Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen von filterbasiertem Tunneling in IPv4-Netzwerken

Verstehen von filterbasiertem Tunneling in IPv4-Netzwerken

Generic Routing Encapsulation (GRE) in seiner einfachsten Form ist die Einkapselung jedes Netzwerk-Layer-Protokolls über jedes andere Netzwerkschichtprotokoll, um unzusammenhängende Netzwerke zu verbinden, denen ein nativer Routing-Pfad dazwischen fehlt. Es ist ein verbindungsloses und zustandsloses Layer 3-Kapselungsprotokoll und bietet keine Mechanismen für Zuverlässigkeit, Flusskontrolle oder Sequenzierung.

GRE-Tunneling wird mit standardkonformen Firewall-Filteraktionen eingeleitet. Der Datenverkehr fließt durch den Tunnel, vorausgesetzt, dass das Tunnelziel routable ist. Für Router der MX-Serie wird diese Funktion auch in logischen Systemen unterstützt.

Bei universellen 5G-Routing-Plattformen der MX-Serie müssen Sie bei der Konfiguration von GRE-Tunneling mit Firewall-Filtern keine Tunnelschnittstellen auf physischen Schnittstellenkarten (PICs) von Tunnel Services oder auf MPC3E Modular Port Concentrators (MPCs) erstellen. Stattdessen handhaben PFEs auf den Modular Interface Cards (MICs) oder MPCs die GRE-Payload-Kapselung und -Entkapselung und stellen die Tunneldienste für die relevanten Schnittstellen bereit. Daher kann ein Paar Router der MX-Serie als Provider Edge (PE)-Router installiert werden, um die Konnektivität zu Kunden-Edge-Routern (CE) in zwei unzusammenhängenden Netzwerken bereitzustellen.

Für Router der PTX-Serie müssen Netzwerkservices so eingestellt werden, dass enhanced-mode filterbasiertes GRE-Tunneling funktioniert. Weitere Informationen zum filterbasierten Tunneling auf der PTX finden Sie unter tunnel-end-point .

Eingangs-Firewall-Filter auf dem Ingress PE-Router

Auf dem Ingress-PE-Router konfigurieren Sie eine Tunneldefinition, die einen unidirektionalen GRE-Tunnel angibt. Für Router der MX-Serie mit einer logischen MIC- oder MPC-Eingangsschnittstelle fügen Sie einen verkapselten Firewall-Filter an. Die Firewall-Filteraktion verweist auf eine Tunneldefinition und initiiert die Einkapselung von übereinstimmenden Paketen. Der Kapselungsprozess verknüpft das Payload-Paket mit einem IPv4-Header und einem GRE-Header und leitet das daraus resultierende GRE-Paket an den filterspezifischen Tunnel weiter.

Eingangs-Firewall-Filter auf dem Egress PE-Router

Auf dem Egress-PE-Router fügen Sie einen entkapselten Firewall-Filter an die Eingabe aller logischen MIC- oder MPC-Schnittstellen an, die für den Router angekündigt sind. Der Firewall-Filter initiiert die Entkapselung von GRE-Protokollpaketen. Die Entkapselung entfernt den inneren GRE-Header und leitet das ursprüngliche Payload-Paket an sein ursprüngliches Ziel im Zielkundennetzwerk weiter. Wenn die Aktion eine optionale Routinginstanz angibt, wird die Routensuche mit dieser sekundären Tabelle anstelle der Primärtabelle durchgeführt.

Merkmale des filterbasierten Tunnelings in IPv4-Netzwerken

Filterbasierte Tunnel in IPv4-Netzwerken sind unidirektional. Sie übertragen nur Transitpakete und benötigen keine Tunnelschnittstellen.

Unidirektionales Tunneling

Um filterbasierte GRE-Tunnel zu verwenden, fügen Sie standardmäßige Firewall-Filter am Eingang jedes Tunnelendpunkts an (sowohl am Ingress-PE-Router als auch am Egress-PE-Router). Am Eingang des Eingangs-PE-Routers wenden Sie einen verkapselten Firewall-Filter an. Wenden Sie am Eingang zum Egress-PE-Router einen entkapselten Firewall-Filter an.

Bidirektionales Tunneling

Für bidirektionales GRE-Tunneling können Sie dasselbe Pe-Routerpaar verwenden, sie müssen jedoch einen zweiten Tunnel in umgekehrter Richtung konfigurieren.

Payloads des Transitdatenverkehrs

Ein filterbasierter GRE IPv4-Tunnel kann nur Unicast- oder Multicast-Transitdatenverkehr übertragen. Filterinitiierte Kapselungs- und Entkapselungsvorgänge werden auf PFEs für logische Ethernet-Schnittstellen und aggregierte Ethernet-Schnittstellen ausgeführt. Dieses Design ermöglicht eine effizientere Nutzung der PFE-Bandbreite im Vergleich zum GRE-Tunneling über Tunnelschnittstellen. Routingprotokollsitzungen können nicht zusätzlich zu den Firewall-basierten Tunneln konfiguriert werden.

Die PFEs arbeiten in der Weiterleitungsebene , um Pakete zu verarbeiten, indem sie sie über eine lokal gespeicherte Weiterleitungstabelle, eine lokale Kopie der Informationen aus der Routing-Engine (RE), zwischen Ein- und Ausgabeschnittstellen weiterleiten.

Auf der anderen Seite arbeiten REs in der Steuerungsebene , um die Systemverwaltung, den Benutzerzugriff auf den Router und Prozesse für Routing-Protokolle, Router-Schnittstellensteuerung und einige Chassis-Komponentensteuerung zu handhaben. Die Junos OS-Architektur trennt die Funktionen dieser Ebenen voneinander, um eine flexible Plattformunterstützung und Skalierbarkeit der Plattformleistung zu ermöglichen. Eingangskontrollpakete werden auf die Steuerungsebene geleitet, wo die GRE-Kapselungs- und Entkapselungsprozesse der PFEs nicht verfügbar sind.

Obwohl Sie Firewall-Filter auf Loopback-Adressen anwenden können, werden GRE-Einkapselungs- und Entkapselungs-Firewall-Filteraktionen an Router-Loopback-Schnittstellen nicht unterstützt.

Kompakte Konfiguration für mehrere GRE-Tunnel

Firewall-Filter unterstützen eine Vielzahl von Übereinstimmungskriterien und damit die Möglichkeit, mehrere GRE-Tunnel zu beenden, die den in einer einzigen Firewall-Filterdefinition festgelegten Kriterien entsprechen. Durch das Erstellen mehrerer Tunnel mit jeweils eigenen Übereinstimmungsbedingungen können Sie Tunnel erstellen, die gre-Pakete des Kunden oder untereinander nicht stören und Pakete nach der Entkapselung in separate Routing-Tabellen einschleusen.

Tunneling mit Firewall-Filtern und Tunneling mit Tunnelschnittstellen

Tunneling mit Tunnelschnittstellen unterstützt sowohl den Routersteuerungs- und Transitdatenverkehr als auch die Verschlüsselung. Tunneling mit Firewall-Filtern nicht. Das Tunneling mit Firewall-Filtern bietet jedoch Vorteile in Bezug auf Leistung und Skalierung.

Weiterleitungsleistung

Filterbasiertes Tunneling in IPv4-Netzwerken ermöglicht eine effizientere Nutzung der PFE-Bandbreite im Vergleich zum GRE-Tunneling über Tunnelschnittstellen. Encapsulation, Entkapselung und Routensuche sind Aktivitäten zur Paket-Header-Verarbeitung, die für firewallfilterbasiertes Tunneling auf der PFE durchgeführt werden. Daher muss der Kapselungsulator niemals Payload-Pakete an eine separate Tunnelschnittstelle senden (die sich möglicherweise auf einer PIC in einem anderen Steckplatz befindet als die Schnittstelle, die Payload-Pakete empfängt).