Entendendo o tunelamento baseado em filtros em redes IPv4
Entendendo o tunelamento baseado em filtros em redes IPv4
O encapsulamento genérico de roteamento (GRE) em sua forma mais simples é o encapsulamento de qualquer protocolo de camada de rede em qualquer outro protocolo de camada de rede para conectar redes desarticuladas que não têm um caminho de roteamento nativo entre elas. É um protocolo de encapsulamento de Camada 3 sem conexão e apátrida, e não oferece mecanismos para confiabilidade, controle de fluxo ou sequenciamento.
O tunelamento GRE é iniciado com ações padrão de filtro de firewall . O tráfego flui pelo túnel desde que o destino do túnel seja roteável. Para os roteadores da série MX, esse recurso também é suportado em sistemas lógicos.
Para plataformas de roteamento universal 5G da Série MX, quando você configura o tunelamento GRE com filtros de firewall, você não precisa criar interfaces de túnel em placas de interface física (PICs) dos Serviços de Túnel ou em Concentradores de Portas Modulares MPC3E (MPCs). Em vez disso, os PFEs nas placas de interface modular (MICs) ou MPCs lidam com o encapsulamento e descapsulação de carga GRE e fornecem os serviços de túnel para as interfaces relevantes. Como tal, um par de roteadores da Série MX pode ser instalado como roteadores de borda de provedor (PE) para fornecer conectividade aos roteadores de borda do cliente (CE) em duas redes desarticuladas.
Para os roteadores da Série PTX, os serviços de rede devem ser definidos para que o tunelamento GRE baseado em filtro funcione.enhanced-mode Para obter mais informações sobre tunelamento com base em filtro no PTX, veja .tunnel-end-point
- Filtro de firewall de entrada no roteador PE de entrada
- Filtro de firewall de entrada no roteador Egress PE
Filtro de firewall de entrada no roteador PE de entrada
No roteador PE de entrada, você configura uma definição de túnel que especifica um túnel GRE unidirecional. Para roteadores da série MX com uma interface lógica de entrada MIC ou MPC, você anexa um filtro de firewall encapsulador. O filtro de firewall faz referência a uma definição de túnel e inicia o encapsulamento de pacotes combinados. O processo de encapsulamento conecta um cabeçalho IPv4 e um cabeçalho GRE ao pacote de carga e depois encaminha o pacote GRE resultante para o túnel especificado pelo filtro.
Filtro de firewall de entrada no roteador Egress PE
No roteador PE de saída, você anexa um filtro de firewall des encapsulamento à entrada de todas as interfaces lógicas MIC ou MPC que são endereços anunciados para o roteador. O filtro de firewall inicia o des encapsulamento de pacotes de protocolo GRE. O des encapsulamento remove o cabeçalho GRE interno e depois encaminha o pacote de carga original para seu destino original na rede do cliente de destino. Se a ação especificar uma instância de roteamento opcional, a busca por rotas será realizada usando essa tabela secundária em vez da tabela primária.
Características do tunelamento baseado em filtros em redes IPv4
Os túneis baseados em filtro em redes IPv4 são unidirecionais. Eles transportam apenas pacotes de trânsito, e não exigem interfaces de túnel.
- Tunelamento unidirecional
- Tunelamento bidirecional
- Cargas de tráfego de trânsito
- Configuração compacta para vários túneis GRE
Tunelamento unidirecional
Para usar túneis GRE baseados em filtro, comece anexando filtros de firewall padrão na entrada de cada endpoint de túnel (tanto no roteador PE de entrada quanto no roteador PE de saída). Na entrada do roteador PE de entrada, você aplica um filtro de firewall encapsulador. Na entrada do roteador PE de saída, aplique um filtro de firewall des encapsulamento.
Tunelamento bidirecional
Para tunelamento GRE bidirecional, você pode usar o mesmo par de roteadores PE, mas deve configurar um segundo túnel na direção inversa.
Cargas de tráfego de trânsito
Um túnel GRE IPv4 baseado em filtro pode transportar apenas cargas de tráfego unicast ou multicast de trânsito. Operações de encapsulamento e descapsulação iniciadas por filtro são executadas em PFEs para interfaces lógicas Ethernet e interfaces Ethernet agregadas. Esse design permite o uso mais eficiente da largura de banda PFE em comparação com o tunelamento GRE usando interfaces de túnel. As sessões de protocolo de roteamento não podem ser configuradas em cima dos túneis baseados em firewall.
Os PFEs operam no plano de encaminhamento para processar pacotes encaminhando-os entre interfaces de entrada e saída usando uma tabela de encaminhamento armazenada localmente, que é uma cópia local das informações do Mecanismo de Roteamento (RE).
Por outro lado, os REs operam no plano de controle para lidar com o gerenciamento do sistema, o acesso do usuário ao roteador e processos para protocolos de roteamento, controle de interface de roteador e algum controle de componentes do chassi. A arquitetura do Junos OS separa as funções desses planos para permitir flexibilidade do suporte da plataforma e escalabilidade do desempenho da plataforma. Os pacotes de controle de entrada são direcionados para o plano de controle onde o encapsulamento gre e os processos de des encapsulamento dos PFEs não estão disponíveis.
Embora você possa aplicar filtros de firewall em endereços de loopback, as ações de filtro de firewall encapsuladas e encapsuladas por GRE não são suportadas em interfaces de loopback do roteador.
Configuração compacta para vários túneis GRE
Os filtros de firewall oferecem suporte a uma ampla variedade de critérios de correspondência e, por extensão, a capacidade de encerrar vários túneis GRE que correspondem a critérios especificados em uma única definição de filtro de firewall. Ao criar vários túneis, cada um com seu próprio conjunto de condições de correspondência, você pode criar túneis que não interfiram com pacotes GRE do cliente ou entre si e que reinjetam pacotes para separar tabelas de roteamento após o des encapsulamento.
Tunelamento com filtros de firewall e tunelamento com interfaces de túnel
O tunelamento com interfaces de túnel oferece suporte tanto ao tráfego de controle de roteador quanto ao tráfego de trânsito, bem como à criptografia. O tunelamento com filtros de firewall não. No entanto, o tunelamento com filtros de firewall oferece benefícios em desempenho e escalabilidade.
Desempenho de encaminhamento
O tunelamento baseado em filtros em redes IPv4 permite o uso mais eficiente da largura de banda PFE em comparação com o tunelamento GRE usando interfaces de túnel. Encapsulamento, des encapsulamento e pesquisa de rota são atividades de processamento de cabeçalho de pacotes que, para tunelamento baseado em filtro de firewall, são realizadas no PFE. Consequentemente, o encapsulador nunca precisa enviar pacotes de carga para uma interface de túnel separada (que pode residir em um PIC em um slot diferente da interface que recebe pacotes de carga).