Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PowerMode IPsec

Mejora del rendimiento de IPsec con PowerMode IPsec

PowerMode IPsec (PMI) es un modo de operación que ofrece mejoras en el rendimiento de IPsec mediante el procesamiento de paquetes vectoriales y las nuevas instrucciones (AES-NI) del estándar de cifrado avanzado Intel. La PMI utiliza un pequeño bloque de software dentro del motor de reenvío de paquetes que omite el procesamiento de flujo y utiliza el conjunto de instrucciones AES-NI para un rendimiento optimizado del procesamiento IPsec que se activa cuando se habilita la PMI.

Procesamiento de PMI

Puede activar o deshabilitar el procesamiento PMI:

  • Habilite el procesamiento de PMI mediante el comando de set security flow power-mode-ipsec modo de configuración.
  • Desactive el procesamiento de PMI mediante el comando de delete security flow power-mode-ipsec modo de configuración. Al ejecutar este comando, se elimina la instrucción de la configuración.

Para SRX4100, dispositivos SRX4200 que ejecutan Junos OS versión 18.4R1, SRX4600 dispositivos que ejecutan Junos OS versión 20.4R1 y vSRX que ejecutan Junos OS versión 18.3R1 después de habilitar o deshabilitar la PMI, debe reiniciar el dispositivo para que la configuración surta efecto. Sin embargo, para los dispositivos de línea SRX5000 e instancias de vSRX que ejecutan Junos OS versión 19.2R1, no es necesario reiniciar.

Estadísticas de PMI

Puede comprobar las estadísticas de PMI mediante el comando del show security flow pmi statistics modo operativo.

Puede comprobar el estado del PMI y del túnel de grasa mediante el comando del show security flow status modo operativo.

Intel QuickAssist (QAT) y el sistema de puertas programables en línea (FPGA)

A partir de Junos OS versión 20.4R1, puede mejorar el rendimiento de la PMI con Intel QAT y AES-NI. AES-NI y QAT en modo PMI ayudan a equilibrar la carga en las SPU y admiten el túnel de grasa simétrica en tarjetas SPC3. Esto da como resultado un rendimiento acelerado de manejo del tráfico y una mayor transferencia de datos para VPN IPsec. La PMI utiliza AES-NI y QAT para cifrado y FPGA para el descifrado de operaciones criptográficas.

Para habilitar QAT con AES-NI, incluya la power-mode-ipsec-qat instrucción en el [edit security flow] nivel de jerarquía.

Para habilitar o deshabilitar FPGA en línea, incluya la inline-fpga-crypto (disabled | enabled) instrucción en el [edit security forwarding-process application-services] nivel de jerarquía.

Funciones compatibles y no compatibles para PMI

Una sesión de túnel puede ser PMI o no PMI.

Si una sesión está configurada con funciones no compatibles enumeradas en Tabla 1 y Tabla 2, la sesión se marca como no PMI y el túnel pasa al modo no PMI. Una vez que el túnel entra en el modo que no es PMI, el túnel no vuelve al modo PMI.

Tabla 1 resume las funciones PMI compatibles y no compatibles en dispositivos de la serie SRX.

Tabla 1: Resumen de funciones compatibles y no compatibles en PMI (dispositivos serie SRX)

Funciones compatibles en PMI

Funciones no compatibles en PMI

Funcionalidad de intercambio de claves por red (IKE)

Túneles IPsec en IPsec

AutoVPN con selectores de tráfico

Aplicaciones de capa 4 a 7: firewall de aplicaciones y AppSecure

Alta disponibilidad

Firewalls de protocolo de tunelización GPRS (GTP) y protocolo de transmisión de control de flujo (SCTP)

IPv6

Tráfico de host

Firewall de estado

multidifusión

interfaz st0

Túneles anidados

Selectores de tráfico

Opciones de pantalla

TDR-T

Algoritmo de cifrado DES-CBC

Escenario GTP-U con distribución de TEID y solución de túnel de grasa asimétrica

Algoritmo de cifrado 3DES-CBC

Calidad del servicio (QoS)

Puerta de enlace de capa de aplicación (ALG)

Primera ruta y procesamiento rápido de rutas para el manejo de fragmentos y cifrado unificado.

TDR

Algoritmo de cifrado AES-GCM-128 y AES-GCM-256. Recomendamos que utilice el algoritmo de cifrado AES-GCM para un rendimiento óptimo.

AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA1

AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA2

Algoritmo de cifrado NULL

QAT

Tabla 2 resume las funciones PMI compatibles y no compatibles en la tarjeta de servicios MX-SPC3.

La tarjeta de servicios MX-SPC3 no admite np-cache y afinidad de sesión IPsec.

Tabla 2: Resumen de funciones compatibles y no compatibles en PMI (tarjeta de servicios MX-SPC3)

Funciones compatibles en PMI

Funciones no compatibles en PMI

Funcionalidad de intercambio de claves por red (IKE)

Aplicaciones de capa 4 a 7: firewall de aplicaciones, AppSecure y ALG

AutoVPN con selectores de tráfico, ADVPN

multidifusión

Alta disponibilidad

Túneles anidados

IPv6

Opciones de pantalla

Firewall de estado

Puerta de enlace de capa de aplicación (ALG)

interfaz st0

Selectores de tráfico

Detección de pares muertos (DPD)

Comprobación anti-repetición

TDR

Post/Pre-Fragment

fragmentos de texto sin formato entrantes y fragmentos ESP

Algoritmo de cifrado AES-GCM-128 y AES-GCM-256. Recomendamos que utilice el algoritmo de cifrado AES-GCM para un rendimiento óptimo.

AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA1

AES-CBC-128, AES-CBC-192 y AES-CBC-256 con algoritmo de cifrado SHA2

Algoritmo de cifrado NULL

Tenga en cuenta las siguientes consideraciones de uso con PMI:

  • Antireplay window size
    • El tamaño de la ventana antireplay es de 64 paquetes de forma predeterminada. Si configura el túnel de grasa, se recomienda aumentar el tamaño de la ventana de Antireplay a mayor o igual que 512 paquetes.

  • Class of Service (CoS)
    • A partir de la versión 19.1R1 de Junos OS, la clase de servicio (CoS) admite la configuración del clasificador de agregado de comportamiento (BA), clasificador multicampo (MF) y funciones de regla de reescritura en PMI en tarjetas de procesamiento de servicios SRX5K-SPC3 (SPC).
    • Si habilita la PMI para una sesión de flujo, el CoS se realiza según una base por flujo. Esto significa que el primer paquete de un nuevo flujo almacena en caché la información de CoS en la sesión de flujo. Luego, los paquetes subsiguientes del flujo reutilizan la información de CoS almacenada en memoria caché en la sesión.

  • Encryption algorithm
    • Junos OS versión 19.3R1 admite opciones aes-128-cbc, aes-192-cbc y aes-256-cbc en SRX4100, SRX4200 y vSRX en modo PMI para mejorar el rendimiento de IPsec, junto con la compatibilidad existente en modo normal.

  • GTP-U
    • A partir de Junos OS versión 19.2R1, PMI admite el escenario GTP-U con distribución TEID y solución de túnel de grasa asimétrica.
    • A partir de Junos OS versión 19.3R1, escenario GTP-U con distribución TEID y solución de túnel de grasa asimétrica y función de escalabilidad lateral de recepción de software en vSRX y vSRX 3.0.
  • LAG and redundant (reth) interfaces
    • La PMI se admite en las interfaces de grupo de agregación de vínculos (LAG) y Ethernet redundantes (reth).
  • PMI fragmentation check
    • La PMI realiza una comprobación previa a la fragmentación y después de la fragmentación. Si la PMI detecta paquetes de prefragmentación y post-fragmentación, no se permiten paquetes a través del modo PMI. Los paquetes volverán al modo no PMI.

    • Cualquier fragmento recibido en una interfaz no pasa por PMI.

  • PMI for NAT-T
    • La PMI para TDR-T solo se admite en dispositivos SRX5400, SRX5600, SRX5800 equipados con tarjeta de procesamiento de servicios SRX5K-SPC3 (SPC), o con vSRX.
  • PMI support (vSRX)
    • A partir de junos OS versión 19.4R1, las instancias vSRX admiten:

      • El CoS por flujo funciona para el tráfico GTP-U en modo PMI.

      • Funciones de CoS en modo PMI. Se admiten las siguientes funciones de CoS en modo PMI:

        • Clasificador

        • Funciones de regla de reescritura

        • Cola

        • Formación

        • Programación

Beneficios de la PMI

  • Mejora el rendimiento de IPsec.

Configuración de la PMI de flujo de seguridad

En la siguiente sección se describe cómo configurar la PMI de flujo de seguridad.

Para configurar la PMI de flujo de seguridad, debe habilitar la caché de sesión en IOC y la afinidad de sesión:

  1. Habilitar la caché de sesión en IOC (IOC2 e IOC3)

  2. Habilitar la afinidad de sesión VPN

  3. Cree un flujo de seguridad en la PMI.

  4. Confirme su configuración ingresando el show security comando.

Ejemplo: Configuración del clasificador de agregado de comportamiento en PMI

En este ejemplo, se muestra cómo configurar clasificadores de agregado(BA) de comportamiento para un dispositivo SRX para determinar el tratamiento de reenvío de paquetes en la PMI.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dispositivo serie SRX.

  • Junos OS versión 19.1R1 y versiones posteriores.

Antes de comenzar:

  • Determine la clase de reenvío y el PLP que se asignan de forma predeterminada a cada DSCP conocido que desea configurar para el clasificador de agregado de comportamiento.

Descripción general

Configure clasificadores agregados de comportamiento para clasificar los paquetes que contienen DSCP válidos en las colas adecuadas. Una vez configurado, se aplica el clasificador de agregado de comportamiento a las interfaces correctas. Reemplace el clasificador de prioridad IP predeterminado definiendo un clasificador y aplicándolo a una interfaz lógica. Para definir nuevos clasificadores para todos los tipos de punto de código, incluya la classifiers instrucción en el [edit class-of-service] nivel de jerarquía.

En este ejemplo, establezca el clasificador ba-classifier agregado de comportamiento DSCP como la asignación DSCP predeterminada. Establezca una clase de reenvío de mejor esfuerzo como be-class, una clase de reenvío acelerado como ef-class, una clase de reenvío asegurada como af-classy una clase de reenvío de control de red como nc-class. Por último, aplique el clasificador agregado de comportamiento a la interfaz ge-0/0/0.

La tabla 2 muestra cómo el clasificador agregado de comportamiento asigna prioridades de pérdida a los paquetes entrantes en las cuatro clases de reenvío.

Tabla 3: Asignación de prioridad de pérdida de clasificador de ba de ejemplo

clase de reenvío de clasificador mf

Para el tipo de tráfico coS

asignaciones de clasificador de ba

be-class

Tráfico de mejor esfuerzo

Punto de código de alta prioridad: 000001

ef-class

Tráfico de reenvío acelerado

Punto de código de alta prioridad: 101111

af-class

Tráfico de reenvío garantizado

Punto de código de alta prioridad: 001100

nc-class

Tráfico de control de red

Punto de código de alta prioridad: 110001

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar clasificadores agregados de comportamiento para un dispositivo en PMI:

  1. Configure la clase de servicio.

  2. Configure clasificadores agregados de comportamiento para CoS de servicios diferenciados (DiffServ).

  3. Configure un clasificador de clase de reenvío de mejor esfuerzo.

  4. Configure un clasificador de clase de reenvío acelerado.

  5. Configure un clasificador de clase de reenvío garantizado.

  6. Configure un clasificador de clase de reenvío de control de red.

  7. Aplique el clasificador de agregado de comportamiento a una interfaz.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show class-of-service configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el clasificador se aplica a las interfaces

Propósito

Asegúrese de que el clasificador se aplica a las interfaces correctas.

Acción

Desde el modo operativo, ingrese el show class-of-service interface ge-0/0/0 comando.

Significado

Las interfaces se configuran según lo esperado.

Ejemplo: Configuración de clasificador agregado de comportamiento en PMI para instancias de vSRX

En este ejemplo, se muestra cómo configurar clasificadores de agregado de comportamiento (BA) para una instancia de vSRX para determinar el tratamiento de reenvío de paquetes en PMI.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Una instancia vSRX.

  • Junos OS versión 19.4R1 y versiones posteriores.

Antes de comenzar:

  • Determine la clase de reenvío y las prioridades de pérdida de paquetes (PLP) que se asignan de forma predeterminada a cada DSCP bien conocido que desea configurar para el clasificador de agregado de comportamiento.

Descripción general

Configure clasificadores agregados de comportamiento para clasificar los paquetes que contienen DSCP válidos en las colas adecuadas. Una vez configurado, se aplica el clasificador de agregado de comportamiento a las interfaces correctas. Reemplace el clasificador de prioridad IP predeterminado definiendo un clasificador y aplicándolo a una interfaz lógica. Para definir nuevos clasificadores para todos los tipos de punto de código, incluya la classifiers instrucción en el [edit class-of-service] nivel de jerarquía.

En este ejemplo, establezca el clasificador ba-classifier agregado de comportamiento DSCP como la asignación DSCP predeterminada. Establezca una clase de reenvío de mejor esfuerzo como be-class, una clase de reenvío acelerado como ef-class, una clase de reenvío asegurada como af-classy una clase de reenvío de control de red como nc-class. Por último, aplique el clasificador agregado de comportamiento a la interfaz ge-0/0/0.

La tabla 2 muestra cómo el clasificador agregado de comportamiento asigna prioridades de pérdida a los paquetes entrantes en las cuatro clases de reenvío.

Tabla 4: Asignación de prioridad de pérdida de clasificador de ba de ejemplo

clase de reenvío de clasificador mf

Para el tipo de tráfico coS

asignaciones de clasificador de ba

be-class

Tráfico de mejor esfuerzo

Punto de código de alta prioridad: 000001

ef-class

Tráfico de reenvío acelerado

Punto de código de alta prioridad: 101111

af-class

Tráfico de reenvío garantizado

Punto de código de alta prioridad: 001100

nc-class

Tráfico de control de red

Punto de código de alta prioridad: 110001

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar clasificadores agregados de comportamiento para un dispositivo en PMI:

  1. Configure la clase de servicio.

  2. Configure clasificadores agregados de comportamiento para CoS de servicios diferenciados (DiffServ).

  3. Configure un clasificador de clase de reenvío de mejor esfuerzo.

  4. Configure un clasificador de clase de reenvío acelerado.

  5. Configure perfiles de caída.

  6. Configure las colas de clases de reenvío.

  7. Aplique el clasificador a las interfaces.

  8. Configure los programadores.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show class-of-service configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el clasificador se aplica a las interfaces

Propósito

Compruebe que el clasificador está configurado correctamente y confirme que las clases de reenvío están configuradas correctamente.

Acción

Desde el modo operativo, ingrese el show class-of-service forwarding-class comando.

Significado

El resultado muestra la configuración configurada del clasificador personalizado.

Ejemplo: Configuración y aplicación de un filtro de firewall para un clasificador multicampo en PMI

En este ejemplo, se muestra cómo configurar un filtro de firewall para clasificar el tráfico a diferentes clases de reenvío mediante el uso del valor DSCP y el clasificador de varios campos (MF) en la PMI.

El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan a una interfaz. Los clasificadores MF se utilizan cuando un clasificador de agregado de comportamiento simple (BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen bits CoS marcados, o el marcado del enrutador de emparejamiento no es de confianza.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dispositivo serie SRX.

  • Junos OS versión 19.1R1 y versiones posteriores.

Antes de comenzar:

Descripción general

En este ejemplo, se explica cómo configurar el filtro mf-classifierde firewall. Para configurar el clasificador MF, cree y nombre la clase de tráfico de reenvío garantizado, establezca la condición de coincidencia y, a continuación, especifique la dirección de destino como 192.168.44.55. Cree la clase de reenvío para el tráfico DiffServ de reenvío garantizado como af-class y establezca la prioridad de pérdida en bajo.

En este ejemplo, cree y nombre la clase de tráfico de reenvío acelerado y establezca la condición de coincidencia para la clase de tráfico de reenvío acelerado. Especifique la dirección de destino como 192.168.66.77. Cree la clase de reenvío para el reenvío acelerado del tráfico DiffServ como ef-class y establezca el aplicador de políticas en ef-policer. Cree y asigne un nombre a la clase de tráfico de control de red y establezca la condición de coincidencia.

En este ejemplo, cree y nombre la clase de reenvío para la clase de tráfico de control de red como nc-class y asigne el nombre a la clase de reenvío para la clase de tráfico de mejor esfuerzo como be-class. Por último, aplique el filtro de firewall clasificador multicampo como filtro de entrada y salida en cada uno de los clientes o orientados al host que necesite el filtro. En este ejemplo, la interfaz para el filtro de entrada es ge-0/0/2 y la interfaz para el filtro de salida es ge-0/0/4.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar un filtro de firewall para un clasificador de varios campos para un dispositivo en PMI:

  1. Cree y asigne un nombre al filtro clasificador de varios campos.

  2. Cree y asigne un nombre al término para la clase de tráfico de reenvío garantizado.

  3. Especifique la dirección de destino para el tráfico de reenvío garantizado.

  4. Cree la clase de reenvío y establezca la prioridad de pérdida para la clase de tráfico de reenvío garantizada.

  5. Cree y nombre el término para la clase de tráfico de reenvío acelerado.

  6. Especifique la dirección de destino para el tráfico de reenvío acelerado.

  7. Cree la clase de reenvío y aplique el aplicador de políticas para la clase de tráfico de reenvío acelerado.

  8. Cree y asigne un nombre al término para la clase de tráfico de control de red.

  9. Cree la condición de coincidencia para la clase de tráfico de control de red.

  10. Cree y asigne un nombre a la clase de reenvío para la clase de tráfico de control de red.

  11. Cree y nombre el término para la clase de tráfico de mejor esfuerzo.

  12. Cree y nombre la clase de reenvío para la clase de tráfico de mejor esfuerzo.

  13. Aplique el filtro de firewall de clasificador multicampo como filtro de entrada.

  14. Aplique el filtro de firewall de clasificador multicampo como filtro de salida.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show firewall filter mf-classifier configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Desde el modo de configuración, escriba el comando para confirmar la show interfaces configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar un filtro de firewall para una configuración de clasificador de varios campos

Propósito

Compruebe que un filtro de firewall para un clasificador de varios campos está configurado correctamente en un dispositivo y confirme que las clases de reenvío están configuradas correctamente.

Acción

Desde el modo de configuración, ingrese el show class-of-service forwarding-class comando.

Significado

El resultado muestra la configuración configurada del clasificador personalizado.

Ejemplo: Configuración y aplicación de reglas de reescritura en un dispositivo de seguridad en PMI

En este ejemplo, se muestra cómo configurar y aplicar reglas de reescritura para un dispositivo en PMI.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dispositivo serie SRX.

  • Junos OS versión 19.1R1 y versiones posteriores.

Antes de comenzar:

Descripción general

En este ejemplo, se explica cómo configurar reglas de reescritura para reemplazar los valores de CoS en paquetes recibidos del cliente o host con los valores esperados por otros dispositivos SRX. No es necesario configurar reglas de reescritura si los paquetes recibidos ya contienen valores CoS válidos. Las reglas de reescritura aplican la información de clase de reenvío y la prioridad de pérdida de paquetes utilizada internamente por el dispositivo para establecer el valor de CoS en los paquetes salientes. Después de configurar las reglas de reescritura, aplíquelas a las interfaces correctas.

En este ejemplo, configure la regla de reescritura para DiffServ CoS como rewrite-dscps. Especifique la clase de reenvío de mejor esfuerzo como be-class, clase de reenvío acelerado como ef-class, una clase de reenvío asegurada como af-classy una clase de control de red como nc-class. Por último, aplique la regla de reescritura a la interfaz ge-0/0/0.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar y aplicar reglas de reescritura para un dispositivo en PMI:

  1. Configure reglas de reescritura para DiffServ CoS.

  2. Configure reglas de reescritura de clase de reenvío de mejor esfuerzo.

  3. Configure reglas de reescritura de clase de reenvío acelerado.

  4. Configure reglas de reescritura de clase de reenvío garantizadas.

  5. Configure reglas de reescritura de clase de control de red.

  6. Aplique reglas de reescritura a una interfaz.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show class-of-service configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la configuración de reglas de reescritura

Propósito

Compruebe que las reglas de reescritura estén configuradas correctamente.

Acción

Desde el modo operativo, ingrese el show class-of-service comando.

Significado

Las reglas de reescritura se configuran en la interfaz ge-0/0/0 como se esperaba.

Configure el modo de solo autenticación ESP IPsec en PMI

La PMI introdujo una nueva ruta de datos para lograr un alto rendimiento de transferencia de datos IPsec. A partir de Junos OS versión 19.4R1, en dispositivos serie SRX5000 con tarjeta SRX5K-SPC3, puede usar el modo de solo autenticación de carga de seguridad de encapsulación (ESP) en modo PMI, lo que proporciona autenticación, comprobación de integridad y protección de reproducción sin cifrar los paquetes de datos.

Antes de comenzar:

Para configurar el modo de solo autenticación ESP:

  1. Configure la propuesta y la política de IPsec.
  2. Confirme su configuración ingresando el show security ipsec comando.

    Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.