Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de un filtro de firewall para desencapsular el tráfico GRE o IPIP

La encapsulación de enrutamiento genérico (GRE) y la IP sobre IP (IPIP) proporcionan una ruta privada y segura para transportar paquetes a través de una red mediante la encapsulación (o tunelización) de los paquetes. La tunelización se realiza mediante puntos de conexión de túnel que encapsulan o desencapsulan el tráfico.

Puede utilizar un filtro de firewall para desencapsular el tráfico de túnel en el conmutador. Esta característica proporciona beneficios significativos en términos de escalabilidad, rendimiento y flexibilidad, ya que no es necesario crear una interfaz de túnel para realizar la desencapsulación. Por ejemplo, puede terminar muchos túneles desde varias direcciones IP de origen con un solo término de firewall.

Nota:

Los conmutadores EX4600, QFX5100 y OCX admiten hasta 512 túneles GRE, incluidos túneles creados con un filtro de firewall. Es decir, puede crear un total de 512 túneles GRE, independientemente del método que utilice.

Configuración de un filtro para desencapsular el tráfico GRE

Para configurar un filtro de firewall para desencapsular el tráfico GRE:

  1. Cree un filtro de firewall IPv4 y (opcionalmente) especifique una dirección de origen para el túnel:

    Debe crear un filtro IPv4 mediante porque el encabezado externo de un paquete GRE debe ser IPv4.family inet Si especifica una dirección de origen, debe ser una dirección en un dispositivo que encapsulará el tráfico en paquetes GRE.

    Nota:

    Para terminar muchos túneles desde varias direcciones IP de origen con un término de firewall, no configure una dirección de origen. En este caso, el filtro desencapsulará todos los paquetes GRE recibidos por la interfaz a la que se aplica el filtro.

  2. Especifique una dirección de destino para el túnel:

    Debe ser una dirección en una interfaz del conmutador en la que desea que finalicen el túnel o túneles y que se desencapsulen los paquetes GRE. También debe configurar esta dirección como un extremo de túnel en todos los enrutadores de origen del túnel con los que desee formar túneles en el conmutador.

  3. Especifique que el filtro debe coincidir y aceptar tráfico GRE:
  4. Especifique que el filtro debe desencapsular el tráfico GRE:

    En función de la configuración que haya realizado hasta ahora, el conmutador reenvía los paquetes desencapsulados comparando el encabezado interno con la tabla de enrutamiento predeterminada ().inet0 Si desea que el conmutador utilice una instancia de enrutamiento virtual para reenviar los paquetes desencapsulados, realice los pasos siguientes:

  5. Especifique el nombre de la instancia de enrutamiento virtual:
  6. Especifique que la instancia de enrutamiento virtual es un enrutador virtual:
  7. Especifique las interfaces que pertenecen al enrutador virtual:

Configuración de un filtro para desencapsular el tráfico IPIP

Para configurar un filtro de firewall para desencapsular el tráfico IPIP::

  1. Cree un filtro de firewall IPv4 y (opcionalmente) especifique una dirección de origen para el túnel:

    Debe crear un filtro IPv4 mediante porque el encabezado externo de un paquete IPIP debe ser IPv4.family inet Si especifica una dirección de origen, debe ser una dirección en un dispositivo que encapsulará el tráfico en paquetes IPIP.

    Nota:

    Para terminar muchos túneles desde varias direcciones IP de origen con un término de firewall, no configure una dirección de origen. En este caso, el filtro desencapsulará todos los paquetes IPIP recibidos por la interfaz a la que aplique el filtro.

  2. Especifique una dirección de destino para el túnel:

    Debe ser una dirección en una interfaz del conmutador en la que desea que finalicen el túnel o túneles y que se desencapsulen los paquetes IPIP. También debe configurar esta dirección como un extremo de túnel en todos los enrutadores de origen del túnel con los que desee formar túneles en el conmutador.

  3. Especifique que el filtro debe coincidir y aceptar tráfico IPIP:
  4. Especifique que el filtro debe desencapsular el tráfico IPIP:

    En función de la configuración que haya realizado hasta ahora, el conmutador reenvía los paquetes desencapsulados comparando el encabezado interno con la tabla de enrutamiento predeterminada ().inet0 Si desea que el conmutador utilice una instancia de enrutamiento virtual para reenviar los paquetes desencapsulados, realice los pasos siguientes:

  5. Especifique el nombre de la instancia de enrutamiento virtual:
  6. Especifique que la instancia de enrutamiento virtual es un enrutador virtual:
  7. Especifique las interfaces que pertenecen al enrutador virtual:

Aplicación del filtro a una interfaz

Después de crear el filtro de firewall, también debe aplicarlo a una interfaz que recibirá tráfico GRE o IPIP . Asegúrese de aplicarlo en la dirección de entrada. Por ejemplo, escriba

Dado que el encabezado externo de un paquete GRE o IPIP debe ser IPv4, debe aplicar el filtro a una interfaz IPv4 y especificar .family inet