Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrage de paquets unicast via des interfaces de tunnel multicast

Configuration des tunnels de monodiffusion

Pour configurer un tunnel unicast, vous devez configurer une gr- interface (pour utiliser l’encapsulation GRE) ou une ip- interface (pour utiliser l’encapsulation IP-IP) et inclure les tunnel instructions et family :

Vous pouvez configurer ces instructions aux niveaux hiérarchiques suivants :

  • [edit interfaces]

  • [edit logical-systems logical-system-name interfaces]

Vous pouvez configurer plusieurs unités logiques pour chaque interface GRE ou IP-IP, et vous ne pouvez configurer qu’un seul tunnel par unité.

Note:

Sur les routeurs M Series et T Series, vous pouvez configurer l’interface sur un pic de service ou un pic de tunnel. Sur les routeurs MX Series, configurez l’interface sur un DPC multiservices.

Chaque interface de tunnel doit être une interface point à point. Point à point est le type de connexion d’interface par défaut, vous n’avez donc pas besoin d’inclure l’instruction point-to-point dans la configuration de l’interface logique.

Vous devez spécifier les adresses de destination et source du tunnel. Les autres instructions sont facultatives.

Note:

Pour les paquets de transit sortant du tunnel, les fonctionnalités de chemin de transfert, telles que le transfert de chemin inverse (RPF), le filtrage de la table de transfert, l’utilisation de la classe source, l’utilisation de la classe de destination et le filtrage de pare-feu sans état, ne sont pas prises en charge sur les interfaces que vous configurez en tant que sources de tunnel, mais sont prises en charge sur les interfaces tunnel-pic.

Toutefois, les informations de classe de service (CoS) obtenues à partir de l’en-tête GRE ou IP-IP sont transportées sur le tunnel et sont utilisées par les paquets qui rentrent la route. Pour plus d’informations, reportez-vous au Guide de l’utilisateur de la classe de service de Junos OS pour les périphériques de routage.

Pour éviter une configuration non valide, Junos OS n’autorise pas la définition de l’adresse spécifiée par l’instruction source or destination au niveau hiérarchique [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] pour qu’elle soit identique à l’adresse de sous-réseau de l’interface, spécifiée par l’instruction address au niveau hiérarchique [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] .

Pour définir le champ de durée de vie (TTL) inclus dans l’en-tête d’encapsulation, incluez l’instruction ttl . Si vous configurez explicitement une valeur TTL pour le tunnel, vous devez la configurer pour qu’elle soit supérieure au nombre de sauts dans le tunnel. Par exemple, si le tunnel comporte sept sauts, vous devez configurer une valeur TTL de 8.

Vous devez configurer au moins une famille sur l’interface logique. Pour activer MPLS sur les interfaces de tunnel GRE, vous devez inclure l’instruction family mpls dans la configuration de l’interface GRE. En outre, vous devez inclure les instructions appropriées au niveau de la hiérarchie pour activer le [edit protocols] protocole de réservation de ressources (RSVP), MPLS et les chemins de commutation d’étiquettes (LSP) sur les tunnels GRE. Les tunnels unicast sont bidirectionnels.

Un tunnel configuré ne peut pas passer par la traduction d’adresses réseau (NAT) à aucun point du chemin vers la destination. Pour plus d’informations, consultez Présentation des services de tunnel et Guide de l’utilisateur des applications MPLS.

Pour un tunnel GRE, la valeur par défaut est de définir les bits ToS dans l’en-tête IP externe sur tous les zéros. Pour que le moteur de routage copie les bits ToS de l’en-tête IP interne vers l’en-tête externe, incluez l’instruction copy-tos-bits-to-outer-ip-header . (Cette copie des bits ToS de l’intérieur vers l’extérieur est déjà le comportement par défaut pour les tunnels IP-IP.)

Pour les interfaces de tunnel GRE sur les interfaces Adaptive Services ou Multiservices, vous pouvez configurer des attributs de tunnel supplémentaires, comme décrit dans les sections suivantes :

Configuration d’un numéro de clé sur les tunnels GRE

Pour les interfaces Adaptive Services et Multiservices sur les routeurs M Series et T Series, vous pouvez affecter une valeur de clé pour identifier un flux de trafic individuel dans un tunnel GRE, tel que défini dans la RFC 2890, Key and Sequence Number Extensions to GRE. Toutefois, une seule clé est autorisée pour chaque paire source-destination de tunnel.

Chaque paquet IP version 4 (IPv4) entrant dans le tunnel est encapsulé avec la valeur de la clé de tunnel GRE. Chaque paquet IPv4 sortant du tunnel est vérifié par la valeur de clé du tunnel GRE et désencapsulé. Le PIC Adaptive Services ou Multiservices supprime les paquets qui ne correspondent pas à la valeur de clé configurée.

Pour affecter une valeur de clé à une interface de tunnel GRE, incluez l’instruction key suivante :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Le numéro clé peut être compris entre 0 et 4 294 967 295. Vous devez configurer la même valeur de clé de tunnel GRE sur les points de terminaison de tunnel.

L’exemple suivant illustre l’utilisation de l’instruction key dans une configuration de tunnel GRE :

activation de la fragmentation des paquets sur les tunnels GRE avant l’encapsulation GRE

Pour les interfaces de tunnel GRE sur les interfaces Adaptive Services et Multiservices uniquement, vous pouvez activer la fragmentation des paquets IPv4 avant qu’ils ne soient encapsulés par GRE dans les tunnels GRE.

Par défaut, le trafic IPv4 transmis via les tunnels GRE n’est pas fragmenté. Pour permettre la fragmentation des paquets IPv4 dans les tunnels GRE, incluez l’instruction clear-dont-fragment-bit suivante :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Lorsque vous incluez l’instruction clear-dont-fragment-bit dans la configuration, le bit DF (Don’t-Fragment) est effacé sur tous les paquets, même ceux qui ne dépassent pas l’unité de transmission maximale (MTU) du tunnel. Si la taille du paquet dépasse la valeur MTU du tunnel, le paquet est fragmenté avant l’encapsulation. Si la taille du paquet ne dépasse pas la valeur MTU du tunnel, le paquet n’est pas fragmenté.

Vous pouvez également effacer le bit DF dans les paquets transmis via les tunnels de sécurité IP (IPsec). Pour plus d’informations, reportez-vous à la section Configuration des règles IPsec.

Spécification d’un paramètre MTU pour le tunnel

Pour activer les numéros de clé et la fragmentation sur les tunnels GRE (comme décrit dans Configuration d’un numéro de clé sur les tunnels GRE et Activation de la fragmentation des paquets sur les tunnels GRE avant l’encapsulation GRE), vous devez également spécifier un paramètre MTU pour le tunnel.

Pour spécifier un paramètre MTU pour le tunnel, incluez l’instruction mtu suivante :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

  • [edit interfaces gr-fpc/pic/port unit logical-unit-number family inet]

  • [edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]

Pour plus d’informations sur les paramètres MTU, reportez-vous à la bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage.

Configuration d’un tunnel GRE pour copier les bits ToS vers l’en-tête IP externe

Contrairement aux tunnels IP-IP, les tunnels GRE ne copient pas les bits ToS dans l’en-tête IP externe par défaut. Pour que le moteur de routage copie les bits ToS internes dans l’en-tête IP externe (ce qui est requis pour certains protocoles de routage tunnelisés) sur les paquets envoyés par le moteur de routage, incluez l’instruction copy-tos-to-outer-ip-header au niveau de la hiérarchie des unités logiques d’une interface GRE. Cet exemple copie les bits ToS internes vers l’en-tête IP externe d’un tunnel GRE :

Activation de la fragmentation et du réassemblage sur les paquets après l’encapsulation GRE

Vous pouvez activer la fragmentation et le réassemblage des paquets une fois qu’ils ont été encapsulés par GRE pour un tunnel GRE. Lorsque la taille d’un paquet encapsulé GRE est supérieure à la MTU d’une liaison traversée par le paquet, le paquet encapsulé GRE est fragmenté. Vous configurez l’interface GRE au point de terminaison du tunnel pour qu’elle réassemble les paquets fragmentés encapsulés par GRE avant qu’ils ne soient traités ultérieurement sur le réseau.

Pour chaque tunnel que vous configurez sur une interface, vous pouvez activer ou désactiver la fragmentation des paquets encapsulés par GRE en incluant l’instruction allow-fragmentation or do-not-fragment :

Vous pouvez configurer ces instructions aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Si vous effectuez une configuration allow-fragmentation sur un tunnel, le bit DF n’est pas défini dans l’en-tête IP externe du paquet encapsulé GRE, ce qui permet la fragmentation. Par défaut, les paquets encapsulés GRE qui dépassent la taille MTU d’une liaison ne sont pas fragmentés et sont abandonnés.

Pour permettre le réassemblage de paquets fragmentés encapsulés par GRE sur l’interface GRE au point de terminaison du tunnel, incluez l’instruction reassemble-packets suivante :

Vous pouvez configurer cette instruction aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

À partir de Junos OS version 17.3R1, vous pouvez configurer la fragmentation et le réassemblage des paquets encapsulés GRE sur les interfaces de tunnel GRE des routeurs MX Series avec MPC7E, MPC8Es et MPC9E.

À partir de Junos OS version 17.1R1, vous pouvez configurer la fragmentation et le réassemblage des paquets encapsulés GRE sur les interfaces de tunnel GRE sur les routeurs MX Series avec MPC2E-NG, MPC3E-NG, MPC5Es et MPC6E.

À partir de Junos OS version 14.2, vous pouvez configurer la fragmentation et le réassemblage des paquets encapsulés GRE sur les interfaces de tunnel GRE sur les routeurs MX Series avec MPC1, MPC2, MPC3, MPC4 et MPC-16X10GE.

Dans Junos OS Release Release 14.1 et versions antérieures, la fragmentation et le réassemblage des paquets encapsulés GRE sont pris en charge uniquement sur les routeurs MX Series équipés de MS-DPC.

Prise en charge des tunnels IPv6 GRE

À partir de Junos OS version 17.3R1, vous pouvez configurer des interfaces de tunnel d’encapsulation de routage générique (GRE) IPv6 sur les routeurs MX Series. Cela vous permet d’exécuter un tunnel GRE sur un réseau IPv6. Les familles de charges utiles de paquets pouvant être encapsulées dans les tunnels IPv6 GRE comprennent IPv4, IPv6, MPLS et ISO. La fragmentation et le réassemblage des paquets de livraison IPv6 ne sont pas pris en charge.

Pour configurer une interface de tunnel GRE IPv6, spécifiez les adresses IPv6 pour source et destination au niveau de la [interfaces gr-0/0/0 unit 0 tunnel] hiérarchie, spécifiez family inet6 au niveau de la [interfaces gr-0/0/0 unit 0] hiérarchie et spécifiez une adresse IPv6 pour address au niveau de la [interfaces gr-0/0/0 unit 0 family inet6] hiérarchie.

Exemples : Configuration de tunnels de monodiffusion

Configurez deux tunnels IP-IP non numérotés :

Configurez les interfaces de tunnel numérotées en incluant une adresse au niveau de la [edit interfaces ip-0/3/0 unit (0 | 1) family inet] hiérarchie :

Configurez un tunnel MPLS sur GRE en incluant l’instruction family mpls au niveau de la [edit interfaces gr-1/2/0 unit 0] hiérarchie :

Restriction des tunnels au trafic multicast

Pour les interfaces qui acheminent le trafic IPv4 ou IP version 6 (IPv6), vous pouvez configurer une interface de tunnel pour autoriser uniquement le trafic multicast. Pour configurer un tunnel multicast uniquement, incluez l’instruction multicast-only suivante :

Vous pouvez configurer cette instruction aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

Les tunnels multicast filtrent tous les paquets unicast ; Si un paquet entrant n’est pas destiné à un préfixe 224/8 ou supérieur, le paquet est abandonné et un compteur est incrémenté.

Vous pouvez configurer cette propriété uniquement sur les interfaces GRE, IP-IP, PIM et tunnel multicast (mt).

Note:

Si votre routeur dispose d’un PIC de services de tunnel, Junos OS configure automatiquement une interface de tunnel multicast (mt) pour chaque réseau privé virtuel (VPN) que vous configurez. Vous n’avez pas besoin de configurer des interfaces de tunnel multicast.