Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre la tunnelisation basée sur des filtres sur les réseaux IPv4

Comprendre la tunnelisation basée sur des filtres sur les réseaux IPv4

L’encapsulation de routage générique (GRE) sous sa forme la plus simple est l’encapsulation de n’importe quel protocole de couche réseau sur n’importe quel autre protocole de couche réseau pour connecter les réseaux incohérents qui n’ont pas de chemin de routage natif entre eux. Il s’agit d’un protocole d’encapsulation de couche 3 sans connexion et sans état, qui n’offre aucun mécanisme de fiabilité, de contrôle de flux ou de séquençage.

La tunnelisation GRE est lancée à l’aide d’actions de filtre de pare-feu standard. Le trafic traverse le tunnel à condition que la destination du tunnel soit routable. Pour les routeurs MX Series, cette fonctionnalité est également prise en charge dans les systèmes logiques.

Pour les plates-formes de routage universelles 5G MX Series, lorsque vous configurez la tunnelisation GRE avec des filtres de pare-feu, vous n’avez pas besoin de créer d’interfaces de tunnel sur les cartes d’interface physiques (PIC) des services tunnel ou sur les concentrateurs de ports modulaires (MPC) MPC3E. Les PFE des cartes d’interface modulaires (MIC) ou MPC gèrent plutôt l’encapsulation et la décapsulation de la charge utile GRE et fournissent les services de tunnel aux interfaces pertinentes. Ainsi, une paire de routeurs MX Series peut être installée en tant que routeurs de périphérie fournisseur (PE) afin d’assurer la connectivité aux routeurs de périphérie du client (CE) sur deux réseaux mécontents.

Pour les routeurs PTX Series, les services réseau doivent être configurés enhanced-mode sur pour que la tunnelisation GRE basée sur des filtres fonctionne. Pour plus d’informations sur la tunnelisation basée sur des filtres sur le PTX, reportez-vous tunnel-end-point à .

Filtre de pare-feu entrant sur le routeur PE entrant

Sur le routeur PE entrant, vous configurez une définition de tunnel qui spécifie un tunnel GRE unidirectionnel. Pour les routeurs MX Series dotés d’une interface logique d’entrée MIC ou MPC, vous fixez un filtre de pare-feu encapsulé. L’action du filtre de pare-feu fait référence à une définition de tunnel et lance l’encapsulation des paquets correspondant. Le processus d’encapsulation fixe un en-tête IPv4 et un en-tête GRE au paquet de la charge utile, puis transfère le paquet GRE résultant vers le tunnel spécifié par filtre.

Filtre de pare-feu entrant sur le routeur PE sortant

Sur le routeur PE sortant, vous fixez un filtre de pare-feu de décapsulation à l’entrée de toutes les interfaces logiques MIC ou MPC annoncées pour le routeur. Le filtre de pare-feu lance la déscapsulation des paquets de protocole GRE. La décapsulation retire l’en-tête GRE interne, puis transfère le paquet de la charge utile originale vers sa destination initiale sur le réseau du client cible. Si l’action spécifie une instance de routage facultative, la recherche de route est effectuée à l’aide de cette table secondaire au lieu de la table principale.

Caractéristiques de la tunnelisation basée sur des filtres sur les réseaux IPv4

Les tunnels basés sur des filtres sur les réseaux IPv4 sont unidirectionnels. Ils transportent uniquement des paquets de transit et ne nécessitent pas d’interfaces de tunnel.

Tunnelisation unidirectionnelle

Pour utiliser des tunnels GRE basés sur des filtres, commencez par fixer des filtres de pare-feu standard à l’entrée de chaque point de terminaison du tunnel (au niveau du routeur PE entrant et du routeur PE sortant). À l’entrée du routeur PE entrant, vous appliquez un filtre de pare-feu encapsulé. À l’entrée du routeur PE sortant, appliquez un filtre de pare-feu de décapsulation.

Tunnelisation bidirectionnelle

Pour la tunnelisation GRE bidirectionnelle, vous pouvez utiliser la même paire de routeurs PE, mais vous devez configurer un deuxième tunnel dans la direction inverse.

Charges utiles du trafic de transit

Un tunnel GRE IPv4 basé sur des filtres peut transporter uniquement des charges utiles de trafic de transit unicast ou multicast. Les opérations d’encapsulation et de décapsulation lancées par filtre s’exécutent sur les PFE pour les interfaces logiques Ethernet et les interfaces Ethernet agrégées. Cette conception permet une utilisation plus efficace de la bande passante PFE par rapport à la tunnelisation GRE à l’aide d’interfaces de tunnel. Les sessions de protocole de routage ne peuvent pas être configurées sur les tunnels basés sur le pare-feu.

Les PFE fonctionnent dans le plan de transfert pour traiter les paquets en les transfèrent entre les interfaces d’entrée et de sortie à l’aide d’une table de transfert localement stockée, qui est une copie locale des informations du moteur de routage (RE).

D’autre part, les moteurs de routage fonctionnent dans le plan de contrôle pour gérer la gestion du système, l’accès des utilisateurs au routeur et les processus de routage, le contrôle de l’interface du routeur et certains contrôles des composants du châssis. L’architecture Junos OS sépare les fonctions de ces plans pour permettre la flexibilité de la prise en charge de la plate-forme et l’évolutivité des performances de la plate-forme. Les paquets de contrôle entrant sont dirigés vers le plan de contrôle où les processus d’encapsulation et de déscapsulation GRE des PFE ne sont pas disponibles.

Bien que vous puissiez appliquer des filtres de pare-feu aux adresses de bouclage, les actions de filtre de pare-feu d’encapsulation et de décapsulation GRE ne sont pas prises en charge sur les interfaces de bouclage du routeur.

Configuration compacte pour plusieurs tunnels GRE

Les filtres de pare-feu prennent en charge un large éventail de critères de correspondance et, par extension, la possibilité de mettre fin à plusieurs tunnels GRE correspondant aux critères spécifiés dans une seule définition de filtre de pare-feu. En créant plusieurs tunnels, chacun ayant ses propres conditions de correspondance, vous pouvez créer des tunnels qui n’interfèrent pas avec les paquets GRE du client ou les uns avec les autres et qui réinjectent les paquets dans des tables de routage séparées après la déscapsulation.

Tunnelisation avec filtres de pare-feu et tunnelisation avec interfaces de tunnel

La tunnelisation avec interfaces de tunnel prend en charge à la fois le trafic de contrôle des routeurs et du trafic de transit, ainsi que le chiffrement. Pas de tunnelisation avec des filtres de pare-feu. Cependant, la tunnelisation avec des filtres de pare-feu offre des avantages en termes de performances et d’évolutivité.

Performances de transfert

La tunnelisation basée sur des filtres sur les réseaux IPv4 permet une utilisation plus efficace de la bande passante PFE par rapport à la tunnelisation GRE à l’aide d’interfaces de tunnel. L’encapsulation, la désencapsulation et la recherche de route sont des activités de traitement des en-têtes de paquets qui, pour la tunnelisation basée sur des filtres de pare-feu, sont exécutées sur le PFE. Par conséquent, l’encapsulateur n’a jamais besoin d’envoyer des paquets de charge utile vers une interface de tunnel distincte (qui peut résider sur un PIC dans un emplacement différent de l’interface qui reçoit les paquets de la charge utile).