Konfigurieren von Tunnelschnittstellen auf Routern der MX- und PTX-Serie

Grundlegendes zu Tunnelschnittstellen auf Routern der MX-Serie

Schnittstellentunnel (gr-, lt- und ip-basiert): Sie können schnittstellenbasierte Tunnel konfigurieren, wenn die Erzwingung des Bandbreitenprofils erforderlich ist.Die GRE-Tunnel unterstützen IPv4-, IPv6-, MPLS-, ISO- und Ethernet-Nutzlasten, während die IP-IP-Tunnel IPv4- und IPv6-Nutzlasten unterstützen.

Sie können schnittstellenbasierte Tunnel konfigurieren, um Folgendes zu implementieren:
- Tunneling über ein IP-Netzwerk mit Bandbreitenerzwingung pro Tunnel. Zum Beispiel in Richtung des Remote-Standorts.
- Steuerung für DDoS-Reinigung.
- Spiegelung an entfernte Ziele.
Während des GRE-Prozesses wird das Paket, nachdem der GRE-Header zum Paket hinzugefügt wurde, für eine zweite Suche an dieselbe Paketweiterleitungs-Engine zurückgesendet. Das Paket gelangt über die Loopback-Schnittstelle mit einer begrenzten Bandbreite von 400 G zurück in die Eingangspipeline. Das gekapselte Paket wird dann an das Ziel weitergeleitet.

Die Entkapselung des GRE-Tunnels wird durch Inline-Tunnelterminierung implementiert und verwendet nicht den Loopback-Stream. Die Paketleistung der Paketweiterleitungs-Engine wird jedoch durch zusätzliche Fabric-Hops beeinträchtigt, wenn der Datenverkehrsfluss von einer Paketweiterleitungs-Engine zur anderen wechselt.
Flexible Tunnelschnittstellen (FTIs): Sie können FTIs konfigurieren, wenn die Erzwingung des Bandbreitenprofils nicht erforderlich ist. FTIs unterstützen sowohl IPv4- als auch IPv6-Nutzlast. Sie können FTIs so konfigurieren, dass sie Folgendes implementieren:
- Spiegelung an entfernte Ziele.
- IP-Fabrics mit IP-IP-Overlays.
- Steuerung für DDoS-Reinigung.
Die Paketleistung wird aufgrund des zusätzlichen Lookups nach der Kapselung und Entkapselung verringert.
Dynamische Tunnel: Sie können dynamische Tunnel konfigurieren, um Gateways für Datencenter zu entwerfen.

Bei der Implementierung dynamischer Tunnel mit Loopback-Vermeidung wird die Paketleistung aufgrund des zusätzlichen Lookups nach einer Kapselung oder Entkapselung reduziert.
Auf Firewall-Filtern basierende Tunnel – Diese Tunnel unterstützen:
- GRE und GRE in UDP-Kapselung.
- GRE, IP-IP und GRE bei UDP-Entkapselung.
Sie können auf Firewall-Filtern basierende Tunnel konfigurieren, um Datencenter-Gateways zu entwerfen.

Sie können die GRE-basierte Kapselung und Entkapselung mithilfe einer Firewall-Filteraktion konfigurieren, ohne eine Tunnelschnittstelle zu verwenden. Die Kapselung und Entkapselung erfolgt an der Packet Forwarding Engine, die den Filter verarbeitet. Router der MX-Serie unterstützen Firewall-Filter bei:
- Schnittstellenebene bei der Eingabe (wird auf der eingehenden Packet Forwarding Engine ausgeführt)
- Schnittstellenebene am Ausgang (ausgeführt auf der ausgehenden Packet Forwarding Engine)
- Ebene der Weiterleitungstabelle (entweder vor der Routensuche oder nach der Routensuche). In beiden Fällen wird der Filter auf der Eingangs-PFE ausgeführt
In diesem Szenario wird die Paketleistung aufgrund des zusätzlichen Lookups nach der Kapselung verringert. Im Falle einer Entkapselung wird die Paketleistung aufgrund der Filterkonfiguration reduziert.

Grundlegendes zu Tunnelschnittstellen auf Routern der PTX-Serie

Sie können Tunnelschnittstellen konfigurieren, um verschiedene Funktionen auf den Routern der PTX-Serie zu implementieren. In den folgenden Abschnitten erhalten Sie einen Überblick über die Funktionen, die auf verschiedenen Routern der PTX-Serie implementiert sind.

Tunnelschnittstellen auf PTX10001-36MR, PTX10004, PTX10008 und PTX10016-Übersicht
Tunnelschnittstellen auf PTX1000, PTX5000 und PTX10002-50C-Übersicht

Tunnelschnittstellen auf PTX10001-36MR, PTX10004, PTX10008 und PTX10016-Übersicht

Dieser Abschnitt enthält Informationen zur Konfiguration von Tunnelschnittstellen zur Implementierung verschiedener Funktionen auf PTX10001-36MR-, PTX10004-, PTX10008- und PTX10016-Routern mit Junos OS Evolved.

Flexible Tunnelschnittstellen (FTIs): Sie können FTI-basierte Tunnel so konfigurieren, dass sie Folgendes implementieren:
- Steuerung für DDoS-Reinigung.
- Entkapselung für alle Anwendungsfälle dynamischer Tunnel.
Diese Tunnel unterstützen GRE-, UDP- und IP-IP-Kapselungs- und -Entkapselungsoptionen. Die Verringerung der Paketleistung hängt von der Kapselungsoption ab. Die Kapselung unterstützt eine abgeflachte Next-Hop-Topologie.

Sie können GRE-Tunnel auf flexiblen Tunnelschnittstellen konfigurieren. Wenn Sie die tunnel-termination Anweisung hier [edit interfaces fti0 unit unit-number family (inet | inet6)] aktivieren, werden Tunnel auf der WAN-Schnittstelle beendet, bevor andere Aktionen wie Sampling, Portspiegelung oder Filterung angewendet werden.
Flexible Tunnelschnittstellen (FTIs) durch einen Loopback: Sie können FTIs so konfigurieren, dass die Spiegelung an entfernte Ziele implementiert wird.

Bei einer FTI wird der Datenverkehr nach der Tunnelkapselung an die Loopback-Schnittstelle (auf der Eingangs-Paketweiterleitungs-Engine) und später an das endgültige Ziel gesendet. Zu den Zielen könnten diejenigen gehören, die sich hinter den nächsten Hops des Segment-Routing-Traffic Engineered (SR-TE) befinden. Die Loopback-Schnittstelle hat eine begrenzte Bandbreite von 400G.

Sie können die GRE/IP-in-IP/UDP-Tunnelkapselung auf FTIs mithilfe der Loopback-Schnittstelle konfigurieren. Sie können die Kapselung konfigurieren, indem Sie den Befehl tunnel encapsulation (gre|ipip|udp) source address destination address in der Hierarchie [edit interfaces fti0 unit unit-number verwenden. Bei der Konfiguration dieser Funktion müssen Sie die folgenden Punkte berücksichtigen:
- Durch das Hinzufügen tunnel-termination wird der Tunnel-Decap-Only-Tunnel und die Kapselung wird deaktiviert.
- Die Angabe der Quell- und Zieladresse ist obligatorisch, wenn Sie den Befehl nicht konfigurieren.
- Das Konfigurieren einer variablen Präfixmaske für die Quelladresse ist nicht zulässig
  
  Wenn Sie einen Firewall-Filter für die Entkapselung konfigurieren, entkapselt der Frewall-Filter die Pakete basierend auf den konfigurierten Übereinstimmungsbedingungen und -aktionen. Dann werden die entkapselten Pakete zurück in den Eingangsblock geleitet, um die Suche nach dem inneren Header durchzuführen, und entsprechend weitergeleitet. Die Tunnelterminierung wird jedoch in einem einzigen Durchgang der Paketverarbeitung abgeschlossen, wodurch eine Leistungsverbesserung gegenüber filterbasierten Prozessen erzielt wird.
  
  Um den Modus "Nur Terminierung" zu aktivieren, bei dem der Tunnel unidirektional ist, können Sie die Konfiguration in der [edit interfaces fti0 unit unit_number tunnel encapsulation (gre|ipip|udp)]Hierarchie auf der FTI vornehmentunnel-termination.
  Die Quelladresse kann ausgeschlossen werden, was bedeutet, dass der Tunnel an der konfigurierten Zieladresse endet. Die optionale tunnel-routing-instance Option gibt an, dass nach der Entkapselung die Suche nach der inneren IP mit der VRF-ID durchgeführt wird, die der Routing-Instanz entspricht.
  
  Pakete, die entkapselt werden sollen, werden in der Quell-Lookup-Unit verarbeitet. Der Suchschlüssel enthält die IPv4- oder IPv6-Zieladresse und optional die L3VPN-Adresse, falls der Tunnel nicht auf allen Schnittstellen beendet werden muss. Wenn die erste Suche erfolgreich war, ist keine weitere Quellsuche erforderlich, und der Tunnel wird beendet. Wenn eine zweite Suche für die Quelladresse erforderlich ist, führt die Quellsucheinheit eine weitere Suche mit der Quelladresse und dem ersten Suchergebnis als Schlüssel durch. Wenn die zweite Suche erfolgreich ist, wird der Tunnel beendet.
  
  Wenn Sie die tunnel-termination Anweisung in der Hierarchie [edit interfaces fti0 unit unit-number] aktivieren, werden Tunnel auf der WAN-Schnittstelle beendet, bevor andere Aktionen wie Sampling, Portspiegelung oder Filterung angewendet werden.
  
  Um die Tunnelterminierung auf der eingehenden Schnittstelle zu aktivieren, konfigurieren Sie tunnel-termination an der [edit interfaces et fpc/pic/port unit unit_number]
Dynamische Tunnel – Sie können dynamische Tunnel so konfigurieren, dass sie Folgendes entwerfen:
- IP-Fabrics.
- IP-Overlays.
- Datencenter-Gateways.
Diese Tunnel unterstützen die IP-IP-Kapselung.

Router der PTX-Serie mit Junos OS Evolved unterstützen keine dynamischen Tunnel für die Entkapselung. Stattdessen können Sie statische FTI-Tunnel für die Entkapselung verwenden, ohne die Zieladresse anzugeben. Die Tunnel werden mit der Option "Nur Entkapselung" konfiguriert.

Sie können Next-Hop-basierte dynamische UDP-Tunnel konfigurieren, die auch als MPLS-over-UDP-Tunnel bezeichnet werden. Junos OS erstellt dynamisch Next Hops, um die Tunnelzielroute aufzulösen. Sie können auch die Richtliniensteuerung verwenden, um MPLS-over-UDP-Tunnel über ausgewählte IP-Präfixe aufzulösen. Denn wenn die nächsten Hops standardmäßig aktiviert sind, bietet die MPLS-over-UDP-Funktion einen Skalierungsvorteil für die Anzahl der auf dem Router unterstützten IP-Tunnel.

Tunnelschnittstellen auf PTX1000, PTX5000 und PTX10002-50C-Übersicht

Dieser Abschnitt enthält Informationen zum Konfigurieren von Tunnelschnittstellen zur Implementierung verschiedener Funktionen auf PTX1000-, PTX5000- und PTX10002-50C-Routern mit Junos OS Evolved.

Flexible Tunnelschnittstellen (FTIs): Sie können FTIs für die Implementierung von IP-Fabric konfigurieren. Wir bevorzugen diese Option, wenn wir Tunnelziele über IP erreichen müssen. Diese Tunnel unterstützen:
- GRE-, UDP- und IP-IP-Kapselungsoptionen.
- UDP- und IP-IP-Entkapselungsoptionen.
Die Paketleistung wird aufgrund des zusätzlichen Lookups nach der Kapselung und Entkapselung verringert.
Dynamische Tunnel: Sie können dynamische Tunnel konfigurieren, um ein Datencenter-Gateway zu entwerfen. Die Paketleistung wird durch zusätzlichen Lookup nach der Kapselung und Entkapselung reduziert.
Auf Firewall-Filtern basierende Tunnel: Sie können auf Firewall-Filtern basierende Tunnel so konfigurieren, dass Egress Peering Engineering (EPE) implementiert wird. Die Paketleistung wird während der Kapselung aufgrund der zusätzlichen Suche reduziert.
Spiegelung an Remote-Ziele: Sie können Tunneling von gespiegelten Paketen an Remote-Ziele implementieren. Die Paketleistung wird während der Kapselung aufgrund der zusätzlichen Suche reduziert.

Anwendungsfälle, die durch die Konfiguration von Tunneln auf Routern der MX- und PTX-Serie implementiert werden

Dieser Abschnitt enthält Informationen zu einigen der Anwendungsfälle bei der Konfiguration von Tunnelschnittstellen zur Implementierung verschiedener Funktionen (Anwendungsfälle) auf den Routern der MX- und PTX-Serie.

Port-Spiegelung zu Remote-Zielen
Datencenter-Gateways

Port-Spiegelung zu Remote-Zielen

Sie können die Portspiegelung für die Datenverkehrsanalyse auf Routern und Switches verwenden, die im Gegensatz zu Hubs nicht Pakete an jeden Port des Zielgeräts senden. Bei der Portspiegelung werden Kopien aller Pakete oder richtlinienbasierten Beispielpakete an lokale oder Remote-Analysetools gesendet, wo Sie die Daten überwachen und analysieren können.

Für einen Router der MX-Serie, der als PE-Router (Provider Edge) am kundenseitigen Edge eines Service-Provider-Netzwerks konfiguriert ist, können Sie einen Layer-2-Port-Mirroring-Firewall-Filter an den Eingangs- und Ausgangspunkten anwenden, um den Datenverkehr zwischen dem Router der MX-Serie und Kunden-Edge-Geräten (CE) wie Routern und Ethernet-Switches widerzuspiegeln.

Auf Routern der MX-Serie können Sie den an Tunnelschnittstellen ankommenden Datenverkehr zu mehreren Zielen spiegeln. Sie geben zwei oder mehr Ziele in einer Next-Hop-Gruppe an, definieren einen Firewall-Filter, der als Filteraktion auf die Next-Hop-Gruppe verweist, und wenden den Filter dann auf eine logische Tunnelschnittstelle (lt-) oder virtuelle Tunnelschnittstelle (vt-) auf dem Router der MX-Serie an.

Weitere Informationen finden Sie unter Konfigurieren der Port-Spiegelung und Konfigurieren der Port-Spiegelung für Remote-Ziele.

Wenn der Datenpfad einen FTI-basierten (Flexible Tunnel Interface) Tunnel durchquert, sendet der Router das Ausgabepaket mit Tunnelkapselung. Sie können eine Konfiguration einrichten, die sowohl das ursprüngliche Paket als auch das Paket mit allen Kapselungen beim Verlassen der Schnittstelle widerspiegelt.

So aktivieren Sie die Spiegelung basierend auf einem auf der FTI installierten Filter:

Sie markieren Pakete für die Spiegelung mithilfe der Richtlinienaktion bei der FTI. Der Router verwendet normalerweise die Richtlinienaktion, um die Ausgangsumschreibungsregel auszuwählen, aber in diesem Fall verwendet er die Richtlinienaktion, um interessante Pakete mit einem internen Richtlinienattribut zu markieren, ohne dass eine spezielle Umschreibungsregel konfiguriert ist.
Die Software fängt Pakete ab, die der spezifischen Richtlinie auf der Ausgangs-WAN-Seite entsprechen, und leitet die l2-mirror Aktion ein. Pakete werden mit Layer-2-Header-Informationen, einschließlich Tunnelkapselung, gemeldet.

Siehe Beispiel: Konfigurieren der lokalen Portspiegelung auf PTX-Routern Beispiel: Konfigurieren der lokalen Portspiegelung auf PTX-Routern und Beispiel: Konfigurieren der Remote-Port-Spiegelung auf PTX-Routern.

Datencenter-Gateways

Datencenter-Gateways verbinden das Internet oder Unternehmens-VPNs auf der einen Seite und virtuelle Maschinen, die auf Servern gehostet werden, auf der anderen Seite. Overlay-Transporttechnologien wie MPLS-over-GRE oder MPLS-over-UDP sind Teil eines Datencenter-Designs. Host-Routen werden vom SDN-Controller an das Datencenter-Gateway übermittelt und in virtuelle Routing- und Weiterleitungskontexte (VRF) oder Internet-Routing-Kontexte importiert. Die Server des Datencenters sind über Next-Hop-basierte dynamische Tunnel erreichbar. Tunnel werden auf Servern im Next-Hop-Auflösungsprozess des BGP-Routenprotokolls eingerichtet.

Wie in RFC 5549 beschrieben, wird IPv4-Datenverkehr von CPE-Geräten zu IPv4-over-IPv6-Gateways getunnelt. Diese Gateways werden CPE-Geräten über Anycast-Adressen angekündigt. Die Gateway-Geräte erstellen dann dynamische IPv4-over-IPv6-Tunnel zu Remote-CPE-Geräten und kündigen IPv4-Aggregatrouten an, um den Datenverkehr zu steuern. Routenreflektoren mit programmierbaren Schnittstellen speisen die Tunnelinformationen in das Netzwerk ein. Die Routenreflektoren sind über internes BGP (IBGP) mit Gateway-Routern verbunden, die die IPv4-Adressen von Hostrouten mit IPv6-Adressen als nächsten Hop ankündigen.

Der MPLS-over-UDP-Tunnel wird wie folgt gehandhabt:

Nachdem ein MPLS-over-UDP-Tunnel konfiguriert wurde, wird in der Routing-Tabelle inet.3 eine Tunnelzielmaskenroute mit einem Tunnel Composite-Next-Hop für den Tunnel erstellt. Diese IP-Tunnelroute wird nur zurückgezogen, wenn die dynamische Tunnelkonfiguration gelöscht wird.

Die Tunnelverbund-Next-Hop-Attribute umfassen Folgendes:
- Wenn der Layer 3 VPN Composite Next Hop deaktiviert ist: Quell- und Zieladresse, Kapselungszeichenfolge und VPN-Label.
- Wenn der Layer 3 VPN Composite-Next-Hop und die VPN-Label-Zuweisung pro Präfix aktiviert sind: Quelladresse, Zieladresse und Kapselungszeichenfolge.
- Wenn der Layer 3 VPN Composite Next Hop aktiviert und die Zuweisung von VPN-Bezeichnungen pro Präfix deaktiviert ist: Quelladresse, Zieladresse und Kapselungszeichenfolge. Die Route wird in diesem Fall der anderen VRF-Instanztabelle mit einer sekundären Route hinzugefügt.
Die PE-Geräte (Provider Edge) sind über eine IBGP-Sitzung miteinander verbunden. Der nächste Hop der IBGP-Route zu einem entfernten BGP-Nachbarn ist der nächste Hop des Protokolls, der mithilfe der Tunnelmaskenroute mit dem nächsten Tunnel-Hop aufgelöst wird.
Nachdem der nächste Hop des Protokolls über den Tunnelverbund-nächsten Hop aufgelöst wurde, werden indirekte nächste Hops mit Weiterleitungs-nächsten Hops erstellt.
Der Tunnelverbund-Next-Hop wird verwendet, um die nächsten Hops der indirekten Next-Hops weiterzuleiten.

Siehe Beispiel: Konfigurieren von dynamischen MPLS-over-UDP-Tunneln basierend auf dem nächsten Hop und Beispiel: Konfigurieren von dynamischen IP-over-IP-Tunneln basierend auf dem nächsten Hop