Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre le tunneling basé sur des filtres sur les réseaux IPv4

Comprendre le tunneling basé sur des filtres sur les réseaux IPv4

L’encapsulation de routage générique (GRE) dans sa forme la plus simple consiste à encapsuler n’importe quel protocole de couche réseau par rapport à tout autre protocole de couche réseau, afin de connecter des réseaux incohérts qui n’ont pas de chemin de routage natif entre eux. Il s’agit d’un protocole d’encapsulation de couche 3 sans connexion et sans état, et il n’offre aucun mécanisme pour la fiabilité, le contrôle des flux ou le séquençage.

La tunnelisation GRE est lancée avec des actions standard de filtre de pare-feu. Les flux de trafic traversent le tunnel à condition que la destination du tunnel soit routable. Pour les routeurs MX Series, cette fonctionnalité est également prise en charge dans les systèmes logiques.

Pour MX Series Plates-formes de routage universelles 5G, lorsque vous configurez la tunneling GRE avec des filtres de pare-feu, vous n’avez pas besoin de créer d’interfaces de tunnel sur les cartes d’interface physiques des services de tunnel (PIC) ou sur les concentrateurs de ports modulaires MPC3E. Au lieu de cela, les PFE des cartes d’interface modulaires (MPC) ou MPC gèrent l’encapsulation et la décasulation des charges utiles GRE et fournissent les services de tunnel aux interfaces concernées. Ainsi, deux routeurs MX Series peuvent être installés en tant que routeurs PE (Provider Edge) afin d’assurer la connectivité aux routeurs de périphérie du client (CE) sur deux réseaux injoints.

Pour PTX Series, les services réseau doivent être mis en place pour que fonctionne un tunneling GRE basé enhanced-mode sur des filtres. Pour plus d’informations sur la tunnellation basée sur des filtres sur le PTX, tunnel-end-point consultez.

Filtre de pare-feu d’entrée sur le routeur PE d’entrée

Sur le routeur PE d’entrée, vous configurez une définition de tunnel qui spécifie un tunnel GRE unidirectionnel. Pour les routeurs MX Series à interface logique d’entrée MIC ou MPC, vous fixez un filtre de pare-feu encapsulé. L’action du filtre de pare-feu fait référence à une définition de tunnel et lance l’encapsulation de paquets assortis. Le processus d’encapsulation attache un en-tête IPv4 et un en-tête GRE au paquet de charge utile, puis dirige le paquet GRE résultant vers le tunnel spécifié par filtre.

Filtre de pare-feu à l’entrée du routeur PE de sortie

Sur le routeur PE de sortie, vous fixez un filtre de pare-feu à l’entrée de toutes les interfaces logiques MIC ou MPC, qui sont les adresses annoncées du routeur. Le filtre de pare-feu initie l’encapsulation des paquets de protocole GRE. L’encapsulation retire l’en-tête GRE interne, puis dirige le paquet de charge utile d’origine vers sa destination sur le réseau client de destination. Si l’action spécifie une instance de routage facultative, l’examen de routage est effectué à l’aide de cette table secondaire au lieu de la table principale.

Caractéristiques des tunnels basés sur des filtres sur les réseaux IPv4

Les tunnels basés sur des filtres sur les réseaux IPv4 sont unidirectionnels. Ils transportent des paquets de transit uniquement et n’ont pas besoin d’interfaces tunnel.

Tunnelisation unidirectionnelle

Pour utiliser des tunnels GRE basés sur des filtres, commencez par fixer des filtres de pare-feu standard à l’entrée de chaque point de terminaison du tunnel (au niveau du routeur PE d’entrée et du routeur PE de sortie). À l’entrée du routeur PE d’entrée, vous appliquez un filtre de pare-feu encapsulé. À l’entrée du routeur PE de sortie, appliquez un filtre de pare-feu de dés encapsulation.

Tunnelisation bidirectionnelle

Pour la tunnelisation GRE bidirectionnelle, vous pouvez utiliser la même paire de routeurs PE, mais vous devez configurer un deuxième tunnel dans la direction inverse.

Charges utiles de trafic de transit

Un tunnel GRE IPv4 basé sur des filtres peut transporter uniquement des charges utiles de trafic de transit unicast ou multicast. Les opérations d’encapsulation et de décasulation à partir de filtres s’exécutent au niveau des PFE pour les interfaces logiques Ethernet et les interfaces Ethernet agrégées. Cette conception permet une utilisation plus efficace de la bande passante PFE que des tunnels GRE à l’aide d’interfaces de tunnel. Les sessions de protocole de routage ne peuvent pas être configurées au-dessus des tunnels basés sur le pare-feu.

Les PFE fonctionnent dans le plan de paquets pour traiter les paquets en les faisant avancer entre les interfaces d’entrée et de sortie à l’aide d’une table de forwarding stockée localement, qui est une copie locale des informations du moteur de routage (RE).

D’autre part, les moteur de routage fonctionnent dans le plan de contrôle pour gérer la gestion du système, l’accès des utilisateurs au routeur et les processus pour les protocoles de routage, le contrôle de l’interface du routeur et le contrôle de certains composants du châssis. L Junos OS architecture de base sépare les fonctions de ces plans pour permettre la flexibilité de la prise en charge de la plate-forme et l’évolutivité des performances de la plate-forme. Les paquets de contrôle du paquet entrée sont dirigés vers le plan de contrôle où les processus d’encapsulation et de dés encapsulation GRE des PFE ne sont pas disponibles.

Bien que vous pouvez appliquer des filtres de pare-feu aux adresses de bouclage, l’encapsulation GRE et la désencapsulation des actions de filtre de pare-feu ne sont pas prises en charge sur les interfaces de bouclage du routeur.

Configuration compacte pour plusieurs tunnels GRE

Les filtres de pare-feu offrent un large éventail de critères de correspondance et, par extension, la possibilité de mettre fin à plusieurs tunnels GRE qui correspondent à des critères spécifiés dans une définition de filtre de pare-feu unique. En créant plusieurs tunnels, chacun citant ses propres conditions de correspondance, vous pouvez créer des tunnels qui ne gênent pas les paquets GRE des clients ou les uns avec les autres et qui réinjectent des paquets pour séparer les tables de routage après l’encapsulation.

Tunneling avec filtres de pare-feu et tunneling avec des interfaces de tunnel

La tunneling avec des interfaces de tunnel prend en charge à la fois le trafic de contrôle du routeur et le trafic de transit, ainsi que le chiffrement. Pas de tunnel avec des filtres de pare-feu. Toutefois, la tunneling avec des filtres de pare-feu offre des avantages en terme de performances et d’évolutation.

Performances de forwarding

Le tunneling basé sur des filtres sur les réseaux IPv4 permet une utilisation plus efficace de la bande passante PFE que la tunneling GRE à l’aide d’interfaces de tunnel. L’encapsulation, l’encapsulation et l’recherche de route sont des activités de traitement des en-têtes de paquets qui, pour la tunnelisation basée sur des filtres de pare-feu, sont exécutées sur le PFE. Par conséquent, l’encapsuleur n’a pas besoin d’envoyer de paquets de charge utile à une interface de tunnel séparée (qui peut se trouver sur un PIC dans un emplacement différent de l’interface qui reçoit les paquets de charge utile).