Visão geral dos serviços de túnel
Visão geral dos serviços de túnel
Ao encapsular pacotes arbitrários dentro de um protocolo de transporte, o tunelamento oferece um caminho privado e seguro através de uma rede pública. Os túneis conectam sub-redes descontinuadas e permitem interfaces de criptografia, redes privadas virtuais (VPNs) e MPLS. Se você tiver uma placa de interface física (PIC) de túnel instalada em seu roteador série M ou T, você pode configurar túneis unicast, multicast e lógicos.
Você pode configurar dois tipos de túneis para VPNs: um para facilitar as buscas na tabela de roteamento e outro para facilitar as buscas na tabela de roteamento e encaminhamento de VPN (VRF).
Para obter informações sobre interfaces de criptografia, consulte Configurando interfaces de criptografia. Para obter informações sobre VPNs, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento. Para obter informações sobre o MPLS, consulte o Guia de usuário de aplicativos MPLS.
Nos firewalls da Série SRX, o encapsulamento de roteamento genérico (GRE) e os túneis IP-IP usam interfaces internas, gr-0/0/0 e ip-0/0/0, respectivamente. O Junos OS cria essas interfaces no inicialização do sistema; elas não estão associadas a interfaces físicas.
O Junos OS da Juniper Networks oferece suporte aos tipos de túnel mostrados na tabela a seguir.
Interface |
Descrição |
|---|---|
|
Interface de encapsulamento de roteamento genérico (GRE) configurável. A GRE permite o encapsulamento de um protocolo de roteamento por outro protocolo de roteamento. Dentro de um roteador, os pacotes são roteados para esta interface interna, onde eles são primeiro encapsulados com um pacote GRE e depois re encapsulados com outro pacote de protocolo para completar o GRE. A interface GRE é apenas uma interface interna e não está associada a uma interface física. Você deve configurar a interface para que ela execute GRE. |
|
Interface GRE gerada internamente. Essa interface é gerada pelo Junos OS para lidar com o GRE. Você não pode configurar essa interface. |
|
Interface configurável de encapsulamento IP sobre IP (também chamada de tunelamento IP). O tunelamento IP permite o encapsulamento de um pacote IP em outro pacote IP. Os pacotes são roteados para uma interface interna onde são encapsulados com um pacote IP e depois encaminhados para o endereço de destino do pacote encapsulador. A interface IP-IP é apenas uma interface interna e não está associada a uma interface física. Você deve configurar a interface para que ela realize tunelamento IP. |
|
Interface de IP sobre IP gerada internamente. Essa interface é gerada pelo Junos OS para lidar com o encapsulamento IP sobre IP. Não é uma interface configurável. |
|
A Nos firewalls da Série SRX, a |
|
Interface de túnel multicast gerada internamente. Túneis multicast filtram todos os pacotes unicast; se um pacote de entrada não estiver destinado a um Dentro de um roteador, os pacotes são roteados para esta interface interna para filtragem multicast. A interface de túnel multicast é apenas uma interface interna e não está associada a uma interface física. Se o seu roteador tiver um PIC de serviços de túnel, o Junos OS configura automaticamente uma interface de túnel multicast ( |
|
Interface de túnel multicast gerada internamente. Essa interface é gerada pelo Junos OS para lidar com serviços de túneis multicast. Não é uma interface configurável. |
|
Interface de des encapsulamento configurável multicast independente de protocolo (PIM). No modo esparso de PIM, o roteador de primeiro salto encapsula pacotes destinados ao roteador de ponto de encontro. Os pacotes são encapsulados com um cabeçalho unicast e são encaminhados por um túnel unicast até o ponto de encontro. O ponto de encontro então des encapsula os pacotes e os transmite através de sua árvore multicast. Dentro de um roteador, os pacotes são roteados para esta interface interna para des encapsulamento. A interface de des encapsulamento PIM é apenas uma interface interna e não está associada a uma interface física. Você deve configurar a interface para que ela realize o des encapsulamento do PIM.
Nota:
Em firewalls da Série SRX, esse tipo de interface é |
|
Interface de encapsulamento de PIM configurável. No modo esparso de PIM, o roteador de primeiro salto encapsula pacotes destinados ao roteador de ponto de encontro. Os pacotes são encapsulados com um cabeçalho unicast e são encaminhados por um túnel unicast até o ponto de encontro. O ponto de encontro então des encapsula os pacotes e os transmite através de sua árvore multicast. Dentro de um roteador, os pacotes são roteados para esta interface interna para encapsulamento. A interface de encapsulamento PIM é apenas uma interface interna e não está associada a uma interface física. Você deve configurar a interface para que ela realize o encapsulamento de PIM.
Nota:
Em firewalls da Série SRX, esse tipo de interface é |
|
Interface de des encapsulamento de PIM gerada internamente. Essa interface é gerada pelo Junos OS para lidar com o des encapsulamento do PIM. Não é uma interface configurável. |
|
Interface de encapsulamento de PIM gerada internamente. Essa interface é gerada pelo Junos OS para lidar com o encapsulamento de PIM. Não é uma interface configurável. |
|
Interface de túnel de loopback virtual configurável. Facilita a busca da tabela VRF com base em rótulos MPLS. Esse tipo de interface é suportado em roteadores série M e T, mas não em firewalls da Série SRX. Para configurar um túnel de loopback virtual para facilitar a aparência da tabela VRF com base em rótulos MPLS, você especifica um nome de interface de túnel de loopback virtual e o associa a uma instância de roteamento que pertence a uma tabela de roteamento específica. O pacote volta pelo túnel de loopback virtual para uma busca por rotas. |
A partir do Junos OS Release 15.1, você pode configurar serviços de Ethernet de Camada 2 em interfaces GRE (gr-fpc/pic/port para usar o encapsulamento GRE). Para permitir que os pacotes Ethernet de Camada 2 sejam encerrados em túneis GRE, você deve configurar a família de protocolo de domínio de ponte nas gr- interfaces e associar as gr- interfaces ao domínio da ponte. Você deve configurar as interfaces GRE como interfaces voltadas para o núcleo, e elas devem ser interfaces de acesso ou tronco. Para configurar a família de domínio de ponte em gr- interfaces, inclua a family bridge declaração no nível de [edit interfaces gr-fpc/pic/port unit logical-unit-number] hierarquia. Para associar a interface a gr- um domínio de ponte, inclua a interface gr-fpc/pic/port declaração no nível de [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] hierarquia. Você pode associar interfaces GRE em um domínio de ponte com o ID VLAN correspondente ou a lista de IDs VLAN em um domínio de ponte, incluindo a vlan-id (all | none | number) declaração ou a vlan-id-list [ vlan-id-numbers ] declaração no nível hierárquico [edit bridge-domains bridge-domain-name] . Os IDs VLAN configurados para o domínio de ponte devem combinar com os IDs VLAN que você configura para interfaces GRE usando a vlan-id (all | none | number) declaração ou a vlan-id-list [ vlan-id-numbers ] declaração no nível de [edit interfaces gr-fpc/pic/port unit logical-unit-number] hierarquia. Você também pode configurar interfaces GRE em um domínio de ponte associado a uma instância de switch virtual. Os pacotes Ethernet de camada 2 em túneis GRE também são suportados com a opção de chave GRE. A condição gre-key match permite que um usuário combine com o campo-chave GRE, que é um campo opcional em pacotes encapsulados por GRE. A chave pode ser combinada como um único valor-chave, uma variedade de valores-chave ou ambos.
A partir do Junos OS Release 16.1, é suportado o espelhamento da porta de Camada 2 para um coletor remoto em uma interface GRE.
Veja também
Interfaces de túnel em roteadores da Série MX com placas de linha (MPC7E a MPC11E)
MPC7E-10G, MPC7E-MRATE, MX2K-MPC8E e MX2K-MPC9E oferecem suporte a um total de quatro interfaces de túnel em linha por MPC, uma por PIC. Você pode criar um conjunto de interfaces de túnel por slot PIC até um máximo de quatro slots (de 0 a 3) em roteadores da Série MX com esses MPCs.
O MPC10E-15C oferece suporte a três interfaces de túnel em linha por MPC, uma por PIC, enquanto a MPC10E-10C oferece suporte a duas interfaces de túnel em linha por MPC, uma por PIC. Em roteadores da Série MX com MPC10E-15C, você pode
crie um conjunto de interfaces de túnel por slot PIC até um máximo de três slots (de 0 a 2). E, nos roteadores da Série MX com MPC10E-10C, você pode criar um conjunto de interfaces de túnel por slot PIC até um máximo de dois slots (0 e 1).O MX2K-MPC11E oferece suporte a 8 interfaces de túnel em linha por MPC, uma por PIC. Em roteadores da Série MX com MX2K-MPC11E, você pode criar um conjunto de interfaces de túnel por slot PIC até um máximo de oito slots (de 0 a 7). Esses PICs são chamados de PSEUDO TUNNEL PICs. Você cria interfaces de túnel em roteadores da Série MX com MPC7E-10G, MPC7E-MRATE, MX2K-MPC8E, MX2K-MPC9E, MPC10E-15C, MPC10E-10C e MX2K-MPC11E, incluindo as seguintes declarações no [edit chassis] nível de hierarquia:
[edit chassis]
fpc slot-number {
pic number {
tunnel-services {
bandwidth ;
}
}
}
- Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MPC7E-MRATE
- Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MPC7E-10G
- Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MX2K-MPC8E
- Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MX2K-MPC9E
- Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MPC10E-10C
- Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MPC10E-15C
- Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MX2K-MPC11E
- Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MX10K-LC9600
Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MPC7E-MRATE
A largura de banda do túnel para MPC7E-MRATE é de 1-120Gbps com um incremento de 1Gbps. No entanto, se você não especificar a largura de banda na configuração, ela será definida para 120Gbps.
A Tabela 2 mostra o mapeamento entre a largura de banda do túnel e os Mecanismos de encaminhamento de pacotes para MPC7-MRATE.
Pseudo Tunnel PIC |
Largura de banda máxima por PIC de túnel |
Mapeamento do PFE |
Largura de banda de túnel máximo por PFE |
Largura de banda máxima de PFE |
|---|---|---|---|---|
PIC0 |
120Gbps |
PFE0 |
120Gbps |
240Gbps
|
PIC1 |
120Gbps |
|||
PIC2 |
120Gbps |
PFE1 |
120Gbps |
240Gbps |
PIC3 |
120Gbps |
Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MPC7E-10G
A largura de banda do túnel para MPC7E-10G é de 1-120Gbps com um incremento de 1Gbps No entanto, se você não especificar a largura de banda na configuração, ela está definida para 120Gbps.
A Tabela 3 mostra o mapeamento entre a largura de banda do túnel e os Mecanismos de encaminhamento de pacotes para MPC7E-10G.
Pseudo Tunnel PIC |
Largura de banda máxima por PIC de túnel |
Mapeamento do PFE |
Largura de banda de túnel máximo por PFE |
Largura de banda máxima de PFE |
|---|---|---|---|---|
PIC0 |
120Gbps |
PFE0 |
120Gbps |
200Gbps
|
PIC1 |
120Gbps |
|||
PIC2 |
120Gbps |
PFE1 |
120Gbps |
200Gbps |
PIC3 |
120Gbps |
Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MX2K-MPC8E
A largura de banda do túnel para MX2K-MPC8E é de 1– 120Gbps com um incremento de 1Gbps. No entanto, se você não especificar a largura de banda na configuração, ela será definida para 120Gbps.
A Tabela 4 mostra o mapeamento entre a largura de banda do túnel e os Mecanismos de encaminhamento de pacotes para MX2K-MPC8E.
Pseudo Tunnel PIC |
Largura de banda máxima por PIC de túnel |
Mapeamento do mecanismo de encaminhamento de pacotes |
Largura de banda de túnel máximo por PFE |
Largura de banda máxima de PFE |
|---|---|---|---|---|
PIC0 |
120Gbps |
PFE0 |
120Gbps |
240Gbps |
PIC1 |
120Gbps |
PFE1 |
120Gbps |
240Gbps |
PIC2 |
120Gbps |
PFE2 |
120Gbps |
240Gbps |
PIC3 |
120Gbps |
PFE3 |
120Gbps |
240Gbps |
Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MX2K-MPC9E
A largura de banda do túnel para MX2K-MPC9E é de 1-200Gbps com um incremento de 1Gbps No entanto, se você não especificar a largura de banda na configuração, ela está definida para 200Gbps.
A Tabela 5 mostra o mapeamento entre a largura de banda do túnel e os Mecanismos de encaminhamento de pacotes para MX2K-MPC9E.
| Pseudo Tunnel PIC |
Largura de banda máxima por PIC de túnel |
Mapeamento do PFE |
Largura de banda de túnel máximo por PFE |
Largura de banda máxima de PFE |
|---|---|---|---|---|
| PIC0 |
200Gbps |
PFE0 |
200Gbps |
400Gbps
|
| PIC1 |
200Gbps |
PFE1 | 200Gbps |
400Gbps |
| PIC2 |
200Gbps |
PFE2 |
200Gbps |
400Gbps |
| PIC3 |
200Gbps |
PFE3 | 200Gbps |
400Gbps |
Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MPC10E-10C
A largura de banda do túnel para MPC10E-10C é de 1-400Gbps com um incremento de 1Gbps. No entanto, se você não especificar a largura de banda na configuração, ela será definida para 400Gbps.
A Tabela 6 mostra o mapeamento entre a largura de banda do túnel e os Mecanismos de encaminhamento de pacotes para MPC10E-10C.
| Pseudo Tunnel PIC |
Largura de banda máxima por PIC de túnel |
Mapeamento do mecanismo de encaminhamento de pacotes |
Largura de banda de túnel máximo por PFE |
Largura de banda máxima de PFE |
|---|---|---|---|---|
| PIC0 |
250Gbps |
PFE0 |
250Gbps |
500Gbps |
| PIC1 |
250Gbps |
PFE1 |
250Gbps |
500Gbps |
Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MPC10E-15C
A largura de banda do túnel para MPC10E-15C é de 1-400Gbps com um incremento de 1Gbps. No entanto, se você não especificar a largura de banda na configuração, ela será definida para 400Gbps.
A Tabela 7 mostra o mapeamento entre a largura de banda do túnel e os Mecanismos de encaminhamento de pacotes para MPC10E-15C.
| Pseudo Tunnel PIC |
Largura de banda máxima por PIC de túnel |
Mapeamento do mecanismo de encaminhamento de pacotes |
Largura de banda de túnel máximo por PFE |
Largura de banda máxima de PFE |
|---|---|---|---|---|
| PIC0 |
250Gbps |
PFE0 |
250Gbps |
500Gbps |
| PIC1 |
250Gbps |
PFE1 |
250Gbps |
500Gbps |
| PIC2 |
250Gbps |
PFE2 |
250Gbps |
500Gbps |
Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MX2K-MPC11E
A largura de banda do túnel para MX2K-MPC11E é de 1-400Gbps com um incremento de 1Gbps. No entanto, se você não especificar a largura de banda na configuração, ela será definida para 400Gbps.
A Tabela 8 mostra o mapeamento entre a largura de banda do túnel e os mecanismos de encaminhamento de pacotes para MX2K-MPC11E.
Pseudo Tunnel PIC |
Largura de banda máxima por PIC de túnel |
Mapeamento do PFE |
Largura de banda de túnel máximo por PFE |
Largura de banda máxima de PFE |
|---|---|---|---|---|
PIC0 |
250Gbps |
PFE0 |
250Gbps |
500Gbps |
PIC1 |
250Gbps |
PFE1 |
250Gbps |
500Gbps |
PIC2 |
250Gbps |
PFE2 |
250Gbps |
500Gbps |
PIC3 |
250Gbps |
PFE3 |
250Gbps |
500Gbps |
PIC4 |
250Gbps |
PFE4 |
250Gbps |
500Gbps |
PIC5 |
250Gbps |
PFE5 |
250Gbps |
500Gbps |
PIC6 |
250Gbps |
PFE6 |
250Gbps |
500Gbps |
PIC7 |
250Gbps |
PFE7 |
250Gbps |
500Gbps |
Um valor de banda de serviços de túnel não especificado na configuração para MPC10E-10C, MPC10E-15C e MX2K-MPC11E resulta em um valor maior do que a largura de banda de túnel máximo por PFE em determinadas condições de tráfego.
Mapeamento do mecanismo de encaminhamento de pacotes e largura de banda de túnel para MX10K-LC9600
A largura de banda do túnel para MX10K-LC9600 é de 1-400Gbps com um incremento de 1Gbps. No entanto, se você não especificar a largura de banda na configuração, ela será definida para 400Gbps.
A Tabela 9 mostra o mapeamento entre a largura de banda do túnel e os Mecanismos de encaminhamento de pacotes para MX10K-LC9600.
| Pseudo Tunnel PIC |
Porta de túnel |
Largura de banda máxima por PIC de túnel |
Mapeamento do PFE |
Largura de banda de túnel máximo por PFE |
Largura de banda máxima de PFE |
|---|---|---|---|---|---|
| PIC0 |
0 |
200Gbps |
PFE0 |
200Gbps |
800Gbps |
| 1 |
200Gbps |
PFE0 |
200Gbps |
||
| 2 |
200Gbps |
PFE1 |
200Gbps |
||
| 3 |
200Gbps |
PFE1 |
200Gbps |
||
| PIC1 |
0 |
200Gbps |
PFE2 |
200Gbps |
800Gbps |
| 1 |
200Gbps |
PFE2 |
200Gbps |
||
| 2 |
200Gbps |
PFE3 |
200Gbps |
||
| 3 |
200Gbps |
PFE3 |
200Gbps |
||
| PIC2 |
0 |
200Gbps |
PFE4 |
200Gbps |
800Gbps |
| 1 |
200Gbps |
PFE4 |
200Gbps |
||
| 2 |
200Gbps |
PFE5 |
200Gbps |
||
| 3 |
200Gbps |
PFE5 |
200Gbps |
||
| PIC3 |
0 |
200Gbps |
PFE6 |
200Gbps |
800Gbps |
| 1 |
200Gbps |
PFE6 |
200Gbps |
||
| 2 |
200Gbps |
PFE7 |
200Gbps |
||
| 3 |
200Gbps |
PFE7 |
200Gbps |
||
| PIC4 |
0 |
200Gbps |
PFE8 |
200Gbps |
800Gbps |
| 1 |
200Gbps |
PFE8 |
200Gbps |
||
| 2 |
200Gbps |
PFE9 |
200Gbps |
||
| 3 |
200Gbps |
PFE9 |
200Gbps |
||
| PIC5 |
0 |
200Gbps |
PFE10 |
200Gbps |
800Gbps |
| 1 |
200Gbps |
PFE10 |
200Gbps |
||
| 2 |
200Gbps |
PFE11 |
200Gbps |
||
| 3 |
200Gbps |
PFE11 |
200Gbps |
Veja também
Visão geral dos túneis dinâmicos
Uma VPN que viaja por uma rede não MPLS requer um túnel GRE. Este túnel pode ser um túnel estático ou um túnel dinâmico. Um túnel estático é configurado manualmente entre dois roteadores PE. Um túnel dinâmico é configurado usando a resolução de rota BGP.
Quando um roteador recebe uma rota VPN que se resolve em um próximo salto BGP que não tem um caminho MPLS, um túnel GRE pode ser criado dinamicamente, permitindo que o tráfego vpn seja encaminhado para essa rota. Apenas os túneis GRE IPv4 são suportados.
Para configurar um túnel dinâmico entre dois roteadores PE, inclua a dynamic-tunnels declaração:
dynamic-tunnels tunnel-name {
destination-networks prefix;
source-address address;
}
Você pode configurar esta declaração nos seguintes níveis de hierarquia:
[edit routing-options][edit routing-instances routing-instance-name routing-options][edit logical-systems logical-system-name routing-options][edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]
Veja também
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
gr-fpc/pic/port para usar o encapsulamento GRE).