Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Forwardage basé sur les flux ECMP

Ce sujet fournit une brève présentation du multi-chemin à coût égal (ECMP) pour le transport et le trafic latéral inversé sur les Junos OS SRX Series et les instances vSRX de données. Pour une couverture complète de l’implémentation ECMP sur les Junos OS SRX Series et vSRX instances.

Comprendre le forwarding basé sur les flux ECMP

Le routage multi-chemin à coût égal (ECMP) est une stratégie de routage réseau qui permet au trafic d’une même session ou flux (c’est-à-dire le trafic avec la même source et une même destination) d’être transmis entre plusieurs chemins à coût égal. Il s’agit d’un mécanisme qui vous permet d’équilibrer la charge du trafic et d’augmenter la bande passante en utilisant pleinement la bande passante sinon inutilisée sur les liaisons vers la même destination.

Lors du transfert d’un paquet, la technologie de routage doit déterminer le chemin du saut suivant à utiliser. Pour prendre une décision, l’équipement prend en compte les champs d’en-tête des paquets qui identifient un flux. Lors de l’utilisation d’ECMP, les chemins du saut suivant à coût égal sont identifiés à partir du calcul de la mesure du routage et des algorithmes de hachage. Autrement dit, les routes à coût égal ont les mêmes préférences et valeurs métriques, et le même coût pour le réseau. Le processus ECMP identifie un ensemble de routeurs, chacun d’entre eux s’axant sur l’égalité des coûts vers la destination. Les routes identifiées sont appelées ensemble ECMP. Étant donné qu’il ne s’adresse qu’à la destination du saut suivant, l’ECMP peut être utilisé avec la plupart des protocoles de routage.

Un ensemble de chemins multi-chemins à coût égal (ECMP) est mis en place lorsque la table de routage contient plusieurs adresses de saut suivant pour la même destination à coût égal. (Les routes d’un coût égal ont les mêmes préférences et valeurs métriques.) S’il existe un ensemble ECMP pour la route active, Junos OS utilise un algorithme de hachage pour choisir l’une des adresses du saut suivant dans le ensemble ECMP à installer dans la table de forwarding.

Vous pouvez configurer Junos OS de manière à ce que plusieurs entrées du saut suivant dans un ensemble ECMP soient installées dans la table de forwarding. Sur Juniper Networks, il est possible d’équilibrer la charge par flux pour répartir le trafic sur plusieurs chemins entre les équipements de routage. Sur Juniper Networks de sécurité, les adresses IP source/de destination et les protocoles sont examinés afin de déterminer les flux de trafic individuels. Les paquets pour le même flux sont transmis sur la même interface . l’interface ne change pas en cas d’ajout ou de modification de l’ensemble ECMP. Cela est important pour les fonctionnalités telles que la NAT source, où la traduction n’est exécutée que lors du premier chemin d’établissement de session pour les tunnels IDP, ALG et VPN basés sur le routeur. Si un paquet arrive sur une interface donnée dans un ensemble ECMP, l’équipement de sécurité garantit que le trafic inversé est transmis via la même interface.

Remarque:

Le forwarding basé sur les flux ECMP sur les équipements de sécurité s’applique aux flux de trafic unicast IPv4 et IPv6. À partir de Junos OS version 15.1X49-D60, le trafic unicast ECMP basé sur les flux du trafic unicast IPv6 est pris en charge sur tous les SRX Series et instances vSRX réseau. Le flux multicast n’est pas pris en charge.

Sur Juniper Networks de sécurité, le nombre maximal d’adresses du saut suivant dans un ensemble ECMP qui peut être installé dans la table de forwarding est de 16. Si un ensemble ECMP compte plus de 16 adresses de saut suivant, seules les 16 premières sont utilisées.

Dans un déploiement de cluster de châssis, une interface locale se trouve sur le même nœud que l’interface sur laquelle un paquet arrive, et une interface distante est une interface sur l’autre nœud du cluster de châssis. Si une route ECMP dispose à la fois d’interfaces locales et distantes dans un cluster de châssis, l’interface locale est alors privilégiée pour le saut suivant.

Si une adresse de saut suivant ne fait plus partie de l’ensemble ECMP ou si elle est supprimée de la table de routage à cause d’un changement de route, un flux qui utilise le saut suivant est redirigé et la session n’est pas affectée. Le réroutage du flux se fait également en cas de changement de configuration qui permet d’utiliser l’adresse du saut suivant ou si un administrateur désinstant l’interface du saut suivant sans la supprimer. Si une adresse saut suivant est supprimée de la table de routage parce que l’interface est supprimée ou que la session est intentionnellement autorisée, la session est supprimée sans être redirigée.

Remarque:

Nous recommandons que les interfaces d’un ensemble ECMP soient dans la même zone de sécurité. Si un flux est redirigé et que le flux redirigé utilise une interface dans une zone de sécurité différente de la route initiale, la session est a été interdite.

Pour configurer le forwarding basé sur les flux ECMP sur les équipements de sécurité Juniper Networks, définissez d’abord une stratégie de routage d’équilibrage de charge en incluant un ou plusieurs énoncés de configuration au niveau de [ ] niveau hiérarchique, avec policy-statement l’action edit policy-options load-balance per-packet . Puis appliquez la stratégie de routage aux routes exportées de la table de routage vers la table de routage. Pour ce faire, inclure les instructions de configuration et les énoncés de forwarding-table configuration au niveau de [ ] niveau export edit routing-options hiérarchique.

Implémentation ECMP pour les Junos OS SRX Series et les instances vSRX périphériques

Vous pouvez configurer ECMP pour les SRX Series et les instances vSRX pour implémenter l’équilibrage de la charge par flux afin de répartir le trafic sur plusieurs chemins entre les équipements de routage. Les routes à coût égal ont les mêmes préférences et valeurs métriques. Ces équipements examinent l’adresse IP source, l’adresse IP de destination et le protocole pour déterminer les flux de trafic individuels. Le trafic avec la même adresse IP source, l’adresse IP de destination et le numéro de protocole autorisés par une stratégie de sécurité est transmis au même saut suivant. Junos OS sur ces équipements utilise les informations de flux dans sa logique de hachage.

Pour Junos OS SRX Series et vSRX instances, un ensemble ECMP est constitué lorsque la table de routage contient plusieurs adresses de saut suivant pour la même destination à coût égal. ECMP permet d’installer plusieurs entrées du saut suivant dans un ensemble ECMP pour l’installer dans la table de forwarding. Les paquets pour le même flux sont transmis sur la même interface . l’interface ne change pas lorsqu’il y a des ajouts ou des modifications dans l’ensemble ECMP.

S’il existe un ensemble ECMP pour la route active, Junos OS utilise un algorithme de hachage pour choisir l’une des adresses du saut suivant dans le ensemble ECMP à installer dans la table de forwarding.

Remarque:

Le forwarding basé sur les flux ECMP sur les SRX Series et les instances vSRX s’applique aux flux de trafic unicast IPv4 et IPv6. À partir de Junos OS Version 15.1X49-D60 et Junos OS Release 17.3R1, le trafic unicast IPv6 basé sur les flux ECMP est pris en charge sur tous les équipements SRX Series et les instances vSRX. Le flux multicast n’est pas pris en charge.

ECMP pour le trafic inversé

À partir de Junos OS version 17.3, si vous activez la prise en charge par ECMP de la rétro-circulation du trafic, l’équipement SRX Series utilise un algorithme de hachage pour déterminer l’interface à utiliser pour le trafic inversé dans un flux. Ce processus s’apparente à un routage asymétrique dans lequel un paquet traverse une source vers une destination sur un chemin unique et prend un chemin différent lorsqu’il retourne à la source.

Si cette fonctionnalité n’est pas activée, l’SRX Series sélectionne un routeur dans l’ensemble ECMP vers l’interface entrante pour la rétro-circulation du trafic, c’est-à-dire le comportement par défaut.

Vous utilisez l’énoncé de configuration dans la hiérarchie [ ] pour configurer le transfert basé sur les flux ECMP afin d’utiliser un algorithme de hachage dans la sélection d’un routeur de l’ensemble ECMP pour un transit de trafic allow-reverse-ecmp edit security flow inversé. En d’autres cas, si vous activez cette fonction, plutôt que de sélectionner un route vers l’interface entrante, l’équipement SRX Series utilise un algorithme de hachage pour sélectionner un route dans l’ensemble ECMP pour un trafic inversé.

Étant donné que la stratégie basée sur les flux ECMP est basée sur des zones, la prise en charge de la recherche inversée ECMP garantit que l’interface de sortie utilisée pour le trafic inversé se trouve dans la même zone que l’interface d’entrée utilisée pour le trafic en provenance.

Remarque:

Les interfaces d’un ensemble ECMP doivent se trouver dans la même zone de sécurité. Si la zone d’interface de sortie est différente de la zone d’interface d’entrée, une session peut être créée mais les paquets sont abandonnés.

ATTENTION:

Si vous décidez d’activer la fonction ECMP inversée, prendre conscience de la condition suivante et prendre les mesures nécessaires pour l’éviter: Lorsque l’ECMP est utilisé, l’équipement SRX Series peut ne voir le trafic d’une session qu’à sens unique sur les équipements en amont. Des problèmes peuvent découler d’équipements en amont qui conservent l’état de session, par exemple pour le proxy TCP et le proxy SYN. Le problème est similaire à un comportement de routage asynchrone.

Exemple: Configuration du forwarding basé sur les flux ECMP

Cet exemple montre comment configurer le forwarding basé sur les flux ECMP.

Exigences

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Aperçu

Cet exemple configure trois routes ECMP statiques sur SRX Series périphérique. Chaque routeur statique utilise un routeur suivant pour atteindre le serveur de destination. Les interfaces en direction des routeurs sont affectées à la zone de sécurité non protégée. Cet exemple crée une stratégie de routage d’équilibrage de charge nommée et applique cette stratégie à tous les routages exportés depuis la table de routage vers load-balancing-policy la table de routage.

Topologie

La figure 1 illustre la topologie utilisée dans cet exemple.

Figure 1: Routes ECMP ECMP Routes

Configuration

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez/collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux de la hiérarchie de configuration.

Pour configurer le forwarding basé sur les flux ECMP:

  1. Configurer les interfaces.

  2. Configurez des routes statiques.

  3. Créez les trust zones de sécurité et les zones untrust associées.

  4. Configurez une entrée de carnet d’adresses pour le sous-réseau serveur.

    Cette entrée est utilisée dans la stratégie de sécurité.

  5. Configurez une stratégie de sécurité.

  6. Créez une stratégie de routage d’équilibrage de charge.

  7. Appliquez la stratégie de routage à tous les routages exportés depuis la table de routage vers la table de routage.

Résultats

À partir du mode de configuration, confirmez votre configuration en publiant show interfaces les commandes et le , show security show policy-options et show routing-options le Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérification de la table de passation de données

But

Vérifiez que les informations de route pour toutes les routes ECMP apparaissent dans le tableau de forwarding.

Action

À partir du mode opérationnel, saisissez la show route forwarding-table destination 172.16.1.0 commande.

Sens

La sortie indique un type de saut suivant, ce qui signifie que la route possède ulst plusieurs sauts suivants éligibles. Les paquets destinés au réseau 172.16.1.0 peuvent être utilisés par n’importe quel saut suivant dans la liste.

Tableau d’historique des publication
Libération
Description
15.1X49-D60
Depuis Junos OS version 15.1X49-D60, le trafic unicast ECMP basé sur les flux du trafic unicast IPv6 est pris en charge sur tous les SRX Series et instances vSRX réseau. Le flux multicast n’est pas pris en charge.
15.1X49-D60
Depuis Junos OS Version 15.1X49-D60 et Junos OS Release 17.3R1, le trafic unicast IPv6 est pris en charge par flux ECMP sur tous les équipements SRX Series et les instances vSRX. Le flux multicast n’est pas pris en charge.