Konfiguration flexibler Tunnelschnittstellen
Flexible Tunnelschnittstellen im Überblick
Eine flexible Tunnelschnittstelle (FTI) ist eine Art logische Tunnelschnittstelle, die statisches Routing und BGP-Protokolle verwendet, um Routen über einen Tunnel auszutauschen, der Endgeräte mit Routern verbindet.
- Flexible Tunnelschnittstellen an Routern der MX-Serie und Firewalls der SRX-Serie
- Flexible Tunnelschnittstellen auf Routern der PTX-Serie und Switches der QFX-Serie
- Plattformspezifisches FTI-Verhalten
- MPLS-Unterstützung für FTI-Tunnel auf Routern der PTX-Serie
- Flexible Tunnelschnittstellen auf Routern der ACX-Serie
- MPLS-Unterstützung für FTI-Tunnel auf Routern der ACX-Serie
- Vorteile flexibler Tunnelschnittstellen
- Einschränkungen flexibler Tunnelschnittstellen
Flexible Tunnelschnittstellen an Routern der MX-Serie und Firewalls der SRX-Serie
FTIs bieten die folgenden Funktionen auf Routern der MX-Serie und Firewalls der SRX-Serie:
-
FTI unterstützt nur VXLAN-Kapselung mit Layer-2-Pseudo-Headern.
-
FTI wird zwischen einem Router und einem Server verwendet, auf dem mehrere virtuelle Maschinen gehostet werden, oder zwischen Routern in zwei verschiedenen Datencentern.
-
FTI können als Port-Mirror-Ziele konfiguriert werden.
-
FTI-Unterstützung für das Streaming von Statistiken über logische Schnittstellen.
Bei der VXLAN-Kapselung wird die Layer-2-Adresse mit "Pseudo"-Quell- (Quell-MAC: 00-00-5E-00-52-00) und Ziel-MAC-Adressen (Ziel-MAC: 00-00-5E-00-52-01) ohne VLAN-Tagging aufgefüllt. Diese Adressen werden jedoch ignoriert, wenn die Pakete den Remoteendpunkt erreichen. Der Remoteendpunkt wird durch die Ziel-IP-Adresse und eine angegebene Ziel-UDP-Portnummer identifiziert. Die entsprechende FTI auf dem Remote-Endgerät wird durch den VNI-Wert (Virtual Network Identifier), die Quell-IP-Adresse des Tunnels und die Nummer des Ziel-UDP-Ports identifiziert. Alle diese Werte können auf einer FTI mit VXLAN-Kapselung konfiguriert werden.
verbinden
Abbildung 1 zeigt, wie eine FTI funktioniert, um von einem Remote-Standort aus Konnektivität zu einer Virtual Private Cloud bereitzustellen. Für jeden Kunden werden individuelle flexible Tunnel (1 bis N) bereitgestellt. Die kundenseitige logische Schnittstelle und die entsprechenden FTIs sind so konfiguriert, dass sie in einer Routing-Instanz funktionieren. Die FTI verwendet BGP-Protokolle (eBGP und iBGP), um Pakete vom Kundengerät zum Remote-Gateway und umgekehrt zu übertragen.
Flexible Tunnelschnittstellen auf Routern der PTX-Serie und Switches der QFX-Serie
Einige Router der PTX-Serie und Switches der QFX-Serie unterstützen FTIs. Weitere Informationen zur Unterstützung von Plattform und Junos-Versionen finden Sie im Funktions-Explorer. Die FTI-Unterstützung für PTX- und QFX-Switches umfasst die folgenden Funktionen:
-
FTI wird in Versionen ab Junos OS Version 19.3R1 unterstützt.
-
FTI unterstützt nur UDP-Kapselung.
-
FTI kann an jeder beliebigen Stelle im MPLS-Tunnel initiiert werden: MPLS-Transit, -Eingang, -Ausgang und -PHP.
-
FTI mit UDP-Kapselung unterstützt die folgenden Nutzlasten:
-
IPv4 innerhalb eines IPv4-UDP-Pakets
-
IPv6 im IPV4-UDP-Paket
-
MPLS innerhalb eines IPV4-UDP-Pakets
-
ISO im IPV4-UDP-Paket
-
FTI mit UDP-Kapselung unterstützt die folgenden Funktionen:
-
MPLS-Verbindungsschutz und Node-Link-Schutz.
-
Manuelle Konfiguration der RSVP-Bandbreite.
-
BFD-Unterstützung für die Lebendigkeitserkennung, mit Ausnahme von BFD über LDP und RSVP.
-
Unterstützung für die folgenden Protokolle:
-
BGP
-
U.A.W.G
-
LDP
-
OSPF
-
ISIS
-
-
Statische Routen.
-
FTI-Statistiken für logische Schnittstellen.
-
MTU-Konfiguration auf FTI und Fragmentierung der Nutzlast vor dem Eintritt in den Tunnel.
-
Bei den Underlays kann es sich um aggregiertes Ethernet oder eine reguläre Schnittstelle handeln und es kann als Sub-Schnittstelle oder reguläre Layer-3-Schnittstellen gekennzeichnet sein.
-
Overlay- und Underlay-ECMP.
Plattformspezifisches FTI-Verhalten
| Bahnsteig |
Unterschied |
|---|---|
| PTX-Router mit Junos OS weiterentwickelt |
Der Ausgabe-Firewall-Filter auf FTI wird nicht unterstützt. |
Um eine FTI-Schnittstelle mit UDP-Kapselung zu konfigurieren, fügen Sie die udp-Anweisung auf Hierarchieebene [edit interfaces fti0 unit unit tunnel encapsulation] ein.
Zum Beispiel:
[edit interfaces]
fti0 {
unit unit_number {
tunnel {
encapsulation udp {
source {
address ipv4_address;
}
destination{
address ipv4_address;
}
}
}
family inet {
destination-udp-port udp port ;
}
family inet6 {
destination-udp-port udp port ;
}
family mpls {
destination-udp-port udp port ;
}
family iso {
destination-udp-port udp port ;
}
}
}
MPLS-Unterstützung für FTI-Tunnel auf Routern der PTX-Serie
Ab Junos OS Evolved Version 21.4R1 können Sie MPLS-Protokolle über FTI-Tunnel konfigurieren und so MPLS-Pakete über IP-Netzwerke transportieren, die MPLS nicht unterstützen.
In Junos OS Evolved Version 21.4R1 unterstützen Generic-Routing-Encapsulation (GRE) und UDP-Tunnel das MPLS-Protokoll für IPv4- und IPv6-Datenverkehr. Sie können die Kapselung und -Entkapselung für die GRE- und UDP-Tunnel konfigurieren.
Die folgenden Funktionen werden unterstützt:
-
Kapselung und Entkapselung für IPv4- und IPv6-Datenverkehr
-
Konfiguration der UDP-Portnummer
-
MPLS-Knoten-Verbindungsschutz
-
Ingress-, Egress-, PHP- und Transitrollen für LSP
-
Ping- und Traceroute-Unterstützung in Ingress-, Ausgangs-, PHP- und Transitrollen für LSP
-
Overlay- und Underlay-ECMP
-
Manuelle Konfiguration der RSVP-Bandbreite.
-
MPLS-Services
-
L3VPN
-
6VPE
-
L2-Leitung
-
BGP-LU mit Pro-Nexhop- oder Präfix-Label
-
-
Routing-Instanz
-
Class-of-Service (CoS) einschließlich der Konfiguration von Rewrite-Regeln und Klassifikatoren
-
MTU-Konfiguration und Fragmentierung der Nutzlast
-
BFD-Unterstützung zur Lebendigkeitserkennung.
-
Jvision
Die folgenden Features und Funktionen werden nicht unterstützt:
-
MPLS-Verbindungsschutz
-
RSVP-Bandbreitenvererbung basierend auf dem Next Hop zum Tunnelziel für FTI-Schnittstellen
-
TTL-Propagierung.
-
Class-of-Service auf Tunnelendpunkten .
-
FT-over-FT-Auflösung .
-
Die FT-Ziel-IP sollte über IGP und nicht über BGP erreichbar sein (kein indirekter nächster Hop). Die Erreichbarkeit sollte über eine IPV4-Route und nicht über einen LSP erfolgen.
-
Pfad-MTU-Erkennung .
Um den MPLS-Datenverkehr in den UDP-Tunneln zuzulassen, schließen Sie die mpls port-number Anweisung auf der [edit forwarding-options tunnels udp port-profile profile-name] Hierarchieebene ein. Um den MPLS-Datenverkehr in den GRE-Tunneln zuzulassen, schließen Sie die mpls Anweisung in der [edit interfaces fti0 unit unit family] Hierarchie ein.
Zum Beispiel:
[edit forwarding-options]
tunnels {
udp {
port-profile p1 {
inet <port num>
inet6 <port num>
mpls <port num>
iso <port num>
}
}
}
Flexible Tunnelschnittstellen auf Routern der ACX-Serie
Ab Junos OS Evolved Version 24.1R1 können Sie die Kapselung mithilfe des tunnel encapsulation gre source address destination address Befehls auf der [edit interfaces fti unit unit] Hierarchieebene konfigurieren. Weitere Informationen zur Unterstützung von Plattform und Junos-Versionen finden Sie im Funktions-Explorer.
Die folgenden Funktionen werden unterstützt:
-
FTI-Schnittstellen-basierter GRE-Kapselungs- und Entkapselungsmodus
-
INET-, INTE6-, ISO-Nutzlasten
-
Sowohl IPv4 als auch IPv6 als Overlay
-
Sowohl IPv4 als auch IPv6 als Underlay
-
BFD, OSPF, ISIS und statisches Routing
-
Underlay und Overlay ECMP
-
FTI IFL-Statistiken
-
MTU-Konfiguration auf FTI.
-
TTL-Konfiguration auf FTI.
-
Host-Ping
-
FTI-Verbindungsstatus basierend auf der Erreichbarkeit des Tunnelendpunkts
-
ECMP von FTI und reguläre Schnittstellen
-
Unterstützung des Eingangsfilters auf FTI auf der Entkapselungsseite.
-
Nur Tunnel-Terminierungsmodus
-
Pfad-MTU-Erkennung für IPv4- und IPv6-Kapselung
-
Anti-Spoofing bei der Tunnelentkapselung für die innere Quell-IP
-
Flexibles VLAN-Tagging
-
Erreichbarkeit des Tunnelziels über andere Tunnel
-
Generierung von MTU-Ausnahmen, wenn der FTI-IFF-MTU-Wert hoch und die Underlay-IFF-MTU niedrig ist
-
Der Ausgabefilter wird auf der Tunnel-Underlay-Schnittstelle für getunnelte Pakete und Nutzlasten aufgrund einer Begrenzung des Datenpfads angewendet
-
Eingangsfilter, der auf der NNI-Schnittstelle am Tunnel-Entkapselungsknoten für getunnelte Pakete und Nutzdaten aufgrund einer Begrenzung des Datenpfads angewendet wird
-
FTI-Tunnel zusammen mit dynamischem Next-Hop-Tunnel für dieselbe Tunnelkonfiguration.
-
FTI IFF deaktivieren und aktivieren
-
IP-Fragmentierung am Start- und Endpunkt des Tunnels
-
Tunnelkapselungsstatistiken werden für MPLS-gekapselte Pakete, die über einen Tunnel gesendet werden, bei dem sowohl Tunnel- als auch MPLS-Statistiken aktiviert sind, nicht unterstützt. Es werden nur MPLS-Statistiken unterstützt.
-
Sie können die Statistik für die Tunnelkapselung oder -entkapselung mithilfe der
set system packet-forwarding-options tunnel encap-stats-enableset system packet-forwarding-options tunnel decap-stats-enableund-Anweisungen konfigurieren. Wenn Sie die CLI (Festlegen/Löschen/Deaktivieren) verwenden,datapath restartwerden Zähler dem Tunnel zugeordnet oder die Zuordnung aufgehoben.
Die Konfiguration von Statistiken, die die Tunnelkapselung oder -entkapselung erfordert, führt zu einem Neustart des PFE-Prozesses und wirkt sich auch auf den Service aus.
Um eine FTI-Schnittstelle mit GRE-Kapselung zu konfigurieren, fügen Sie die gre Anweisung auf der [edit interfaces fti0 unit unit tunnel encapsulation] Hierarchieebene ein.
Zum Beispiel:
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation gre {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
ttlttl-value;
}
}
family inet {
address ip_address ;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
Ab Junos OS Evolved Version 24.2R1 unterstützt die ACX-Serie FTI mit UDP-Kapselung und -Entkapselung. Weitere Informationen zur Unterstützung von Plattform und Junos-Versionen finden Sie im Funktions-Explorer.
Die folgenden Funktionen werden unterstützt:
-
FTI mit UDP unterstützt die folgenden Nutzlasten:
-
IPv4 innerhalb eines IPv4-UDP-Pakets
-
IPv6 innerhalb eines IPv4-UDP-Pakets
-
MPLS innerhalb eines IPv4-UDP-Pakets
-
ISO im IPv4-UDP-Paket
-
IPv4 innerhalb eines IPv6-UDP-Pakets
-
IPv6 innerhalb eines IPv6-UDP-Pakets
-
MPLS innerhalb eines IPv6-UDP-Pakets
-
ISO im IPv6-UDP-Paket
-
-
Unterstützung für die folgenden Protokolle:
-
BGP
-
BFD
-
OSPF
-
ISIS
-
-
Statische Routen.
-
FTI-Statistiken für logische Schnittstellen.
-
MTU-Konfiguration auf FTI.
-
TTL-Konfiguration auf FTI.
-
Overlay- und Underlay-ECMP.
-
bypass-loopbackKonfiguration istpayload-port-profile profile nameobligatorisch.
-
Nur Tunnel-Terminierungsmodus
-
Pfad-MTU-Erkennung für IPv4- und IPv6-Kapselung
-
Anti-Spoofing bei der Tunnelentkapselung für die innere Quell-IP
-
Flexibles VLAN-Tagging
-
Erreichbarkeit des Tunnelziels über andere Tunnel
-
Generierung von MTU-Ausnahmen, wenn der FTI-IFF-MTU-Wert hoch und die Underlay-IFF-MTU niedrig ist
-
Der Ausgabefilter wird auf der Tunnel-Underlay-Schnittstelle für getunnelte Pakete und Nutzlasten aufgrund einer Begrenzung des Datenpfads angewendet
-
Eingangsfilter, der auf der NNI-Schnittstelle am Tunnel-Entkapselungsknoten für getunnelte Pakete und Nutzdaten aufgrund einer Begrenzung des Datenpfads angewendet wird
-
FTI-Tunnel zusammen mit dynamischem Next-Hop-Tunnel für dieselbe Tunnelkonfiguration.
-
FTI IFF deaktivieren und aktivieren
-
IP-Fragmentierung am Start- und Endpunkt des Tunnels
-
Tunnelkapselungsstatistiken werden für MPLS-gekapselte Pakete, die über einen Tunnel gesendet werden, bei dem sowohl Tunnel- als auch MPLS-Statistiken aktiviert sind, nicht unterstützt. Es werden nur MPLS-Statistiken unterstützt.
-
Sie können die Statistik für die Tunnelkapselung oder -entkapselung mithilfe der
set system packet-forwarding-options tunnel encap-stats-enableset system packet-forwarding-options tunnel decap-stats-enableund-Anweisungen konfigurieren. Wenn Sie die CLI (Festlegen/Löschen/Deaktivieren) verwenden,datapath restartwerden Zähler dem Tunnel zugeordnet oder die Zuordnung aufgehoben.
Um eine FTI-Schnittstelle mit UDP-Kapselung zu konfigurieren, fügen Sie die udp-Anweisung auf Hierarchieebene [edit interfaces fti0 unit unit tunnel encapsulation] ein.
Zum Beispiel:
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation udp {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
payload-port-profile profile name{
inet port num;
inet6 port num;
mpls port num;
iso port num;
}
ttlttl-value;
}
}
family inet {
address ip_address ;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
MPLS-Unterstützung für FTI-Tunnel auf Routern der ACX-Serie
Ab Junos OS Evolved Version 24.2R1 können Sie MPLS-Protokolle über FTI-Tunnel auf Routern der ACX-Serie konfigurieren und dadurch MPLS-Pakete über IP-Netzwerke transportieren, die MPLS nicht unterstützen.
In Junos OS Evolved Version 24.2R1 unterstützen Generic-Routing-Encapsulation (GRE) und UDP-Tunnel das MPLS-Protokoll für IPv4- und IPv6-Datenverkehr auf Routern der ACX-Serie. Sie können die Kapselung und -Entkapselung für die GRE- und UDP-Tunnel konfigurieren. Weitere Informationen zur Unterstützung von Plattform und Junos-Versionen finden Sie im Funktions-Explorer.
Die folgenden Funktionen werden unterstützt:
-
Kapselung und Entkapselung für IPv4- und IPv6-Datenverkehr
-
Konfiguration der UDP-Portnummer
-
Ping- und Traceroute-Unterstützung in Ingress-, Ausgangs-, PHP- und Transitrollen für LSP
-
Overlay- und Underlay-ECMP
-
LDP-, RSVP-, statische LSP- und BGP-Protokolle mit Kapselung und Entkapselung
-
Unterstützt verschiedene Tunnelbeendigungsszenarien, kann der MPLSoGRE- oder MPLSoUDP-Tunnel in einem der folgenden Fälle gestartet werden:
-
MPLS-Label-Edge-Router (LER)
-
MPLS-Label-Switch-Router (LSR)
-
MPLS PHP
-
MPLS-Ausgang PE
-
-
MPLS-Services
-
L3VPN
-
6VPE
-
6PE
-
-
Nur Tunnel-Terminierungsmodus
-
Pfad-MTU-Erkennung für IPv4- und IPv6-Kapselung
-
Anti-Spoofing bei der Tunnelentkapselung für die innere Quell-IP
-
Flexibles VLAN-Tagging
-
Erreichbarkeit des Tunnelziels über andere Tunnel
-
Generierung von MTU-Ausnahmen, wenn der FTI-IFF-MTU-Wert hoch und die Underlay-IFF-MTU niedrig ist
-
Der Ausgabefilter wird auf der Tunnel-Underlay-Schnittstelle für getunnelte Pakete und Nutzlasten aufgrund einer Begrenzung des Datenpfads angewendet
-
Eingangsfilter, der auf der NNI-Schnittstelle am Tunnel-Entkapselungsknoten für getunnelte Pakete und Nutzdaten aufgrund einer Begrenzung des Datenpfads angewendet wird
-
FTI-Tunnel zusammen mit dynamischem Next-Hop-Tunnel für dieselbe Tunnelkonfiguration.
-
FTI IFF deaktivieren und aktivieren
-
IP-Fragmentierung am Start- und Endpunkt des Tunnels
-
Tunnelkapselungsstatistiken werden für MPLS-gekapselte Pakete, die über einen Tunnel gesendet werden, bei dem sowohl Tunnel- als auch MPLS-Statistiken aktiviert sind, nicht unterstützt. Es werden nur MPLS-Statistiken unterstützt.
-
Sie können die Statistik für die Tunnelkapselung oder -entkapselung mithilfe der
set system packet-forwarding-options tunnel encap-stats-enableset system packet-forwarding-options tunnel decap-stats-enableund-Anweisungen konfigurieren. Wenn Sie die CLI (Festlegen/Löschen/Deaktivieren) verwenden,datapath restartwerden Zähler dem Tunnel zugeordnet oder die Zuordnung aufgehoben.
Um MPLS-Datenverkehr im GRE- oder UDP-Tunnel zu konfigurieren, fügen Sie die mpls Anweisung in der [edit interfaces fti0 unit unit family] Hierarchie ein.
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation (gre | udp) {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
payload-port-profile profile name{
inet port num;
inet6 port num;
mpls port num;
iso port num;
}
ttlttl-value;
}
}
family inet {
address ip_address;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
Vorteile flexibler Tunnelschnittstellen
-
Entropie und Load Balancing treten während der Übertragung auf. Im Gegensatz zu Over-Tunnel-Kapselungen, wie z. B. IP in IP oder Generic Routing Encapsulation (GRE), unterstützt die VXLAN-Kapselung die Übergabe des Hash-Berechnungsergebnisses am Quellport des UDP-Datagramms. Auf diese Weise können Sie die Datenverkehrslast während der Übertragung effizient ausgleichen.
-
FTIs verfügen über ein erweiterbares Design, das es ihnen ermöglicht, mehrere Kapselungen zu unterstützen.
-
Die
vniEigenschaft der VXLAN-Kapselung in FTIs hilft bei der Kundenisolierung. -
FTIs mit UDP-Kapselung verwenden den Quell- und Zielport im UDP-Header. Da der UDP-Quellport vom Hashwert der inneren Nutzlast abgeleitet wird, können Sie von einer besseren Datenverkehrsverteilung über ECMP profitieren.
Einschränkungen flexibler Tunnelschnittstellen
-
Die Polizeiarbeit folgt dem verteilten Weiterleitungsmodell der FTIs; Daher werden die bereitgestellten Bandbreitenbeschränkungen auf der Ebene der einzelnen Packet Forwarding Engine durchgesetzt. Dies kann dazu führen, dass mehr Datenverkehr zugelassen wird.
-
Derzeit wird der FTI-getunnelte Datenverkehr in der
inet.0Instanz strikt geroutet. Daher unterstützen FTIs nur IPv4-Datenverkehr. -
Der MX80 unterstützt keine FTIs.
-
Die CoS-Konfiguration (Class-of-Service), einschließlich der Konfiguration von Rewrite-Regeln und Klassifizierern, wird auf FTIs nicht unterstützt.
-
Die Gültigkeitsdauer (Time-to-Live, TTL) für den Tunnelheader ist auf den Standardwert 64 festgelegt.
-
Der DSCP-Wert (Codepunkt für differenzierte Services) ist auf den Standardwert 0 festgelegt, die Felder für interne Weiterleitungsklassen und Verlustprioritäten werden beibehalten und können verwendet werden, um DSCP in den Umschreibungsregeln für die Ausgangsschnittstelle umzuschreiben.
-
IP-Fragmentierung wird in FTIs nicht unterstützt.
FTI mit UDP-Kapselung unterstützen die folgenden Funktionen nicht:
-
BFD über LDP und RSVP wird nicht unterstützt.
-
Aggregierte Ethernet-Mitgliederstatistiken auf QFX1000 Gerät werden nicht unterstützt.
-
10.000 Routen pro logischer FTI-Schnittstelle werden nicht unterstützt.
-
Routing-Instanz wird nicht unterstützt.
-
Logische Systeme werden nicht unterstützt.
-
Die Routen-MTU-Erkennung wird nicht unterstützt.
-
Überwachung und Firewall werden nicht unterstützt.
-
BGP-Signalisierung für UDP-Tunnel wird nicht unterstützt.
-
Class-of-Service auf Tunnelendpunkten wird nicht unterstützt.
-
TTL-Weitergabe wird nicht unterstützt.
-
Multicast-Datenverkehr wird nicht unterstützt.
-
Ein einfacher IPV6-UDP-Tunnel wird nicht unterstützt.
-
Die Anti-Spoofing-Prüfung für getunnelten Datenverkehr wird nicht unterstützt.
-
MPLS FRR wird nicht unterstützt.
-
FT-over-FT-Auflösung wird nicht unterstützt.
-
Die FT-Ziel-IP sollte über IGP und nicht über BGP erreichbar sein (kein indirekter nächster Hop). Die Erreichbarkeit sollte über eine IPV4-Route und nicht über einen LSP erfolgen.
-
FT-Statistiken auf physischer Schnittstellenebene werden nicht unterstützt.
-
Alle Schnittstellen unter FTI mit Ausnahme von fti0 werden nicht unterstützt.
-
Nicht nummerierte Adressen werden nicht unterstützt.
Siehe auch
Konfiguration flexibler Tunnelschnittstellen
Sie können flexible Tunnelschnittstellen (FTIs) konfigurieren, die die VXLAN-Kapselung (Virtual Extensible LAN) mit Layer-2-Pseudo-Headern auf Routern der MX-Serie oder UDP-Kapselung auf Routern der PTX-Serie und Switches der QFX-Serie unterstützen. Eine flexible Tunnelschnittstelle (FTI) ist eine Punkt-zu-Punkt-Layer-3-Schnittstelle, die zur Erstellung von IPv4- und IPv6-Overlays über ein IPv4-Transportnetzwerk verwendet werden kann. Eine BGP-Protokollsitzung kann so konfiguriert werden, dass sie über FTIs ausgeführt wird, um Routing-Informationen zu verteilen.
In den folgenden Abschnitten wird beschrieben, wie Sie FTIs auf Ihrem Gerät konfigurieren und mehrere Kapselungen mithilfe des udp Parameters or vxlan-gpe unter der obligatorischen tunnel-endpoint vxlan Kapselung aktivieren, die mit den vni destination-udp-port und-Werten identifiziert wird:
Konfigurieren von FTI auf PE1
Sie können eine FTI konfigurieren, indem Sie die tunnel-endpoint vxlan Anweisung auf Hierarchieebene [edit interfaces] einschließen.
So konfigurieren Sie eine FTI und definieren ihre Attribute für ein IPv4-Netzwerk:
Verifizierung
Zweck
Vergewissern Sie sich, dass die FTI konfiguriert ist, und überprüfen Sie ihren Status.
Aktion
Im Konfigurationsmodus können Sie überprüfen, ob FTI auf einem Router der MX-Serie konfiguriert wurde, indem Sie den show interfaces fti number Befehl ausführen.
user@host# show interfaces fti0
Physical interface: fti0, Enabled, Physical link is Up
Interface index: 136, SNMP ifIndex: 504
Type: FTI, Link-level type: Flexible-tunnel-Interface, MTU: Unlimited, Speed: Unlimited
Device flags : Present Running
Interface flags: SNMP-Traps
Link type : Full-Duplex
Link flags : None
Last flapped : Never
Input packets : 0
Output packets: 0
Logical interface fti0.0 (Index 340) (SNMP ifIndex 581)
Flags: Up Point-To-Point SNMP-Traps Encapsulation: VXLAN-GPEv4
Destination UDP port: 4789, VNI: 1000, Source address: 5.5.5.5, Destination address: 6.6.6.6
Input packets : 0
Output packets: 0
Protocol inet, MTU: Unlimited
Max nh cache: 0, New hold nh limit: 0, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 3.3.3/24, Local: 3.3.3.5, Broadcast: 3.3.3.255
Auf ähnliche Weise können Sie die show interfaces fti0 detailBefehle , show interfaces fti0 extensive, show interfaces fti0 terseund show interfaces fti0 statistics ausführen, um weitere Details zu FTIs zu erhalten. Siehe show interfaces fti.
Bedeutung
Der show interfaces fti0 Befehl zeigt den Status der FTIs an, die mit der neuen Kapselung vxlan-gpekonfiguriert wurden. Die Ausgabe überprüft, ob die FTI konfiguriert ist und die physische Verbindung ist up.
Konfigurieren einer flexiblen Tunnelschnittstelle auf einer SRX-Firewall
Wenn Sie eine flexible Tunnelschnittstelle (FTI) auf einer SRX-Firewall konfigurieren, müssen Sie auch die Zone und die Sicherheitsrichtlinie für die Schnittstelle konfigurieren.
Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, für die der ein- und ausgehende Datenverkehr durch Richtlinien reguliert werden muss. Sie ordnen die FTI einer der Sicherheitszonen zu und die FTI fungiert als Sicherheitstür von einer Sicherheitszone zur anderen. Sicherheitsrichtlinien steuern den Datenverkehrsfluss durch die FTI. Sie können die Sicherheitsrichtlinien auf der SRX-Firewall so konfigurieren, dass Datenverkehr durch die FTI geleitet oder verweigert wird. Die folgende Beispielkonfiguration zeigt, wie eine FTI auf der SRX-Firewall konfiguriert wird.
-
Konfigurieren Sie die FTI mit
vxlan-gpeKapselung.set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.1/24 set interfaces lo0 unit 0 family inet address 192.168.100.1
-
Konfigurieren Sie die FTI und weisen Sie sie einer Sicherheitszone zu. Weitere Informationen zu Sicherheitszonen finden Sie unter https://www.juniper.net/documentation/us/en/software/junos/security-policies/topics/topic-map/security-zone-configuration.html.
set security zones security-zone FTI-ZONE host-inbound-traffic system-services all set security zones security-zone FTI-ZONE host-inbound-traffic protocols all set security zones security-zone FTI-ZONE interfaces fti0.0
-
Erstellen Sie eine Richtlinie für den Datenverkehr, der an die FTI gesendet wird, und die Aktionen, die ausgeführt werden müssen, wenn der Datenverkehr die Schnittstelle passiert. In diesem Beispiel lassen wir den gesamten Datenverkehr durch. Weitere Informationen zum Konfigurieren von Sicherheitsrichtlinien finden Sie unter https://www.juniper.net/documentation/us/en/software/junos/security-policies/topics/topic-map/security-policy-configuration.html.
set security policies from-zone FTI-ZONE to-zone trust policy fti-out match source-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-out match destination-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-out match application any set security policies from-zone FTI-ZONE to-zone trust policy fti-out then permit set security policies from-zone FTI-ZONE to-zone trust policy fti-in match source-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-in match destination-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-in match application any set security policies from-zone FTI-ZONE to-zone trust policy fti-in then permit set routing-options static route 198.51.100.2/32 next-hop 10.100.12.2
Verifizieren der flexiblen Tunnelerstellung
Verwenden Sie den Befehl show interfaces fti0.0 , um Informationen über die flexible Tunnelschnittstelle anzuzeigen:
user@device1>show interfaces fti0.0
Logical interface fti0.0 (Index 72) (SNMP ifIndex 520)
Flags: Up Point-To-Point SNMP-Traps Encapsulation: VXLAN-GPEv4
Destination UDP port: 4789, Source UDP port range: [49160 - 65535],
VNI: 22701, Source address: 10.0.0.2, Destination address: 10.0.0.1
Input packets : 0
Output packets: 5
Security: Zone: FTI-ZONE
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf ospf3 pgm pim rip ripng router-discovery
rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp
snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping lsselfping ntp sip dhcpv6 r2cp webapi-clear-text webapi-ssl
tcp-encap sdwan-appqoe high-availability
Protocol inet, MTU: 1450
Max nh cache: 0, New hold nh limit: 0, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.18.1/24, Local: 10.18.1.2, Broadcast: 10.18.1.255
Beispiel: Konfigurieren flexibler Tunnelschnittstellen auf Routern der MX-Serie
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein MX10003 und ein MX-Serie 5G-Universelle Routing-Plattform.
Junos OS Version 18.3 oder höher.
Überblick
In diesem Beispiel werden flexible Tunnelschnittstellen verwendet, um ein Layer-3-VPN-Overlay-Netzwerk zwischen zwei Routern zu erstellen. In der tatsächlichen Bereitstellung kann einer der Endpunkte der Server in einem Datencenter oder ein Datencenter-Gateway sein.
Betrachten Sie eine Beispieltopologie, in der ein Gatewaygerät (PE1) als Bindeglied zwischen den Unternehmenskunden fungiert, um die Kundenseite für einen FTI-Tunnel darzustellen. eBGP wird verwendet, um Routen zwischen Kunden-Edge- (CE1) und Provider-Edge-Geräten (PE1) zu verteilen. IPv4 wird für die Übertragung von Testframes über das Layer-3-Netzwerk verwendet. Dieser Test wird verwendet, um den Datenverkehr zwischen CE1 und CE2 zu übertragen. Logische Schnittstellen auf beiden Routern sind mit IPv4-Adressen konfiguriert, um eine FTI zur Übertragung des Datenverkehrs von Netzwerkgeräten für den IPv4-Dienst zu erstellen.
Abbildung 2 zeigt die Beispieltopologie für die Leistung einer FTI für einen Layer-3-IPv4-Service.
Konfiguration
In diesem Beispiel konfigurieren Sie FTI für einen Layer-3-IPv4-Service, der sich zwischen der Schnittstelle fti0 auf PE1 und der Schnittstelle fti0 auf PE2 befindet, um eine Tunnelschnittstelle der verbindenden Router zu bilden.
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der Hierarchieebene [edit] ein:
So konfigurieren Sie Parameter in PE1
set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.1/24
So konfigurieren Sie Parameter in PE2
set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.2/24
Konfiguration auf PE1
Schritt-für-Schritt-Anleitung
Für die folgenden Schritte müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die Parameter in PE1:
Wechseln Sie im Konfigurationsmodus in die
[edit interfaces]Hierarchieebene:[edit] user@host# edit interfaces
Konfigurieren Sie die FTI und eine logische Einheit und geben Sie die Protokollfamilie an.
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe
Geben Sie die Quelladresse für die logische Schnittstelle an.
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1
Geben Sie die Zieladresse für die logische Schnittstelle an.
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2
Set
tunnel-endpointmit der Kapselungvxlan.[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan
Geben Sie den UDP-Portwert des Ziels an, das im UDP-Header für die generierten Frames verwendet werden soll.
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789
Geben Sie den Wert an, der
vniverwendet werden soll, um die Kapselungvxlan-gpeauf der Schnittstelle zu identifizieren.[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701
Geben Sie die Adresstypfamilie für die Schnittstelle an.
[set interfaces] user@host# set interfaces fti0 unit 0 family inet address 198.51.100.1/24
Konfiguration auf PE2
Schritt-für-Schritt-Anleitung
Für die folgenden Schritte müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die Parameter in PE2:
Wechseln Sie im Konfigurationsmodus in die
[edit interfaces]Hierarchieebene:[edit] user@host# edit interfaces
Konfigurieren Sie die FTI und eine logische Einheit und geben Sie die Protokollfamilie an.
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe
Geben Sie die Quelladresse für die logische Schnittstelle an.
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.2
Geben Sie die Zieladresse für die logische Schnittstelle an.
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.1
Set
tunnel-endpointmit der Kapselungvxlan.[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan
Geben Sie den UDP-Portwert des Ziels an, das im UDP-Header für die generierten Frames verwendet werden soll.
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789
Geben Sie den Wert an, der
vniverwendet werden soll, um die Kapselungvxlan-gpeauf der Schnittstelle zu identifizieren.[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701
Geben Sie die Adresstypfamilie für die Schnittstelle an.
[set interfaces] user@host# set interfaces fti0 unit 0 family inet address 198.51.100.2/24
Nachdem die Konfiguration erfolgreich abgeschlossen wurde, können Sie die Parameter anzeigen, indem Sie den
show fti0Befehl eingeben.
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration auf PE1 und PE2, indem Sie den show Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Parameter auf PE1:
[edit interfaces]
fti0{
unit 0 {
tunnel {
encapsulation vxlan-gpe {
source {
address 198.51.100.1;
}
destination {
address 198.51.100.2;
}
tunnel-endpoint vxlan;
destination-udp-port 4789;
vni 22701;
}
}
family inet {
address 198.51.100.1/24;
}
}
Parameter auf PE2:
[edit interfaces]
fti0{
unit 0 {
tunnel {
encapsulation vxlan-gpe {
source {
address 198.51.100.2;
}
destination {
address 198.51.100.1;
}
tunnel-endpoint vxlan;
destination-udp-port 4789;
vni 22701;
}
}
family inet {
address 198.51.100.2/24;
}
}
Nachdem Sie die Schnittstelle konfiguriert haben, geben Sie den commit Befehl im Konfigurationsmodus ein.
Verifizierung
Überprüfung der Ergebnisse
Zweck
Stellen Sie sicher, dass der erforderliche und gewünschte Tunnel die Werte anzeigt, die für den FTI-Test konfiguriert sind, der im flexiblen Tunnel zwischen PE1 und PE2 ausgeführt wird.
Aktion
Geben Sie im Betriebsmodus den show interfaces fti0 Befehl ein, um den Status der FTIs anzuzeigen, die mit der neuen Kapselung vxlan-gpekonfiguriert wurden. Die Ausgabe überprüft, ob die FTI konfiguriert ist und die physische Verbindung ist up.
Konfigurieren der IP-IP-Entkapselung durch Tunnelterminierung auf FTI
Bei der filterbasierten Entkapselung werden die entkapselten Pakete für die interne Header-Suche erneut zirkuliert und entsprechend weitergeleitet. Die Tunnelterminierung wird jedoch in einem einzigen Durchgang der Paketverarbeitung abgeschlossen und bietet somit eine Leistungsverbesserung gegenüber einem filterbasierten Prozess. Ab Junos OS Evolved Version 20.1R2 können Sie die IP-IP-Entkapselung auf einer flexiblen Tunnelschnittstelle auf Routern der PTX-Serie konfigurieren, indem Sie die Tunnelterminierung konfigurieren. Sie können die IP-IP-Entkapselung auf einer flexiblen Tunnelschnittstelle konfigurieren, indem Sie die Tunnelterminierung auf Hierarchieebene [edit interfaces fti0 unit number tunnel encapsulation IPIP] konfigurieren.
Für Junos OS Evolved Version 20.1R2 unterstützt FTI die Kapselung nicht.
So konfigurieren Sie die IP-IP-Entkapselung durch Tunnelterminierung:
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.