. Una vez que el túnel entra en el modo no PMI, el túnel no vuelve al modo PMI.
|
Funciones admitidas en PMI |
Funciones no compatibles en PMI |
|---|---|
|
Funcionalidad de intercambio de claves por Internet (IKE) |
Capas 4 - 7 aplicaciones: firewall de aplicaciones y AppSecure |
|
AutoVPN con selectores de tráfico |
multidifusión |
|
Alta disponibilidad |
Túneles anidados |
|
IPv6 |
Opciones de pantalla |
|
Firewall de estado |
Puerta de enlace de la capa de aplicación (ALG) |
|
Interfaz st0 |
Algoritmo de autenticación HMAC-SHA-384 |
|
Selectores de tráfico |
Algoritmo de autenticación HMAC-SHA-512 |
| NAT (En el modo PMI, no puede utilizar NAT64. NAT64 funciona correctamente en modo normal, cuando PMI está habilitado.) |
|
| Algoritmo de cifrado AES-GCM-128 y AES-GCM-256. Le recomendamos que utilice el algoritmo de cifrado AES-GCM para un rendimiento óptimo. |
|
| AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA1 con algoritmo de autenticación HMAC-SHA1-96 |
|
|
AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA2 con algoritmo de autenticación HMAC-SHA-256-128 |
|
| Algoritmo de cifrado NULL |
|
Tenga en cuenta las siguientes consideraciones de uso con PMI:
- Antireplay window size
-
El tamaño de la ventana antirreproducción es de 64 paquetes de forma predeterminada. Si configura fat-tunnel, se recomienda aumentar el tamaño de la ventana Antirreproducción a mayor o igual que 512 paquetes.
-
- Class of Service (CoS)
- Class of Service (CoS) admite la configuración de funciones de clasificador de agregado de comportamiento (BA), clasificador de múltiples campos (MF) y reglas de reescritura en PMI.
-
Si habilita PMI para una sesión de flujo, el CoS se realiza en función de cada flujo. Esto significa que el primer paquete de un nuevo flujo almacena en caché la información de CoS en la sesión de flujo. Luego, los paquetes subsiguientes del flujo reutilizan la información de CoS almacenada en caché en la sesión.
- Encryption algorithm
-
PMI admite las opciones aes-128-cbc, aes-192-cbc y aes-256-cbc para mejorar el rendimiento de IPsec, junto con la compatibilidad existente en modo normal.
-
- GTP-U
- PMI admite el escenario GTP-U con distribución TEID y solución de túnel de grasa asimétrico.
- PMI admite la funciónde escala en lado de recepción de software.
- LAG and redundant (reth) interfaces
- PMI se admite en interfaces de grupo de agregación de vínculos (LAG) y Ethernet redundantes (reth).
- PMI fragmentation check
-
PMI realiza una comprobación previa y posterior a la fragmentación. Si el PMI detecta paquetes de prefragmentación y postfragmentación, no se permiten paquetes a través del modo PMI. Los paquetes volverán al modo no PMI.
-
Los fragmentos recibidos en una interfaz no pasan por PMI.
-
- PMI for NAT-T
- PMI para NAT-T solo se admite en la tarjeta de procesamiento de servicios (SPC) SRX5K-SPC3 o con el firewall virtual vSRX.
- PMI support (vSRX)
-
Las instancias de vSRX Virtual Firewall son compatibles:
-
CoS por flujo funciona para el tráfico GTP-U en modo PMI.
-
Funciones de CoS en modo PMI. Las siguientes características de CoS son compatibles con el modo PMI:
-
Clasificador
-
Funciones de regla de reescritura
-
Colas
-
Formación
-
Programación
-
-
-
Beneficios del PMI
Mejora el rendimiento de IPsec.
Configuración del PMI del flujo de seguridad
En la siguiente sección se describe cómo configurar el PMI del flujo de seguridad.
Para configurar el PMI de flujo de seguridad, debe habilitar la caché de sesión en las IOC y la afinidad de sesión:
Habilitar la caché de sesión en IOC (IOC2 e IOC3)
user@host# set chassis fpc <fpc-slot> np-cache
Habilitar la afinidad de sesión VPN
user@host# set security flow load-distribution session-affinity ipsec
Crear flujo de seguridad en PMI.
user@host#set security flow power-mode-ipsec
Confirme la configuración introduciendo el
show securitycomando.user@host# show security flow { power-mode-ipsec; }
Entendiendo el túnel de grasa simétrico
Para mejorar el rendimiento del túnel IPsec, puede usar la tecnología de túnel grueso.
Se introduce un nuevo comando de CLI para habilitar el túnel IPsec gordo. La característica de túnel IPsec grueso está deshabilitada de forma predeterminada. El nuevo comando de CLI introducido está fat-core en la set security distribution-profile jerarquía. Cuando habilita el fat-core, se muestra la siguiente configuración:
security {
distribution-profile {
fat-core;
}
}
Antes de configurar el túnel IPsec grueso, asegúrese de que se ha configurado lo siguiente.
-
Para un reenvío rápido de rutas, configure la caché IOC para la información de la sesión mediante el
set chassis fpc FPC slot np-cachecomando. -
Para habilitar la afinidad de sesión, use el
set security flow load-distribution session-affinity ipseccomando. -
Para activar el modo de energía, use el
set security flow power-mode-ipseccomando.
Consulte también
Ejemplo: Configuración del clasificador de agregados de comportamiento en PMI
En este ejemplo se muestra cómo configurar clasificadores de agregados de comportamiento (BA) para un firewall de la serie SRX a fin de determinar el tratamiento de reenvío de paquetes en PMI.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewall de la serie SRX.
Junos OS versión 19.1R1 y versiones posteriores.
Antes de empezar:
Determine la clase de reenvío y el PLP que se asignan de forma predeterminada a cada DSCP conocido que desee configurar para el clasificador de agregado de comportamiento.
Descripción general
Configure clasificadores agregados de comportamiento para clasificar los paquetes que contienen DSCP válidos en las colas adecuadas. Una vez configurado, se aplica el clasificador de agregado de comportamiento a las interfaces correctas. Para anular el clasificador de precedencia IP predeterminado, defina un clasificador y lo aplique a una interfaz lógica. Para definir nuevos clasificadores para todos los tipos de punto de código, incluya la classifiers instrucción en el nivel de [edit class-of-service] jerarquía.
En este ejemplo, establezca el clasificador agregado de comportamiento DSCP en ba-classifier como la asignación DSCP predeterminada. Establezca una clase de reenvío de máximo esfuerzo como be-class, una clase de reenvío acelerado como ef-class, una clase de reenvío asegurado como af-class, y una clase de reenvío de control de red como nc-class. Por último, aplique el clasificador de agregado de comportamiento a la interfaz ge-0/0/0.
La Tabla 2 muestra cómo el clasificador de agregado de comportamiento asigna prioridades de pérdida a los paquetes entrantes en las cuatro clases de reenvío.
mf-classifier Clase de reenvío |
Para el tipo de tráfico CoS |
Asignaciones de clasificador de ba |
|---|---|---|
|
Tráfico de mejor esfuerzo |
Punto de código de alta prioridad: 000001 |
|
Tráfico de reenvío acelerado |
Punto de código de alta prioridad: 101111 |
|
Tráfico de reenvío garantizado |
Punto de código de alta prioridad: 001100 |
|
Tráfico de control de red |
Punto de código de alta prioridad: 110001 |
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 101111 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001100 set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points 110001 set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar clasificadores agregados de comportamiento para un dispositivo en PMI:
Configure la clase de servicio.
[edit] user@host# edit class-of-service
Configure clasificadores agregados de comportamiento para CoS de servicios diferenciados (DiffServ).
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
Configure un clasificador de clase de reenvío de máximo esfuerzo.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be-class loss-priority high code-points 000001
Configure un clasificador de clase de reenvío acelerado.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 101111
Configure un clasificador de clase de reenvío seguro.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class af-class loss-priority high code-points 001100
Configure un clasificador de clase de reenvío de control de red.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class nc-class loss-priority high code-points 110001
Aplique el clasificador de agregado de comportamiento a una interfaz.
[edit] user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Resultados
Desde el modo de configuración, confírmela con el comando show class-of-service. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
La comprobación del clasificador se aplica a las interfaces
Propósito
Asegúrese de que el clasificador se aplica a las interfaces correctas.
Acción
Desde el modo operativo, ingrese el show class-of-service interface ge-0/0/0 comando.
user@host> show class-of-service interface ge-0/0/0 Physical interface: ge-0/0/0, Index: 144 Queues supported: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge-1/0/3, Index: 333 Object Name Type Index Classifier v4-ba-classifier dscp 10755
Significado
Las interfaces se configuran como se esperaba.
Ejemplo: Configuración del clasificador de agregados de comportamiento en PMI para instancias de firewall virtual vSRX
En este ejemplo se muestra cómo configurar clasificadores de agregado de comportamiento (BA) para una instancia de firewall virtual vSRX a fin de determinar el tratamiento de reenvío de paquetes en PMI.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Una instancia de firewall virtual vSRX.
-
Junos OS versión 19.4R1 y versiones posteriores.
Antes de empezar:
-
Determine la clase de reenvío y el PLP que se asignan de forma predeterminada a cada DSCP conocido que desee configurar para el clasificador de BA.
Descripción general
Configure clasificadores de BA para clasificar los paquetes que contienen DSCP válidos en las colas adecuadas. Una vez configurado, aplique el clasificador de BA a las interfaces correctas. Para anular el clasificador de precedencia IP predeterminado, defina un clasificador y lo aplique a una interfaz lógica. Para definir nuevos clasificadores para todos los tipos de punto de código, incluya la classifiers instrucción en el nivel de [edit class-of-service] jerarquía.
En este ejemplo, establezca el clasificador de BA DSCP en ba-classifier como la asignación DSCP predeterminada. Establezca una clase de reenvío de máximo esfuerzo (BE) como be-class, una clase de reenvío acelerado (EF) como ef-class, una clase de reenvío asegurado (AF) como af-classy una clase de reenvío de control de red como nc-class. Por último, aplique el clasificador BA a la interfaz ge-0/0/0.
La Tabla 2 muestra cómo el clasificador de BA asigna prioridades de pérdida a los paquetes entrantes en las cuatro clases de reenvío.
|
Clase de reenvío de clasificador de múltiples campos |
Para el tipo de tráfico CoS |
Asignaciones de clasificador de BA |
|---|---|---|
|
|
Tráfico BE |
Punto de código de alta prioridad: 000001 |
|
|
Tráfico EF |
Punto de código de alta prioridad: 101111 |
|
|
Tráfico AF |
Punto de código de alta prioridad: 001100 |
|
|
Tráfico de control de red |
Punto de código de alta prioridad: 110001 |
Configuración
Configuración rápida de CLI
Para configurar rápidamente el ejemplo, copie los siguientes comandos y péguelos en un archivo de texto. A continuación, elimine los saltos de línea y ajuste los detalles para que se ajusten a su configuración de red. Copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit desde el modo de configuración.
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af11 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af31 set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21 set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6 set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50 set class-of-service drop-profiles drop_profile fill-level 50 drop-probability 100 set class-of-service forwarding-classes queue 0 be set class-of-service forwarding-classes queue 1 ef set class-of-service forwarding-classes queue 2 low_delay set class-of-service forwarding-classes queue 3 low_loss set class-of-service interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice set class-of-service schedulers voice buffer-size temporal 5k set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar clasificadores de BA para un dispositivo en PMI:
Configure el CoS.
[edit] user@host# edit class-of-service
Configure clasificadores de BA para CoS de servicios diferenciados (DiffServ).
[edit class-of-service] user@host# edit classifiers dscp ba-classifier
Configure un clasificador de clase de reenvío de BE.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be loss-priority low code-points be
Configure un clasificador de clase EF.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority low code-points ef user@host# set forwarding-class ef-class loss-priority high code-points af41 user@host# set forwarding-class ef-class loss-priority high code-points af11 user@host# set forwarding-class ef-class loss-priority high code-points af31 user@host# set forwarding-class low_delay loss-priority low code-points af21 user@host# set forwarding-class low_loss loss-priority low code-points cs6
Configure los perfiles de colocación.
[edit class-of-service drop-profiles] user@host# set drop_profile fill-level 20 drop-probability 50 user@host# set drop_profile fill-level 50 drop-probability 100
Configure las colas de clases de reenvío.
[edit class-of-service forwarding-classes ] user@host# set queue 0 be user@host# set queue 1 ef user@host# set queue 2 low_delay user@host# set 3 low_loss
Aplique el clasificador a las interfaces.
[edit class-of-service] user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
Configure los programadores.
[edit class-of-service] user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice user@host# set schedulers voice buffer-size temporal 5k user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
Resultados
Desde el modo de configuración, confírmela con el comando show class-of-service. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile drop_profile;
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de la aplicación clasificadora en las interfaces
Propósito
Compruebe que ha configurado correctamente el clasificador y confirme la configuración de las clases de reenvío.
Acción
Desde el modo operativo, ingrese el show class-of-service forwarding-class comando.
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority be 0 0 0 low normal low ef 1 1 1 low normal low low_delay 2 2 2 low normal low low_loss 3 3 3 low normal low
Significado
El resultado muestra los valores del clasificador personalizado configurados.
Ejemplo: Configuración y aplicación de un filtro de firewall para un clasificador multicampo en PMI
En este ejemplo se muestra cómo configurar un filtro de firewall para clasificar el tráfico a una clase de reenvío diferente mediante el valor DSCP y el clasificador de múltiples campos (MF) en PMI.
El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan a una interfaz. Los clasificadores de MF se utilizan cuando un clasificador de agregado de comportamiento simple (BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen marcados los bits CoS o cuando el marcado del enrutador de emparejamiento no es de confianza.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewall de la serie SRX.
Junos OS versión 19.1R1 y versiones posteriores.
Antes de empezar:
Determine la clase de reenvío asignada de forma predeterminada a cada DSCP conocido que desee configurar para el clasificador de MF. Consulte Mejora del rendimiento de IPsec con PowerMode IPsec.
Descripción general
En este ejemplo, se explica cómo configurar el filtro mf-classifierde firewall. Para configurar el clasificador de MF, cree y asigne un nombre a la clase de tráfico de reenvío asegurado, establezca la condición de coincidencia y, a continuación, especifique la dirección de destino como 192.168.44.55. Cree la clase de reenvío para reenvío asegurado del tráfico de DiffServ como af-class y establezca la prioridad de pérdida en baja.
En este ejemplo, cree y asigne un nombre a la clase de tráfico de reenvío acelerado y establezca la condición de coincidencia para la clase de tráfico de reenvío acelerado. Especifique la dirección de destino como 192.168.66.77. Cree la clase de reenvío para el reenvío acelerado del tráfico de DiffServ como ef-class y establezca el aplicador en ef-policer. Cree y asigne un nombre a la clase de tráfico de control de red y establezca la condición de coincidencia.
En este ejemplo, cree y asigne un nombre a la clase de reenvío para la clase de tráfico de control de red como nc-class y asigne un nombre a la clase de reenvío para la clase de tráfico de mejor esfuerzo como be-class. Por último, aplique el filtro de firewall clasificador de múltiples campos como filtro de entrada y salida en cada cliente o host que necesite el filtro. En este ejemplo, la interfaz para el filtro de entrada es ge-0/0/2 y la interfaz para el filtro de salida es ge-0/0/4.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set firewall filter mf-classifier interface-specific set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55 set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class set firewall filter mf-classifier term assured-forwarding then loss-priority low set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77 set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class set firewall filter mf-classifier term expedited-forwarding then policer ef-policer set firewall filter mf-classifier term network-control from precedence net-control set firewall filter mf-classifier term network-control then forwarding-class nc-class set firewall filter mf-classifier term best-effort then forwarding-class be-class set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar un filtro de firewall para un clasificador de campos múltiples para un dispositivo en PMI:
Cree y asigne un nombre al filtro clasificador de varios campos.
[edit] user@host# edit firewall filter mf-classifier user@host# set interface-specific
Cree y asigne un nombre al término para la clase de tráfico de reenvío asegurado.
[edit firewall filter mf-classifier] user@host# edit term assured-forwarding
Especifique la dirección de destino para el tráfico de reenvío asegurado.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set from destination-address 192.168.44.55
Cree la clase de reenvío y establezca la prioridad de pérdida para la clase de tráfico de reenvío asegurado.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set then forwarding-class af-class user@host# set then loss-priority low
Cree y asigne un nombre al término para la clase de tráfico de reenvío acelerado.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term expedited-forwarding
Especifique la dirección de destino para el tráfico de reenvío acelerado.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set from destination-address 192.168.66.77
Cree la clase de reenvío y aplique el aplicador de políticas para la clase de tráfico de reenvío acelerado.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set then forwarding-class ef-class user@host# set then policer ef-policer
Cree y asigne un nombre al término para la clase de tráfico de control de red.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term network-control
Cree la condición de coincidencia para la clase de tráfico de control de red.
[edit firewall filter mf-classifier term network-control] user@host# set from precedence net-control
Cree y asigne un nombre a la clase de reenvío para la clase de tráfico de control de red.
[edit firewall filter mf-classifier term network-control] user@host# set then forwarding-class nc-class
Cree y asigne un nombre al término para la clase de tráfico de mejor esfuerzo.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term best-effort
Cree y asigne un nombre a la clase de reenvío para la clase de tráfico de mejor esfuerzo.
[edit firewall filter mf-classifier term best-effort] user@host# set then forwarding-class be-class
Aplique el filtro de firewall del clasificador de varios campos como filtro de entrada.
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
Aplique el filtro de firewall clasificador de varios campos como filtro de salida.
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Resultados
Desde el modo de configuración, confírmela con el comando show firewall filter mf-classifier. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
Desde el modo de configuración, confírmela con el comando show interfaces. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
filter {
output mf-classifier;
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de un filtro de firewall para una configuración de clasificador de varios campos
Propósito
Compruebe que un filtro de firewall para un clasificador de varios campos está configurado correctamente en un dispositivo y confirme que las clases de reenvío están configuradas correctamente.
Acción
En el modo de configuración, escriba el comando show class-of-service forwarding-class.
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
El resultado muestra los valores del clasificador personalizado configurados.
Ejemplo: Configuración y aplicación de reglas de reescritura en un dispositivo de seguridad en PMI
En este ejemplo se muestra cómo configurar y aplicar reglas de reescritura para un dispositivo en PMI.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewall de la serie SRX.
Junos OS versión 19.1R1 y versiones posteriores.
Antes de empezar:
Crear y configurar las clases de reenvío. Consulte Mejora del rendimiento de IPsec con PowerMode IPsec.
Descripción general
En este ejemplo se explica cómo configurar reglas de reescritura para reemplazar los valores de CoS en los paquetes recibidos del cliente o del host por los valores esperados por otros firewalls de la serie SRX. No es necesario configurar reglas de reescritura si los paquetes recibidos ya contienen valores CoS válidos. Las reglas de reescritura aplican la información de la clase de reenvío y la prioridad de pérdida de paquetes utilizada internamente por el dispositivo para establecer el valor CoS en los paquetes salientes. Después de configurar las reglas de reescritura, aplíquelas a las interfaces correctas.
En este ejemplo, configure la regla de reescritura para DiffServ CoS como rewrite-dscps. Especifique la clase de reenvío de mejor esfuerzo como be-class, clase de reenvío acelerado como ef-class, una clase de reenvío asegurado como af-class, y una clase de control de red como nc-class. Por último, aplique la regla de reescritura a la interfaz ge-0/0/0.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar y aplicar reglas de reescritura para un dispositivo en PMI:
Configure reglas de reescritura para DiffServ CoS.
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
Configure reglas de reescritura de clases de reenvío de mejor esfuerzo.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
Configure reglas de reescritura de clases de reenvío acelerado.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
Configure reglas de reescritura de clase de reenvío seguro.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
Configure reglas de reescritura de clase de control de red.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
Aplicar reglas de reescritura a una interfaz.
[edit class-of-service] user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Resultados
Desde el modo de configuración, confírmela con el comando show class-of-service. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Comprobación de la configuración de reglas de reescritura
Propósito
Compruebe que las reglas de reescritura estén configuradas correctamente.
Acción
Desde el modo operativo, ingrese el show class-of-service comando.
user@host> show class-of-service Physical interface: ge-0/0/0, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge0/0/0, Index: 71 Object Name Type Index Classifier ipprec-compatibility ip 13
Significado
Las reglas de reescritura se configuran en la interfaz ge-0/0/0 como se esperaba.
Configurar el modo de autenticación ESP IPsec en PMI
El PMI introdujo una nueva ruta de datos para lograr un alto rendimiento de rendimiento de IPsec. Puede usar el modo de solo autenticación de carga de seguridad encapsuladora (ESP) en el modo PMI, que proporciona autenticación, comprobación de integridad y protección contra reproducción sin cifrar los paquetes de datos.
Antes de empezar:
Asegúrese de que la sesión sea compatible con PMI. Consulte Afinidad de sesión VPN .
Para configurar el modo de solo autenticación ESP:
Consulte también
Comportamiento del PMI específico de la plataforma
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Consulte la Información adicional de la plataforma sección para obtener más información.
Use la tabla siguiente para revisar los comportamientos específicos de la plataforma para sus plataformas.
| Plataforma | Diferencia |
|---|---|
| Serie MX con MX-SPC3 |
|
| Serie SRX |
|
Información adicional de la plataforma
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas. Plataformas adicionales pueden ser compatibles. Revise la Comportamiento del PMI específico de la plataforma sección para obtener notas relacionadas con su plataforma.
|
Característica |
SRX4100SRX4200SRX4600SRX4700 |
Línea SRX5000 con SPC3 |
Firewalls virtuales vSRX |
|---|---|---|---|
|
Se requiere reiniciar después de habilitar o deshabilitar PMI |
Sí |
No |
No para Junos OS versión 19.2R1 o posterior Sí para Junos OS versión 18.3R1 |
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.