Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Configuração de um filtro de firewall para des encapsular o tráfego GRE ou IPIP

O encapsulamento de roteamento genérico (GRE) e o IP sobre IP (IPIP) oferecem um caminho privado e seguro para o transporte de pacotes por meio de uma rede encapsulando (ou tunelando) os pacotes. O tunelamento é realizado por endpoints de túnel que encapsulam ou des encapsulam o tráfego.

Você pode usar um filtro de firewall para des encapsular o tráfego de túneis no switch. Esse recurso oferece benefícios significativos em termos de escalabilidade, desempenho e flexibilidade, pois você não precisa criar uma interface de túnel para realizar o des encapsulamento. Por exemplo, você pode encerrar muitos túneis de vários endereços IP de origem com um único termo de firewall.

Nota:

Os switches EX4600, QFX5100 e OCX oferecem suporte a até 512 túneis GRE, incluindo túneis criados com um filtro de firewall. Ou seja, você pode criar um total de 512 túneis GRE, independentemente de qual método você usa.

Configuração de um filtro para des encapsular o tráfego GRE

Para configurar um filtro de firewall para des encapsular o tráfego GRE:

  1. Crie um filtro de firewall IPv4 e (opcionalmente) especifique um endereço fonte para o túnel:

    Você deve criar um filtro IPv4 usando family inet porque o cabeçalho externo de um pacote GRE deve ser IPv4. Se você especificar um endereço de origem, deve ser um endereço em um dispositivo que encapsulará o tráfego em pacotes GRE.

    Nota:

    Para encerrar muitos túneis de vários endereços IP de origem com um único termo de firewall, não configure um endereço de origem. Neste caso, o filtro des encapsulará quaisquer pacotes GRE recebidos pela interface a que você aplica o filtro.

  2. Especifique um endereço de destino para o túnel:

    Este deve ser um endereço em uma interface do switch no qual você deseja que o túnel ou os túneis sejam encerrados e que os pacotes GRE sejam des encapsulados. Você também deve configurar este endereço como um endpoint de túnel em todos os roteadores de origem de túnel com os quais você deseja formar túneis no switch.

  3. Especifique se o filtro deve combinar e aceitar o tráfego GRE:
  4. Especifique que o filtro deve des encapsular o tráfego GRE:

    Com base na configuração realizada até agora, o switch encaminha os pacotes des encapsulados comparando o cabeçalho interno com a tabela de roteamento padrão (inet0). Se você quiser que o switch use uma instância de roteamento virtual para encaminhar os pacotes des encapsulados, execute as seguintes etapas:

  5. Especifique o nome da instância de roteamento virtual:
  6. Especifique que a instância de roteamento virtual é um roteador virtual:
  7. Especifique as interfaces que pertencem ao roteador virtual:

Configuração de um filtro para des encapsular o tráfego IPIP

Para configurar um filtro de firewall para des encapsular o tráfego IPIP::

  1. Crie um filtro de firewall IPv4 e (opcionalmente) especifique um endereço fonte para o túnel:

    Você deve criar um filtro IPv4 usando family inet porque o cabeçalho externo de um pacote IPIP deve ser IPv4. Se você especificar um endereço de origem, ele deve ser um endereço em um dispositivo que encapsulará o tráfego em pacotes IPIP.

    Nota:

    Para encerrar muitos túneis de vários endereços IP de origem com um único termo de firewall, não configure um endereço de origem. Neste caso, o filtro des encapsulará quaisquer pacotes IPIP recebidos pela interface a que você aplica o filtro.

  2. Especifique um endereço de destino para o túnel:

    Este deve ser um endereço em uma interface do switch na qual você deseja que o túnel ou os túneis sejam encerrados e que os pacotes IPIP sejam des encapsulados. Você também deve configurar este endereço como um endpoint de túnel em todos os roteadores de origem de túnel com os quais você deseja formar túneis no switch.

  3. Especifique que o filtro deve combinar e aceitar o tráfego IPIP:
  4. Especifique que o filtro deve des encapsular o tráfego IPIP:

    Com base na configuração realizada até agora, o switch encaminha os pacotes des encapsulados comparando o cabeçalho interno com a tabela de roteamento padrão (inet0). Se você quiser que o switch use uma instância de roteamento virtual para encaminhar os pacotes des encapsulados, execute as seguintes etapas:

  5. Especifique o nome da instância de roteamento virtual:
  6. Especifique que a instância de roteamento virtual é um roteador virtual:
  7. Especifique as interfaces que pertencem ao roteador virtual:

Aplicar o filtro em uma interface

Depois de criar o filtro de firewall, você também deve aplicá-lo a uma interface que receberá tráfego GRE ou IPIP . Certifique-se de aplicá-la na direção de entrada. Por exemplo, insira

Como o cabeçalho externo de um pacote GRE ou IPIP deve ser IPv4, você deve aplicar o filtro em uma interface IPv4 e especificar family inet.

Tópicos relacionados