Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNs IPsec baseadas em CoS

Você pode configurar recursos de classe de serviço (CoS) do Junos para fornecer várias classes de serviço para VPNs. No dispositivo, você pode configurar várias classes de encaminhamento para transmitir pacotes, definir quais pacotes são colocados em cada fila de saída, agendar o nível de serviço de transmissão para cada fila e gerenciar o congestionamento.

Entendendo as VPNs IPsec baseadas em CoS com vários SAs IPsec

As classes de encaminhamento de classe de serviço (CoS) (FCs) configuradas no firewall da Série SRX podem ser mapeadas para associações de segurança IPsec (SAs). Os pacotes para cada FC são mapeados para uma SA IPsec diferente, fornecendo assim tratamento cos no dispositivo local e em roteadores intermediários.

Benefícios das VPNs IPsec baseadas em CoS com vários SAs IPsec

  • Ajuda você a garantir diferentes fluxos de dados, com cada túnel usando um conjunto separado de associações de segurança.

  • Ajuda você a facilitar as implantações de VPN IPsec onde o tráfego diferenciado é necessário, como voz sobre IP.

Visão geral

Esse recurso é proprietário da Juniper Networks e trabalha com plataformas SRX e versões junos os suportadas. O dispositivo peer VPN deve ser um firewall da Série SRX ou uma instância de firewall virtual vSRX que ofereça suporte a esse recurso ou qualquer outro produto que ofereça suporte à mesma funcionalidade da mesma forma que o firewall da Série SRX.

Mapeamento de FCs para SAs IPsec

Até 8 classes de encaminhamento (FC) podem ser configuradas para uma VPN com o multi-sa forwarding-classes nível [edit security ipsec vpn vpn-name] de hierarquia. O número de SAs IPsec negociados com um gateway peer é baseado no número de FCs configurados para a VPN. O mapeamento de FCs para SAs IPsec se aplica a todos os seletores de tráfego configurados para a VPN.

Todos os SAs IPsec criados para os FCs de uma VPN específica são representados pelo mesmo ID do túnel. Os eventos relacionados ao túnel consideram o estado e as estatísticas de todos os SAs IPsec. Todos os SAs IPsec relacionados a um túnel estão ancorados na mesma SPU ou o mesmo ID de thread em firewalls da Série SRX ou instâncias de firewall virtual vSRX.

Negociação de SA IPsec

Quando vários FCs são configurados para uma VPN, um IPsec SA exclusivo é negociado com o peer para cada FC. Além disso, um IPsec SA padrão é negociado para enviar pacotes que não correspondam a um FC configurado. O IPsec padrão é negociado mesmo se o dispositivo peer VPN não estiver configurado para FCs ou não oferecer suporte ao mapeamento FC para IPsec SA. A SA IPsec padrão é a primeira SA IPsec a ser negociada e a última SA a ser demolida.

Dependendo do número de FCs configurados. Quando os SAs IPsec estão em processo de negociação, os pacotes podem chegar com um FC para o qual uma SA IPsec ainda não foi negociada. Até que um SA IPsec para um determinado FC seja negociado, o tráfego é enviado para o IPsec SA padrão. Um pacote com um FC que não corresponda a nenhum dos SAs IPsec instalados é enviado no IPsec SA padrão.

O mapeamento de FCs para SAs IPsec é feito no gateway VPN local. Os gateways locais e peer podem ter FCs configurados em uma ordem diferente. Cada gateway peer mapeia FCs na ordem em que as negociações de SA IPsec são concluídas. Assim, os gateways locais e peer podem ter mapeamentos diferentes de FC para IPsec SA. Um gateway deixa de negociar novos SAs IPsec assim que o número configurado de FCs for alcançado. Um gateway peer pode iniciar mais SAs IPsec do que o número de FCs configurados no gateway local. Neste caso, o gateway local aceita as solicitações adicionais de SA IPsec — até 18 SAs IPsec. O gateway local usa os outros SAs IPsec apenas para descriptografar o tráfego IPsec de entrada. Se um pacote for recebido com um FC que não corresponda a nenhum FC configurado, o pacote será enviado no SA FC IPsec padrão.

Se uma notificação de exclusão for recebida para o IPsec SA padrão do dispositivo peer, apenas o IPsec SA padrão será excluído e o IPsec SA padrão for negociado recentemente. Durante esse período, o tráfego que pode ir para a SA IPsec padrão é descartado. O túnel VPN só é derrubado se o IPsec SA padrão for o último SA.

Se a opção establish-tunnels immediately estiver configurada e comprometida para a VPN, o firewall da Série SRX negocia a SA IPsec sem esperar o tráfego chegar. Se as negociações não forem concluídas para um IPsec SA para um FC configurado, as negociações serão retrucadas a cada 60 segundos.

Se a opção establish-tunnels on-traffic estiver configurada para a VPN, o firewall da Série SRX negocia SAs IPsec quando o primeiro pacote de dados chega; o FC para o primeiro pacote não importa. Com qualquer uma das opções, o IPsec SA padrão é negociado primeiro, em seguida, cada SA IPsec é negociado um a um na ordem em que os FCs estão configurados no dispositivo.

Rekey

Ao usar Multi SAs com direcionamento de tráfego de ponto de código de serviços diferenciados (DSCP) com seletores de tráfego, o comportamento a seguir ocorre durante a requisionamento. Quando os seletores de tráfego realizam a reexame, se um ou mais seletores de tráfego não forem capazes de reequipar por qualquer motivo, a SA específica é derrubada quando a vida útil expirar. Neste caso, o tráfego que usa para combinar com a SA específica é enviado pelo seletor de tráfego padrão.

Adicionar ou excluir FCs de uma VPN

Quando os FCs são adicionados ou excluídos de uma VPN, os SAs IKE e IPsec para a VPN são trazidos para cima ou para baixo e reiniciam as negociações. O clear security ipsec security-associations comando libera todos os SAs IPsec.

Detecção de peer morto (DPD)

Quando o DPD é configurado com esse recurso, o optimized modo envia sondagens apenas quando há tráfego de saída e sem tráfego de entrada em qualquer um dos IPsec SA. Enquanto o probe-idle modo envia sondas apenas quando não há saída e nenhum tráfego de entrada em nenhum dos SAs IPsec. O monitoramento de VPN não é compatível com o recurso DPD.

Comandos

O show security ipsec sa details index tunnel-id comando exibe todos os detalhes de SA IPsec, incluindo o nome FC. O show security ipsec stats index tunnel-id comando exibe estatísticas para cada FC.

Recursos de VPN suportados

Os seguintes recursos de VPN são suportados com VPNs IPsec baseadas em CoS:

  • VPNs baseadas em rota até o local. As VPNs baseadas em políticas não são suportadas.

  • AutoVPN.

  • Seletores de tráfego.

  • VPNs de descoberta automática (ADVPNs).

  • IKEv2. O IKEv1 não é compatível.

  • Detecção de peer morto (DPD). O monitoramento de VPN não é suportado.

Entendendo os seletores de tráfego e as VPNs IPsec baseadas em CoS

Um seletor de tráfego é um acordo entre os pares do IKE para permitir o tráfego através de um túnel VPN se o tráfego combinar com um par especificado de endereços locais e remotos. Somente o tráfego em conformidade com um seletor de tráfego é permitido por meio da associação de segurança associada (SA).

O recurso de VPN IPsec baseado em CoS oferece suporte aos seguintes cenários

  • Um ou vários seletores de tráfego em uma VPN de site para local baseada em rota com os mesmos FCs.

  • Vários seletores de tráfego, com FCs diferentes para cada seletor de tráfego. Esse cenário requer configurações de VPN separadas.

Este tópico descreve as configurações de VPN e a SA IPsec que são negociadas para cada cenário.

Nos cenários a seguir, três FCs estão configurados no firewall da Série SRX:

No primeiro cenário, a VPN VPN1 é configurada com um único seletor de tráfego ts1 e os três FCs:

Na configuração acima, quatro SAs IPsec são negociados para o seletor de tráfego ts1 — um para o IPsec SA padrão e três para os SAs IPsec que são mapeados para FCs.

No segundo cenário, a VPN VPN1 é configurada com dois seletores de tráfego ts1 e ts2 e os três FCs:

Na configuração acima, quatro SAs IPsec são negociados para o seletor de tráfego ts1 e quatro SAs IPsec são negociados para seletor de tráfego ts2. Para cada seletor de tráfego, há um IPsec SA negociado para o IPsec SA padrão e três SAs IPsec negociados para os SAs IPsec que são mapeados para FCs.

No terceiro cenário, os seletores de tráfego ts1 e ts2 oferecem suporte a diferentes conjuntos de FCs. Os seletores de tráfego precisam ser configurados para diferentes VPNs:

Na configuração acima, quatro SAs IPsec são negociados para o seletor de tráfego ts1 em VPN vpn1 — um para o IPsec SA padrão e três para os SAs IPsec que são mapeados para FCs.

Exemplo: Configuração de VPNs IPsec baseadas em CoS

Este exemplo mostra como configurar uma VPNs IPsec baseadas em CoS com vários SAs IPsec para permitir o mapeamento de pacotes para cada classe de encaminhamento para uma SA IPsec diferente, fornecendo assim tratamento de CoS no dispositivo local e em roteadores intermediários.

Esse recurso é proprietário da Juniper Networks e só funciona com plataformas SRX suportadas e versões junos OS. O dispositivo peer VPN deve ser um firewall da Série SRX ou uma instância de firewall virtual vSRX que ofereça suporte a esse recurso.

Requisitos

Este exemplo usa o seguinte hardware:

  • Qualquer firewall da Série SRX

Antes de começar:

  • Entenda como as aulas de encaminhamento de classe de serviço (CoS) (FCs) configuradas no firewall da Série SRX podem ser mapeadas para associações de segurança IPsec (SAs). Veja como entender as VPNs IPsec baseadas em CoS com vários SAs IPsec.

  • Entenda os seletores de tráfego e as VPNs IPsec baseadas em CoS. Veja como entender os seletores de tráfego e as VPNs IPsec baseadas em CoS.

Visão geral

Neste exemplo, você configura uma VPN baseada em rotas IPsec para uma filial em Chicago, porque você não precisa conservar recursos de túneis ou configurar muitas políticas de segurança para filtrar o tráfego pelo túnel. Os usuários do escritório de Chicago usarão a VPN para se conectar à sede corporativa em Sunnyvale.

Figura 1 mostra um exemplo de uma topologia de VPN baseada em rota IPsec. Nesta topologia, um firewall da Série SRX está localizado em Sunnyvale, e um firewall da Série SRX está localizado em Chicago.

Figura 1: Topologia vpn baseada em rota IPsecTopologia vpn baseada em rota IPsec

Neste exemplo, você configura interfaces, uma rota padrão IPv4 e zonas de segurança. Em seguida, você configura parâmetros de IKE, IPsec, uma política de segurança e CoS. Veja Tabela 1 por .Tabela 4

Tabela 1: Informações de interface, rota estática e zona de segurança

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/0,0

192.0.2.1/24

ge-0/0/3,0

10.1.1.2/30

st0.0 (interface de túnel)

10.10.11.10/24

Rotas estáticas

0,0,0,0/0 (rota padrão)

O próximo salto é st0.0.

Zonas de segurança

confiança

  • Todos os serviços do sistema são permitidos.

  • A interface ge-0/0/0.0 está vinculada a essa zona.

desconfiança

  • Todos os serviços do sistema são permitidos.

  • A interface ge-0/0/3.0 está vinculada a essa zona.

VPN

A interface st0.0 está vinculada a essa zona.

Tabela 2: Parâmetros de configuração do IKE

Recursos

Nome

Parâmetros de configuração

Proposta

ike-proposal

  • Método de autenticação: rsa-assinaturas

  • Grupo Diffie-Hellman: group14

  • Algoritmo de autenticação: sha-256

  • Algoritmo de criptografia: aes-256-cbc

Política

ike-policy

  • Modo: principal

  • Referência da proposta: ike-proposal

  • Método de autenticação de políticas IKE: rsa-assinaturas

Porta

gw-sunnyvale

  • Referência de política de IKE: ike-policy

  • Interface externa: ge-0/0/3,0

  • Endereço do gateway: 10.2.2.2.2

Tabela 3: Parâmetros de configuração de IPsec

Recursos

Nome

Parâmetros de configuração

Proposta

ipsec_prop

  • Protocolo: Esp

  • Algoritmo de autenticação: hmac-sha-256

  • Algoritmo de criptografia: aes-256-cbc

Política

ipsec_pol

  • Referência da proposta: ipsec_prop

VPN

ipsec_vpn1

  • Referência de gateway IKE: gw-chicago

  • Referência de política de IPsec: ipsec_pol

Tabela 4: Parâmetros de configuração de políticas de segurança

Propósito

Nome

Parâmetros de configuração

A política de segurança permite o tráfego da zona de confiança até a zona vpn.

VPN

  • Critérios de correspondência:

    • endereço-fonte sunnyvale

    • endereço de destino chicago

    • qualquer aplicativo

  • Ação: permitir

A política de segurança permite o tráfego da zona vpn até a zona de confiança.

VPN

  • Critérios de correspondência:

    • endereço-fonte chicago

    • endereço de destino sunnyvale

    • qualquer aplicativo

  • Ação: permitir

Configuração

Configuração de informações básicas de rede e zona de segurança

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar a interface, a rota estática e as informações da zona de segurança:

  1. Configure as informações da interface Ethernet.

  2. Configure informações de rota estáticas.

  3. Configure a zona de segurança não confiável.

  4. Especifique os serviços de sistema permitidos para a zona de segurança não confiável.

  5. Atribua uma interface à zona de segurança.

  6. Especifique os serviços de sistema permitidos para a zona de segurança.

  7. Configure a zona de segurança de confiança.

  8. Atribua uma interface à zona de segurança de confiança.

  9. Especifique os serviços de sistema permitidos para a zona de segurança de confiança.

  10. Configure a zona de segurança vpn.

  11. Atribua uma interface à zona de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configurando CoS

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar CoS:

  1. Configure classificadores agregados de comportamento para DiffServ CoS.

  2. Configure um classificador de classificação de encaminhamento de melhor esforço.

  3. Defina o valor do DSCP a ser atribuído à classe de encaminhamento.

  4. Definir oito classes de encaminhamento (nomes de fila) para as oito filas.

  5. Configure classificadores nas interfaces de entrada (ge).

  6. Aplique o mapa do agendador na interface ge.

  7. Configure o mapa do agendador para associar agendadores a aulas de encaminhamento definidas.

  8. Defina os agendadores com prioridade e taxas de transmissão.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show class-of-service comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do IKE

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IKE:

  1. Crie a proposta IKE.

  2. Defina o método de autenticação da proposta de IKE.

  3. Defina a proposta de IKE do grupo Diffie-Hellman.

  4. Defina o algoritmo de autenticação de propostas de IKE.

  5. Defina o algoritmo de criptografia de propostas de IKE.

  6. Crie uma política de IKE.

  7. Defina o modo de política de IKE.

  8. Especifique uma referência à proposta IKE.

  9. Defina o método de autenticação de políticas de IKE.

  10. Crie um gateway IKE e defina sua interface externa.

  11. Defina a referência da política de IKE.

  12. Defina o endereço de gateway IKE.

  13. Defina a versão de gateway IKE.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do IPsec

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o IPsec:

  1. Habilite opções de rastreamento de IPsec.

  2. Crie uma proposta de IPsec.

  3. Especifique o protocolo de proposta de IPsec.

  4. Especifique o algoritmo de autenticação da proposta de IPsec.

  5. Especifique o algoritmo de criptografia de proposta de IPsec.

  6. Especifique a vida útil (em segundos) de uma associação de segurança IPsec (SA).

  7. Crie a política de IPsec.

  8. Especifique a referência da proposta de IPsec.

  9. Especifique a interface para vincular.

  10. Configure a classe de encaminhamento para a SSA de vários IPsec.

  11. Especifique o gateway IKE.

  12. Especifique as políticas de IPsec.

  13. Especifique que o túnel seja criado imediatamente para negociar a SA IPsec quando o primeiro pacote de dados chegar para ser enviado.

  14. Configure endereços IP locais para um seletor de tráfego.

  15. Configure endereços IP remotos para um seletor de tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de políticas de segurança

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Habilite as políticas de segurança trace opções para solucionar problemas relacionados a políticas.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar políticas de segurança:

  1. Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn.

  2. Crie a política de segurança para permitir o tráfego da zona vpn até a zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando associações de segurança IPsec

Propósito

Verifique o status do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o e show security ipsec statistics index 131073 os show security ipsec security-associations index 131073 detail comandos.

Para a brevidade, as saídas de comando do show não exibem todos os valores da configuração. Apenas um subconjunto da configuração é exibido. O restante da configuração no sistema foi substituído por elipses (...).

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O número de ID é 131073. Use esse valor com o comando de índice de associações de segurança ipsec de segurança para obter mais informações sobre essa SA em particular.

  • Há um par de SA IPsec usando a porta 500.

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor ilimitado de 1949 indica que a vida útil da Fase expira em 1949 segundos, e que nenhum tamanho vitalício foi especificado, o que indica que é ilimitado.

  • O monitoramento de VPN não está habilitado para esta SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver habilitado, u indica que o monitoramento está ativo, e D indica que o monitoramento está desativado.

O show security ike security-associations index 131073 detail comando lista informações adicionais sobre a SA com um número de índice de 131073:

  • A identidade local e a identidade remota compõem o ID proxy para a SA. Uma incompatibilidade de ID por proxy é uma das causas mais comuns para uma falha de Fase. Se nenhuma SA IPsec estiver listada, confirme que as propostas de Fase, incluindo as configurações de ID proxy, estarão corretas para ambos os pares.

  • Exibe todos os detalhes de SA para crianças, incluindo o nome da classe de encaminhamento.

O show security ipsec statistics index 131073 comando lista estatísticas para cada nome de classe de encaminhamento.

  • Um valor de erro de zero na saída indica uma condição normal.

  • Recomendamos executar esse comando várias vezes para observar quaisquer problemas de perda de pacotes em uma VPN. A saída deste comando também exibe as estatísticas para contadores de pacotes criptografados e descriptografados, contadores de erros e assim por diante.

  • Você deve habilitar opções de rastreamento de fluxo de segurança para investigar quais pacotes ESP estão sofrendo erros e por quê.

Entender o suporte a CoS em interfaces st0

A partir do Junos OS Release 15.1X49-D60 e Junos OS Release 17.3R1, recursos de classe de serviço (CoS), como classificador, policial, enfileiramento, agendamento, modelagem, reescrito marcadores e canais virtuais agora podem ser configurados na interface de túnel segura (st0) para VPNs ponto a ponto.

A interface de túnel st0 é uma interface interna que pode ser usada por VPNs baseadas em rota para rotear tráfegos de texto claro para um túnel VPN IPsec. Os seguintes recursos de CoS são suportados na interface st0 em todos os firewalls disponíveis da Série SRX e vSRX2.0:

  • Classificadores

  • Agentes

  • Enfileiramento, agendamento e modelagem

  • Marcadores de reescrita

  • Canais virtuais

Começando pelo Junos OS Release 15.1X49-D70 e o Junos OS Release 17.3R1, o suporte para enfileiramento, agendamento, modelagem e canais virtuais é adicionado à interface st0 para dispositivos de SRX5400, SRX5600 e SRX5800. O suporte para todos os recursos cos listados é adicionado para a interface st0 para dispositivos de SRX1500, SRX4100 e SRX4200. A partir do Junos OS Release 17.4R1, o suporte para recursos cos listados é adicionado para a interface st0 para dispositivos SRX4600.

Limitações do suporte a CoS em interfaces VPN st0

As seguintes limitações se aplicam ao suporte de CoS em interfaces VPN st0:

  • O número máximo de filas de software é 2048. Se o número de interfaces st0 exceder 2048, não podem ser criadas filas de software suficientes para todas as interfaces st0.

  • Apenas VPNs baseadas em rota podem aplicar recursos de CoS em interfaces st0. Tabela 5 descreve o suporte a recursos st0 CoS para diferentes tipos de VPNs.

    Tabela 5: Suporte a recursos cos para VPN
    Recursos de classificação VPN de site para site (P2P) AutoVPN (P2P) Site-to-Site/Auto VPN /AD-VPN (P2MP)

    Classificadores, policiais e marcadores de reescrita

    Possibilitada

    Possibilitada

    Possibilitada

    Enfileiramento, agendamento e modelagem com base em interfaces lógicas st0

    Possibilitada

    Não suportado

    Não suportado

    Enfileiramento, agendamento e modelagem com base em canais virtuais

    Possibilitada

    Possibilitada

    Possibilitada

  • Nos dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM, uma única interface lógica pode ser vinculada a vários túneis VPN. As oito filas para a interface lógica st0 não podem redirecionar o tráfego para diferentes túneis, de modo que o pré-tunelamento não é suportado.

    O recurso do canal virtual pode ser usado como uma solução alternativa em dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550HM.

  • Ao definir uma taxa de modelagem de CoS em uma interface de túnel st0, considere as seguintes restrições:

    • A taxa de modelagem na interface do túnel deve ser menor do que a da interface de saída física.

    • A taxa de modelagem mede apenas o tamanho do pacote que inclui o pacote de texto claro de Camada 3 interno com um cabeçalho ESP/AH e um encapsulamento externo de cabeçalho IP. O encapsulamento externo da Camada 2 adicionado pela interface física não é levado em conta na medição da taxa de modelagem.

    • O comportamento de CoS funciona como esperado quando a interface física transporta apenas o tráfego de gre ou túnel IP-IP em forma. Se a interface física transporta outro tráfego, reduzindo assim a largura de banda disponível para tráfego de interface de túnel, os recursos cos não funcionarão como esperado.

  • Em dispositivos SRX550M, SRX5400, SRX5600 e SRX5800, o limite de largura de banda e os valores de limite de tamanho de explosão em uma configuração de policiamento são uma limitação por SPU, não por sistema. Este é o mesmo comportamento do policiador que na interface física.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
23.4R1
O suporte para firewalls de SRX1600 e SRX2300 é adicionado no Junos OS Release 23.4R1. Os firewalls de SRX1600 e SRX2300 oferecem todos os recursos de VPN IPsec com o processo iked que SRX1500 e SRX4100, respectivamente. O suporte para VPN baseada em políticas e VPN em grupo não está disponível nessas plataformas.
17.4R1
A partir do Junos OS Release 17.4R1, o suporte para recursos cos listados é adicionado para a interface st0 para dispositivos SRX4600.
15.1X49-D70
Começando pelo Junos OS Release 15.1X49-D70 e o Junos OS Release 17.3R1, o suporte para enfileiramento, agendamento, modelagem e canais virtuais é adicionado à interface st0 para dispositivos de SRX5400, SRX5600 e SRX5800. O suporte para todos os recursos cos listados é adicionado para a interface st0 para dispositivos de SRX1500, SRX4100 e SRX4200.
15.1X49-D60
A partir do Junos OS Release 15.1X49-D60 e Junos OS Release 17.3R1, recursos de classe de serviço (CoS), como classificador, policial, enfileiramento, agendamento, modelagem, reescrito marcadores e canais virtuais agora podem ser configurados na interface de túnel segura (st0) para VPNs ponto a ponto.