Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtragem de pacotes Unicast por interfaces de túneis multicast

Configuração de túneis Unicast

Para configurar um túnel unicast, você configura uma gr- interface (para usar o encapsulamento GRE) ou uma ip- interface (para usar o encapsulamento IP-IP) e inclui o e family as tunnel declarações:

Você pode configurar essas declarações nos seguintes níveis de hierarquia:

  • [edit interfaces]

  • [edit logical-systems logical-system-name interfaces]

Você pode configurar várias unidades lógicas para cada interface GRE ou IP-IP, e pode configurar apenas um túnel por unidade.

Nota:

Nos roteadores série M e T, você pode configurar a interface em um PIC de serviço ou em um PIC de túnel. Nos roteadores da Série MX, configure a interface em um DPC multisserviços.

Cada interface de túnel deve ser uma interface ponto a ponto. Ponto a ponto é o tipo de conexão de interface padrão, para que você não precise incluir a point-to-point declaração na configuração lógica da interface.

Você deve especificar os endereços de destino e origem do túnel. As declarações restantes são opcionais.

Nota:

Para pacotes de trânsito que saem do túnel, recursos de caminho de encaminhamento, como o encaminhamento de caminhos reversos (RPF), filtragem de tabela de encaminhamento, uso de classe de origem, uso de classe de destino e filtragem de firewall sem estado, não são suportados nas interfaces que você configura como fontes de túnel, mas são suportados em interfaces de pic de túnel.

No entanto, as informações de classe de serviço (CoS) obtidas do cabeçalho GRE ou IP-IP são transportadas por cima do túnel e são usadas pelos pacotes de reinserção. Para obter mais informações, consulte o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento.

Para evitar uma configuração inválida, o Junos OS não permite definir o endereço especificado pela source ou destination declaração no [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] nível de hierarquia para ser o mesmo que o endereço de sub-rede da própria interface, especificado pela address declaração no nível [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] hierarquia.

Para definir o campo time-to-live (TTL) que está incluído no cabeçalho encapsulamento, inclua a ttl declaração. Se você configurar explicitamente um valor de TTL para o túnel, você deve configurá-lo para ser um maior do que o número de saltos no túnel. Por exemplo, se o túnel tiver sete saltos, você deve configurar um valor de TTL de 8.

Você deve configurar pelo menos uma família na interface lógica. Para habilitar o MPLS em interfaces de túnel GRE , você deve incluir a family mpls declaração na configuração da interface GRE. Além disso, você deve incluir as declarações apropriadas no nível de hierarquia para habilitar o [edit protocols] Protocolo de Reserva de Recursos (RSVP), MPLS e caminhos comuados por rótulos (LSPs) em túneis GRE. Os túneis Unicast são bidirecionais.

Um túnel configurado não pode passar pela tradução de endereços de rede (NAT) em nenhum ponto ao longo do caminho até o destino. Para obter mais informações, veja a visão geral dos serviços de túnel e o guia de usuário dos aplicativos MPLS.

Para um túnel GRE, o padrão é definir os bits ToS no cabeçalho IP externo para todos os zeros. Para que o mecanismo de roteamento copie os bits ToS do cabeçalho IP interno para o exterior, inclua a copy-tos-bits-to-outer-ip-header declaração. (Essa cópia de bits ToS interna para exterior já é o comportamento padrão para túneis IP-IP.)

Para interfaces de túnel GRE em serviços adaptativos ou interfaces multisserviços, você pode configurar atributos de túnel adicionais, conforme descrito nas seguintes seções:

Configuração de um número-chave em túneis GRE

Para interfaces de serviços adaptativos e multisserviços em roteadores da Série M e da Série T, você pode atribuir um valor fundamental para identificar um fluxo de tráfego individual dentro de um túnel GRE, conforme definido em extensões RFC 2890, chave e número de sequência para GRE. No entanto, apenas uma chave é permitida para cada par de origem e destino do túnel.

Cada pacote ip versão 4 (IPv4) que entra no túnel é encapsulado com o valor da chave do túnel GRE. Cada pacote IPv4 que sai do túnel é verificado pelo valor da chave do túnel GRE e des encapsulado. O PIC de serviços adaptativos ou multisserviços derruba pacotes que não correspondem ao valor-chave configurado.

Para atribuir um valor-chave a uma interface de túnel GRE, inclua a key declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

O número-chave pode ser de 0 a 4.294.967.295. Você deve configurar o mesmo valor de chave de túnel GRE em endpoints de túnel.

O exemplo a seguir ilustra o uso da declaração-chave em uma configuração de túnel GRE:

Habilitando a fragmentação de pacotes em túneis GRE antes do encapsulamento gre

Para interfaces de túnel GRE apenas em serviços adaptativos e interfaces multisserviços, você pode permitir a fragmentação de pacotes IPv4 antes que eles sejam encapsulados por GRE em túneis GRE.

Por padrão, o tráfego IPv4 transmitido por túneis GRE não é fragmentado. Para permitir a fragmentação de pacotes IPv4 em túneis GRE, inclua a clear-dont-fragment-bit declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Quando você inclui a clear-dont-fragment-bit declaração na configuração, o bit de não fragmento (DF) é liberado em todos os pacotes, mesmo pacotes que não excedem a unidade de transmissão máxima de túnel (MTU). Se o tamanho do pacote exceder o valor MTU do túnel, o pacote será fragmentado antes do encapsulamento. Se o tamanho do pacote não exceder o valor MTU do túnel, o pacote não será fragmentado.

Você também pode limpar o bit DF em pacotes transmitidos por túneis de segurança IP (IPsec). Para obter mais informações, veja Configuração das regras do IPsec.

Especificando uma configuração de MTU para o túnel

Para permitir números-chave e fragmentação em túneis GRE (conforme descrito na configuração de um número-chave em túneis GRE e habilitação da fragmentação de pacotes em túneis GRE antes do encapsulamento gre), você também deve especificar uma configuração de MTU para o túnel.

Para especificar uma configuração de MTU para o túnel, inclua a mtu declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

  • [edit interfaces gr-fpc/pic/port unit logical-unit-number family inet]

  • [edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]

Para obter mais informações sobre as configurações do MTU, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento.

Configuração de um túnel GRE para copiar bits de ToS para o cabeçalho IP externo

Ao contrário dos túneis IP-IP, os túneis GRE não copiam os bits ToS para o cabeçalho IP externo por padrão. Para que o Mecanismo de roteamento copie os bits tos internos para o cabeçalho IP externo (que é necessário para alguns protocolos de roteamento em túneis) em pacotes enviados pelo Mecanismo de Roteamento, inclua a copy-tos-to-outer-ip-header declaração no nível de hierarquia da unidade lógica de uma interface GRE. Este exemplo copia os bits ToS internos para o cabeçalho IP externo em um túnel GRE:

Habilitando a fragmentação e a remontagem em pacotes após o encapsulamento GRE

Você pode habilitar a fragmentação e a remontagem de pacotes depois que eles são encapsulados por GRE para um túnel GRE. Quando o tamanho de um pacote encapsulado por GRE é maior do que o MTU de um link pelo qual o pacote passa, o pacote encapsulado por GRE é fragmentado. Você configura a interface GRE no ponto final do túnel para remontar os pacotes fragmentados encapsulados por GRE antes que eles sejam processados ainda mais na rede.

Para cada túnel que você configura em uma interface, você pode habilitar ou desativar a fragmentação de pacotes encapsulados por GRE, incluindo a declaração ou do-not-fragment a allow-fragmentation declaração:

Você pode configurar essas declarações nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Se você configurar allow-fragmentation em um túnel, o bit DF não será definido no cabeçalho IP externo do pacote encapsulado por GRE, permitindo a fragmentação. Por padrão, os pacotes encapsulados por GRE que excedem o tamanho mtu de um link não são fragmentados e são descartados.

Para permitir a remontagem de pacotes fragmentados encapsulados por GRE na interface GRE no endpoint do túnel, inclua a reassemble-packets declaração:

Você pode configurar esta declaração nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

A partir do Junos OS Release 17.3R1, você pode configurar a fragmentação e reasssembly de pacotes encapsulados por GRE em interfaces de túnel GRE em roteadores da Série MX com MPC7Es, MPC8Es e MPC9Es.

A partir do Junos OS Release 17.1R1, você pode configurar a fragmentação e reassumência de pacotes encapsulados por GRE em interfaces de túnel GRE em roteadores da Série MX com MPC2E-NGs, MPC3E-NGs, MPC5Es e MPC6Es.

A partir do Junos OS Release 14.2, você pode configurar a fragmentação e a reassecação de pacotes encapsulados por GRE em interfaces de túnel GRE em roteadores da Série MX com MPC1s, MPC2s, MPC3s, MPC4s e MPC-16X10GEs.

Na versão do Junos OS Release 14.1 e anterior, a fragmentação e reassembly de pacotes encapsulados por GRE é suportada apenas em roteadores da Série MX com MS-DPCs.

Suporte para túneis IPv6 GRE

A partir do Junos OS Release 17.3R1, você pode configurar interfaces de túnel de encapsulamento de roteamento genérico (GRE) IPv6 em roteadores da Série MX. Isso permite que você execute um túnel GRE em uma rede IPv6. As famílias de carga de pacotes que podem ser encapsuladas dentro dos túneis IPv6 GRE incluem IPv4, IPv6, MPLS e ISO. A fragmentação e a remontagem dos pacotes de entrega IPv6 não são suportadas.

Para configurar uma interface de túnel IPv6 GRE, especifique endereços IPv6 para source e destination no nível de [interfaces gr-0/0/0 unit 0 tunnel] hierarquia, especifique family inet6 no nível de [interfaces gr-0/0/0 unit 0] hierarquia e especifique um endereço IPv6 no address nível de [interfaces gr-0/0/0 unit 0 family inet6] hierarquia.

Exemplos: Configuração de túneis Unicast

Configure dois túneis IP-IP sem número:

Configure interfaces de túnel numeradas incluindo um endereço no nível de [edit interfaces ip-0/3/0 unit (0 | 1) family inet] hierarquia:

Configure um MPLS sobre o túnel GRE incluindo a family mpls declaração no nível de [edit interfaces gr-1/2/0 unit 0] hierarquia:

Restringindo túneis ao tráfego multicast

Para interfaces que transportam tráfego IPv4 ou IP versão 6 (IPv6), você pode configurar uma interface de túnel para permitir apenas tráfego multicast. Para configurar um túnel somente multicast, inclua a multicast-only declaração:

Você pode configurar esta declaração nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

Túneis multicast filtram todos os pacotes unicast; se um pacote de entrada não estiver destinado a um prefixo 224/8 ou superior, o pacote é descartado e um contador é incrementado.

Você pode configurar essa propriedade apenas em interfaces GRE, IP-IP, PIM e túnel multicast (mtem inglês).

Nota:

Se o seu roteador tiver um PIC de serviços de túnel, o Junos OS configura automaticamente uma interface de túnel multicast (mt) para cada rede privada virtual (VPN) que você configura. Você não precisa configurar interfaces de túnel multicast.