配置灵活的隧道接口
灵活的隧道接口概述
灵活隧道接口 (FTI) 是一种逻辑隧道接口,它使用静态路由和 BGP 协议通过将端点连接到路由器的隧道交换路由。
- MX 系列路由器和 SRX 系列防火墙上的灵活隧道接口
- PTX 系列路由器和 QFX 系列交换机上的灵活隧道接口
- MPLS 支持 PTX 系列路由器上的 FTI 隧道
- ACX 系列路由器上的灵活隧道接口
- MPLS 支持 ACX 系列路由器上的 FTI 隧道
- 灵活隧道接口的优势
- 灵活隧道接口的局限性
MX 系列路由器和 SRX 系列防火墙上的灵活隧道接口
FTI 在 MX 系列路由器和 SRX 系列防火墙上具有以下功能:
-
FTI 仅支持带有第 2 层伪报头的 VXLAN 封装。
-
FTI 用于路由器与托管多个虚拟机的服务器之间,或两个不同数据中心的路由器之间。
-
FTI 可以配置为端口镜像目标。
-
FTI 支持逻辑接口统计信息流。
在 VXLAN 封装过程中,第 2 层地址填充有“伪”源(源 MAC:00-00-5E-00-52-00)和目标(目标 MAC:00-00-5E-00-52-01)MAC 地址,不带 VLAN 标记;但是,当数据包到达远程端点时,这些地址将被忽略。远程端点由目标 IP 地址和指定的目标 UDP 端口号标识。远程端点上的相应 FTI 由虚拟网络标识符 (VNI) 值、隧道的源 IP 地址和目标 UDP 端口号标识。所有这些值都可以在具有 VXLAN 封装的 FTI 上进行配置。
的 FTI
图 1 说明了 FTI 如何从远程位置提供与虚拟私有云的连接。为每个客户配置单独的灵活隧道(1 到 N)。面向客户的逻辑接口和相应的 FTI 配置为在一个路由实例中运行。FTI 使用 BGP 协议(eBGP 和 iBGP)将数据包从客户设备传输到远程网关,反之亦然。
PTX 系列路由器和 QFX 系列交换机上的灵活隧道接口
某些 PTX 系列路由器和 QFX 系列交换机支持 FTI。有关平台和 Junos 版本支持的详细信息,请参阅 功能浏览器。PTX 和 QFX 交换机上的 FTI 支持包括以下功能:
-
从 Junos OS 19.3R1 版开始的版本中支持 FTI。
-
FTI 仅支持 UDP 封装。
-
FTI 可以在 MPLS 隧道中的任何位置启动:MPLS 传输、入口、出口和 PHP。
-
具有 UDP 封装的 FTI 支持以下有效负载:
-
IPV4 UDP 数据包中的 IPV4
-
IPV4 UDP 数据包中的 IPV6
-
IPV4 UDP 数据包内的 MPLS
-
IPV4 UDP 数据包内的 ISO
-
具有 UDP 封装的 FTI 支持以下特性和功能:
-
MPLS 链路保护和节点链路保护。
-
手动配置 RSVP 带宽。
-
BFD 支持实时检测,不包括基于 LDP 和 RSVP 的 BFD。
-
支持以下协议:
-
边界网关协议
-
回复
-
自民党
-
OSPF
-
伊希斯
-
-
静态路由。
-
FTI 逻辑接口统计信息。
-
FTI 上的 MTU 配置和进入隧道前的有效负载分段。
-
底层可以是聚合以太网或常规接口,也可以是标记的子接口或常规第 3 层接口。
-
叠加层和底层 ECMP。
要使用 UDP 封装配置 FTI 接口,请在层次结构级别包含 [edit interfaces fti0 unit unit tunnel encapsulation] udp 语句。
例如:
[edit interfaces]
fti0 {
unit unit_number {
tunnel {
encapsulation udp {
source {
address ipv4_address;
}
destination{
address ipv4_address;
}
}
}
family inet {
destination-udp-port udp port [range 10000-10009] ;
}
family inet6 {
destination-udp-port udp port [range 10010-10019];
}
family mpls {
destination-udp-port udp port [range 10020-10029];
}
family iso {
destination-udp-port udp port [range 10030-10039];
}
}
}
MPLS 支持 PTX 系列路由器上的 FTI 隧道
从 Junos OS 演化版 21.4R1 开始,您可以通过 FTI 隧道配置 MPLS 协议,从而通过不支持 MPLS 的 IP 网络传输 MPLS 数据包。
在 Junos OS 演化版 21.4R1 中,通用路由封装 (GRE) 和 UDP 隧道支持 IPv4 和 IPv6 流量的 MPLS 协议。您可以为 GRE 和 UDP 隧道配置封装和解封装。
支持以下功能:
-
IPv4 和 IPv6 流量的封装和解封装
-
UDP 端口号配置
-
MPLS 节点链路保护
-
LSP 的入口、出口、PHP 和传输角色
-
LSP 的入口、出口、PHP 和传输角色中的 ping 和跟踪路由支持
-
叠加和底层 ECMP
-
手动配置 RSVP 带宽。
-
MPLS 服务
-
L3VPN
-
6VPE
-
L2 电路
-
带有每个 nexhop 或前缀标签的 BGP-LU
-
-
路由实例
-
服务等级 (CoS),包括重写规则和分类器的配置
-
MTU 配置和有效负载分段
-
对活体检测的 BFD 支持。
-
杰维斯
不支持以下特性和功能:
-
MPLS 链路保护
-
RSVP 带宽 基于 FTI 接口到隧道目标的下一跃点的继承
-
TTL 传播。
-
隧道端点上的服务等级 。
-
FT-over-FT 决议 .
-
FT 目标 IP 应可通过 IGP 而不是 BGP 访问(无间接下一跃点)。可访问性应通过 IPV4 路由,而不是通过 LSP。
-
路径 MTU 发现 .
要允许 UDP 隧道上的 MPLS 流量,请在层次结构级别包含mpls port-number[edit forwarding-options tunnels udp port-profile profile-name]语句。要允许 GRE 隧道上的 MPLS 流量,mpls请在层次结构中包含[edit interfaces fti0 unit unit family]语句。
例如:
[edit forwarding-options]
tunnels {
udp {
port-profile p1 {
inet <port num>
inet6 <port num>
mpls <port num>
iso <port num>
}
}
}
ACX 系列路由器上的灵活隧道接口
从 Junos OS 演化版 24.2R1 开始,您可以使用命令[edit interfaces fti unit unit]在tunnel encapsulation gre source address destination address层次结构级别配置封装。有关平台和 Junos 版本支持的详细信息,请参阅功能浏览器。
支持以下功能:
-
基于 FTI 接口的 GRE 封装和解封装模式
-
INET、Inte6、ISO 有效负载
-
IPv4 和 IPv6 作为叠加网络
-
IPv4 和 IPv6 均作为底层网络
-
BFD、OSPF、ISIS 和静态路由
-
底层和叠加 ECMP
-
FTI IFL 统计数据
-
FTI 上的 MTU 配置。
-
FTI 上的 TTL 配置。
-
主机 ping
-
基于隧道端点可达性的 FTI 链路打开或关闭状态
-
FTI 和常规接口的 ECMP
-
解封装端 FTI 上的输入过滤器支持。
-
仅隧道终止模式
-
IPv4 和 IPv6 封装的路径 MTU 发现
-
内部源 IP 的隧道解封装时的反欺骗
-
灵活的 VLAN 标记
-
隧道目的地可达性优于其他隧道
-
当 FTI IFF MTU 值较高且底层 IFF MTU 较低时,生成 MTU 异常
-
由于数据路径限制,在隧道数据包和有效负载的隧道底层接口上应用了输出滤波器
-
由于数据路径限制,在隧道数据包和有效负载的隧道解封装节点的 NNI 接口上应用输入滤波器
-
FTI 隧道以及用于相同隧道配置的动态下一跳隧道。
-
FTI IFF 禁用和启用
-
隧道起点和终点的 IP 分段
-
通过同时启用了隧道和 MPLS 统计信息的隧道发送的 MPLS 封装数据包不支持隧道封装统计信息。仅支持 MPLS 统计信息。
-
您可以使用 and
set system packet-forwarding-options tunnel encap-stats-enableset system packet-forwarding-options tunnel decap-stats-enable语句配置隧道封装或解封装统计信息。使用 CLI(设置/删除/停用)时,datapath restart会将计数器与隧道关联或取消关联。
要使用 GRE 封装配置 FTI 接口,请在层次结构级别包含 gre 语句 [edit interfaces fti0 unit unit tunnel encapsulation] 。
例如:
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation gre {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
ttlttl-value;
}
}
family inet {
address ip_address ;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
从 Junos OS 演化版 24.2R1 开始,ACX 系列支持具有 UDP 封装和解封装功能的 FTI。有关平台和 Junos 版本支持的详细信息,请参阅 功能浏览器。
支持以下功能:
-
带有 UDP 的 FTI 支持以下有效负载:
-
IPv4 UDP 数据包内的 IPv4
-
IPv4 UDP 数据包中的 IPv6
-
IPv4 UDP 数据包内的 MPLS
-
IPv4 UDP 数据包中的 ISO
-
IPv6 UDP 数据包内的 IPv4
-
IPv6 UDP 数据包内的 IPv6
-
IPv6 UDP 数据包内的 MPLS
-
IPv6 UDP 数据包中的 ISO
-
-
支持以下协议:
-
边界网关协议
-
BFD
-
OSPF
-
伊希斯
-
-
静态路由。
-
FTI 逻辑接口统计信息。
-
FTI 上的 MTU 配置。
-
FTI 上的 TTL 配置。
-
叠加层和底层 ECMP。
-
bypass-loopback配置和payload-port-profile profile name配置是必需的。
-
仅隧道终止模式
-
IPv4 和 IPv6 封装的路径 MTU 发现
-
内部源 IP 的隧道解封装时的反欺骗
-
灵活的 VLAN 标记
-
隧道目的地可达性优于其他隧道
-
当 FTI IFF MTU 值较高且底层 IFF MTU 较低时,生成 MTU 异常
-
由于数据路径限制,在隧道数据包和有效负载的隧道底层接口上应用了输出滤波器
-
由于数据路径限制,在隧道数据包和有效负载的隧道解封装节点的 NNI 接口上应用输入滤波器
-
FTI 隧道以及用于相同隧道配置的动态下一跳隧道。
-
FTI IFF 禁用和启用
-
隧道起点和终点的 IP 分段
-
通过同时启用了隧道和 MPLS 统计信息的隧道发送的 MPLS 封装数据包不支持隧道封装统计信息。仅支持 MPLS 统计信息。
-
您可以使用 and
set system packet-forwarding-options tunnel encap-stats-enableset system packet-forwarding-options tunnel decap-stats-enable语句配置隧道封装或解封装统计信息。使用 CLI(设置/删除/停用)时,datapath restart会将计数器与隧道关联或取消关联。
要使用 UDP 封装配置 FTI 接口,请在层次结构级别包含 [edit interfaces fti0 unit unit tunnel encapsulation] udp 语句。
例如:
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation udp {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
payload-port-profile profile name{
inet port num;
inet6 port num;
mpls port num;
iso port num;
}
ttlttl-value;
}
}
family inet {
address ip_address ;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
MPLS 支持 ACX 系列路由器上的 FTI 隧道
从 Junos OS 演化版 24.2R1 开始,您可以通过 ACX 系列路由器上的 FTI 隧道配置 MPLS 协议,从而通过不支持 MPLS 的 IP 网络传输 MPLS 数据包。
在 Junos OS 演化版 24.2R1 中,通用路由封装 (GRE) 和 UDP 隧道支持 ACX 系列路由器上 IPv4 和 IPv6 流量的 MPLS 协议。您可以为 GRE 和 UDP 隧道配置封装和解封装。有关平台和 Junos 版本支持的详细信息,请参阅 功能浏览器。
支持以下功能:
-
IPv4 和 IPv6 流量的封装和解封装
-
UDP 端口号配置
-
LSP 的入口、出口、PHP 和传输角色中的 ping 和跟踪路由支持
-
叠加和底层 ECMP
-
具有封装和解封装功能的 LDP、RSVP、静态 LSP 和 BGP 协议
-
支持不同的隧道终止场景,MPLSoGRE 或 MPLSoUDP 隧道可以在以下任何一种情况下启动:
-
MPLS 标签边缘路由器 (LER)
-
MPLS 标签交换路由器 (LSR)
-
MPLS PHP
-
MPLS 出口 PE
-
-
MPLS 服务
-
L3VPN
-
6VPE
-
6PE
-
-
仅隧道终止模式
-
IPv4 和 IPv6 封装的路径 MTU 发现
-
内部源 IP 的隧道解封装时的反欺骗
-
灵活的 VLAN 标记
-
隧道目的地可达性优于其他隧道
-
当 FTI IFF MTU 值较高且底层 IFF MTU 较低时,生成 MTU 异常
-
由于数据路径限制,在隧道数据包和有效负载的隧道底层接口上应用了输出滤波器
-
由于数据路径限制,在隧道数据包和有效负载的隧道解封装节点的 NNI 接口上应用输入滤波器
-
FTI 隧道以及用于相同隧道配置的动态下一跳隧道。
-
FTI IFF 禁用和启用
-
隧道起点和终点的 IP 分段
-
通过同时启用了隧道和 MPLS 统计信息的隧道发送的 MPLS 封装数据包不支持隧道封装统计信息。仅支持 MPLS 统计信息。
-
您可以使用 and
set system packet-forwarding-options tunnel encap-stats-enableset system packet-forwarding-options tunnel decap-stats-enable语句配置隧道封装或解封装统计信息。使用 CLI(设置/删除/停用)时,datapath restart会将计数器与隧道关联或取消关联。
要在 GRE 或 UDP 隧道 mpls 上配置 MPLS 流量,请在层次结构中包含 [edit interfaces fti0 unit unit family] 语句。
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation (gre | udp) {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
payload-port-profile profile name{
inet port num;
inet6 port num;
mpls port num;
iso port num;
}
ttlttl-value;
}
}
family inet {
address ip_address;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
灵活隧道接口的优势
-
熵和负载平衡发生在传输过程中。与通过隧道封装(如 IP 中的 IP 或通用路由封装 (GRE) 不同,VXLAN 封装支持在 UDP 数据报的源端口中传递散列计算结果。这使您能够在传输过程中有效地对流量进行负载均衡。
-
FTI 具有可扩展的设计,使其能够支持多个封装。
-
vniFTI 中的 VXLAN 封装属性有助于隔离客户。 -
具有 UDP 封装的 FTI 使用 UDP 标头中的源端口和目标端口。由于 UDP 源端口派生自内部有效负载的哈希值,因此您可以通过 ECMP 更好地分配流量。
灵活隧道接口的局限性
-
警务遵循 FTI 的分布式转发模型;因此,预配置的带宽限制是在单个数据包转发引擎级别强制执行的。因此,可能会允许更多的流量。
-
目前,FTI 隧道流量在实例中
inet.0严格路由。因此,FTI 仅支持 IPv4 流量。 -
MX80 不支持 FTI。
-
FTI 不支持服务等级 (CoS) 配置,包括重写规则和分类器的配置。
-
隧道标头上的生存时间 (TTL) 设置为默认值 64。
-
差异服务代码点 (DSCP) 值设置为默认值 0,但保留内部转发类和丢失优先级字段,并可用于在出口接口重写规则中重写 DSCP。
-
FTI 不支持 IP 分段。
具有 UDP 封装的 FTI 不支持以下特性和功能:
-
不支持通过 LDP 和 RSVP 的 BFD。
-
不支持聚合设备上QFX1000以太网成员统计信息。
-
不支持每个 FTI 逻辑接口 10,000 个路由。
-
不支持路由实例。
-
不支持逻辑系统。
-
不支持路径 MTU 发现。
-
不支持监管和防火墙。
-
不支持用于 UDP 隧道的 BGP 信令。
-
不支持隧道端点上的服务等级。
-
不支持 TTL 传播。
-
不支持组播流量。
-
不支持普通 IPV6 UDP 隧道。
-
不支持对隧道流量进行反欺骗检查。
-
不支持 MPLS FRR。
-
不支持 FT-over-FT 分辨率。
-
FT 目标 IP 应可通过 IGP 而不是 BGP 访问(无间接下一跃点)。可访问性应通过 IPV4 路由,而不是通过 LSP。
-
不支持 FT 物理接口级别统计信息。
-
不支持 FTI 下除 fti0 之外的所有接口。
-
不支持未编号的地址。
参见
配置灵活的隧道接口
您可以配置灵活的隧道接口 (FTI),以支持在 MX 系列路由器上使用第 2 层伪报头进行虚拟可扩展 LAN (VXLAN) 封装,或在 PTX 系列路由器和 QFX 系列交换机上支持 UDP 封装。灵活隧道接口 (FTI) 是一种点对点第 3 层接口,可用于通过 IPv4 传输网络创建 IPv4 和 IPv6 叠加网络。可以将 BGP 协议会话配置为在 FTI 上运行,以便分发路由信息。
以下部分介绍如何在设备上配置 FTI,以及如何使用用 and destination-udp-port 值标识的vni强制tunnel-endpoint vxlan封装下的 or vxlan-gpe 参数启用udp多个封装:
在 PE1 上配置 FTI
您可以通过在层次结构级别包含tunnel-endpoint vxlan[edit interfaces]语句来配置 FTI。
要配置 FTI 并为 IPv4 网络定义其属性,请执行以下操作:
验证
目的
验证是否已配置 FTI 并验证其状态。
行动
在配置模式下,您可以通过执行 show interfaces fti number 命令来验证是否已配置 MX 系列路由器上的 FTI。
user@host# show interfaces fti0
Physical interface: fti0, Enabled, Physical link is Up
Interface index: 136, SNMP ifIndex: 504
Type: FTI, Link-level type: Flexible-tunnel-Interface, MTU: Unlimited, Speed: Unlimited
Device flags : Present Running
Interface flags: SNMP-Traps
Link type : Full-Duplex
Link flags : None
Last flapped : Never
Input packets : 0
Output packets: 0
Logical interface fti0.0 (Index 340) (SNMP ifIndex 581)
Flags: Up Point-To-Point SNMP-Traps Encapsulation: VXLAN-GPEv4
Destination UDP port: 4789, VNI: 1000, Source address: 5.5.5.5, Destination address: 6.6.6.6
Input packets : 0
Output packets: 0
Protocol inet, MTU: Unlimited
Max nh cache: 0, New hold nh limit: 0, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 3.3.3/24, Local: 3.3.3.5, Broadcast: 3.3.3.255
同样,您可以执行 show interfaces fti0 detail、 show interfaces fti0 extensive、 show interfaces fti0 terse和 show interfaces fti0 statistics 命令来获取更多详细信息 FTI。请参阅 显示接口 fti。
意义
该 show interfaces fti0 命令将显示已使用新封装 vxlan-gpe配置的 FTI 的状态。输出验证是否已配置 FTI 且物理链路 up为 。
在 SRX 防火墙上配置灵活的隧道接口
在 SRX 防火墙上配置灵活隧道接口 (FTI) 时,还必须为接口配置区域和安全策略。
安全区域是一个或多个网段的集合,需要通过策略来调节入站和出站流量。您将 FTI 分配给其中一个安全区域,FTI 充当从一个安全区域到另一个安全区域的安全门户。安全策略控制通过 FTI 的流量。您可以在 SRX 防火墙上配置安全策略,以允许或拒绝通过 FTI 的流量。以下示例配置显示如何在 SRX 防火墙上配置 FTI。
-
使用封装配置
vxlan-gpeFTI。set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.1/24 set interfaces lo0 unit 0 family inet address 192.168.100.1
-
配置 FTI 并将其分配给安全区域。有关安全区域的详细信息,请参阅 https://www.juniper.net/documentation/us/en/software/junos/security-policies/topics/topic-map/security-zone-configuration.html。
set security zones security-zone FTI-ZONE host-inbound-traffic system-services all set security zones security-zone FTI-ZONE host-inbound-traffic protocols all set security zones security-zone FTI-ZONE interfaces fti0.0
-
为发送到 FTI 的流量以及流量通过接口时需要执行的操作创建策略。在此示例中,我们允许所有流量通过。有关配置安全策略的详细信息,请参阅 https://www.juniper.net/documentation/us/en/software/junos/security-policies/topics/topic-map/security-policy-configuration.html。
set security policies from-zone FTI-ZONE to-zone trust policy fti-out match source-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-out match destination-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-out match application any set security policies from-zone FTI-ZONE to-zone trust policy fti-out then permit set security policies from-zone FTI-ZONE to-zone trust policy fti-in match source-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-in match destination-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-in match application any set security policies from-zone FTI-ZONE to-zone trust policy fti-in then permit set routing-options static route 198.51.100.2/32 next-hop 10.100.12.2
验证灵活隧道的创建
使用 show interfaces fti0.0 命令显示有关灵活隧道接口的信息:
user@device1>show interfaces fti0.0
Logical interface fti0.0 (Index 72) (SNMP ifIndex 520)
Flags: Up Point-To-Point SNMP-Traps Encapsulation: VXLAN-GPEv4
Destination UDP port: 4789, Source UDP port range: [49160 - 65535],
VNI: 22701, Source address: 10.0.0.2, Destination address: 10.0.0.1
Input packets : 0
Output packets: 5
Security: Zone: FTI-ZONE
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf ospf3 pgm pim rip ripng router-discovery
rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp
snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping lsselfping ntp sip dhcpv6 r2cp webapi-clear-text webapi-ssl
tcp-encap sdwan-appqoe high-availability
Protocol inet, MTU: 1450
Max nh cache: 0, New hold nh limit: 0, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.18.1/24, Local: 10.18.1.2, Broadcast: 10.18.1.255
示例:在 MX 系列路由器上配置灵活的隧道接口
要求
此示例使用以下硬件和软件组件:
MX10003和 MX 系列 5G 通用路由平台。
Junos OS 18.3 或更高版本。
概述
在此示例中,灵活的隧道接口用于在两个路由器之间创建第 3 层 VPN 叠加网络。在实际部署中,其中一个端点可以是数据中心中的服务器或数据中心网关。
考虑一个示例拓扑,其中网关设备 PE1 充当企业客户之间的链路,以表示 FTI 隧道的客户端。eBGP 用于在客户边缘 (CE1) 和提供商边缘 (PE1) 设备之间分配路由。IPv4 用于在第 3 层网络上传输测试帧。此测试用于在 CE1 和 CE2 之间传输流量。两个路由器上的逻辑接口都配置了 IPv4 地址,用于创建 FTI 来传输 IPv4 服务的网络设备流量。
图 2 显示了 FTI 如何针对第 3 层 IPv4 服务执行的示例拓扑。
配置
在此示例中,您将为 PE1 上的接口 fti0 和 PE2 上的接口 fti0 之间的第 3 层 IPv4 服务配置 FTI,以形成互连路由器的隧道接口。
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中:
配置 PE1 上的参数
set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.1/24
在 PE2 上配置参数
set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.2/24
在 PE1 上配置
分步过程
以下步骤要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要在 PE1 上配置参数:
在配置模式下,转到
[edit interfaces]层次结构级别:[edit] user@host# edit interfaces
配置 FTI 和逻辑单元,并指定协议家族。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe
指定逻辑接口的源地址。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1
指定逻辑接口的目标地址。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2
使用
tunnel-endpoint封装vxlan.[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan
指定要在生成的帧的 UDP 标头中使用的目标的 UDP 端口值。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789
vni指定要用于标识接口上的封装vxlan-gpe的值。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701
指定接口的地址类型族。
[set interfaces] user@host# set interfaces fti0 unit 0 family inet address 198.51.100.1/24
在 PE2 上配置
分步过程
以下步骤要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要在 PE2 上配置参数:
在配置模式下,转到
[edit interfaces]层次结构级别:[edit] user@host# edit interfaces
配置 FTI 和逻辑单元,并指定协议家族。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe
指定逻辑接口的源地址。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.2
指定逻辑接口的目标地址。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.1
使用
tunnel-endpoint封装vxlan.[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan
指定要在生成的帧的 UDP 标头中使用的目标的 UDP 端口值。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789
vni指定要用于标识接口上的封装vxlan-gpe的值。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701
指定接口的地址类型族。
[set interfaces] user@host# set interfaces fti0 unit 0 family inet address 198.51.100.2/24
配置成功完成后,您可以通过输入
show fti0命令查看参数。
结果
在配置模式下,输入命令确认 show 您在 PE1 和 PE2 上的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
PE1 上的参数:
[edit interfaces]
fti0{
unit 0 {
tunnel {
encapsulation vxlan-gpe {
source {
address 198.51.100.1;
}
destination {
address 198.51.100.2;
}
tunnel-endpoint vxlan;
destination-udp-port 4789;
vni 22701;
}
}
family inet {
address 198.51.100.1/24;
}
}
PE2 上的参数:
[edit interfaces]
fti0{
unit 0 {
tunnel {
encapsulation vxlan-gpe {
source {
address 198.51.100.2;
}
destination {
address 198.51.100.1;
}
tunnel-endpoint vxlan;
destination-udp-port 4789;
vni 22701;
}
}
family inet {
address 198.51.100.2/24;
}
}
配置接口后,在配置模式下输入 commit 命令。
通过在 FTI 上通过隧道终端配置 IP-IP 解封装
在基于过滤器的解封装中,解封装的数据包被重新循环以进行内部标头查找并相应地转发。但是,隧道终止在数据包处理的单次传递中完成,因此比基于过滤器的过程提供性能改进。从 Junos OS 演化版 20.1R2 开始,您可以通过配置隧道终止,在 PTX 系列路由器上的灵活隧道接口上配置 IP-IP 解封装。通过在层次结构级别配置 [edit interfaces fti0 unit number tunnel encapsulation IPIP] 隧道终止,可以在灵活的隧道接口上配置 IP-IP 解封装。
对于 Junos OS 演化版 20.1R2,FTI 不支持封装。
要通过隧道终止配置 IP-IP 解封装,请执行以下操作:
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。