Filtrage des paquets unicast via des interfaces de tunnel multicast
Configuration des tunnels unicast
Pour configurer un tunnel unicast, gr- vous configurez une interface (pour utiliser l’encapsulation GRE) ip- ou une interface (pour utiliser l’encapsulation IP-IP) tunnel family et inclure les déclarations et les éléments suivants:
gr-fpc/pic/port or ip-fpc/pic/port {
unit logical-unit-number {
copy-tos-to-outer-ip-header;
reassemble-packets;
tunnel {
allow-fragmentation;
destination destination-address;
do-not-fragment;
key number;
routing-instance {
destination routing-instance-name;
}
source address;
ttl number;
}
family family {
address address {
destination address;
}
}
}
}
Vous pouvez configurer ces instructions aux niveaux hiérarchiques suivants:
[edit interfaces][edit logical-systems logical-system-name interfaces]
Vous pouvez configurer plusieurs unités logiques pour chaque interface GRE ou IP-IP et ne configurer qu’un tunnel par unité.
Sur M Series et T Series, vous pouvez configurer l’interface sur un PIC de service ou un PIC tunnel. Sur MX Series, configurez l’interface sur une interface multiservices DPC.
Chaque interface de tunnel doit être une interface point à point. Le type de connexion de l’interface par défaut est point à point. Ainsi, il n’est pas nécessaire d’inclure point-to-point l’instruction dans la configuration de l’interface logique.
Vous devez spécifier la destination et les adresses source du tunnel. Les autres instructions sont facultatives.
Pour les paquets de transit sortant du tunnel, les fonctionnalités de chemin de transfert, telles que le transfert de chemin inversé (RPF), le filtrage de la table de transfert, l’utilisation de la classe source, l’utilisation de la classe de destination et le filtrage de pare-feu sans état, ne sont pas prise en charge sur les interfaces que vous configurez en tant que sources de tunnel, mais sont prise en charge sur les interfaces tunnel-pic.
Cependant, les informations de classe de service (CoS) obtenues à partir du GRE ou de l’en-tête IP-IP sont transportées par le tunnel et sont utilisées par les paquets entrants. Pour plus d’informations, consultez le Junos OS Classe de service (Class of Service User Guide) pour les équipements de routage.
Pour empêcher une configuration non valide, l’Junos OS interdit source destination [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] de définir l’adresse spécifiée par l’ou l’énoncé au niveau de la hiérarchie pour être la même que l’adresse de sous-réseau de l’interface, address spécifiée par l’instruction au niveau de [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] niveau hiérarchique.
Pour définir le champ TTL (Time-to-Live) inclus dans l’en-tête d’encapsulation, inclure l’instruction ttl . Si vous configurez expressément une valeur TTL du tunnel, vous devez la configurer comme une valeur supérieure au nombre de sauts dans le tunnel. Par exemple, si le tunnel fait 7 sauts, vous devez configurer une valeur TTL de 8.
Vous devez configurer au moins une famille sur l’interface logique. Pour activer la MPLS sur les interfaces de tunnel GRE , vous devez inclure l’instruction family mpls dans la configuration de l’interface GRE. En outre, vous devez inclure les instructions appropriées au niveau de la hiérarchie pour activer le protocole de réservation de ressources (RSVP), MPLS et les chemins [edit protocols] de commuté d’étiquettes (LSP) sur des tunnels GRE. Les tunnels unicast sont bidirectionnels.
Un tunnel configuré ne peut pas passer par traduction des adresses réseau (NAT) à tout moment sur le chemin jusqu’à la destination. Pour plus d’informations, consultez la présentation des services de tunnel et le MPLS Applications User Guide.
Pour un tunnel GRE, le paramètre par défaut est de définir ToS bits dans l’en-tête IP extérieur à tous les zéros. Pour que le moteur de routage copie les ToS de l’en-tête IP interne à l’extérieur, ajoutez l’instruction copy-tos-bits-to-outer-ip-header . (Cette copie de l’intérieur vers l’extérieur ToS bits est déjà le comportement par défaut des tunnels IP-IP.)
Pour les interfaces de tunnel GRE sur les interfaces de services adaptatifs ou multiservices, vous pouvez configurer des attributs de tunnel supplémentaires, tels que décrits dans les sections suivantes:
- Configuration d’un numéro de clé sur les tunnels GRE
- Fragmentation des paquets sur les tunnels GRE avant l’encapsulation GRE
- Définition d’MTU pour le tunnel
- Configuration d’un tunnel GRE pour copier ToS bits vers l’en-tête IP extérieur
- Fragmentation et réassemblation des paquets après l’encapsulation GRE
- Prise en charge des tunnels GRE IPv6
Configuration d’un numéro de clé sur les tunnels GRE
Pour les interfaces de services adaptatifs et multiservices sur les routeurs M Series et T Series, vous pouvez attribuer une valeur clé pour identifier un flux de trafic individuel dans un tunnel GRE, tel que défini dans le RFC 2890, les extensions de nombres de clés et de séquences à GRE. Toutefois, une seule clé est autorisée pour chaque paire de sources et de destination du tunnel.
Chaque paquet IP version 4 (IPv4) entrant dans le tunnel est encapsulé avec la valeur clé du tunnel GRE. Chaque paquet IPv4 sortant du tunnel est vérifié par la valeur clé du tunnel GRE et dés encapsulé. Le PIC Services adaptatifs ou multiservices laisse tomber les paquets qui ne correspondent pas à la valeur clé configurée.
Pour attribuer une valeur clé à une interface de tunnel GRE, inclure l’énoncé key :
key number;
Vous pouvez inclure cet énoncé aux niveaux hiérarchiques suivants:
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
Le nombre clé peut être de 0 à 4 294 967 295. Vous devez configurer le même niveau de valeur clé du tunnel GRE sur les points de terminaison du tunnel.
L’exemple suivant illustre l’utilisation de l’énoncé clé dans une configuration de tunnel GRE:
interfaces {
gr-1/2/0 {
unit 0 {
tunnel {
source 10.58.255.193;
destination 10.58.255.195;
key 1234;
}
...
family inet {
mtu 1500;
address 10.200.0.1/30;
...
}
}
}
}
Fragmentation des paquets sur les tunnels GRE avant l’encapsulation GRE
Pour les interfaces de tunnel GRE sur les interfaces de services adaptatifs et multiservices uniquement, vous pouvez activer la fragmentation des paquets IPv4 avant qu’ils ne soient encapsulés dans des tunnels GRE.
Par défaut, le trafic IPv4 transmis par les tunnels GRE n’est pas fragmenté. Pour permettre la fragmentation des paquets IPv4 dans des tunnels GRE, inclure l’instruction clear-dont-fragment-bit :
clear-dont-fragment-bit;
Vous pouvez inclure cet énoncé aux niveaux hiérarchiques suivants:
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
clear-dont-fragment-bit Lorsque vous insériez l’énoncé dans la configuration, le bit « don’t fragment » (DF) est autorisé sur tous les paquets, même les paquets qui ne dépassent pas le tunnel MTU (MTU). Si la taille du paquet dépasse la valeur MTU du tunnel, ce dernier est fragmenté avant d’être encapsulé. Si la taille du paquet ne dépasse pas la valeur MTU du tunnel, ce dernier n’est pas fragmenté.
Vous pouvez également effacer le bit DF dans les paquets transmis par les tunnels IP Security (IPsec). Pour plus d’informations, consultez la procédure Configuring IPsec Rules.
Définition d’MTU pour le tunnel
Pour activer les chiffres clés et la fragmentation des tunnels GRE (tels que décrits dans La configuration d’un numéro clé sur les tunnels GRE et l’activation de la fragmentation des paquets sur les tunnels GRE avant l’encapsulation GRE), vous devez également spécifier un paramètre MTU pour le tunnel.
Pour spécifier un MTU du tunnel, indiquez l’instruction mtu suivante:
mtu bytes;
Vous pouvez inclure cet énoncé aux niveaux hiérarchiques suivants:
[edit interfaces gr-fpc/pic/port unit logical-unit-number family inet][edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]
Pour plus d’informations sur MTU de sécurité, consultez la bibliothèque Junos OS interfaces réseau pour les équipements de routage.
Configuration d’un tunnel GRE pour copier ToS bits vers l’en-tête IP extérieur
Contrairement aux tunnels IP-IP, les tunnels GRE ne copient ToS bits de l’en-tête IP extérieur par défaut. Pour que l’moteur de routage copie les bits de ToS intérieur à l’en-tête IP extérieur (requis pour certains protocoles de routage tunnelés) sur les paquets envoyés par le moteur de routage, copy-tos-to-outer-ip-header incluent l’instruction au niveau hiérarchique de l’unité logique d’une interface GRE. Cet exemple copie le ToS bits vers l’en-tête IP extérieur d’un tunnel GRE:
[edit interfaces]
gr-0/0/0 {
unit 0 {
copy-tos-to-outer-ip-header;
family inet;
}
}
Fragmentation et réassemblation des paquets après l’encapsulation GRE
Vous pouvez activer la fragmentation et le réassemblation des paquets après leur encapsulation GRE pour un tunnel GRE. Lorsque la taille d’un paquet encapsulé GRE est supérieure à la MTU d’une liaison par le paquet, le paquet encapsulé GRE est fragmenté. Vous configurez l’interface GRE au point de terminaison du tunnel pour réassembler les paquets gre-encapsulés fragmentés avant qu’ils ne soient davantage traitées sur le réseau.
Pour chaque tunnel que vous configurez sur une interface, vous pouvez activer ou désactiver la fragmentation des paquets allow-fragmentation gre encapsulés en incluant la ou l’instruction do-not-fragment :
allow-fragmentation; do-not-fragment;
Vous pouvez configurer ces instructions aux niveaux hiérarchiques suivants:
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
Si vous configurez un allow-fragmentation tunnel, le bit DF n’est pas placé dans l’en-tête IP extérieur du paquet gre encapsulé, ce qui permet la fragmentation. Par défaut, les paquets gre-encapsulés qui dépassent la MTU taille d’une liaison ne sont pas fragmentés et sont abandonnés.
Pour réassemblémenter des paquets GRE encapsulés fragmentés sur l’interface GRE au bout du tunnel, inclure l’énoncé reassemble-packets :
reassemble-packets;
Vous pouvez configurer cet énoncé aux niveaux hiérarchiques suivants:
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
À partir de Junos OS Release 17.3R1, vous pouvez configurer la fragmentation et le reassembly des paquets GRE encapsulés sur les interfaces de tunnel GRE sur les routeurs MX Series avec MPC7E, MPC8E et MPC9E.
À partir de Junos OS Release 17.1R1, vous pouvez configurer la fragmentation et réassémbiser les paquets GRE encapsulés sur les interfaces de tunnel GRE sur les routeurs MX Series avec MPC2E-NG, MPC3E-NG, MPC5E et MPC6E.
À partir de Junos OS version 14.2, vous pouvez configurer la fragmentation et le reassembly des paquets GRE encapsulés sur les interfaces de tunnel GRE sur les routeurs MX Series avec les MPC1, MPC2, MPC3, MPC4 et MPC-16X10GE.
Dans Junos OS version 14.1 et antérieures, la fragmentation et le réassembly des paquets gre encapsulés sont pris en charge uniquement sur les routeurs MX Series avec les MS-DPC.
Prise en charge des tunnels GRE IPv6
À partir Junos OS version 17.3R1, vous pouvez configurer des interfaces de tunnel GRE (Generic Routing Encapsulation) IPv6 sur MX Series routeurs. Cela vous permet d’exécuter un tunnel GRE sur un réseau IPv6. Les familles de charges utiles de paquets qui peuvent être encapsulées dans les tunnels GRE IPv6 incluent IPv4, IPv6, MPLS et ISO. La fragmentation et le réassembnement des paquets de livraison IPv6 ne sont pas pris en charge.
Pour configurer une interface de tunnel GRE IPv6, spécifiez les adresses source [interfaces gr-0/0/0 unit 0 tunnel] destination IPv6 pour et au niveau de la hiérarchie, family inet6 [interfaces gr-0/0/0 unit 0] spécifiez au niveau de la hiérarchie et spécifiez une adresse IPv6 [interfaces gr-0/0/0 unit 0 family inet6] address au niveau de la hiérarchie.
Voir également
Exemples: Configuration des tunnels unicast
Configurez deux tunnels IP-IP non numérotés:
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet;
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet;
}
}
Configurez des interfaces de tunnel numérotés en incluant une adresse au niveau [edit interfaces ip-0/3/0 unit (0 | 1) family inet] de la hiérarchie:
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet {
address 10.5.5.1/30;
}
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet {
address 10.6.6.100/30;
}
}
}
Configurez une MPLS sur un tunnel GRE en incluant l’instruction family mpls au niveau [edit interfaces gr-1/2/0 unit 0] de la hiérarchie:
[edit interfaces]
gr-1/2/0 {
unit 0 {
tunnel {
source 192.168.1.1;
destination 192.168.1.2;
}
family inet {
address 10.1.1.1/30;
}
family mpls;
}
}
Voir également
Restriction des tunnels au trafic multicast
Pour les interfaces à trafic IPv4 ou IP version 6 (IPv6), vous pouvez configurer une interface de tunnel pour autoriser uniquement le trafic multicast. Pour configurer un tunnel multicast uniquement, indiquez l’instruction multicast-only suivante:
multicast-only;
Vous pouvez configurer cet énoncé aux niveaux hiérarchiques suivants:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
Les tunnels multicast filtrent tous les paquets unicast ; si un paquet entrant n’est pas destiné à un préfixe 224/8 ou plus, le paquet est abandonné et un compteur est incrémenté.
Vous pouvez configurer cette propriété uniquement sur les interfaces GRE, IP-IP, PIM et de tunnelmt multicast.
Si votre routeur dispose d’un PIC sur les services de tunnel, le Junos OS configure automatiquement une interface de tunnel multicast (mt) pour chaque réseau privé virtuel (VPN) que vous configurez. Vous n’avez pas besoin de configurer des interfaces de tunnel multicast.