Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Grundlegendes zu filterbasiertem Tunneling in IPv4-Netzwerken

Grundlegendes zu filterbasiertem Tunneling in IPv4-Netzwerken

Generic Routing Encapsulation (GRE) in seiner einfachsten Form ist die Kapselung eines beliebigen Netzwerkschichtprotokolls über ein anderes Netzwerkschichtprotokoll, um unzusammenhängende Netzwerke zu verbinden, zwischen denen kein nativer Routingpfad besteht. Es handelt sich um ein verbindungs- und zustandsloses Layer-3-Kapselungsprotokoll, das keine Mechanismen für Zuverlässigkeit, Flusskontrolle oder Sequenzierung bietet.

GRE-Tunneling wird mit standardmäßigen Firewall-Filteraktionen initiiert. Der Datenverkehr fließt durch den Tunnel, sofern das Tunnelziel routingfähig ist. Bei Routern der MX-Serie wird diese Funktion auch in logischen Systemen unterstützt.

Für universelle 5G-Routing-Plattformen der MX-Serie ist es bei der Konfiguration von GRE-Tunneling mit Firewall-Filtern nicht erforderlich, Tunnelschnittstellen auf physischen Schnittstellenkarten (PICs) von Tunneldiensten oder auf MPC3E Modular Port Concentrators (MPCs) zu erstellen. Stattdessen übernehmen PFEs auf den Modular Interface Cards (MICs) oder MPCs die Kapselung und Entkapselung der GRE-Nutzlast und stellen die Tunneldienste für die relevanten Schnittstellen bereit. Daher kann ein Paar Router der MX-Serie als Provider-Edge-Router (PE) installiert werden, um Konnektivität mit Kunden-Edge-Routern (CE) in zwei getrennten Netzwerken bereitzustellen.

Bei Routern der PTX-Serie müssen die Netzwerkdienste aktiviert sein, damit filterbasiertes GRE-Tunneling funktioniert.enhanced-mode Weitere Informationen zum filterbasierten Tunneling auf dem PTX finden Sie unter .tunnel-end-point

Ingress Firewall-Filter auf dem Ingress PE Router

Auf dem Eingangs-PE-Router konfigurieren Sie eine Tunneldefinition, die einen unidirektionalen GRE-Tunnel angibt. Bei Routern der MX-Serie mit einer logischen MIC- oder MPC-Eingangsschnittstelle schließen Sie einen kapselnden Firewall-Filter an. Die Firewallfilteraktion verweist auf eine Tunneldefinition und initiiert die Kapselung übereinstimmender Pakete. Bei der Kapselung werden ein IPv4-Header und ein GRE-Header an das Nutzlastpaket angehängt und das resultierende GRE-Paket dann an den vom Filter angegebenen Tunnel weitergeleitet.

Ingress Firewall-Filter auf dem Egress PE Router

Auf dem ausgehenden PE-Router fügen Sie einen Entkapselungs-Firewallfilter an den Eingang aller logischen MIC- oder MPC-Schnittstellen an, bei denen es sich um angekündigte Adressen für den Router handelt. Der Firewall-Filter initiiert die Entkapselung von GRE-Protokollpaketen. Bei der Entkapselung wird der innere GRE-Header entfernt und das ursprüngliche Nutzlastpaket dann an sein ursprüngliches Ziel im Zielkundennetzwerk weitergeleitet. Wenn die Aktion eine optionale Routing-Instanz angibt, wird die Routensuche mit dieser sekundären Tabelle anstelle der primären Tabelle durchgeführt.

Merkmale von filterbasiertem Tunneling in IPv4-Netzwerken

Filterbasierte Tunnel in IPv4-Netzwerken sind unidirektional. Sie transportieren nur Transitpakete und benötigen keine Tunnelschnittstellen.

Unidirektionales Tunneling

Um filterbasierte GRE-Tunnel zu verwenden, fügen Sie zunächst Standard-Firewallfilter am Eingang jedes Tunnelendpunkts an (sowohl am Eingangs-PE-Router als auch am ausgehenden PE-Router). Am Eingang des Eingangs-PE-Routers wenden Sie einen kapselnden Firewall-Filter an. Wenden Sie am Eingang des ausgehenden PE-Routers einen Entkapselungs-Firewallfilter an.

Bidirektionales Tunneling

Für bidirektionales GRE-Tunneling können Sie dasselbe Paar PE-Router verwenden, aber Sie müssen einen zweiten Tunnel in umgekehrter Richtung konfigurieren.

Nutzlasten für den Transitverkehr

Ein filterbasierter GRE-IPv4-Tunnel kann nur Unicast- oder Multicast-Transitdatenverkehrsnutzlasten übertragen. Filterinitiierte Kapselungs- und Entkapselungsvorgänge werden auf PFEs für logische Ethernet-Schnittstellen und aggregierte Ethernet-Schnittstellen ausgeführt. Dieses Design ermöglicht eine effizientere Nutzung der PFE-Bandbreite im Vergleich zum GRE-Tunneling mit Tunnelschnittstellen. Routing-Protokollsitzungen können nicht zusätzlich zu den Firewall-basierten Tunneln konfiguriert werden.

Die PFEs arbeiten in der Weiterleitungsebene, um Pakete zu verarbeiten, indem sie sie zwischen Eingabe- und Ausgabeschnittstellen mithilfe einer lokal gespeicherten Weiterleitungstabelle weiterleiten, bei der es sich um eine lokale Kopie der Informationen von der Routing-Engine (RE) handelt.

Auf der anderen Seite arbeiten REs in der Steuerungsebene , um die Systemverwaltung, den Benutzerzugriff auf den Router und Prozesse für Routing-Protokolle, die Steuerung der Routerschnittstelle und einige Chassis-Komponenten zu handhaben. Die Junos OS-Architektur trennt die Funktionen dieser Ebenen, um eine flexible Plattformunterstützung und Skalierbarkeit der Plattformleistung zu ermöglichen. Eingangssteuerungspakete werden an die Steuerungsebene weitergeleitet, wo die GRE-Kapselungs- und -Entkapselungsprozesse der PFEs nicht verfügbar sind.

Obwohl Sie Firewall-Filter auf Loopback-Adressen anwenden können, werden GRE-Kapselungs- und -Entkapselungs-Firewall-Filteraktionen auf Router-Loopback-Schnittstellen nicht unterstützt.

Kompakte Konfiguration für mehrere GRE-Tunnel

Firewall-Filter unterstützen eine Vielzahl von Übereinstimmungskriterien und damit die Möglichkeit, mehrere GRE-Tunnel zu beenden, die den in einer einzelnen Firewall-Filterdefinition angegebenen Kriterien entsprechen. Durch das Erstellen mehrerer Tunnel mit jeweils eigenen Übereinstimmungsbedingungen können Sie Tunnel erstellen, die die GRE-Pakete des Kunden oder sich gegenseitig nicht stören und die Pakete nach der Entkapselung erneut in separate Routing-Tabellen einschleusen.

Tunneling mit Firewall-Filtern und Tunneling mit Tunnelschnittstellen

Tunneling mit Tunnelschnittstellen unterstützt sowohl Router-Steuerungsdatenverkehr und Transitdatenverkehr als auch Verschlüsselung. Beim Tunneling mit Firewall-Filtern ist dies nicht der Fall. Tunneling mit Firewall-Filtern bietet jedoch Vorteile bei Leistung und Skalierung.

Weiterleitungsleistung

Filterbasiertes Tunneling über IPv4-Netzwerke ermöglicht eine effizientere Nutzung der PFE-Bandbreite im Vergleich zum GRE-Tunneling mit Tunnelschnittstellen. Kapselung, Entkapselung und Routensuche sind Paket-Header-Verarbeitungsaktivitäten, die für Firewall-filterbasiertes Tunneling auf der PFE ausgeführt werden. Folglich muss der Encapsulator niemals Nutzlastpakete an eine separate Tunnelschnittstelle senden (die sich auf einem PIC in einem anderen Steckplatz befinden kann als die Schnittstelle, die Nutzlastpakete empfängt).

Verwandte Themen