Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Filtern von Unicast-Paketen über Multicast-Tunnelschnittstellen

Konfigurieren von Unicast-Tunneln

Um einen Unicast-Tunnel zu konfigurieren, konfigurieren Sie eine gr- Schnittstelle (für die Verwendung der GRE-Kapselung) oder eine ip- Schnittstelle (für die Verwendung der IP-IP-Kapselung) und schließen die tunnel family und-Anweisungen ein:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces]

  • [edit logical-systems logical-system-name interfaces]

Sie können mehrere logische Einheiten für jede GRE- oder IP-IP-Schnittstelle konfigurieren, und Sie können nur einen Tunnel pro Einheit konfigurieren.

Anmerkung:

Bei Routern der M- und T-Serie können Sie die Schnittstelle auf einem Service-PIC oder einem Tunnel-PIC konfigurieren. Konfigurieren Sie auf Routern der MX-Serie die Schnittstelle auf einem Multiservices-DPC.

Jede Tunnelschnittstelle muss eine Punkt-zu-Punkt-Schnittstelle sein. Punkt-zu-Punkt ist der standardmäßige Schnittstellenverbindungstyp, sodass Sie die point-to-point Anweisung nicht in die Konfiguration der logischen Schnittstelle aufnehmen müssen.

Sie müssen die Ziel- und Quelladressen des Tunnels angeben. Die übrigen Anweisungen sind optional.

Anmerkung:

Bei Transitpaketen, die den Tunnel verlassen, werden Weiterleitungspfadfunktionen wie RPF (Reverse Path Forwarding), Filterung von Weiterleitungstabellen, Verwendung von Quellklassen, Verwendung von Zielklassen und Filterung ohne zustandslose Firewall auf den Schnittstellen, die Sie als Tunnelquellen konfigurieren, nicht unterstützt, jedoch auf Tunnel-PIC-Schnittstellen.

CoS-Informationen (Class-of-Service), die aus dem GRE- oder IP-IP-Header abgerufen werden, werden jedoch über den Tunnel übertragen und von den erneut eingegebenen Paketen verwendet. Weitere Informationen finden Sie im Junos OS Class of Service User Guide for Routing Devices.

Um eine ungültige Konfiguration zu verhindern, lässt das Junos-Betriebssystem nicht zu, dass die durch die source oder-Anweisung destination auf der [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] Hierarchieebene angegebene Adresse mit der eigenen Subnetzadresse der Schnittstelle identisch ist, die durch die address Anweisung auf der Hierarchieebene [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] angegeben wird.

Um das TTL-Feld (Time-to-Live) festzulegen, das im kapselnden Header enthalten ist, schließen Sie die ttl Anweisung ein. Wenn Sie explizit einen TTL-Wert für den Tunnel konfigurieren, müssen Sie ihn so konfigurieren, dass er größer ist als die Anzahl der Hops im Tunnel. Wenn der Tunnel beispielsweise über sieben Hops verfügt, müssen Sie einen TTL-Wert von 8 konfigurieren.

Sie müssen mindestens eine Familie auf der logischen Schnittstelle konfigurieren. Um MPLS über GRE-Tunnelschnittstellen zu aktivieren, müssen Sie die family mpls Anweisung in die GRE-Schnittstellenkonfiguration aufnehmen. Darüber hinaus müssen Sie die entsprechenden Anweisungen auf Hierarchieebene [edit protocols] einschließen, um Resource Reservation Protocol (RSVP), MPLS und Label-Switched Paths (LSPs) über GRE-Tunnel zu aktivieren. Unicast-Tunnel sind bidirektional.

Ein konfigurierter Tunnel kann Network Address Translation (NAT) an keinem Punkt auf dem Weg zum Ziel durchlaufen. Weitere Informationen finden Sie unter Übersicht über Tunnelservices und im MPLS-Anwendungshandbuch.

Bei einem GRE-Tunnel werden die ToS-Bits im äußeren IP-Header standardmäßig auf Nullen gesetzt. Damit die Routing-Engine die ToS-Bits aus dem inneren IP-Header in den äußeren kopiert, fügen Sie die copy-tos-bits-to-outer-ip-header Anweisung ein. (Dieses Kopieren von In-to-Outer ToS-Bits ist bereits das Standardverhalten für IP-IP-Tunnel.)

Für GRE-Tunnelschnittstellen auf Adaptive Services- oder Multiservices-Schnittstellen können Sie zusätzliche Tunnelattribute konfigurieren, wie in den folgenden Abschnitten beschrieben:

Konfigurieren einer Schlüsselnummer in GRE-Tunneln

Für Adaptive Services- und Multiservices-Schnittstellen auf Routern der M- und T-Serie können Sie einen Schlüsselwert zuweisen, um einen einzelnen Datenverkehrsfluss innerhalb eines GRE-Tunnels zu identifizieren, wie in RFC 2890, Key and Sequence Number Extensions to GRE (Schlüssel- und Sequenznummernerweiterungen für GRE) definiert. Für jedes Tunnelquellen-Ziel-Paar ist jedoch nur ein Schlüssel zulässig.

Jedes IPv4-Paket (IP Version 4), das in den Tunnel gelangt, wird mit dem GRE-Tunnelschlüsselwert gekapselt. Jedes IPv4-Paket, das den Tunnel verlässt, wird durch den GRE-Tunnelschlüsselwert verifiziert und entkapselt. Der Adaptive Services- oder Multiservices-PIC verwirft Pakete, die nicht mit dem konfigurierten Schlüsselwert übereinstimmen.

Um einer GRE-Tunnelschnittstelle einen Schlüsselwert zuzuweisen, fügen Sie die key folgende Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Die Schlüsselnummer kann zwischen 0 und 4.294.967.295 liegen. Sie müssen denselben GRE-Tunnelschlüsselwert auf Tunnelendpunkten konfigurieren.

Das folgende Beispiel veranschaulicht die Verwendung der key-Anweisung in einer GRE-Tunnelkonfiguration:

Aktivieren der Paketfragmentierung in GRE-Tunneln vor der GRE-Kapselung

Nur für GRE-Tunnelschnittstellen auf Adaptive Services- und Multiservices-Schnittstellen können Sie die Fragmentierung von IPv4-Paketen aktivieren, bevor sie in GRE-Tunneln gekapselt werden.

Standardmäßig wird IPv4-Datenverkehr, der über GRE-Tunnel übertragen wird, nicht fragmentiert. Um die Fragmentierung von IPv4-Paketen in GRE-Tunneln zu aktivieren, fügen Sie die clear-dont-fragment-bit folgende Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Wenn Sie die clear-dont-fragment-bit Anweisung in die Konfiguration aufnehmen, wird das DF-Bit (Don't-Fragment) für alle Pakete gelöscht, auch für Pakete, die die maximale Übertragungseinheit (MTU) des Tunnels nicht überschreiten. Wenn die Größe des Pakets den MTU-Wert des Tunnels überschreitet, wird das Paket vor der Kapselung fragmentiert. Wenn die Größe des Pakets den MTU-Wert des Tunnels nicht überschreitet, wird das Paket nicht fragmentiert.

Sie können das DF-Bit auch in Paketen löschen, die über IPsec-Tunnel (IP Security) übertragen werden. Weitere Informationen finden Sie unter Konfigurieren von IPsec-Regeln.

Festlegen einer MTU-Einstellung für den Tunnel

Um Schlüsselnummern und Fragmentierung in GRE-Tunneln zu aktivieren (wie unter Konfigurieren einer Schlüsselnummer in GRE-Tunneln und Aktivieren der Paketfragmentierung in GRE-Tunneln vor der GRE-Kapselung beschrieben), müssen Sie auch eine MTU-Einstellung für den Tunnel angeben.

Um eine MTU-Einstellung für den Tunnel anzugeben, fügen Sie die mtu folgende Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:

  • [edit interfaces gr-fpc/pic/port unit logical-unit-number family inet]

  • [edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]

Weitere Informationen zu MTU-Einstellungen finden Sie in der Junos OS Network Interfaces Library for Routing Devices.

Konfigurieren eines GRE-Tunnels zum Kopieren von ToS-Bits in den äußeren IP-Header

Im Gegensatz zu IP-IP-Tunneln kopieren GRE-Tunnel die ToS-Bits standardmäßig nicht in den äußeren IP-Header. Damit die Routing-Engine die inneren ToS-Bits bei Paketen, die von der Routing-Engine gesendet werden, in den äußeren IP-Header kopiert (was für einige getunnelte Routing-Protokolle erforderlich ist), fügen Sie die copy-tos-to-outer-ip-header Anweisung auf der Hierarchieebene der logischen Einheit einer GRE-Schnittstelle ein. In diesem Beispiel werden die inneren ToS-Bits in den äußeren IP-Header eines GRE-Tunnels kopiert:

Ermöglichung von Fragmentierung und Reassemblierung von Paketen nach der GRE-Kapselung

Sie können die Fragmentierung und Reassemblierung von Paketen aktivieren, nachdem sie für einen GRE-Tunnel GRE-gekapselt wurden. Wenn die Größe eines GRE-gekapselten Pakets größer ist als die MTU einer Verbindung, die das Paket durchläuft, wird das GRE-gekapselte Paket fragmentiert. Sie konfigurieren die GRE-Schnittstelle am Endpunkt des Tunnels so, dass die fragmentierten GRE-gekapselten Pakete wieder zusammengesetzt werden, bevor sie im Netzwerk weiterverarbeitet werden.

Für jeden Tunnel, den Sie auf einer Schnittstelle konfigurieren, können Sie die Fragmentierung von GRE-gekapselten Paketen aktivieren oder deaktivieren, indem Sie die allow-fragmentation oder-Anweisung do-not-fragment einfügen:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Wenn Sie die Konfiguration für einen Tunnel vornehmen allow-fragmentation , wird das DF-Bit nicht im äußeren IP-Header des GRE-gekapselten Pakets festgelegt, wodurch eine Fragmentierung möglich ist. Standardmäßig werden GRE-gekapselte Pakete, die die MTU-Größe einer Verbindung überschreiten, nicht fragmentiert und verworfen.

Um die Reassemblierung fragmentierter GRE-gekapselter Pakete auf der GRE-Schnittstelle am Endpunkt des Tunnels zu ermöglichen, fügen Sie die reassemble-packets folgende Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Ab Junos OS Version 17.3R1 können Sie die Fragmentierung und Neuassemblierung von GRE-gekapselten Paketen auf GRE-Tunnelschnittstellen auf Routern der MX-Serie mit MPC7Es, MPC8Es und MPC9Es konfigurieren.

Ab Junos OS Version 17.1R1 können Sie die Fragmentierung und Neuassemblierung von GRE-gekapselten Paketen auf GRE-Tunnelschnittstellen auf Routern der MX-Serie mit MPC2E-NGs, MPC3E-NGs, MPC5Es und MPC6Es konfigurieren.

Ab Junos OS Version 14.2 können Sie die Fragmentierung und Neuassemblierung von GRE-gekapselten Paketen auf GRE-Tunnelschnittstellen auf Routern der MX-Serie mit MPC1s, MPC2s, MPC3s, MPC4s und MPC-16X10GEs konfigurieren.

In Junos OS Release 14.1 und früheren Versionen wird die Fragmentierung und Neuassemblierung von GRE-gekapselten Paketen nur auf Routern der MX-Serie mit MS-DPCs unterstützt.

Unterstützung für IPv6 GRE-Tunnel

Ab Junos OS Version 17.3R1 können Sie IPv6 Generic Routing Encapsulation (GRE)-Tunnelschnittstellen auf Routern der MX-Serie konfigurieren. Auf diese Weise können Sie einen GRE-Tunnel über ein IPv6-Netzwerk ausführen. Zu den Paketnutzlastfamilien, die in den IPv6-GRE-Tunneln gekapselt werden können, gehören IPv4, IPv6, MPLS und ISO. Die Fragmentierung und Reassemblierung der IPv6-Bereitstellungspakete wird nicht unterstützt.

Um eine IPv6-GRE-Tunnelschnittstelle zu konfigurieren, geben Sie IPv6-Adressen für source und destination auf Hierarchieebene [interfaces gr-0/0/0 unit 0 tunnel] an, geben Sie auf Hierarchieebene [interfaces gr-0/0/0 unit 0] und family inet6 eine IPv6-Adresse für address auf Hierarchieebene [interfaces gr-0/0/0 unit 0 family inet6] an.

Siehe auch

Beispiele: Konfigurieren von Unicast-Tunneln

Konfigurieren Sie zwei nicht nummerierte IP-IP-Tunnel:

Konfigurieren Sie nummerierte Tunnelschnittstellen, indem Sie eine Adresse auf Hierarchieebene [edit interfaces ip-0/3/0 unit (0 | 1) family inet] einfügen:

Konfigurieren Sie einen MPLS-over-GRE-Tunnel, indem Sie die family mpls Anweisung auf Hierarchieebene [edit interfaces gr-1/2/0 unit 0] einfügen:

Siehe auch

Beschränkung von Tunneln auf Multicast-Datenverkehr

Für Schnittstellen, die IPv4- oder IPv6-Datenverkehr (IP Version 6) übertragen, können Sie eine Tunnelschnittstelle so konfigurieren, dass nur Multicast-Datenverkehr zugelassen wird. Um einen Nur-Multicast-Tunnel zu konfigurieren, fügen Sie die multicast-only folgende Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

Multicast-Tunnel filtern alle Unicast-Pakete. Wenn ein eingehendes Paket nicht für ein Präfix von 224/8 oder höher bestimmt ist, wird das Paket verworfen und ein Zähler wird erhöht.

Sie können diese Eigenschaft nur für GRE-, IP-IP-, PIM- und Multicast-Tunnelschnittstellen (mt) konfigurieren.

Anmerkung:

Wenn Ihr Router über ein Tunnel Services PIC verfügt, konfiguriert das Junos-Betriebssystem automatisch eine Multicast-Tunnelschnittstelle (mt) für jedes von Ihnen konfigurierte Virtual Private Network (VPN). Sie müssen keine Multicast-Tunnelschnittstellen konfigurieren.

Siehe auch