NESTA PÁGINA
Exemplo: configuração do MPLS sobre GRE com fragmentação e remontagem de IPsec
Este exemplo é baseado na necessidade de oferecer suporte a um MTU padrão de 1.500 byte para clientes de rede privada virtual (VPN) que são suportados pela GRE sobre túneis IPsec, quando o provedor de WAN não oferece uma opção Jumbo MTU. O tráfego encaminhado sobre o link WAN de 1500 byte pode ser desativado porque a sobrecarga de encapsulamento de protocolo (Camada 2, MPLS, GRE e IPsec) resulta em um quadro que excede o MTU do link WAN.
As quedas relacionadas ao MTU são principalmente um problema para o tráfego que não pode ser fragmentado. Por exemplo, o tráfego IP que é marcado como não fragmentado, ou tráfego VPN/VPLS de Camada 2, que por sua natureza, não pode ser fragmentado. Por razões de desempenho, muitas configurações de IPsec bloqueiam a fragmentação pós-criptografia, resultando na queda de pacotes.
Este documento fornece uma solução para este problema, mostrando como configurar um túnel IPsec para realizar a pós-fragmentação no tráfego que de outra forma não é capaz de ser fragmentado. Neste caso, você negocia o desempenho da criptografia forçando a pós-fragmentação a não ter que reduzir o MTU de seus clientes VPN para evitar quedas relacionadas ao MTU.
Este exemplo mostra como configurar o modo de serviços de pacotes seletivos usando uma única instância de roteamento (a padrão) para processar o tráfego de VPN no modo pacote. No modo pacote, as zonas de segurança são contornadas. Isso significa que as interfaces VRF de Camada 2 e Camada 3 não são colocadas em uma zona de segurança e nenhuma política é necessária para permitir que eles se comuniquem através da zona de internet.
Usando as etapas neste exemplo, você pode realizar a fragmentação de pacotes encapsulado IPsec na interface física de saída do dispositivo de envio e remontar no dispositivo receptor antes da descriptografia IPsec.
A remontagem de pacotes fragmentados usa muitos recursos do dispositivo, e o desempenho do dispositivo será mais lento do que com o tráfego nãofragmentado. Quando possível, você deve configurar um MTU jumbo na interface WAN para evitar a necessidade de fragmentação. Este exemplo mostra como fornecer um MTU padrão de 1.500 byte para dispositivos clientes que bloqueiam a fragmentação ao usar o IPsec em uma conexão WAN que não oferece suporte jumbo.
O tópico inclui as seguintes seções:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dois gateways de serviços da Série SRX
Versão do Junos OS 11.4 ou posterior
Este exemplo foi revalidado no Junos OS Release 20.3R1
Para este exemplo funcionar conforme documentado, você deve garantir que sua configuração SRX não tenha nenhuma interface habilitada family ethernet-switching . O uso family ethernet-switching coloca o dispositivo SRX em operação de modo misto. Este exemplo é baseado no modo de operação de rota. Para obter mais informações sobre a rota e os modos de operação mistos, veja Entenda as interfaces de Camada 2 em dispositivos de segurança. Além disso, testamos este exemplo com as configurações padrão de fábrica para a edit protocols l2-learning hierarquia.
Visão geral e topologia
Este exemplo inclui as seguintes configurações:
Configure interfaces para o encapsulamento de protocolo apropriado e o valor máximo da unidade de transmissão (MTU).
Aplique o filtro de firewall na interface ge-0/0/0.10 para definir o modo pacote. Configure a interface voltada para WAN ge-0/0/1.0 com um MTU de byte de 1.524.
Defina um grande valor de MTU para interfaces lógicas GRE e IPsec para evitar a fragmentação de IPsec em interfaces lógicas. O tráfego encapsulado por GRE é tunelado dentro do IPsec.
Adicione a família MPLS à interface GRE gr-0/0/0 e aplique filtros de firewall para habilitar o modo pacote.
Configure um túnel IPsec no dispositivo com a opção
df-bit clearna configuração de VPN IPsec para permitir a fragmentação de pacotes IPsec superdimensionados na interface ge-0/0/1.0 de saída. Essa configuração permite que o dispositivo SRX realize a fragmentação pós criptografia IPsec para tráfego cliente VPN que é marcado com o bit não fragmentado (DNF). Tráfego de cliente VPN que não está marcado como DNF é fragmentado antes da criptografia IPsec para melhorar o desempenho.Configure todas as interfaces voltadas para não usuários, como ge-0/0/1.0, gr-0/0/0.0, lo0.0 e st0.0 em uma única zona de segurança chamada "Internet". Uma única zona de segurança é usada neste exemplo para manter o foco em problemas de fragmentação com MPLS sobre GRE sobre IPSec. A segurança pode ser aprimorada colocando o dispositivo no modo de fluxo para MPLS e, em seguida, colocando as interfaces voltadas para o cliente em uma zona. Uma vez em uma zona, as políticas de segurança podem controlar as comunicações e evocar recursos avançados, como IDP e reconhecimento de aplicativos. Para obter mais informações, veja Zonas de segurança.
Configure uma política para permitir todo o tráfego (intrazona).
Configure o OSPF para distribuição de endereços lo0.0, LDP para distribuição de rótulos/transporte MPLS e IBGP com as famílias e
l2vpnparainet-vpnoferecer suporte aos clientes VPN.Configure duas instâncias de roteamento, uma para uma VPN de Camada 3 e outra para um serviço VPLS de Camada 2.
A Figura 1 mostra a topologia para este exemplo.
Este exemplo se concentra no VPLS e em uma VPN de Camada 3 em um túnel IPsec. Circuitos de camada 2 também são suportados. Para um circuito de Camada 2, você precisa configurar tanto um filtro MPLS da família quanto um filtro CCC da família. Os filtros são usados para evocar o processamento do modo pacote, a fim de oferecer suporte à fragmentação por IPsec.
Topologia
A Tabela 1 fornece um resumo dos parâmetros usados nesta topologia para o dispositivo PE1. Você pode adaptar os parâmetros para o dispositivo PE2 ou usar a configuração rápida de PE2 fornecida abaixo.
Componentes |
Descrição |
|---|---|
PE1 |
Firewall da Série SRX PE1: ge-0/0/0,10:
|
ge-0/0/2,11:
|
|
ge-0/0/1,0:
|
|
gr-0/0/0:
|
|
lo0:
|
|
st0.0:
|
|
|
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
A configuração para o dispositivo SRX1 (PE1):
set system host-name SRX1 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" set security ike gateway srx-2 ike-policy standard set security ike gateway srx-2 address 172.16.23.1 set security ike gateway srx-2 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-2 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.0.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.1 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.2 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.1/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.1/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.1/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.1:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 1 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 1 site-identifier 1 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.1:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.1 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.2 family inet any set protocols bgp group IBGP neighbor 10.255.255.2 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.23.0/30 next-hop 172.16.13.2 set routing-options router-id 10.255.255.1
A configuração para o dispositivo SRX2 (PE2):
set system host-name SRX2 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$Ahg6tORhclvMXREdb2gJZ" set security ike gateway srx-1 ike-policy standard set security ike gateway srx-1 address 172.16.13.1 set security ike gateway srx-1 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-1 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.1.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.2 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.1 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.2/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.2/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.2/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.2:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 2 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 2 site-identifier 2 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.2:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.2 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.1 family inet any set protocols bgp group IBGP neighbor 10.255.255.1 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.1 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.13.0/30 next-hop 172.16.23.2 set routing-options router-id 10.255.255.2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário da CLI para o Junos OS.
Para fragmentar o quadro MPLS e remontar o pacote:
Configure as Interfaces físicas.
[edit interfaces] user@SRX1# set ge-0/0/0 description L3VPN user@SRX1# set ge-0/0/0 mtu 4000 user@SRX1# set ge-0/0/0 unit 10 vlan-id 10 user@SRX1# set ge-0/0/0 unit 10 family inet filter input packet-mode-inet user@SRX1# set ge-0/0/0 unit 10 family inet address 192.168.0.1/24 user@SRX1# set ge-0/0/1 description Internet user@SRX1# set ge-0/0/1 mtu 1514 user@SRX1# set ge-0/0/1 unit 0 family inet address 172.16.13.1/30 user@SRX1# set ge-0/0/2 description VPLS user@SRX1# set ge-0/0/2 flexible-vlan-tagging user@SRX1# set ge-0/0/2 mtu 1522 user@SRX1# set ge-0/0/2 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 vlan-id 512
Configure as interfaces lógicas.
[edit interfaces] user@SRX1# set gr-0/0/0 unit 0 description "MPLS core facing interface" user@SRX1# set gr-0/0/0 unit 0 tunnel source 172.16.0.1 user@SRX1# set gr-0/0/0 unit 0 tunnel destination 172.16.0.2 user@SRX1# set gr-0/0/0 unit 0 family inet mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family inet address 172.16.255.1/30 user@SRX1# set gr-0/0/0 unit 0 family mpls mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family mpls filter input packet-mode user@SRX1# set lo0 unit 0 family inet address 10.255.255.1/32 user@SRX1# set st0 unit 0 family inet mtu 9178 user@SRX1# set st0 unit 0 family inet address 172.16.0.1/30
Configure os filtros de firewall usados para configurar interfaces para trabalhar com o modo pacote.
[edit firewall] user@SRX1# set family inet filter packet-mode-inet term all-traffic then packet-mode user@SRX1# set family inet filter packet-mode-inet term all-traffic then accept user@SRX1# set family mpls filter packet-mode term all-traffic then packet-mode user@SRX1# set family mpls filter packet-mode term all-traffic then accept
Nota:Se você estiver configurando um Circuito de Camada 2, você também deve adicionar um filtro para evocar o modo de pacote na interface voltada para CE sob CCC da família:
set firewall family ccc filter packet-mode-ccc term all-traffic then packet-mode set firewall family ccc filter packet-mode-ccc term all-traffic then accept
Configure as políticas de IKE e IPsec.
[edit security] user@SRX1# set ike policy standard mode main user@SRX1# set ike policy standard proposal-set standard user@SRX1# set ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" user@SRX1# set ike gateway srx-2 ike-policy standard user@SRX1# set ike gateway srx-2 address 172.16.23.1 user@SRX1# set ike gateway srx-2 external-interface ge-0/0/1.0 user@SRX1# set ipsec policy standard proposal-set standard user@SRX1# set ipsec vpn ipsec-vpn-1 bind-interface st0.0 user@SRX1# set ipsec vpn ipsec-vpn-1 df-bit clear user@SRX1# set ipsec vpn ipsec-vpn-1 ike gateway srx-2 user@SRX1# set ipsec vpn ipsec-vpn-1 ike ipsec-policy standard user@SRX1# set ipsec vpn ipsec-vpn-1 establish-tunnels immediately
Nota:Para manter o foco na fragmentação sobre o IPsec, usamos a cifra padrão neste exemplo (3DES-CBC). Para um maior desempenho e segurança, considere usar uma cifra mais nova, como a AES-GCM-256. ver algoritmo de criptografia (Security IKE)
Configure todas as interfaces voltadas para o não usuário em uma única zona de segurança e uma política para permitir todo o tráfego (intrazona).
[edit security policies from-zone Internet to-zone Internet] user@SRX1# set policy Internet match source-address any user@SRX1# set policy Internet match destination-address any user@SRX1# set policy Internet match application any user@SRX1# set policy Internet then permit [edit security zones security-zone Internet] user@SRX1# set host-inbound-traffic system-services all user@SRX1# set host-inbound-traffic protocols all user@SRX1# set interfaces ge-0/0/1.0 user@SRX1# set interfaces gr-0/0/0.0 user@SRX1# set interfaces lo0.0 user@SRX1# set interfaces st0.0
Configure o protocolo OSPF para distribuição de endereços lo0.0, configure o IBGP com as famílias inet-vpn e l2vpn. Configure também a sinalização MPLS e LDP.
[edit protocols] user@SRX1# set bgp tcp-mss 1200 user@SRX1# set bgp group IBGP type internal user@SRX1# set bgp group IBGP local-address 10.255.255.1 user@SRX1# set bgp group IBGP local-as 65100 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet-vpn any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling user@SRX1# set ospf traffic-engineering user@SRX1# set ospf area 0.0.0.0 interface lo0.0 user@SRX1# set ospf area 0.0.0.0 interface lo0.0 passive user@SRX1# set ospf area 0.0.0.0 interface gr-0/0/0.0 user@SRX1# set mpls interface gr-0/0/0.0 user@SRX1# set ldp interface gr-0/0/0.0 user@SRX1# set ldp interface lo0.0
Configure a ID do roteador e uma rota estática para a extremidade remota do link WAN.
[edit routing-option] user@SRX1# set static route 172.16.23.0/30 next-hop 172.16.13.2 user@SRX1# set router-id 10.255.255.1
Configure duas instâncias de roteamento, uma para VPN de Camada 3 e outra para o aplicativo VPLS.
[edit routing-instances] user@SRX1# set L3VPN instance-type vrf user@SRX1# set L3VPN route-distinguisher 10.255.255.1:1000 user@SRX1# set L3VPN interface ge-0/0/0.10 user@SRX1# set L3VPN vrf-target target:65100:1000 user@SRX1# set L3VPN vrf-target import target:65100:1000 user@SRX1# set L3VPN vrf-target export target:65100:1000 user@SRX1# set L3VPN vrf-table-label user@SRX1# set L3VPN routing-options auto-export user@SRX1# set VPLS instance-type vpls user@SRX1# set VPLS interface ge-0/0/2.11 user@SRX1# set VPLS route-distinguisher 10.255.255.1:1001 user@SRX1# set VPLS vrf-target target:65100:1001 user@SRX1# set VPLS protocols vpls no-tunnel-services user@SRX1# set VPLS protocols vpls site 1 site-identifier 1 user@SRX1# set VPLS protocols vpls site 1 interface ge-0/0/2.11 user@SRX1# set VPLS protocols vpls mac-tlv-receive user@SRX1# set VPLS protocols vpls mac-tlv-send
Resultados
Exibir os resultados da configuração:
user@SRX1> show configuration
security {
ike {
policy standard {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk"; ## SECRET-DATA
}
gateway srx-2 {
ike-policy standard;
address 172.16.23.1;
external-interface ge-0/0/1.0;
}
}
ipsec {
policy standard {
proposal-set standard;
}
vpn ipsec-vpn-1 {
bind-interface st0.0;
df-bit clear;
ike {
gateway srx-2;
ipsec-policy standard;
}
establish-tunnels immediately;
}
}
policies {
from-zone Internet to-zone Internet {
policy Internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone Internet {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
gr-0/0/0.0;
lo0.0;
st0.0;
}
}
}
}
interfaces {
ge-0/0/0 {
vlan-tagging;
mtu 4000;
unit 10 {
description L3VPN;
vlan-id 10;
family inet {
filter {
input packet-mode-inet;
}
address 192.168.0.1/24;
}
}
}
gr-0/0/0 {
unit 0 {
description "MPLS core facing interface";
tunnel {
source 172.16.0.1;
destination 172.16.0.2;
}
family inet {
mtu 9000;
address 172.16.255.1/30;
}
family mpls {
mtu 9000;
filter {
input packet-mode;
}
}
}
}
ge-0/0/1 {
description Internet;
mtu 1514;
unit 0 {
family inet {
address 172.16.13.1/30;
}
}
}
ge-0/0/2 {
flexible-vlan-tagging;
mtu 1522;
encapsulation vlan-vpls;
unit 11 {
description VPLS;
encapsulation vlan-vpls;
vlan-id 512;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.255.1/32;
}
}
}
st0 {
unit 0 {
family inet {
mtu 9178;
address 172.16.0.1/30;
}
}
}
}
firewall {
family inet {
filter packet-mode-inet {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
family mpls {
filter packet-mode {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
}
routing-instances {
L3VPN {
routing-options {
auto-export;
}
interface ge-0/0/0.10;
instance-type vrf;
route-distinguisher 10.255.255.1:1000;
vrf-target {
target:65100:1000;
import target:65100:1000;
export target:65100:1000;
}
vrf-table-label;
}
VPLS {
protocols {
vpls {
site 1 {
interface ge-0/0/2.11;
site-identifier 1;
}
no-tunnel-services;
mac-tlv-receive;
mac-tlv-send;
}
}
interface ge-0/0/2.11;
instance-type vpls;
route-distinguisher 10.255.255.1:1001;
vrf-target target:65100:1001;
}
}
protocols {
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface gr-0/0/0.0;
}
}
bgp {
group IBGP {
type internal;
local-address 10.255.255.1;
local-as 65100;
neighbor 10.255.255.2 {
family inet {
any;
}
family inet-vpn {
any;
}
family l2vpn {
signaling;
}
}
}
tcp-mss 1200;
}
ldp {
interface gr-0/0/0.0;
interface lo0.0;
}
mpls {
interface gr-0/0/0.0;
}
}
routing-options {
static {
route 172.16.23.0/30 next-hop 172.16.13.2;
}
router-id 10.255.255.1;
}
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando se as interfaces físicas e lógicas estão ativas
- Verificando associações de segurança IPsec
- Verificação de OSPF e BGP
- Verificando a operação do LDP
- Verificando a conexão VPLS
- Verificando a conectividade VPLS de ponta a ponta para pacotes grandes com conjunto de DNF
- Verificando a fragmentação de IP na interface de saída
- Verificando a L3VPN
Verificando se as interfaces físicas e lógicas estão ativas
Propósito
Verifique se as interfaces físicas e lógicas estão ativas no dispositivo.
Ação
A partir do modo operacional no gateway de serviços da Série SRX, entre no show interfaces terse comando.
user@SRX1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.10 up up inet 192.168.0.1/24
ge-0/0/0.32767 up up
gr-0/0/0 up up
gr-0/0/0.0 up up inet 172.16.255.1/30
mpls
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.13.1/30
ge-0/0/2 up up
ge-0/0/2.11 up up vpls
ge-0/0/2.32767 up up
dsc up up
fti0 up up
fxp0 up up
fxp0.0 up up inet 10.54.5.56/19
gre up up
ipip up up
irb up up
lo0 up up
lo0.0 up up inet 10.255.255.1 --> 0/0
lo0.16384 up up inet 127.0.0.1 --> 0/0
lo0.16385 up up inet 10.0.0.1 --> 0/0
10.0.0.16 --> 0/0
128.0.0.1 --> 0/0
128.0.0.4 --> 0/0
128.0.1.16 --> 0/0
lo0.32768 up up
lsi up up
lsi.0 up up inet
iso
inet6
lsi.1048576 up up vpls
. . .
<some output removed for brevity>
Significado
A saída do show interfaces terse comando mostra que todas as interfaces físicas e lógicas usadas nesta configuração estão operacionais.
Verificando associações de segurança IPsec
Propósito
Verifique se as associações de segurança IKE e IPsec estão ativas no dispositivo.
Ação
A partir do modo operacional no gateway de serviços da Série SRX, entre no show security ike security-association e show security ipsec security-association comanda.
user@SRX1>show security ike security-associationsIndex State Initiator cookie Responder cookie Mode Remote Address 6699112 UP 2a5d1a37e5bd0cd1 09880f53cdbb35bb Main 172.16.23.1 user@SRX1>show security ipsec security-associationsTotal active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 f1396d7e 1868/ unlim - root 500 172.16.23.1 >131073 ESP:3des/sha1 ff799c04 1868/ unlim - root 500 172.16.23.1
Significado
A saída mostra o estado up esperado para a sessão de IKE e que um túnel IPsec está estabelecido com sucesso.
Verificação de OSPF e BGP
Propósito
Verifique se o OSPF e o BGP estão operando corretamente no túnel GRE. Lembre-se que o túnel GRE é, por sua vez, roteado sobre o túnel IPsec verificado na etapa anterior. A operação adequada de OSPF/BGP neste exemplo verifica indiretamente que o tráfego é capaz de passar pelo túnel GRE (e depois do IPsec). Se desejado, você pode pingar no endpoint GRE para obter mais verificação.
Ação
A partir do modo operacional no gateway de serviços da Série SRX, entre no show ospf neighbor e show bgp summary comanda.
user@SRX1>show ospf neighborAddress Interface State ID Pri Dead 172.16.255.2 gr-0/0/0.0 Full 10.255.255.2 128 33 user@SRX1>show bgp summaryThreading mode: BGP I/O Default eBGP mode: advertise - accept, receive - accept Groups: 1 Peers: 1 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 0 0 0 0 0 0 inet.2 0 0 0 0 0 0 bgp.l3vpn.0 1 1 0 0 0 0 bgp.l3vpn.2 0 0 0 0 0 0 bgp.l2vpn.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.255.255.2 65100 988 988 0 1 7:21:03 Establ inet.0: 0/0/0/0 inet.2: 0/0/0/0 bgp.l3vpn.0: 1/1/1/0 bgp.l3vpn.2: 0/0/0/0 bgp.l2vpn.0: 1/1/1/0 L3VPN.inet.0: 1/1/1/0 VPLS.l2vpn.0: 1/1/1/0
Significado
A saída confirma o estado vizinho de OSPF esperado de full. Este vizinho OSPF é publicado na interface GRE. Dado que o OSPF está operacional, você espera que o SRX local tenha aprendido a rota para o endereço loopback do SRX remoto. Essa rota permite que a sessão de peering de IBGP baseada em loopback se estabeleça (pelo túnel GRE). A saída do show bgp summary comando confirma que a sessão bgp está no estado estabelecido, e que está trocando rotas L3VPN e L2VPN.
Verificando a operação do LDP
Propósito
Verifique se o LDP está operando corretamente no túnel GRE. O LDP funciona como o protocolo de sinalização MPLS neste exemplo.
Ação
A partir do modo operacional no gateway de serviços da Série SRX, entre no show ldp neighbor e show ldp session comanda.
user@SRX1>show ldp neighborAddress Interface Label space ID Hold time 172.16.255.2 gr-0/0/0.0 10.255.255.2:0 12 user@SRX1>show ldp sessionAddress State Connection Hold time Adv. Mode 10.255.255.2 Operational Open 28 DU
Significado
A saída confirma a relação de vizinhos LDP esperada com a interface GRE. A saída do comando confirma o show ldp session estabelecimento de sessão bem-sucedido no endereço loopback do dispositivo SRX remoto. Isso permite que o LDP troque rótulos de transporte que, por sua vez, oferecem suporte ao encaminhamento MPLS para os clientes VPN.
Verificando a conexão VPLS
Propósito
Verifique se a conexão VPLS está em alta.
Ação
A partir do modo operacional no gateway de serviços da Série SRX, entre no show vpls connections comando.
user@SRX1> show vpls connections
Layer-2 VPN connections:
Legend for connection status (St)
EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down NP -- interface hardware not present
CM -- control-word mismatch -> -- only outbound connection is up
CN -- circuit not provisioned <- -- only inbound connection is up
OR -- out of range Up -- operational
OL -- no outgoing label Dn -- down
LD -- local site signaled down CF -- call admission control failure
RD -- remote site signaled down SC -- local and remote site ID collision
LN -- local site not designated LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status IL -- no incoming label
MM -- MTU mismatch MI -- Mesh-Group ID not available
BK -- Backup connection ST -- Standby connection
PF -- Profile parse failure PB -- Profile busy
RS -- remote site standby SN -- Static Neighbor
LB -- Local site not best-site RB -- Remote site not best-site
VM -- VLAN ID mismatch HS -- Hot-standby Connection
Legend for interface status
Up -- operational
Dn -- down
Instance: VPLS
Edge protection: Not-Primary
Local site: 1 (1)
connection-site Type St Time last up # Up trans
2 rmt Up Aug 25 07:52:38 2021 1
Remote PE: 10.255.255.2, Negotiated control-word: No
Incoming label: 262146, Outgoing label: 262145
Local interface: lsi.1048578, Status: Up, Encapsulation: VPLS
Description: Intf - vpls VPLS local site 1 remote site 2
Flow Label Transmit: No, Flow Label Receive: No
Significado
A saída mostra o estado esperado Up para a conexão VPLS. Com a conexão operacional, os dispositivos clientes VPN devem ser capazes de passar tráfego.
Verificando a conectividade VPLS de ponta a ponta para pacotes grandes com conjunto de DNF
Propósito
Verifique se os dispositivos clientes VPLS de Camada 2 podem enviar 1500 quadros de byte com o conjunto de bits DNF. Como este é um serviço de Camada 2, a fragmentação não é possível. Como resultado, o bit DNF opera de ponta a ponta. Lembre-se que, com a configuração neste exemplo, tal configuração resulta na entrada do dispositivo SRX fragmentando o pacote IPsec após o tráfego ter sido criptografado (pós-fragmentação). A pós-fragmentação ocorre à medida que o tráfego se aproxima da interface ge-0/0/1 voltada para a WAN.
A pós-fragmentação força o dispositivo SRX remoto a remontar o pacote antes que ele possa realizar a descriptografia, o que pode afetar o desempenho de encaminhamento para tráfego criptografado. Esse é o comportamento esperado quando a opção df-bit clear é usada. Demonstração desse comportamento é o motivo dessa NCE. As outras df-bit opções, ou seja df-bit copy df-bit set, resultam em descarte de pacotes e geração de uma mensagem de erro de ICMP para pacotes VPN que excedem a MTU WAN quando o bit DNF é definido pelo cliente VPN.
Ação
Desde o modo operacional no VPLS Host1, ping VPLS Host2 de uma maneira que gera um pacote IP de 1500 byte com o conjunto de bits DNF. Quando esse tráfego tem a sobrecarga MPLS, GRE e IPsec adicionadas, ele excede o MTU da interface WAN de saída. Dado que a pré-fragmentação é bloqueada em virtude de ser um serviço de Camada 2 (ou no caso do cliente L3VPN, configurando o bit DNF), esse pacote força a pós-fragmentação com base na configuração da opção df-bit clear
A configuração e a operação dos dispositivos clientes VPN estão fora do escopo deste exemplo. Para testes, um roteador MX é usado para atuar como clientes VPN. Como resultado, o comando de ping demonstrado é baseado no Junos CLI.
user@vpls-host1> ping 192.168.2.102 size 1472 do-not-fragment count 2
PING 192.168.2.102 (192.168.2.102): 1472 data bytes
1480 bytes from 192.168.2.102: icmp_seq=0 ttl=64 time=23.045 ms
1480 bytes from 192.168.2.102: icmp_seq=1 ttl=64 time=5.342 ms
--- 192.168.2.102 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.342/14.194/23.045/8.852 ms
Significado
A saída mostra que os pings têm sucesso. Os 1480 bytes de tráfego de eco resultam em um pacote IP de 1500 byte quando o cabeçalho IP de 20 byte é adicionado. Assim, os resultados confirmam que o dispositivo cliente VPLS pode trocar 1.500 pacotes de byte por um link WAN com um MTU de byte de 1.500, apesar da sobrecarga de encapsulamento. Lembre-se que, por ser um serviço de Camada 2, a fragmentação não é possível e o bit DNF opera de ponta a ponta. O uso do bit DNF é significativo ao testar o cliente L3VPN, no entanto, porque o dispositivo PE é capaz de fragmentar o tráfego IP.
Verificando a fragmentação de IP na interface de saída
Propósito
Verifique se o tráfego de cliente VPLS que excede o MTU WAN está fragmentado na interface ge-0/0/1.0 de saída. O tempo é importante nesta etapa porque o tráfego de OSPF, LDP e BGP de fundo faz com que os contadores de interface ge-0/0/0.0 aumentem. O objetivo é gerar 100 pacotes de 1.500 byte do host VPLS e, em seguida, comparar rapidamente as estatísticas de IPsec e interface para confirmar que aproximadamente o dobro de pacotes são vistos na interface WAN de saída quando comparado com as contagens no túnel IPsec.
Ação
Desde o modo operacional no gateway de serviços da Série SRX, libere as estatísticas de IPsec e interface com os comandos e clear security ipsec statistics os clear interfaces statistics all comandos. Em seguida, gere 100 pings rápidos com um tamanho de pacote de 1.500 byte entre os endpoints VPLS. Quando os pings são concluídos, o pacote de exibição conta para o túnel IPsec e a interface ge-0/0/1 com os show interfaces ge-0/0/1 detail comandos e show security ipsec statistics comandos.
user@SRX1>clear interfaces statistics alluser@SRX1>clear interfaces statistics all
Gere 100 pings rápidos com um pacote de 1.500 bytes entre os endpoints VPLS. Isso não é mostrado para brevidade. Consulte o comando na etapa anterior. Não é mostrado aqui para brevidade.
user@SRX1>show interfaces ge-0/0/1 detailPhysical interface: ge-0/0/1, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 509, Generation: 139 Description: Internet Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Link-mode: Full-duplex, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 56:04:19:00:3a:7b, Hardware address: 56:04:19:00:3a:7b Last flapped : 2021-08-27 12:17:01 PDT (01:27:43 ago) Statistics last cleared: 2021-08-27 13:44:28 PDT (00:00:16 ago) Traffic statistics: Input bytes : 163440 0 bps Output bytes : 162000 0 bps Input packets: 210 0 pps Output packets: 200 0 pps Egress queues: 8 supported, 4 in use . . . user@SRX1>show security ipsec statisticsESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 155722 Encrypted packets: 113 Decrypted packets: 112 . . .
Significado
A saída do show interfaces ge-0/0/1.0 detail comando mostra que mais de200 pacotes foram enviados e recebidos. Em contraste, as estatísticas do IPsec confirmam uma contagem de cerca de 100 pacotes. Isso confirma que cada pacote enviado pelo cliente VPLS foi fragmentado na interface ge-0/0/1.0 voltada para WAN.
Verificando a L3VPN
Propósito
Verifique a operação L3VPN.
Ação
Desde o modo operacional no gateway de serviços da Série SRX, exibir a rota para a sub-rede L3VPN remota com o show route comando. Em seguida, gere pings no endpoint L3VPN remoto para verificar a conectividade.
user@SRX1> show route 192.168.1.0/24
L3VPN.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.1.0/24 *[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
bgp.l3vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.255.255.2:1000:192.168.1.0/24
*[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
Teste a conectividade do SRX local até o endpoint remoto de VPN:
user@SRX1> ping 192.168.1.101 routing-instance L3VPN count 2
PING 192.168.1.101 (192.168.1.101): 56 data bytes
64 bytes from 192.168.1.101: icmp_seq=0 ttl=63 time=3.485 ms
64 bytes from 192.168.1.101: icmp_seq=1 ttl=63 time=3.412 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.412/3.449/3.485/0.036 ms
Nesta configuração, um ping do SRX local para o cliente L3VPN local não tem sucesso. Isso está relacionado ao uso do modo pacote e à falta de zonas de segurança para as interfaces VPN. Como mostrado acima, você pode ping do SRX local para os destinos remotos L3VPN. Embora não seja mostrado, espera-se que um ping gerado do cliente L3VPN local para a interface PE VRF local tenha sucesso.
Teste a conectividade de ponta a ponta para a L3VPN. Gere pings jumbo entre endpoints de clientes L3VPN. Lembre-se que o cliente L3VPN está configurado com um MTU 4k neste exemplo. Mais uma vez, usamos um roteador MX para substituir o cliente L3VPN, para que a sintaxe de ping Junos seja usada:
user@l3vpn1> ping 192.168.1.101 size 3000 do-not-fragment count 2
PING 192.168.1.101 (192.168.1.101): 3000 data bytes
3008 bytes from 192.168.1.101: icmp_seq=0 ttl=62 time=5.354 ms
3008 bytes from 192.168.1.101: icmp_seq=1 ttl=62 time=5.607 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.354/5.481/5.607/0.126 ms
Significado
A saída mostra que a rota para o cliente L3VPN remoto é aprendida corretamente via BGP, e que ela aponta para a interface GRE com uma operação de rótulo MPLS. Os resultados dos testes de ping confirmam a conectividade esperada para a L3VPN mesmo ao enviar 3.000 + pings de byte com o conjunto de bits DNF.