Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Filtrage des paquets unicast via des interfaces tunnel multicast

Configuration de tunnels unicast

Pour configurer un tunnel unicast, vous configurez une gr- interface (pour utiliser l’encapsulation GRE) ou une ip- interface (pour utiliser l’encapsulation IP-IP) et incluez les tunnel déclarations et family :

Vous pouvez configurer ces instructions aux niveaux hiérarchiques suivants :

  • [edit interfaces]

  • [edit logical-systems logical-system-name interfaces]

Vous pouvez configurer plusieurs unités logiques pour chaque interface GRE ou IP-IP, et vous ne pouvez configurer qu’un seul tunnel par unité.

Note:

Sur les routeurs M Series et T Series, vous pouvez configurer l’interface sur un PIC de service ou un PIC de tunnel. Sur les routeurs MX Series, configurez l’interface sur un DPC multiservices.

Chaque interface de tunnel doit être une interface point à point. Le point à point est le type de connexion d’interface par défaut, vous n’avez donc pas besoin d’inclure l’instruction point-to-point dans la configuration de l’interface logique.

Vous devez spécifier les adresses de destination et de source du tunnel. Les autres déclarations sont facultatives.

Note:

Pour les paquets de transit sortant du tunnel, les fonctionnalités de chemin de transfert, telles que le transfert de chemin inverse (RPF), le filtrage des tables de transfert, l’utilisation des classes source, l’utilisation des classes de destination et le filtrage de pare-feu sans état, ne sont pas prises en charge sur les interfaces que vous configurez en tant que sources de tunnel, mais sont prises en charge sur les interfaces de tunnel-pic.

Cependant, les informations de classe de service (CoS) obtenues à partir de l’en-tête GRE ou IP-IP sont transportées par le tunnel et sont utilisées par les paquets entrant à nouveau. Pour plus d’informations, consultez le Guide de l’utilisateur de la classe de service Junos OS pour les équipements de routage.

Pour éviter une configuration non valide, Junos OS interdit de définir l’adresse spécifiée par le source ou l’instruction destination au niveau de la [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] hiérarchie pour qu’elle soit la même que l’adresse de sous-réseau de l’interface, spécifiée par l’instruction address au niveau [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] hiérarchique.

Pour définir le champ time-to-live (TTL) inclus dans l’en-tête d’encapsulation, incluez l’instruction ttl . Si vous configurez explicitement une valeur TTL pour le tunnel, vous devez la configurer pour qu’elle soit supérieure au nombre de sauts dans le tunnel. Par exemple, si le tunnel comporte sept sauts, vous devez configurer une valeur TTL de 8.

Vous devez configurer au moins une famille sur l’interface logique. Pour activer MPLS sur les interfaces tunnel GRE, vous devez inclure l’instruction family mpls dans la configuration de l’interface GRE. En outre, vous devez inclure les déclarations appropriées au niveau de la hiérarchie pour activer le [edit protocols] protocole de réservation de ressources (RSVP), MPLS et les chemins de commutation d’étiquettes (LSP) sur les tunnels GRE. Les tunnels unicast sont bidirectionnels.

Un tunnel configuré ne peut pas passer par la traduction des adresses réseau (NAT) à n’importe quel point du chemin vers la destination. Pour plus d’informations, consultez la présentation des services de tunnel et le Guide de l’utilisateur des applications MPLS.

Pour un tunnel GRE, la valeur par défaut est de définir les bits ToS de l’en-tête IP externe sur tous les zéros. Pour que le moteur de routage copie les bits ToS de l’en-tête IP interne vers l’extérieur, incluez l’instruction copy-tos-bits-to-outer-ip-header . (Cette copie de bits ToS de l’intérieur vers l’extérieur est déjà le comportement par défaut des tunnels IP-IP.)

Pour les interfaces de tunnel GRE sur adaptive services ou multiservices, vous pouvez configurer des attributs de tunnel supplémentaires, comme décrit dans les sections suivantes :

Configuration d’un numéro clé sur les tunnels GRE

Pour les services adaptatifs et les interfaces multiservices sur les routeurs M Series et T Series, vous pouvez attribuer une valeur clé pour identifier un flux de trafic individuel dans un tunnel GRE, comme défini dans la RFC 2890, extensions de numéro de clé et de séquence à GRE. Toutefois, une seule clé est autorisée pour chaque paire de tunnels source et de destination.

Chaque paquet IP version 4 (IPv4) entrant dans le tunnel est encapsulé avec la valeur de la clé du tunnel GRE. Chaque paquet IPv4 sortant du tunnel est vérifié par la valeur clé du tunnel GRE et encapsulé. Adaptive Services ou Multiservices PIC abandonne les paquets qui ne correspondent pas à la valeur de la clé configurée.

Pour attribuer une valeur clé à une interface de tunnel GRE, incluez l’énoncé key :

Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Le nombre clé peut être de 0 à 4 294 967 295. Vous devez configurer la même valeur de clé de tunnel GRE sur les points de terminaison du tunnel.

L’exemple suivant illustre l’utilisation de l’énoncé clé dans une configuration de tunnel GRE :

Fragmentation des paquets sur les tunnels GRE avant l’encapsulation GRE

Pour les interfaces de tunnel GRE sur Adaptive Services et les interfaces multiservices uniquement, vous pouvez activer la fragmentation des paquets IPv4 avant qu’ils ne soient encapsulés GRE dans des tunnels GRE.

Par défaut, le trafic IPv4 transmis par des tunnels GRE n’est pas fragmenté. Pour permettre la fragmentation des paquets IPv4 dans les tunnels GRE, incluez l’énoncé clear-dont-fragment-bit :

Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Lorsque vous incluez l’instruction clear-dont-fragment-bit dans la configuration, le bit don’t-fragment (DF) est autorisé sur tous les paquets, même les paquets qui ne dépassent pas l’unité de transmission maximale (MTU). Si la taille du paquet dépasse la valeur MTU du tunnel, le paquet est fragmenté avant l’encapsulation. Si la taille du paquet ne dépasse pas la valeur MTU du tunnel, le paquet n’est pas fragmenté.

Vous pouvez également effacer le bit DF dans les paquets transmis par des tunnels IP Security (IPsec). Pour plus d’informations, voir Configuration des règles IPsec.

Spécification d’un paramètre MTU pour le tunnel

Pour activer les nombres clés et la fragmentation sur les tunnels GRE (comme décrit dans Configuration d’un numéro clé sur les tunnels GRE et activation de la fragmentation des paquets sur les tunnels GRE avant l’encapsulation GRE), vous devez également spécifier un paramètre MTU pour le tunnel.

Pour spécifier un paramètre MTU pour le tunnel, incluez l’énoncé mtu :

Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :

  • [edit interfaces gr-fpc/pic/port unit logical-unit-number family inet]

  • [edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]

Pour plus d’informations sur les paramètres MTU, consultez la bibliothèque d’interfaces réseau Junos OS pour les équipements de routage.

Configuration d’un tunnel GRE pour copier des bits toS vers l’en-tête IP externe

Contrairement aux tunnels IP-IP, les tunnels GRE ne copient pas les bits ToS vers l’en-tête IP externe par défaut. Pour que le moteur de routage copie les bits ToS internes à l’en-tête IP externe (requis pour certains protocoles de routage tunnelisés) sur les paquets envoyés par le moteur de routage, incluez l’instruction copy-tos-to-outer-ip-header au niveau de la hiérarchie des unités logiques d’une interface GRE. Cet exemple copie les bits ToS internes à l’en-tête IP externe d’un tunnel GRE :

Fragmentation et réassemblage des paquets après l’encapsulation GRE

Vous pouvez activer la fragmentation et le réassemblage des paquets une fois qu’ils ont été encapsulés GRE pour un tunnel GRE. Lorsque la taille d’un paquet encapsulé GRE est supérieure à la MTU d’une liaison qu’il traverse, le paquet encapsulé GRE est fragmenté. Vous configurez l’interface GRE au niveau du terminal du tunnel pour réassembler les paquets fragmentés gre-encapsulés avant qu’ils ne soient traités plus avant sur le réseau.

Pour chaque tunnel configuré sur une interface, vous pouvez activer ou désactiver la fragmentation des paquets encapsulés GRE en incluant l’énoncé allow-fragmentation ou do-not-fragment :

Vous pouvez configurer ces instructions aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number tunnel]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]

Si vous configurez allow-fragmentation un tunnel, le bit DF n’est pas défini dans l’en-tête IP externe du paquet gre-encapsulé, ce qui permet la fragmentation. Par défaut, les paquets gre-encapsulés qui dépassent la taille MTU d’une liaison ne sont pas fragmentés et sont abandonnés.

Pour permettre le réassemblage des paquets fragmentés gre-encapsulés sur l’interface GRE au niveau du terminal du tunnel, incluez l’énoncé reassemble-packets :

Vous pouvez configurer cette déclaration aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

À partir de la version 17.3R1 de Junos OS, vous pouvez configurer la fragmentation et la ressesmbly des paquets encapsulés GRE sur les interfaces de tunnel GRE sur les routeurs MX Series avec MPC7E, MPC8E et MPC9E.

À partir de la version 17.1R1 de Junos OS, vous pouvez configurer la fragmentation et la réassémbly des paquets encapsulés GRE sur les interfaces de tunnel GRE sur les routeurs MX Series avec MPC2E-NG, MPC3E-NG, MPC5E et MPC6E.

À partir de la version 14.2 de Junos OS, vous pouvez configurer la fragmentation et la réassémbly des paquets encapsulés GRE sur les interfaces tunnel GRE sur les routeurs MX Series avec des MPC1, MPC2, MPC3s, MPC4s et MPC-16X10GEs.

Dans les versions 14.1 et antérieures de Junos OS, la fragmentation et la réassémbly des paquets encapsulés GRE sont prises en charge uniquement sur les routeurs MX Series équipés de MS-DPC.

Prise en charge des tunnels GRE IPv6

À partir de la version 17.3R1 de Junos OS, vous pouvez configurer des interfaces de tunnel GRE (Generic Routing Encapsulation) IPv6 sur les routeurs MX Series. Cela vous permet d’exécuter un tunnel GRE sur un réseau IPv6. Les familles de charges utiles de paquets pouvant être encapsulées dans les tunnels GRE IPv6 comprennent IPv4, IPv6, MPLS et ISO. La fragmentation et le réassemblage des paquets de distribution IPv6 ne sont pas pris en charge.

Pour configurer une interface de tunnel GRE IPv6, spécifiez des adresses IPv6 pour source et destination au niveau de la [interfaces gr-0/0/0 unit 0 tunnel] hiérarchie, spécifiez family inet6 au niveau de la [interfaces gr-0/0/0 unit 0] hiérarchie et spécifiez une adresse IPv6 au address niveau de la [interfaces gr-0/0/0 unit 0 family inet6] hiérarchie.

Voir aussi

Exemples : configuration de tunnels unicast

Configurez deux tunnels IP-IP non numérotés :

Configurez des interfaces de tunnel numérotées en incluant une adresse au niveau de la [edit interfaces ip-0/3/0 unit (0 | 1) family inet] hiérarchie :

Configurez un tunnel MPLS over GRE en incluant l’énoncé family mpls au niveau de la [edit interfaces gr-1/2/0 unit 0] hiérarchie :

Voir aussi

Restreindre les tunnels au trafic multicast

Pour les interfaces qui transportent le trafic IPv4 ou IP version 6 (IPv6), vous pouvez configurer une interface tunnel pour autoriser uniquement le trafic multicast. Pour configurer un tunnel multicast uniquement, incluez la multicast-only déclaration :

Vous pouvez configurer cette déclaration aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

Les tunnels multicast filtrent tous les paquets unicast ; si un paquet entrant n’est pas destiné à un préfixe 224/8 ou supérieur, le paquet est abandonné et un compteur est incrémenté.

Vous pouvez configurer cette propriété sur les interfaces GRE, IP-IP, PIM et tunnel multicast (mt) uniquement.

Note:

Si votre routeur dispose d’un PIC des services de tunnel, Junos OS configure automatiquement une interface de tunnel multicast (mt) pour chaque réseau privé virtuel (VPN) que vous configurez. Vous n’avez pas besoin de configurer des interfaces de tunnel multicast.

Voir aussi