在 MX 系列路由器和 PTX 系列路由器上配置隧道接口
了解 MX 系列路由器上的隧道接口
-
基于接口(gr、lt 和 ip)的隧道 — 当需要实施带宽配置文件时,您可以配置基于接口的隧道。GRE 隧道支持 IPv4、IPv6、MPLS、ISO 和以太网有效负载,而 IP-IP 隧道支持 IPv4 和 IPv6 有效负载。
您可以配置基于接口的隧道来实现:
- 通过 IP 网络建立隧道,每个隧道强制实施带宽。例如,面向远程站点。
-
DDoS 清理指导。
-
镜像到远程目标。
在 GRE 过程中,将 GRE 标头添加到数据包后,数据包将环回同一数据包转发引擎以进行第二次查找。数据包通过环路接口返回入口管道,该接口的带宽有限,仅为 400G。然后将封装的数据包转发到目标。
GRE 隧道解封装通过内联隧道终止实现,不使用环回流。但是,当流量从一个数据包转发引擎切换到另一个数据包转发引擎时,由于额外的结构跃点,数据包转发引擎的整体数据包性能会受到影响。
-
灵活的隧道接口 (FTI) — 您可以在不需要实施带宽配置文件时配置 FTI。FTI 同时支持 IPv4 和 IPv6 有效负载。您可以配置 FTI 以实施:
-
镜像到远程目标。
-
具有 IP-IP 叠加网络的 IP 交换矩阵。
-
DDoS 清理指导。
由于封装和解封装后的额外查找,数据包性能会降低。
-
-
动态隧道 — 您可以配置动态隧道来设计数据中心网关。
在具有避免环回功能的动态隧道实现中,由于封装或解封装后的额外查找,数据包性能会降低。
-
基于防火墙过滤器的隧道 — 这些隧道支持:
-
UDP 封装中的 GRE 和 GRE。
-
UDP 解封装中的 GRE、IP-IP 和 GRE。
您可以配置基于防火墙过滤器的隧道来设计数据中心网关。
您可以使用防火墙过滤器操作配置基于 GRE 的封装和解封装,而无需使用隧道接口。封装和解封装发生在处理过滤器的数据包转发引擎上。MX 系列路由器支持以下位置的防火墙过滤器:
-
输入上的接口级别(在入口数据包转发引擎上执行)
-
输出上的接口级别(在出口数据包转发引擎上执行)
-
转发表级别(路由查找之前或路由查找之后)。在这两种情况下,过滤器都在入口 PFE 上执行
在这种情况下,由于封装后的额外查找,数据包性能会降低。在解封装的情况下,由于过滤器配置,数据包性能会降低。
-
了解 PTX 系列路由器上的隧道接口
您可以配置隧道接口以在 PTX 系列路由器上实现不同的功能。以下各节概述了在不同 PTX 系列路由器上实现的功能。
PTX10001-36MR、PTX10004、PTX10008和PTX10016上的隧道接口概述
本节提供有关配置隧道接口以在采用 Junos OS 演化的 PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器上实现不同功能的信息。
-
灵活的隧道接口 (FTI) — 您可以配置基于 FTI 的隧道以实施:
-
DDoS 清理指导。
-
针对所有动态隧道用例进行解封装。
这些隧道支持 GRE、UDP 和 IP-IP 封装和解封装选项。数据包性能的降低取决于封装选项。封装支持扁平化的下一跃点拓扑。
您可以在灵活的隧道接口上配置 GRE 隧道。在层次结构中
[edit interfaces fti0 unit unit-number family (inet | inet6)]启用tunnel-termination语句时,在应用任何其他操作(如采样、端口镜像或过滤)之前,将在 WAN 接口上终止隧道。 -
-
通过环路的灵活隧道接口 (FTI) — 您可以配置 FTI 以实现到远程目标的镜像。
在 FTI 上,隧道封装后,流量将发送到环路接口(在入口数据包转发引擎上),然后再发送到最终目标。目标可能包括分段路由流量工程 (SR-TE) 下一跃点后面的目的地。环路接口的带宽有限,仅为 400G。
您可以使用环路接口在 FTI 上配置 GRE/IP-in-IP/UDP 隧道封装。可以使用层次结构中的
[edit interfaces fti0 unit unit-number命令tunnel encapsulation (gre|ipip|udp) source address destination address配置封装。配置此功能时,必须考虑以下几点:-
添加
tunnel-termination会使隧道仅开封隧道和封装被禁用。 -
如果不配置命令,则必须同时指定源地址和目标地址。
-
不允许在源地址上配置可变前缀掩码
配置防火墙过滤器进行解封装时,frewall 过滤器会根据配置的匹配条件和操作对数据包进行解封装。然后,解封装的数据包被重新循环回入口块,以进行内部标头查找并相应地转发。但是,隧道终止在数据包处理的单次传递中完成,因此比基于过滤器的过程提供性能改进。
要启用仅终止模式(其中隧道是单向的),您可以在 FTI 上的层次结构中进行
[edit interfaces fti0 unit unit_number tunnel encapsulation (gre|ipip|udp)]配置tunnel-termination。[edit interfaces fti0] unit unit-number { tunnel { encapsulation < gre | ipip | udp > { tunnel-termination; key key; source { address source_ip; } destination { address dst_ip}; } tunnel-routing-instance { routing-instance instance}; } } } family < inet | inet6 | mpls >; } }[edit interfaces fti0] unit unit-number { tunnel { encapsulation < gre | ipip | udp > { tunnel-termination; source { address device-loopback; } } } family < inet | inet6 | mpls >; }可以排除源地址,这表示隧道在配置的目标地址上终止。可选
tunnel-routing-instance表示在解封装后,内部 IP 查找将使用与路由实例对应的 VRF ID 完成。要解封的数据包在源查找单元中处理。搜索密钥包含 IPv4 或 IPv6 目标地址,如果不需要在所有接口上终止隧道,则可选 L3VPN 地址。如果第一次查找成功,则不再需要源查找,隧道将终止。如果需要对源地址进行第二次查找,源查找单元将使用源地址和第一个查找结果作为键进行另一次查找。如果第二次查找成功,隧道将终止。
在 [编辑接口 fti0 单元号] 层次结构中启用隧道终止语句时,在应用任何其他操作(如采样、端口镜像或过滤)之前,将在 WAN 接口上终止隧道。
要在传入接口
tunnel-termination上启用隧道终止,请在[edit interfaces et fpc/pic/port unit unit_number]{edit interfaces et-fpc/pic/port] unit unit_number { family inet { tunnel-termination; } family inet6 { tunnel-termination; } } }
-
-
动态隧道— — 您可以配置动态隧道以设计:
-
IP 交换矩阵。
-
IP 叠加。
-
数据中心网关。
这些隧道支持 IP-IP 封装。
采用 Junos OS 演化版的 PTX 系列路由器不支持用于解封装的动态隧道。相反,您可以使用静态 FTI 隧道进行解封装,而无需指定目标地址。隧道配置了仅解封装选项。
您可以配置基于下一跃点的动态 UDP 隧道,也称为 MPLS over UDP 隧道。Junos OS 动态创建下一跃点以解析隧道目标路由。您还可以使用策略控制通过选定的 IP 前缀解析 MPLS over UDP 隧道。因为当默认情况下启用下一跃点时,MPLS over-UDP 功能为路由器上支持的 IP 隧道数量提供了扩展优势。
-
PTX1000、PTX5000和 PTX10002-50C 上的隧道接口概述
本节提供有关配置隧道接口以在具有 Junos OS 演化版的 PTX1000、PTX5000 和 PTX10002-50C 路由器上实现不同功能的信息。
-
灵活的隧道接口 (FTI) — 您可以配置 FTI 以实施 IP 交换矩阵。当我们需要通过 IP 到达隧道目的地时,我们更喜欢此选项。这些隧道支持:
-
GRE、UDP 和 IP-IP 封装选项。
-
UDP 和 IP-IP 解封装选项。
由于封装和解封装后的额外查找,数据包性能会降低。
-
-
动态隧道 — 您可以配置动态隧道来设计数据中心网关。由于封装和解封装后的额外查找,数据包性能会降低。
-
基于防火墙过滤器的隧道 — 您可以配置基于防火墙过滤器的隧道来实施出口对等工程 (EPE)。由于额外的查找,封装期间数据包性能会降低。
-
镜像到远程目标— — 您可以实施镜像数据包到远程目标的隧道。由于额外的查找,封装期间数据包性能会降低。
通过在 MX 系列和 PTX 系列路由器上配置隧道实现的用例
本节提供有关配置隧道接口以在 MX 系列和 PTX 系列路由器上实现不同功能(用例)的一些用例的信息。
端口镜像到远程目标
您可以使用端口镜像对路由器和交换机进行流量分析,与集线器不同,这些路由器和交换机不会将数据包广播到目标设备上的每个端口。端口镜像会将所有数据包或基于策略的示例数据包的副本发送到本地或远程分析器,您可以在其中监控和分析数据。
对于在服务提供商网络面向客户的边缘上配置为提供商边缘 (PE) 路由器的 MX 系列路由器,您可以在入口和出口点应用第 2 层端口镜像防火墙过滤器,以镜像 MX 系列路由器与客户边缘 (CE) 设备(如路由器和以太网交换机)之间的流量。
在 MX 系列路由器上,您可以将到达隧道接口的流量镜像到多个目标。您可以在下一跃点组中指定两个或更多目标,将引用下一跃点组的防火墙过滤器定义为过滤器操作,然后将过滤器应用于 MX 系列路由器上的逻辑隧道接口 (lt-) 或虚拟隧道接口 (vt-)。
请参阅 配置端口镜像 和 为远程目标配置端口镜像。
当数据路径遍历基于灵活隧道接口 (FTI) 的隧道时,路由器将使用隧道封装发送输出数据包。您可以设置一个配置,以镜像原始数据包以及在数据包退出接口时包含所有封装的数据包。
要根据安装在 FTI 上的过滤器启用镜像,请执行以下操作:
-
您可以使用 FTI 上的策略操作标记数据包以进行镜像。路由器通常使用策略操作来选择出口重写规则,但在这种情况下,它使用策略操作来标记具有内部策略属性的相关数据包,而不配置任何特殊的重写规则。
-
您可以让软件拦截与出口 WAN 端特定策略匹配的数据包并启动
l2-mirror操作。 数据包报告时包含第 2 层标头信息,包括隧道封装。看 示例:在 PTX 路由器上配置本地端口镜像示例:在 PTX 路由器上配置本地端口镜像 示例 :在 PTX 路由器上配置远程端口镜像。
数据中心网关
数据中心网关一端连接互联网或企业 VPN,另一端连接服务器上托管的虚拟机。MPLS-over-GRE 或 MPLS-over-UDP 等叠加传输技术是数据中心设计的一部分。主机路由从 SDN 控制器通信到数据中心网关,并导入到虚拟路由和转发 (VRF) 或互联网路由上下文中。可通过基于下一跃点的动态隧道访问数据中心服务器。在 BGP 路由协议下一跃点解析进程中的服务器上建立隧道。
如 RFC 5549 中所述,IPv4 流量通过隧道从 CPE 设备传输到 IPv4-over-IPv6 网关。这些网关通过任播地址通告给 CPE 设备。然后,网关设备会创建到远程 CPE 设备的动态 IPv4-over-IPv6 隧道,并通告 IPv4 聚合路由以引导流量。具有可编程接口的路由反射器将隧道信息注入网络。路由反射器通过内部 BGP (IBGP) 连接到网关路由器,网关路由器将播发以 IPv6 地址作为下一跃点的主机路由的 IPv4 地址。
MPLS over-UDP 隧道的处理方式如下:
-
配置 MPLS over UDP 隧道后,将为 inet.3 路由表中的隧道创建具有隧道复合下一跃点的隧道目标掩码路由。仅当删除动态隧道配置时,才会撤销此 IP 隧道路由。
隧道复合下一跃点属性包括:
-
禁用第 3 层 VPN 复合下一跃点时 — 源地址和目标地址、封装字符串和 VPN 标签。
-
启用第 3 层 VPN 复合下一跃点和每个前缀的 VPN 标签分配时 — 源地址、目标地址和封装字符串。
-
启用第 3 层 VPN 复合下一跃点并禁用每前缀 VPN 标签分配时 — 源地址、目标地址和封装字符串。在这种情况下,路由将添加到具有辅助路由的其他 VRF 实例表中。
-
-
提供商边缘 (PE) 设备使用 IBGP 会话互连。到远程 BGP 邻接方的 IBGP 路由下一跃点是协议下一跃点,可使用隧道掩码路由和隧道下一跃点进行解析。
-
通过隧道复合下一跃点解析协议下一跃点后,将创建带有转发下一跃点的间接下一跃点。
-
隧道复合下一跃点用于转发间接下一跃点的下一跃点。
请参阅 示例:配置基于下一跃点的 MPLS over UDP 动态隧道 和示例:配置基于下一跃点的 IP over IP 动态隧道