Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Filtern von Unicastpaketen über Multicast-Tunnelschnittstellen

Konfigurieren von Unicast-Tunneln

Zum Konfigurieren eines Unicast-Tunnels konfigurieren Sie eine Schnittstelle (zur Verwendung von gr- GRE-Einkapselung) oder eine Schnittstelle (zur Verwendung der ip- IP-IP-Einkapselung) und fügen die tunnel folgenden Anweisungen family ein:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces]

  • [edit logical-systems logical-system-name interfaces]

Sie können mehrere logische Einheiten für jede GRE- oder IP-IP-Schnittstelle konfigurieren, und Sie können nur einen Tunnel pro Einheit konfigurieren.

Hinweis:

Auf Routern der M- und T-Serie können Sie die Schnittstelle auf einer Service-PIC oder einer Tunnel-PIC konfigurieren. Konfigurieren Sie auf Routern der MX-Serie die Schnittstelle auf einer Multiservices-DPC.

Jede Tunnelschnittstelle muss eine Point-to-Point-Schnittstelle sein. Punkt-zu-Punkt ist der Standardschnittstellenverbindungstyp, sodass Sie die Anweisung nicht in die point-to-point Logische Schnittstellenkonfiguration einbeziehen müssen.

Sie müssen die Ziel- und Quelladressen des Tunnels angeben. Die verbleibenden Aussagen sind optional.

Hinweis:

Für Transitpakete, die den Tunnel verlassen, werden Weiterleitungspfadfunktionen wie Reverse Path Forwarding (RPF), Weiterleitungstabellenfilterung, Quellklassenverwendung, Zielklassennutzung und zustandslose Firewallfilterung nicht an den Schnittstellen unterstützt, die Sie als Tunnelquellen konfigurieren, sondern werden auf Tunnel-PIC-Schnittstellen unterstützt.

Die aus dem GRE- oder IP-IP-Header gewonnenen Class-of-Service-Informationen (CoS) werden jedoch über den Tunnel übertragen und von den erneut einlaufenden Paketen verwendet. Weitere Informationen finden Sie im Junos OS Class of Service-Benutzerhandbuch für Routinggeräte.

Um eine ungültige Konfiguration zu verhindern, lässt junos OS es nicht zu, dass die von der source destination Oder-Anweisung auf Hierarchieebene [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] angegebene Adresse dieselbe wie die eigene Subnetzadresse der Schnittstelle ist, die durch die address Anweisung auf der [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] Hierarchieebene angegeben wird.

Um das im Header enthaltene Time-to-Live-Feld (TTL) festzulegen, fügen Sie die ttl Anweisung ein. Wenn Sie einen TTL-Wert für den Tunnel explizit konfigurieren, müssen Sie ihn so konfigurieren, dass er größer als die Anzahl der Hops im Tunnel ist. Wenn der Tunnel beispielsweise sieben Hops hat, müssen Sie einen TTL-Wert von 8 konfigurieren.

Sie müssen mindestens eine Familie auf der logischen Schnittstelle konfigurieren. Um MPLS über GRE-Tunnelschnittstellen zu aktivieren, müssen Sie die Anweisung in die family mpls GRE-Schnittstellenkonfiguration einbeziehen. Darüber hinaus müssen Sie auf Hierarchieebene [edit protocols] die entsprechenden Anweisungen hinzufügen, um RSVP (Resource Reservation Protocol), MPLS und Label Switched Paths (LSPs) über GRE-Tunnel zu aktivieren. Unicast-Tunnel sind bidirektional.

Ein konfigurierter Tunnel kann an keinem Punkt auf dem Weg zum Ziel durch Network Address Translation (NAT) gehen. Weitere Informationen finden Sie im Überblick über Tunneldienste und im Benutzerhandbuch für MPLS-Anwendungen.

Für einen GRE-Tunnel ist der Standard, dass die ToS-Bits im äußeren IP-Header auf alle Nullen gesetzt werden. Damit die Routing-Engine die ToS-Bits aus dem inneren IP-Header in die äußere Kopie kopiert, fügen Sie die copy-tos-bits-to-outer-ip-header Anweisung ein. (Das Kopieren von inner-zu-äußeren ToS-Bits ist bereits das Standardverhalten für IP-IP-Tunnel.)

Für GRE-Tunnelschnittstellen auf Adaptive Services- oder Multiservices-Schnittstellen können Sie zusätzliche Tunnelattribute konfigurieren, wie in den folgenden Abschnitten beschrieben:

Konfigurieren einer Schlüsselnummer in GRE-Tunneln

Für adaptive Services und Multiservices-Schnittstellen auf Routern der M-Serie und T-Serie können Sie einen Schlüsselwert zuweisen, um einen einzelnen Datenverkehrsfluss innerhalb eines GRE-Tunnels zu identifizieren, wie in RFC 2890, Key and Sequence Number Extensions to GRE definiert. Für jedes Tunnelquellen- und Zielpaar ist jedoch nur ein Schlüssel zulässig.

Jedes ip Version 4 (IPv4) Paket, das in den Tunnel eintritt, wird mit dem GRE Tunnel Key-Wert eingekapselt. Jedes IPv4-Paket, das den Tunnel verlässt, wird durch den GRE-Tunnelschlüsselwert überprüft und entkapselt. Die Pic für adaptive Dienste oder Multiservices lässt Pakete fallen, die nicht dem konfigurierten Schlüsselwert entsprechen.

Um einer GRE-Tunnelschnittstelle einen Schlüsselwert zuzuweisen, fügen Sie die key Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Die Schlüsselnummer kann 0 bis 4.294.967.295 sein. Sie müssen den gleichen GRE-Tunnelschlüsselwert auf Tunnelendpunkt konfigurieren.

Das folgende Beispiel veranschaulicht die Verwendung der Schlüsselaussage in einer GRE-Tunnelkonfiguration:

Aktivieren der Paketfragmentierung auf GRE-Tunneln vor der GRE-Einkapselung

Für GRE-Tunnelschnittstellen nur auf Adaptive Services- und Multiservices-Schnittstellen können Sie die Fragmentierung von IPv4-Paketen aktivieren, bevor sie in GRE-Tunneln GRE-encapsulated sind.

Standardmäßig ist der über GRE-Tunnel übertragene IPv4-Datenverkehr nicht fragmentiert. Um die Fragmentierung von IPv4-Paketen in GRE-Tunneln zu ermöglichen, fügen Sie die clear-dont-fragment-bit Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Wenn Sie die clear-dont-fragment-bit Anweisung in die Konfiguration einbeziehen, wird das DF-Bit (Don't-Fragment) auf allen Paketen gelöscht, selbst bei Paketen, die die maximale Übertragungseinheit (MTU) des Tunnels nicht überschreiten. Wenn die Paketgröße den MTU-Wert des Tunnels überschreitet, wird das Paket vor der Einkapselung fragmentiert. Wenn die Paketgröße den MTU-Wert des Tunnels nicht überschreitet, ist das Paket nicht fragmentiert.

Sie können auch das DF-Bit in Paketen löschen, die über IP-Sicherheit (IPsec)-Tunnel übertragen werden. Weitere Informationen finden Sie unter Konfigurieren von IPsec-Regeln.

Festlegen einer MTU-Einstellung für den Tunnel

Um Schlüsselnummern und Fragmentierung auf GRE-Tunneln zu aktivieren (wie in "Konfigurieren einer Schlüsselnummer auf GRE-Tunneln und Aktivieren der Paketfragmentierung auf GRE-Tunneln vor der GRE-Einkapselung" beschrieben), müssen Sie auch eine MTU-Einstellung für den Tunnel angeben.

Um eine MTU-Einstellung für den Tunnel anzugeben, fügen Sie die mtu Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:

  • [edit interfaces gr-fpc/pic/port unit logical-unit-number family inet]

  • [edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]

Weitere Informationen zu MTU-Einstellungen finden Sie in der Junos OS Network Interfaces Library for Routing Devices.

Konfigurieren eines GRE-Tunnels zum Kopieren von ToS-Bits in den äußeren IP-Header

Im Gegensatz zu IP-IP-Tunneln kopieren GRE-Tunnel die ToS-Bits standardmäßig nicht in den äußeren IP-Header. Wenn die Routing-Engine die inneren ToS-Bits in den äußeren IP-Header (der für einige Tunnel-Routing-Protokolle erforderlich ist) auf von der Routing-Engine gesendeten Paketen kopieren soll, fügen Sie die copy-tos-to-outer-ip-header Anweisung auf der Hierarchieebene der logischen Einheit einer GRE-Schnittstelle ein. In diesem Beispiel werden die inneren ToS-Bits in den äußeren IP-Header in einem GRE-Tunnel kopiert:

Aktivieren der Fragmentierung und Reassembly auf Paketen nach GRE-Kapselung

Sie können die Fragmentierung und Reassemmbly von Paketen aktivieren, nachdem sie für einen GRE-Tunnel gre-encapsulated wurden. Wenn die Größe eines GRE-gekapselten Pakets größer ist als die MTU einer Verbindung, die das Paket passiert, ist das GRE-gekapselte Paket fragmentiert. Sie konfigurieren die GRE-Schnittstelle am Endpunkt des Tunnels, um die fragmentierten GRE-eingekapselten Pakete wieder zusammenzufassen, bevor sie im Netzwerk weiter verarbeitet werden.

Für jeden Tunnel, den Sie auf einer Schnittstelle konfigurieren, können Sie die Fragmentierung von GRE-encapsulated-Paketen aktivieren oder deaktivieren, indem Sie die anweisung oderdo-not-fragment:allow-fragmentation

Sie können diese Anweisungen auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Wenn Sie in einem Tunnel konfigurieren allow-fragmentation , wird das DF-Bit nicht im äußeren IP-Header des GRE-verkapselten Pakets festgelegt, was eine Fragmentierung ermöglicht. Standardmäßig sind GRE-gekapselte Pakete, die die MTU-Größe einer Verbindung überschreiten, nicht fragmentiert und werden abgebrochen.

Um eine Reassembly fragmentierter GRE-gekapselter Pakete auf der GRE-Schnittstelle am Endpunkt des Tunnels zu ermöglichen, fügen Sie die reassemble-packets Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Ab Junos OS Version 17.3R1 können Sie die Fragmentierung und Neuzuordnung von GRE-eingekapselten Paketen auf GRE-Tunnelschnittstellen auf Routern der MX-Serie mit MPC7Es, MPC8Es und MPC9Es konfigurieren.

Ab Junos OS Version 17.1R1 können Sie die Fragmentierung und Neuzuordnung von GRE-eingekapselten Paketen auf GRE-Tunnelschnittstellen auf Routern der MX-Serie mit MPC2E-NGs, MPC3E-NGs, MPC5Es und MPC6Es konfigurieren.

Ab Junos OS Version 14.2 können Sie die Fragmentierung und Neuzuordnung von GRE-eingekapselten Paketen auf GRE-Tunnelschnittstellen auf Routern der MX-Serie mit MPC1s, MPC2s, MPC3s, MPC4s und MPC-16X10GEs konfigurieren.

In Junos OS Version 14.1 und früher wird die Fragmentierung und Neuzuordnung von GRE-eingekapselten Paketen nur auf Routern der MX-Serie mit MS-DPCs unterstützt.

Unterstützung für IPv6-GRE-Tunnel

Ab Junos OS Version 17.3R1 können Sie IPv6 Generic Routing Encapsulation (GRE)-Tunnelschnittstellen auf Routern der MX-Serie konfigurieren. So können Sie einen GRE-Tunnel über ein IPv6-Netzwerk ausführen. Paket-Payload-Familien, die innerhalb der IPv6-GRE-Tunnel verkapselt werden können, umfassen IPv4, IPv6, MPLS und ISO. Die Fragmentierung und Reassembly der IPv6-Bereitstellungspakete wird nicht unterstützt.

Um eine IPv6-GRE-Tunnelschnittstelle zu konfigurieren, geben Sie IPv6-Adressen für source und destination auf Hierarchieebene [interfaces gr-0/0/0 unit 0 tunnel] an, geben Sie auf Hierarchieebene [interfaces gr-0/0/0 unit 0] eine IPv6-Adresse für address die [interfaces gr-0/0/0 unit 0 family inet6] Hierarchieebene anfamily inet6.

Siehe auch

Beispiele: Konfigurieren von Unicast-Tunneln

Konfigurieren Sie zwei nicht nummerierte IP-IP-Tunnel:

Konfigurieren Sie nummerierte Tunnelschnittstellen, indem Sie eine Adresse auf Hierarchieebene [edit interfaces ip-0/3/0 unit (0 | 1) family inet] einstufen:

Konfigurieren Sie ein MPLS über GRE-Tunnel, indem Sie die family mpls Anweisung auf der [edit interfaces gr-1/2/0 unit 0] Hierarchieebene einbeziehen:

Siehe auch

Beschränkung von Tunneln auf Multicast-Datenverkehr

Für Schnittstellen, die IPv4- oder IP Version 6 (IPv6)-Datenverkehr übertragen, können Sie eine Tunnelschnittstelle so konfigurieren, dass nur Multicast-Datenverkehr zulässig ist. Um einen Multicast-Tunnel zu konfigurieren, fügen Sie die multicast-only Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen konfigurieren:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

Multicast-Tunnel filtern alle Unicast-Pakete; Wenn ein eingehendes Paket nicht für ein 224/8-Präfix oder mehr bestimmt ist, wird das Paket abgebrochen und ein Zähler wird erhöht.

Sie können diese Eigenschaft nur an GRE-, IP-IP-, PIM- und Multicast-Tunnel-Schnittstellen (mt) konfigurieren.

Hinweis:

Wenn Ihr Router über eine Tunneldienste-PIC verfügt, konfiguriert Junos OS automatisch eine Multicast-Tunnelschnittstelle (mt) für jedes von Ihnen konfigurierte virtuelle private Netzwerk (VPN). Sie müssen keine Multicast-Tunnelschnittstellen konfigurieren.

Siehe auch