配置灵活的隧道接口
灵活的隧道接口概述
灵活隧道接口 (FTI) 是一种逻辑隧道接口,它使用静态路由和 BGP 协议在将端点连接到路由器的隧道上交换路由。
- MX 系列路由器和 SRX 系列防火墙上的灵活隧道接口
- PTX 系列路由器和 QFX 系列交换机上的灵活隧道接口
- 特定于平台的 FTI 行为
- PTX 系列路由器上的 FTI 隧道支持 MPLS
- ACX 系列路由器上的灵活隧道接口
- MPLS 支持 ACX 系列路由器上的 FTI 隧道
- 灵活隧道接口的优势
- 灵活隧道接口的局限性
MX 系列路由器和 SRX 系列防火墙上的灵活隧道接口
FTI 在 MX 系列路由器和 SRX 系列防火墙上具有以下功能:
-
FTI 仅支持使用第 2 层伪报头进行 VXLAN 封装。
-
FTI 可用于托管多个虚拟机的路由器和服务器之间,或两个不同数据中心的路由器之间。
-
FTI 可以配置为端口镜像目标。
-
FTI 支持逻辑接口统计信息流。
在 VXLAN 封装过程中,第 2 层地址填充了不带 VLAN 标记的“伪”源(源 MAC:00-00-5E-00-52-00)和目标(目标 MAC:00-00-5E-00-52-01)MAC 地址;但是,当数据包到达远程端点时,这些地址将被忽略。远程端点由目标 IP 地址和指定的目标 UDP 端口号标识。远程端点上的相应 FTI 由虚拟网络标识符 (VNI) 值、隧道的源 IP 地址和目标 UDP 端口号标识。所有这些值都可以在采用 VXLAN 封装的 FTI 上配置。
的 FTI
图 1 说明了 FTI 如何提供从远程位置到虚拟私有云的连接。为每个客户配置单独的灵活隧道(1 到 N)。面向客户的逻辑接口和相应的 FTI 配置为在一个路由实例中运行。FTI 使用 BGP 协议(eBGP 和 iBGP)将数据包从客户设备传输到远程网关,反之亦然。
PTX 系列路由器和 QFX 系列交换机上的灵活隧道接口
部分 PTX 系列路由器和 QFX 系列交换机支持 FTI。有关平台和 Junos 版本支持的详细信息,请参阅 功能浏览器。PTX 和 QFX 交换机上的 FTI 支持包括以下功能:
-
从 Junos OS 19.3R1 版开始的版本支持 FTI。
-
FTI 仅支持 UDP 封装。
-
FTI 可以在 MPLS 隧道中的任意位置启动:MPLS 中转、入口、出口和 PHP。
-
使用 UDP 封装的 FTI 支持以下有效负载:
-
IPV4 UDP 数据包内的 IPV4
-
IPV4 UDP 数据包内的 IPV6
-
IPV4 UDP 数据包内的 MPLS
-
IPV4 UDP 数据包内部的 ISO
-
使用 UDP 封装的 FTI 支持以下特性和功能:
-
MPLS 链路保护和节点链路保护。
-
手动配置 RSVP 带宽。
-
BFD 支持活跃度检测,不包括基于 LDP 的 BFD 和 RSVP。
-
支持以下协议:
-
边界网关协议
-
回复
-
自民党
-
OSPF
-
伊希斯
-
-
静态路由。
-
FTI 逻辑接口统计信息。
-
FTI 上的 MTU 配置和进入隧道前的有效负载分段。
-
底层网络可以是聚合以太网或常规接口,也可以是标记子接口或常规第 3 层接口。
-
叠加层和底层 ECMP。
特定于平台的 FTI 行为
| 平台 |
差异 |
|---|---|
| 采用 Junos OS 演化版的 PTX 路由器 |
不支持 FTI 上的输出防火墙过滤器。 |
要使用 UDP 封装配置 FTI 接口,请在[edit interfaces fti0 unit unit tunnel encapsulation]层次结构级别包含 UDP 语句。
例如:
[edit interfaces]
fti0 {
unit unit_number {
tunnel {
encapsulation udp {
source {
address ipv4_address;
}
destination{
address ipv4_address;
}
}
}
family inet {
destination-udp-port udp port ;
}
family inet6 {
destination-udp-port udp port ;
}
family mpls {
destination-udp-port udp port ;
}
family iso {
destination-udp-port udp port ;
}
}
}
PTX 系列路由器上的 FTI 隧道支持 MPLS
从 Junos OS 演化版 21.4R1 版开始,您可以通过 FTI 隧道配置 MPLS 协议,从而通过不支持 MPLS 的 IP 网络传输 MPLS 数据包。
在 Junos OS 演化版 21.4R1 中,通用路由封装 (GRE) 和 UDP 隧道支持 IPv4 和 IPv6 流量的 MPLS 协议。您可以为 GRE 和 UDP 隧道配置封装和解封装。
支持以下功能:
-
IPv4 和 IPv6 流量的封装和解封装
-
UDP 端口号配置
-
MPLS 节点链路保护
-
LSP 的入口、出口、PHP 和中继角色
-
LSP 的入口、出口、PHP 和中转角色中的 ping 和 traceroute 支持
-
叠加和底层 ECMP
-
手动配置 RSVP 带宽。
-
MPLS 服务
-
L3VPN
-
6VPE
-
L2 电路
-
具有每个 nexhop 或前缀标签的 BGP-LU
-
-
路由实例
-
服务等级 (CoS),包括重写规则和分类器的配置
-
MTU 配置和有效负载分段
-
BFD 支持活跃度检测。
-
Jvision公司
不支持以下特性和功能:
-
MPLS 链路保护
-
RSVP 带宽继承 基于 FTI 接口的下一跃点到隧道目标的继承
-
TTL 传播。
-
隧道端点上的服务等级。
-
FT-over-FT 分辨率。
-
FT 目标 IP 应可通过 IGP 访问,而非 BGP(无间接下一跳)。可访问性应通过 IPV4 路由,而不是通过 LSP。
-
路径 MTU 发现 。
要允许 UDP 隧道上的 MPLS 流量,请在[edit forwarding-options tunnels udp port-profile profile-name]层次结构级别包含该mpls port-number语句。要允许 GRE 隧道上的 MPLS 流量,请在层次结构中[edit interfaces fti0 unit unit family]包含语mpls句。
例如:
[edit forwarding-options]
tunnels {
udp {
port-profile p1 {
inet <port num>
inet6 <port num>
mpls <port num>
iso <port num>
}
}
}
ACX 系列路由器上的灵活隧道接口
从 Junos OS 演化版 24.1R1 版开始,您可以使用命令在[edit interfaces fti unit unit]层次结构级别配置封装tunnel encapsulation gre source address destination address。有关平台和 Junos 版本支持的详细信息,请参阅功能浏览器。
支持以下功能:
-
基于 FTI 接口的 GRE 封装和解封装模式
-
inet、inte6、iso 有效负载
-
IPv4 和 IPv6 叠加
-
IPv4 和 IPv6 均作为底层网络
-
BFD、OSPF、ISIS 和静态路由
-
底层和叠加 ECMP
-
FTI IFL统计数据
-
FTI 上的 MTU 配置。
-
FTI 上的 TTL 配置。
-
主机 ping
-
基于隧道端点可达性的 FTI 链路正常或故障状态
-
FTI 和常规接口的 ECMP
-
在解封装侧对 FTI 支持输入滤波器。
-
仅隧道终止模式
-
IPv4 和 IPv6 封装的路径 MTU 发现
-
内部源 IP 隧道解封装时的反欺骗
-
灵活 VLAN 标记
-
隧道目标相对于其他隧道的可达性
-
当 FTI IFF MTU 值较高且底层 IFF MTU 较低时,生成 MTU 异常
-
由于数据路径限制,在隧道底层接口上应用于隧道数据包和有效负载的输出过滤器
-
由于数据路径限制,在隧道解封装节点的 NNI 接口上应用于隧道数据包和有效负载的输入过滤器
-
FTI 隧道以及用于相同隧道配置的动态下一跳隧道。
-
FTI IFF 禁用和启用
-
隧道起点和终点的 IP 分段
-
对于通过同时启用了隧道和 MPLS 统计信息的隧道发送的 MPLS 封装数据包,不支持隧道封装统计信息。仅支持 MPLS 统计信息。
-
您可以使用
set system packet-forwarding-options tunnel encap-stats-enable和set system packet-forwarding-options tunnel decap-stats-enable语句配置隧道封装或解封装统计信息。使用 CLI(设置/删除/停用)时,datapath restart会发生计数器与隧道的关联或取消关联。
配置隧道封装或解封装统计信息会导致 PFE 进程重新启动,并影响服务。
要使用 GRE 封装配置 FTI 接口,请在[edit interfaces fti0 unit unit tunnel encapsulation]层次结构级别包含语gre句。
例如:
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation gre {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
ttlttl-value;
}
}
family inet {
address ip_address ;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
从 Junos OS 演化版 24.2R1 版开始,ACX 系列支持具有 UDP 封装和解封装的 FTI。有关平台和 Junos 版本支持的详细信息,请参阅 功能浏览器。
支持以下功能:
-
带有 UDP 的 FTI 支持以下有效负载:
-
IPv4 UDP 数据包内的 IPv4
-
IPv4 UDP 数据包内的 IPv6
-
IPv4 UDP 数据包内的 MPLS
-
IPv4 UDP 数据包内部的 ISO
-
IPv6 UDP 数据包内的 IPv4
-
IPv6 UDP 数据包内的 IPv6
-
IPv6 UDP 数据包内的 MPLS
-
IPv6 UDP 数据包内部的 ISO
-
-
支持以下协议:
-
边界网关协议
-
BFD型
-
OSPF
-
伊希斯
-
-
静态路由。
-
FTI 逻辑接口统计信息。
-
FTI 上的 MTU 配置。
-
FTI 上的 TTL 配置。
-
叠加层和底层 ECMP。
-
bypass-loopback配置和payload-port-profile profile name配置是强制性的。
-
仅隧道终止模式
-
IPv4 和 IPv6 封装的路径 MTU 发现
-
内部源 IP 隧道解封装时的反欺骗
-
灵活 VLAN 标记
-
隧道目标相对于其他隧道的可达性
-
当 FTI IFF MTU 值较高且底层 IFF MTU 较低时,生成 MTU 异常
-
由于数据路径限制,在隧道底层接口上应用于隧道数据包和有效负载的输出过滤器
-
由于数据路径限制,在隧道解封装节点的 NNI 接口上应用于隧道数据包和有效负载的输入过滤器
-
FTI 隧道以及用于相同隧道配置的动态下一跳隧道。
-
FTI IFF 禁用和启用
-
隧道起点和终点的 IP 分段
-
对于通过同时启用了隧道和 MPLS 统计信息的隧道发送的 MPLS 封装数据包,不支持隧道封装统计信息。仅支持 MPLS 统计信息。
-
您可以使用
set system packet-forwarding-options tunnel encap-stats-enable和set system packet-forwarding-options tunnel decap-stats-enable语句配置隧道封装或解封装统计信息。使用 CLI(设置/删除/停用)时,datapath restart会发生计数器与隧道的关联或取消关联。
要使用 UDP 封装配置 FTI 接口,请在[edit interfaces fti0 unit unit tunnel encapsulation]层次结构级别包含 UDP 语句。
例如:
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation udp {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
payload-port-profile profile name{
inet port num;
inet6 port num;
mpls port num;
iso port num;
}
ttlttl-value;
}
}
family inet {
address ip_address ;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
MPLS 支持 ACX 系列路由器上的 FTI 隧道
从 Junos OS 演化版 24.2R1 版开始,您可以通过 ACX 系列路由器上的 FTI 隧道配置 MPLS 协议,从而通过不支持 MPLS 的 IP 网络传输 MPLS 数据包。
在 Junos OS 演化版 24.2R1 中,通用路由封装 (GRE) 和 UDP 隧道支持 ACX 系列路由器上 IPv4 和 IPv6 流量的 MPLS 协议。您可以为 GRE 和 UDP 隧道配置封装和解封装。有关平台和 Junos 版本支持的详细信息,请参阅 功能浏览器。
支持以下功能:
-
IPv4 和 IPv6 流量的封装和解封装
-
UDP 端口号配置
-
LSP 的入口、出口、PHP 和中转角色中的 ping 和 traceroute 支持
-
叠加和底层 ECMP
-
LDP、RSVP、静态 LSP 以及具有封装和解封装功能的 BGP 协议
-
支持不同的隧道终止方案,MPLSoGRE 或 MPLSoUDP 隧道可以在以下任何一种情况下启动:
-
MPLS 标签边缘路由器 (LER)
-
MPLS 标签交换路由器 (LSR)
-
MPLS PHP的
-
MPLS 出口 PE
-
-
MPLS 服务
-
L3VPN
-
6VPE
-
6PE
-
-
仅隧道终止模式
-
IPv4 和 IPv6 封装的路径 MTU 发现
-
内部源 IP 隧道解封装时的反欺骗
-
灵活 VLAN 标记
-
隧道目标相对于其他隧道的可达性
-
当 FTI IFF MTU 值较高且底层 IFF MTU 较低时,生成 MTU 异常
-
由于数据路径限制,在隧道底层接口上应用于隧道数据包和有效负载的输出过滤器
-
由于数据路径限制,在隧道解封装节点的 NNI 接口上应用于隧道数据包和有效负载的输入过滤器
-
FTI 隧道以及用于相同隧道配置的动态下一跳隧道。
-
FTI IFF 禁用和启用
-
隧道起点和终点的 IP 分段
-
对于通过同时启用了隧道和 MPLS 统计信息的隧道发送的 MPLS 封装数据包,不支持隧道封装统计信息。仅支持 MPLS 统计信息。
-
您可以使用
set system packet-forwarding-options tunnel encap-stats-enable和set system packet-forwarding-options tunnel decap-stats-enable语句配置隧道封装或解封装统计信息。使用 CLI(设置/删除/停用)时,datapath restart会发生计数器与隧道的关联或取消关联。
要在 GRE 或 UDP 隧道上配置 MPLS 流量,请在层次结构中[edit interfaces fti0 unit unit family]包含语mpls句。
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation (gre | udp) {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
payload-port-profile profile name{
inet port num;
inet6 port num;
mpls port num;
iso port num;
}
ttlttl-value;
}
}
family inet {
address ip_address;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
灵活隧道接口的优势
-
熵和负载平衡发生在传输过程中。与隧道封装(如 IP 中的 IP 或通用路由封装 (GRE))不同,VXLAN 封装支持在 UDP 数据报的源端口中传递散列计算结果。这使您能够在传输过程中有效地对流量进行负载平衡。
-
FTI 具有可扩展的设计,使其能够支持多种封装。
-
vniFTI 中 VXLAN 封装的属性有助于隔离客户。 -
采用 UDP 封装的 FTI 使用 UDP 报头中的源端口和目的端口。由于 UDP 源端口派生自内部有效负载的哈希值,因此您可以通过 ECMP 实现更优质的流量分配。
灵活隧道接口的局限性
-
警务工作遵循快车道行动的分布式转发模式;因此,配置的带宽限制将在单个数据包转发引擎级别强制实施。因此,可能会接纳更多流量。
-
目前,FTI 隧道流量在实例中
inet.0严格路由。因此,FTI 仅支持 IPv4 流量。 -
MX80 不支持 FTI。
-
FTI 不支持服务等级 (CoS) 配置,包括重写规则和分类器的配置。
-
隧道标头上的生存时间 (TTL) 设置为默认值 64。
-
差异服务代码点 (DSCP) 值设置为默认值 0,但保留内部转发类和丢失优先级字段,可用于在出口接口重写规则中重写 DSCP。
-
FTI 不支持 IP 分段。
使用 UDP 封装的 FTI 不支持以下特性和功能:
-
不支持基于 LDP 和 RSVP 的 BFD。
-
不支持QFX1000设备上的聚合以太网成员统计信息。
-
不支持每个 FTI 逻辑接口 10,000 个路由。
-
不支持路由实例。
-
不支持逻辑系统。
-
不支持路径 MTU 发现。
-
不支持管制和防火墙。
-
不支持 UDP 隧道的 BGP 信令。
-
不支持隧道端点上的服务等级。
-
不支持 TTL 传播。
-
不支持组播流量。
-
不支持普通 IPV6 UDP 隧道。
-
不支持对隧道流量进行反欺骗检查。
-
不支持 MPLS FRR。
-
不支持 FT-over-FT 分辨率。
-
FT 目标 IP 应可通过 IGP 访问,而非 BGP(无间接下一跳)。可访问性应通过 IPV4 路由,而不是通过 LSP。
-
不支持 FT 物理接口级别统计信息。
-
不支持 FTI 下除 fti0 之外的所有接口。
-
不支持未编号的地址。
另见
配置灵活的隧道接口
您可以配置灵活的隧道接口 (FTI),支持在 MX 系列路由器上使用第 2 层伪报头进行虚拟可扩展 LAN (VXLAN) 封装,或在 PTX 系列路由器和 QFX 系列交换机上支持 UDP 封装。灵活隧道接口 (FTI) 是一种点对点第 3 层接口,可用于在 IPv4 传输网络上创建 IPv4 和 IPv6 叠加。可以将 BGP 协议会话配置为在 FTI 上运行,以便分发路由信息。
以下部分介绍如何在设备上配置 FTI,以及如何在用vni和 destination-udp-port 值标识的强制tunnel-endpoint vxlan封装下使用 udp or vxlan-gpe 参数启用多个封装:
在 PE1 上配置 FTI
您可以通过在[edit interfaces]层次结构级别包含tunnel-endpoint vxlan语句来配置 FTI。
要为 IPv4 网络配置 FTI 并定义其属性,请执行以下作:
验证
目的
验证 FTI 是否已配置并验证其状态。
行动
在配置模式下,您可以通过执行 show interfaces fti number 命令来验证是否已配置 MX 系列路由器上的 FTI。
user@host# show interfaces fti0
Physical interface: fti0, Enabled, Physical link is Up
Interface index: 136, SNMP ifIndex: 504
Type: FTI, Link-level type: Flexible-tunnel-Interface, MTU: Unlimited, Speed: Unlimited
Device flags : Present Running
Interface flags: SNMP-Traps
Link type : Full-Duplex
Link flags : None
Last flapped : Never
Input packets : 0
Output packets: 0
Logical interface fti0.0 (Index 340) (SNMP ifIndex 581)
Flags: Up Point-To-Point SNMP-Traps Encapsulation: VXLAN-GPEv4
Destination UDP port: 4789, VNI: 1000, Source address: 5.5.5.5, Destination address: 6.6.6.6
Input packets : 0
Output packets: 0
Protocol inet, MTU: Unlimited
Max nh cache: 0, New hold nh limit: 0, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 3.3.3/24, Local: 3.3.3.5, Broadcast: 3.3.3.255
同样地 show interfaces fti0 detail,您可以执行、 show interfaces fti0 extensive、 show interfaces fti0 terse和 show interfaces fti0 statistics 命令来获取 FTI 的更多详细信息。请参阅 show interfaces fti。
意义
命令 show interfaces fti0 显示已使用新封装 vxlan-gpe配置的 FTI 的状态。输出验证 FTI 是否已配置且物理链路为 up。
在 SRX 防火墙上配置灵活的隧道接口
在 SRX 防火墙上配置灵活隧道接口 (FTI) 时,还必须为该接口配置区域和安全策略。
安全区域是一个或多个网段的集合,需要通过策略来调节入站和出站流量。将 FTI 分配给其中一个安全区域,FTI 充当从一个安全区域到另一个安全区域的安全门户。安全策略控制通过 FTI 的流量。您可以在 SRX 防火墙上配置安全策略,以允许或拒绝流量通过 FTI。以下示例配置显示如何在 SRX 防火墙上配置 FTI。
-
使用
vxlan-gpe封装配置 FTI。set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.1/24 set interfaces lo0 unit 0 family inet address 192.168.100.1
-
配置 FTI 并将其分配给安全区域。有关安全区域的详细信息,请参阅 https://www.juniper.net/documentation/us/en/software/junos/security-policies/topics/topic-map/security-zone-configuration.html。
set security zones security-zone FTI-ZONE host-inbound-traffic system-services all set security zones security-zone FTI-ZONE host-inbound-traffic protocols all set security zones security-zone FTI-ZONE interfaces fti0.0
-
为发送到 FTI 的流量以及流量通过接口时需要执行的作创建策略。在此示例中,我们允许所有流量通过。有关配置安全策略的详细信息,请参阅 https://www.juniper.net/documentation/us/en/software/junos/security-policies/topics/topic-map/security-policy-configuration.html。
set security policies from-zone FTI-ZONE to-zone trust policy fti-out match source-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-out match destination-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-out match application any set security policies from-zone FTI-ZONE to-zone trust policy fti-out then permit set security policies from-zone FTI-ZONE to-zone trust policy fti-in match source-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-in match destination-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-in match application any set security policies from-zone FTI-ZONE to-zone trust policy fti-in then permit set routing-options static route 198.51.100.2/32 next-hop 10.100.12.2
验证灵活隧道创建
show interfaces fti0.0使用命令显示有关灵活隧道接口的信息:
user@device1>show interfaces fti0.0
Logical interface fti0.0 (Index 72) (SNMP ifIndex 520)
Flags: Up Point-To-Point SNMP-Traps Encapsulation: VXLAN-GPEv4
Destination UDP port: 4789, Source UDP port range: [49160 - 65535],
VNI: 22701, Source address: 10.0.0.2, Destination address: 10.0.0.1
Input packets : 0
Output packets: 5
Security: Zone: FTI-ZONE
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf ospf3 pgm pim rip ripng router-discovery
rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp
snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping lsselfping ntp sip dhcpv6 r2cp webapi-clear-text webapi-ssl
tcp-encap sdwan-appqoe high-availability
Protocol inet, MTU: 1450
Max nh cache: 0, New hold nh limit: 0, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.18.1/24, Local: 10.18.1.2, Broadcast: 10.18.1.255
示例:在 MX 系列路由器上配置灵活的隧道接口
要求
此示例使用以下硬件和软件组件:
MX10003和MX 系列 5G 通用路由平台。
Junos OS 18.3 或更高版本。
概述
在此示例中,灵活的隧道接口用于在两台路由器之间创建第 3 层 VPN 叠加网络。在实际部署中,其中一个端点可以是数据中心的服务器,也可以是数据中心网关。
考虑一个示例拓扑,其中网关设备 PE1 充当企业客户之间的链路,以表示 FTI 隧道的客户侧。eBGP 用于在客户边缘 (CE1) 和提供商边缘 (PE1) 设备之间分配路由。IPv4 用于在第 3 层网络上传输测试帧。此测试用于在 CE1 和 CE2 之间传输流量。两个路由器上的逻辑接口都配置了 IPv4 地址,以创建 FTI,以便为 IPv4 服务传输网络设备的流量。
图 2 显示了 FTI 如何在第 3 层 IPv4 服务中执行的示例拓扑。
配置
在此示例中,您将为 PE1 上的接口 fti0 和 PE2 上的接口 fti0 之间的第 3 层 IPv4 服务配置 FTI,以形成互连路由器的隧道接口。
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [edit] 层级的 CLI 中:
要在 PE1 上配置参数,请执行以下作
set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.1/24
要在 PE2 上配置参数,请执行以下作
set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.2/24
在 PE1 上配置
分步过程
以下步骤要求您在各个配置层级中进行导航。有关 CLI 导航的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要在 PE1 上配置参数,请执行以下作:
在配置模式下,转到
[edit interfaces]层次结构级别:[edit] user@host# edit interfaces
配置 FTI 和逻辑单元,并指定协议家族。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe
指定逻辑接口的源地址。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1
指定逻辑接口的目标地址。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2
使用封装
vxlan进行设置tunnel-endpoint。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan
为生成的帧指定要在 UDP 标头中使用的目标的 UDP 端口值。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789
指定
vni用于标识接口上的封装vxlan-gpe的值。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701
指定接口的地址类型族。
[set interfaces] user@host# set interfaces fti0 unit 0 family inet address 198.51.100.1/24
在 PE2 上配置
分步过程
以下步骤要求您在各个配置层级中进行导航。有关 CLI 导航的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要在 PE2 上配置参数,请执行以下作:
在配置模式下,转到
[edit interfaces]层次结构级别:[edit] user@host# edit interfaces
配置 FTI 和逻辑单元,并指定协议家族。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe
指定逻辑接口的源地址。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.2
指定逻辑接口的目标地址。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.1
使用封装
vxlan进行设置tunnel-endpoint。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan
为生成的帧指定要在 UDP 标头中使用的目标的 UDP 端口值。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789
指定
vni用于标识接口上的封装vxlan-gpe的值。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701
指定接口的地址类型族。
[set interfaces] user@host# set interfaces fti0 unit 0 family inet address 198.51.100.2/24
配置成功完成后,您可以输入
show fti0命令查看参数。
结果
在配置模式下,输入 show 命令以确认您在 PE1 和 PE2 上的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
PE1 上的参数:
[edit interfaces]
fti0{
unit 0 {
tunnel {
encapsulation vxlan-gpe {
source {
address 198.51.100.1;
}
destination {
address 198.51.100.2;
}
tunnel-endpoint vxlan;
destination-udp-port 4789;
vni 22701;
}
}
family inet {
address 198.51.100.1/24;
}
}
PE2 上的参数:
[edit interfaces]
fti0{
unit 0 {
tunnel {
encapsulation vxlan-gpe {
source {
address 198.51.100.2;
}
destination {
address 198.51.100.1;
}
tunnel-endpoint vxlan;
destination-udp-port 4789;
vni 22701;
}
}
family inet {
address 198.51.100.2/24;
}
}
配置接口后,在配置模式下输入 commit 命令。
在 FTI 上通过隧道终端配置 IP-IP 解封装
在基于过滤器的解封装中,解封装的数据包将被重新循环以进行内部标头查找,并相应地进行转发。但是,隧道终止在数据包处理的单次通过中完成,因此比基于过滤器的处理提高了性能。从 Junos OS 演化版 20.1R2 开始,您可以通过配置隧道终端在 PTX 系列路由器上的灵活隧道接口上配置 IP-IP 解封装。您可以通过在 [edit interfaces fti0 unit number tunnel encapsulation IPIP] 层次结构级别配置隧道终止,在灵活的隧道接口上配置 IP-IP 解封装。
对于 Junos OS 演化版 20.1R2,FTI 不支持封装。
要通过隧道终止配置 IP-IP 解封装:
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。