Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Filtern von Unicast-Paketen über Multicast-Tunnel-Schnittstellen

Konfiguration von Unicast-Tunneln

Um einen Unicast-Tunnel zu konfigurieren, konfigurieren Sie eine gr- Schnittstelle (für die Verwendung von GRE-Kapselung) oder eine ip- Schnittstelle (zur Ip-IP-Kapselung) und fügen die tunnel anweisungen family ein:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces]

  • [edit logical-systems logical-system-name interfaces]

Sie können mehrere logische Einheiten für jede GRE- oder IP-IP-Schnittstelle konfigurieren und nur einen Tunnel pro Einheit konfigurieren.

Hinweis:

Auf Routern der M- und T-Serie können Sie die Schnittstelle auf einem Service-PIC oder einem Tunnel-PIC konfigurieren. Konfigurieren Sie auf Routern der MX-Serie die Schnittstelle auf einer Multiservices-DPC.

Jede Tunnelschnittstelle muss eine Punkt-zu-Punkt-Schnittstelle sein. Punkt zu Punkt ist der Standardtyp der Schnittstellenverbindung, sodass Sie die point-to-point Anweisung nicht in die logische Schnittstellenkonfiguration aufnehmen müssen.

Sie müssen die Ziel- und Quelladressen des Tunnels angeben. Die übrigen Aussagen sind optional.

Hinweis:

Für Transitpakete, die den Tunnel verlassen, werden Funktionen für Weiterleitungspfade wie Reverse Path Forwarding (RPF), Weiterleitungstabellenfilterung, Quellklassennutzung, Verwendung von Zielklassen und zustandslose Firewall-Filterung auf den Schnittstellen, die Sie als Tunnelquellen konfigurieren, nicht unterstützt, werden aber auf Tunnel-Pic-Schnittstellen unterstützt.

Die aus dem GRE- oder IP-IP-Header gewonnenen Class-of-Service -Informationen (CoS) werden jedoch über den Tunnel übertragen und von den erneut eingebenden Paketen verwendet. Weitere Informationen finden Sie im Junos OS Class of Service-Benutzerhandbuch für Routing-Geräte.

Um eine ungültige Konfiguration zu verhindern, verbietet Junos OS es, die durch die source Oder-Anweisung destination auf [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] Hierarchieebene angegebene Adresse mit der eigenen Subnetzadresse der Schnittstelle zu identisch zu setzen, die durch die address Anweisung auf [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] Hierarchieebene angegeben wird.

Um das Time-to-Live-Feld (TTL) festzulegen, das im Verkapselungs-Header enthalten ist, fügen Sie die ttl Anweisung ein. Wenn Sie einen TTL-Wert explizit für den Tunnel konfigurieren, müssen Sie ihn so konfigurieren, dass er größer ist als die Anzahl der Hops im Tunnel. Wenn der Tunnel beispielsweise sieben Hops hat, müssen Sie einen TTL-Wert von 8 konfigurieren.

Sie müssen mindestens eine Familie auf der logischen Schnittstelle konfigurieren. Um MPLS über GRE-Tunnelschnittstellen zu aktivieren, müssen Sie die family mpls Anweisung in die GRE-Schnittstellenkonfiguration aufnehmen. Darüber hinaus müssen Sie die entsprechenden Anweisungen auf Hierarchieebene [edit protocols] hinzufügen, um Resource Reservation Protocol (RSVP), MPLS und Label-Switched Paths (LSPs) über GRE-Tunnel zu aktivieren. Unicast-Tunnel sind bidirektional.

Ein konfigurierter Tunnel kann auf dem Weg zum Ziel keine Network Address Translation (NAT) durchlaufen. Weitere Informationen finden Sie unter Übersicht über Tunnelservices und im Benutzerhandbuch zu MPLS-Anwendungen.

Für einen GRE-Tunnel ist der Standard, die ToS-Bits im äußeren IP-Header auf alle Nullen festzulegen. Wenn die Routing-Engine die ToS-Bits aus dem inneren IP-Header nach außen kopiert, fügen Sie die Anweisung ein copy-tos-bits-to-outer-ip-header . (Dieses nach innen nach außen kopierte ToS-Bits ist bereits das Standardverhalten für IP-IP-Tunnel.)

Für GRE-Tunnelschnittstellen auf Adaptive Services- oder Multiservices-Schnittstellen können Sie zusätzliche Tunnelattribute konfigurieren, wie in den folgenden Abschnitten beschrieben:

Konfigurieren einer Schlüsselzahl auf GRE-Tunneln

Für Adaptive Services- und Multiservices-Schnittstellen auf Routern der M-Serie und der T-Serie können Sie einen Schlüsselwert zuweisen, um einen individuellen Datenverkehrsfluss innerhalb eines GRE-Tunnels zu identifizieren, wie in RFC 2890, Key and Sequence Number Extensions to GRE definiert. Für jedes Quell- und Zielpaar des Tunnels ist jedoch nur ein Schlüssel zulässig.

Jedes ip Version 4 (IPv4)-Paket, das in den Tunnel eintritt, wird mit dem GRE-Tunnel-Schlüsselwert gekapselt. Jedes IPv4-Paket, das den Tunnel verlässt, wird durch den GRE-Tunnel-Schlüsselwert überprüft und entkapselt. Der Adaptive Services- oder Multiservices-PIC löscht Pakete, die nicht dem konfigurierten Schlüsselwert entsprechen.

Um einer GRE-Tunnelschnittstelle einen Schlüsselwert zuzuweisen, fügen Sie die Anweisung ein key :

Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Die Schlüsselzahl kann 0 bis 4.294.967.295 sein. Sie müssen denselben GRE-Tunnel-Schlüsselwert auf Tunnelendpunkten konfigurieren.

Das folgende Beispiel veranschaulicht die Verwendung der Key Statement in einer GRE-Tunnelkonfiguration:

Aktivierung der Paketfragmentierung in GRE-Tunneln vor der GRE-Kapselung

Nur für GRE-Tunnel-Schnittstellen auf Adaptive Services und Multiservices-Schnittstellen können Sie die Fragmentierung von IPv4-Paketen aktivieren, bevor sie in GRE-Tunneln gekapselt werden.

Standardmäßig ist der über GRE-Tunnel übertragene IPv4-Datenverkehr nicht fragmentiert. Um die Fragmentierung von IPv4-Paketen in GRE-Tunneln zu ermöglichen, fügen Sie die Anweisung ein clear-dont-fragment-bit :

Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Wenn Sie die clear-dont-fragment-bit Anweisung in die Konfiguration aufnehmen, wird das Don't-Fragment (DF)-Bit auf allen Paketen deaktiviert, auch für Pakete, die die Tunnel-MTU (Maximum Transmission Unit) nicht überschreiten. Wenn die Größe des Pakets den MTU-Wert des Tunnels übersteigt, wird das Paket vor der Kapselung fragmentiert. Wenn die Größe des Pakets den MTU-Wert des Tunnels nicht überschreitet, wird das Paket nicht fragmentiert.

Sie können das DF-Bit auch in Paketen löschen, die über IP-Sicherheitstunnel (IPsec) übertragen werden. Weitere Informationen finden Sie unter Konfigurieren von IPsec-Regeln.

Festlegen einer MTU-Einstellung für den Tunnel

Um Schlüsselzahlen und Fragmentierung auf GRE-Tunneln zu aktivieren (wie unter Konfigurieren einer Schlüsselzahl auf GRE-Tunneln und Aktivieren der Paketfragmentierung in GRE-Tunneln vor der GRE-Kapselung beschrieben), müssen Sie auch eine MTU-Einstellung für den Tunnel angeben.

Um eine MTU-Einstellung für den Tunnel anzugeben, fügen Sie die Anweisung ein mtu :

Sie können diese Anweisung auf den folgenden Hierarchieebenen einschließen:

  • [edit interfaces gr-fpc/pic/port unit logical-unit-number family inet]

  • [edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]

Weitere Informationen zu MTU-Einstellungen finden Sie in der Junos OS Network Interfaces Library for Routing Devices.

Konfigurieren eines GRE-Tunnels zum Kopieren von ToS-Bits in den äußeren IP-Header

Im Gegensatz zu IP-IP-Tunneln kopieren GRE-Tunnel die ToS-Bits standardmäßig nicht in den äußeren IP-Header. Wenn die Routing-Engine die inneren ToS-Bits in den äußeren IP-Header (was für einige Tunneled-Routing-Protokolle erforderlich ist) auf Paketen, die von der Routing-Engine gesendet werden, kopieren Sie die copy-tos-to-outer-ip-header Anweisung auf der Hierarchieebene der logischen Einheiten einer GRE-Schnittstelle. In diesem Beispiel werden die inneren ToS-Bits in den äußeren IP-Header eines GRE-Tunnels kopiert:

Ermöglichung von Fragmentierung und Reassemierung von Paketen nach GRE-Kapselung

Sie können die Fragmentierung und Reassemierung von Paketen ermöglichen, nachdem sie gre-kapselt für einen GRE-Tunnel gekapselt wurden. Wenn die Größe eines GRE-gekapselten Pakets größer ist als die MTU einer Verbindung, die das Paket durchläuft, wird das GRE-gekapselte Paket fragmentiert. Sie konfigurieren die GRE-Schnittstelle am Endpunkt des Tunnels so, dass die fragmentierten GRE-verkapselten Pakete neu zusammengesetzt werden, bevor sie weiter im Netzwerk verarbeitet werden.

Für jeden Tunnel, den Sie auf einer Schnittstelle konfigurieren, können Sie die Fragmentierung von GRE-gekapselten Paketen aktivieren oder deaktivieren, indem Sie die allow-fragmentation folgende Anweisung angeben do-not-fragment :

Sie können diese Anweisungen auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Wenn Sie in einem Tunnel konfigurieren allow-fragmentation , wird das DF-Bit nicht im äußeren IP-Header des GRE-gekapselten Pakets festgelegt, was eine Fragmentierung ermöglicht. Standardmäßig werden GRE-gekapselte Pakete, die die MTU-Größe einer Verbindung überschreiten, nicht fragmentiert und gelöscht.

Um die Reassemmierung fragmentierter GRE-gekapselter Pakete auf der GRE-Schnittstelle am Endpunkt des Tunnels zu ermöglichen, fügen Sie die Folgende Anweisung ein reassemble-packets :

Sie können diese Anweisung auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Ab Junos OS Version 17.3R1 können Sie die Fragmentierung und Reasssementierung von GRE-gekapselten Paketen auf GRE-Tunnel-Schnittstellen auf Routern der MX-Serie mit MPC7Es, MPC8Es und MPC9Es konfigurieren.

Ab Junos OS Version 17.1R1 können Sie die Fragmentierung und Reasssemierung von GRE-gekapselten Paketen auf GRE-Tunnel-Schnittstellen auf Routern der MX-Serie mit MPC2E-NGs, MPC3E-NGs, MPC5Es und MPC6Es konfigurieren.

Ab Junos OS Version 14.2 können Sie die Fragmentierung und Reassierung von GRE-gekapselten Paketen auf GRE-Tunnel-Schnittstellen auf Routern der MX-Serie mit MPC1s, MPC2s, MPC3s, MPC4s und MPC-16X10GEs konfigurieren.

In Junos OS Version 14.1 und früher wird die Fragmentierung und Reasssembly von GRE-verkapselten Paketen nur auf Routern der MX-Serie mit MS-DPCs unterstützt.

Unterstützung für IPv6 GRE-Tunnel

Ab Junos OS Version 17.3R1 können Sie IPv6 Generic Routing Encapsulation (GRE)-Tunnelschnittstellen auf Routern der MX-Serie konfigurieren. So können Sie einen GRE-Tunnel über ein IPv6-Netzwerk ausführen. Paketnutzlastfamilien, die innerhalb der IPv6 GRE-Tunnel gekapselt werden können, umfassen IPv4, IPv6, MPLS und ISO. Die Fragmentierung und Reassemierung der IPv6-Paketbereitstellung wird nicht unterstützt.

Um eine IPv6 GRE-Tunnelschnittstelle zu konfigurieren, geben Sie IPv6-Adressen für source und destination auf [interfaces gr-0/0/0 unit 0 tunnel] Hierarchieebene an, geben Sie family inet6 auf [interfaces gr-0/0/0 unit 0] Hierarchieebene eine IPv6-Adresse an und geben Sie eine IPv6-Adresse für address auf [interfaces gr-0/0/0 unit 0 family inet6] Hierarchieebene an.

Siehe auch

Beispiele: Konfiguration von Unicast-Tunneln

Konfigurieren Sie zwei IP-IP-Tunnel ohne Nummer:

Konfigurieren Sie nummerierte Tunnelschnittstellen, indem Sie eine Adresse auf [edit interfaces ip-0/3/0 unit (0 | 1) family inet] Hierarchieebene angeben:

Konfigurieren Sie mpls über GRE-Tunnel, indem Sie die family mpls Anweisung auf Hierarchieebene [edit interfaces gr-1/2/0 unit 0] einschlechen:

Siehe auch

Beschränkung von Tunneln auf Multicast-Datenverkehr

Für Schnittstellen, die IPv4- oder IP-Version 6 (IPv6)-Datenverkehr übertragen, können Sie eine Tunnelschnittstelle so konfigurieren, dass nur Multicast-Datenverkehr zulässt. Um einen reinen Multicast-Tunnel zu konfigurieren, fügen Sie die Anweisung ein multicast-only :

Sie können diese Anweisung auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

Multicast-Tunnel filtern alle Unicast-Pakete; Wenn ein eingehendes Paket nicht für ein Präfix 224/8 oder höher bestimmt ist, wird das Paket gelöscht und ein Zähler erhöht.

Sie kann diese Eigenschaft nur auf GRE-, IP-IP-, PIM- und Multicast-Tunnel (mt)-Schnittstellen konfigurieren.

Hinweis:

Wenn Ihr Router über einen Tunnel Services PIC verfügt, konfiguriert Junos OS automatisch eine Multicast-Tunnelschnittstelle (mt) für jedes virtuelle private Netzwerk (VPN), das Sie konfigurieren. Sie müssen keine Multicast-Tunnelschnittstellen konfigurieren.

Siehe auch