Configuração de interfaces de túnel em roteadores da Série MX e roteadores da Série PTX

Entendendo as interfaces de túnel em roteadores da Série MX

Túneis baseados em interface (gr-, lt-, e ip)— Você pode configurar túneis baseados em interface quando a aplicação do perfil de largura de banda é necessária.Os túneis GRE oferecem suporte a cargas IPv4, IPv6, MPLS, ISO e Ethernet, enquanto os túneis IP-IP oferecem suporte a cargas IPv4 e IPv6.

Você pode configurar túneis baseados em interface para implementar:
- Tunelamento por uma rede IP com aplicação de largura de banda por túnel. Por exemplo, em direção ao local remoto.
- Direcionamento para limpeza de DDoS.
- Espelhamento para destinos remotos.
Durante o processo GRE, após o cabeçalho GRE ser adicionado ao pacote, o pacote é colocado de volta no mesmo Mecanismo de encaminhamento de pacotes para uma segunda olhada. O pacote entra no pipeline de entrada de volta pela interface de loopback, que tem uma largura de banda limitada de 400G. O pacote encapsulado é então encaminhado para o destino.

O des encapsulamento de túnel GRE é implementado por terminação de túnel em linha e não usa o fluxo de loopback. No entanto, o desempenho geral dos pacotes do Mecanismo de encaminhamento de pacotes é afetado devido a saltos de malha extras à medida que o fluxo de tráfego muda de um mecanismo de encaminhamento de pacotes para outro.
Interfaces de túnel flexíveis (FTIs) — Você pode configurar FTIs quando a aplicação do perfil de largura de banda não for necessária. Os FTIs oferecem suporte a cargas IPv4 e IPv6. Você pode configurar FTIs para implementar:
- Espelhamento para destinos remotos.
- Malhas de IP com overlays IP-IP.
- Direcionamento para limpeza de DDoS.
O desempenho do pacote é reduzido devido à busca extra após o encapsulamento e des encapsulamento.
Túneis dinâmicos — você pode configurar túneis dinâmicos para projetar gateways de data center.

Na implementação dinâmica de túneis com a prevenção de loopback, o desempenho do pacote é reduzido devido à atenção extra após um encapsulamento ou des encapsulamento.
Túneis baseados em filtro de firewall — esses túneis suportam:
- GRE e GRE em encapsulamento de UDP.
- GRE, IP-IP e GRE em des encapsulamento de UDP.
Você pode configurar túneis baseados em filtro de firewall para projetar gateways de data center.

Você pode configurar a encapsualção e o des encapsulamento baseados em GRE usando uma ação de filtro de firewall sem usar uma interface de túnel. O encapsulamento e o des encapsulamento acontecem no Mecanismo de encaminhamento de pacotes que processa o filtro. Os roteadores da Série MX oferecem suporte a filtros de firewall em:
- Nível de interface na entrada (executado no mecanismo de encaminhamento de pacotes de entrada)
- Nível de interface na saída (executado no mecanismo de encaminhamento de pacotes de saída)
- Encaminhamento do nível da tabela (antes da busca da rota ou após a busca da rota). Em ambos os casos, o filtro é executado no PFE de entrada
Neste cenário, o desempenho do pacote é reduzido devido à busca extra após o encapsulamento. Em caso de des encapsulamento, o desempenho do pacote é reduzido devido à configuração do filtro.

Entendendo as interfaces de túnel em roteadores da Série PTX

Você pode configurar interfaces de túnel para implementar diferentes recursos nos roteadores da Série PTX. As seções a seguir fornecem uma visão geral dos recursos implementados em diferentes roteadores da Série PTX.

Interfaces de túnel em PTX10001-36MR, PTX10004, PTX10008 e visão geral de PTX10016
Interfaces de túnel em PTX1000, PTX5000 e visão geral de PTX10002-50C

Interfaces de túnel em PTX10001-36MR, PTX10004, PTX10008 e visão geral de PTX10016

Esta seção fornece informações sobre a configuração de interfaces de túnel para implementar diferentes recursos em roteadores PTX10001-36MR, PTX10004, PTX10008 e PTX10016 com o Junos OS Evolved.

Interfaces de túnel flexíveis (FTIs) — Você pode configurar túneis baseados em FTI para implementar:
- Direcionamento para limpeza de DDoS.
- Des encapsulamento para todos os casos de uso dinâmicos de túneis.
Esses túneis oferecem suporte a opções de encapsulamento e de des encapsulamento GRE, UDP e IP-IP. A redução no desempenho do pacote depende da opção de encapsulamento. O encapsulamento oferece suporte à topologia de próximo salto achatada.

Você pode configurar túneis GRE em interfaces de túnel flexíveis. Quando você habilita a tunnel-termination declaração na [edit interfaces fti0 unit unit-number family (inet | inet6)] hierearquia, os túneis são encerrados na interface wan antes que quaisquer outras ações, como amostragem, espelhamento de portas ou filtragem, sejam aplicadas.
Interfaces de túnel flexíveis (FTIs) por um loopback — Você pode configurar FTIs para implementar espelhamento em destinos remotos.

Em uma FTI, após o encapsulamento do túnel, o tráfego é enviado para a interface de loopback (no mecanismo de encaminhamento de pacotes de entrada) e mais tarde para o destino final. Os destinos podem incluir aqueles por trás do próximo salto por trás do roteamento por segmentos — engenharia de tráfego (SR-TE). A interface de loopback tem uma largura de banda limitada de 400G.

Você pode configurar o encapsulamento de túnel GRE/IP/IP/UDP em FTIs usando a interface de loopback. Você pode configurar o encapsulamento usando o comando tunnel encapsulation (gre|ipip|udp) source address destination address na [edit interfaces fti0 unit unit-number hierarquia. Você deve considerar os seguintes pontos enquanto configura este recurso:
- A adição tunnel-termination faz com que o túnel e o encapsulamento somente decapagem do túnel sejam desativados.
- Especificar a origem e o endereço de destino é obrigatório quando você não configura o comando.
- A configuração de uma máscara de prefixo variável no endereço fonte não é permitida
  
  Quando você configura um filtro de firewall para des encapsulamento, o filtro de frewall des encapsula os pacotes com base nas condições e ação configuradas de correspondência. Em seguida, os pacotes des encapsulados são re-circulados de volta ao bloco de entrada para fazer uma busca interna de cabeçalho e encaminhados de acordo. No entanto, o término do túnel é concluído em um único passe de processamento de pacotes, proporcionando assim uma melhoria de desempenho em relação ao processo baseado em filtro.
  
  Para habilitar o modo somente de rescisão, onde o túnel é unidirecional, você pode configurar tunnel-termination na hierarquia do [edit interfaces fti0 unit unit_number tunnel encapsulation (gre|ipip|udp)]FTI.
  O endereço fonte pode ser excluído, o que indica que o túnel termina no endereço de destino configurado. O opcional tunnel-routing-instance indica que, após o des encapsulamento, a busca interna de IP é feita com ID VRF correspondente à instância de roteamento.
  
  Os pacotes a serem des encapsulados são processados na unidade de busca de origem. A chave de pesquisa contém o endereço de destino IPv4 ou IPv6 e o endereço L3VPN opcionalmente se o túnel não precisar ser encerrado em todas as interfaces. Se a primeira busca for bem-sucedido, não será necessário procurar mais fontes e o túnel será encerrado. Se uma segunda busca for necessária no endereço de origem, a unidade de busca de origem faz outra busca usando o endereço fonte e o resultado da primeira olhada como a chave. Se a segunda busca for bem sucedida, o túnel será encerrado.
  
  Quando você habilita a declaração de terminação de túnel na hierarquia [editar interfaces fti0 unit-number], os túneis são encerrados na interface WAN antes que quaisquer outras ações, como amostragem, espelhamento de portas ou filtragem, sejam aplicadas.
  
  Para habilitar a terminação de túnel na interface de entrada configurada tunnel-termination na [edit interfaces et fpc/pic/port unit unit_number]
Túneis dinâmicos — Você pode configurar túneis dinâmicos para projetar:
- Malhas IP.
- Overlays de IP.
- Gateways de data center.
Esses túneis oferecem suporte ao encapsulamento IP-IP.

Os roteadores da Série PTX com o Junos OS Evolved não oferecem suporte a túneis dinâmicos para des encapsulamento.. Em vez disso, você pode usar túneis FTI estáticos para des encapsulamento, sem especificar o endereço de destino. Os túneis estão configurados com a opção somente de des encapsulamento.

Você pode configurar túneis UDP dinâmicos baseados em próximo salto, também conhecidos como túneis MPLS-over-UDP. O Junos OS cria dinamicamente próximo saltos para resolver a rota de destino do túnel. Você também pode usar o controle de políticas para resolver túneis MPLS-over-UDP em prefixos IP selecionados. Porque quando os próximos saltos são habilitados por padrão, o recurso MPLS-over-UDP oferece uma vantagem de escala para o número de túneis IP suportados no roteador.

Interfaces de túnel em PTX1000, PTX5000 e visão geral de PTX10002-50C

Esta seção fornece informações sobre a configuração de interfaces de túnel para implementar diferentes recursos em PTX1000, PTX5000 e roteadores de PTX10002-50C com o Junos OS Evolved.

Interfaces de túnel flexíveis (FTIs) — Você pode configurar FTIs para implementar a malha de IP. Preferimos essa opção quando precisamos chegar a destinos de túneis por IP. Esses túneis suportam:
- Opções de encapsulamento GRE, UDP e IP-IP.
- Opções de des encapsulamento de UDP e IP-IP.
O desempenho do pacote é reduzido devido à busca extra após o encapsulamento e des encapsulamento.
Túneis dinâmicos — você pode configurar túneis dinâmicos para projetar gateway de data center. O desempenho do pacote é reduzido devido a uma olhada extra após o encapsulamento e o des encapsulamento.
Túneis baseados em filtro de firewall — você pode configurar túneis baseados em filtro de firewall para implementar a engenharia de peering de saída (EPE). O desempenho do pacote é reduzido durante o encapsulamento devido à busca extra.
Espelhamento para destino remoto— Você pode implementar o tunelamento de pacotes espelhados para destinos remotos. O desempenho do pacote é reduzido durante o encapsulamento devido à busca extra.

Casos de uso implementados pela configuração de túneis na Série MX e roteadores da Série PTX

Esta seção fornece informações sobre alguns dos casos de uso da configuração de interfaces de túnel para implementar diferentes recursos (casos de uso) nos roteadores da série MX e da série PTX.

Espelhamento de portas para destinos remotos
Data Center Gateways

Espelhamento de portas para destinos remotos

Você pode usar o espelhamento de porta para análise de tráfego em roteadores e switches que, ao contrário dos hubs, não transmitem pacotes para todas as portas do dispositivo de destino. O espelhamento de portas envia cópias de todos os pacotes ou pacotes de amostra baseados em políticas para analisadores locais ou remotos onde você pode monitorar e analisar os dados.

Para um roteador da Série MX configurado como um roteador de borda (PE) de provedor na borda voltada para o cliente de uma rede de provedor de serviços, você pode aplicar um filtro de firewall de espelhamento de porta de Camada 2 nos pontos de entrada e saída para espelhar o tráfego entre o roteador da Série MX e dispositivos de borda do cliente (CE), como roteadores e switches Ethernet.

Nos roteadores da Série MX, você pode espelhar o tráfego que chega em interfaces de túnel para vários destinos. Você especifica dois ou mais destinos em um grupo de próximo salto, define um filtro de firewall que faz referência ao grupo de next-hop como a ação do filtro e, em seguida, aplica o filtro em uma interface de túnel lógica (lt-) ou interfaces de túnel virtual (vt-) no roteador da Série MX.

Veja a configuração do espelhamento de portas e a configuração do espelhamento de portas para destinos remotos.

Quando o caminho de dados atravessa um túnel flexível baseado em interface de túnel (FTI), o roteador envia o pacote de saída com encapsulamento de túnel. Você pode configurar uma configuração que espelha o pacote original, bem como o pacote com todos os encapsulamentos conforme ele sai da interface.

Para habilitar o espelhamento com base em um filtro instalado no FTI:

Você marca pacotes para espelhamento usando a ação de política no FTI. O roteador normalmente usa a ação de política para selecionar a regra de reescrita de saída, mas neste caso, ele usa a ação de política para marcar pacotes interessantes com um atributo de política interna, sem qualquer regra especial de reescrita configurada.
Você tem os pacotes de interceptação de software que correspondem à política específica no lado WAN de saída e iniciam a ação l2-mirror . Os pacotes são relatados com informações de cabeçalho de Camada 2, incluindo encapsulamento de túnel.

Ver Exemplo: Configuração de espelhamento de porta local em roteadores PTX Exemplo: Configuração de espelhamento de porta local em roteadores PTX e exemplo: configuração de espelhamento remoto de portas em roteadores PTX.

Data Center Gateways

Os gateways de data center interconectam as VPNs da Internet ou empresas de um lado e máquinas virtuais hospedadas em servidores do outro lado. Tecnologias de transporte de overlay, como MPLS-over-GRE ou MPLS-over-UDP, fazem parte de um projeto de data center. As rotas de host são comunicadas ao gateway de data center a partir do controlador SDN e importadas para contextos de roteamento e encaminhamento virtual (VRF) ou roteamento da Internet.. Os servidores de data center podem ser alcançados por túneis dinâmicos baseados em next-hop. Os túneis são estabelecidos em servidores no processo de resolução de próximo salto de protocolo de roteamento BGP.

Como descrito, RFC 5549, o tráfego IPv4 é tunelado de dispositivos CPE para gateways IPv4-over-IPv6. Esses gateways são anunciados para dispositivos CPE por meio de endereçoscast. Os dispositivos de gateway então criam túneis IPv4-over-IPv6 dinâmicos para dispositivos CPE remotos e anunciam rotas agregadas IPv4 para direcionar o tráfego. Refletores de roteamento com interfaces programáveis injetam as informações do túnel na rede. Os refletores de rota são conectados por BGP interno (IBGP) a roteadores de gateway, que anunciam os endereços IPv4 de rotas de host com endereços IPv6 como próximo salto.

O túnel MPLS-over-UDP é tratado da seguinte forma:

Depois que um túnel MPLS-over-UDP é configurado, uma rota de máscara de destino de túnel com um próximo salto composto por túnel é criada para o túnel na tabela de roteamento inet.3. Essa rota de túnel IP só é retirada quando a configuração dinâmica do túnel é excluída.

Os atributos de próximo salto composto do túnel incluem:
- Quando o próximo salto composto de VPN de Camada 3 for desativado — endereço de origem e destino, string de encapsulamento e rótulo VPN.
- Quando o próximo salto composto de VPN de Camada 3 e a alocação de rótulos de VPN por prefixo forem habilitados — endereço fonte, endereço de destino e string de encapsulamento.
- Quando o próximo salto composto de VPN de Camada 3 é habilitado e a alocação de rótulos de VPN por prefixo é desativada — endereço fonte, endereço de destino e string de encapsulamento. A rota neste caso é adicionada à outra tabela de instâncias VRF com uma rota secundária.
Os dispositivos de borda do provedor (PE) estão interconectados usando uma sessão do IBGP. A rota do IBGP próximo salto para um vizinho BGP remoto é o próximo salto de protocolo, que é resolvido usando a rota de máscara de túnel com o túnel próximo salto.
Após o próximo salto de protocolo ser resolvido sobre o próximo salto composto do túnel, são criados próximos saltos indiretos com o encaminhamento de próximos saltos.
O próximo salto composto do túnel é usado para encaminhar os próximos saltos da indireto próximo salto.

Veja exemplo: Configuração de túneis dinâmicos MPLS-over-UDP baseados em próximo salto : configuração de túneis dinâmicos IP sobre IP baseados em next-hop