Comprendre la tunnelisation basée sur les filtres sur les réseaux IPv4
Comprendre la tunnelisation basée sur les filtres sur les réseaux IPv4
Dans sa forme la plus simple, l’encapsulation de routage générique (GRE) consiste à encapsuler n’importe quel protocole de couche réseau sur n’importe quel autre protocole de couche réseau pour connecter des réseaux disjoints qui n’ont pas de chemin de routage natif entre eux. Il s’agit d’un protocole d’encapsulation de couche 3 sans connexion et sans état, qui n’offre aucun mécanisme de fiabilité, de contrôle de flux ou de séquençage.
Le tunneling GRE est initié avec des actions de filtre de pare-feu standard. Le trafic transite par le tunnel, à condition que la destination du tunnel soit routable. Pour les routeurs MX Series, cette fonctionnalité est également prise en charge dans les systèmes logiques.
Pour les plates-formes de routage universelles 5G MX Series, lorsque vous configurez la tunnelisation GRE avec des filtres de pare-feu, vous n’avez pas besoin de créer d’interfaces de tunnel sur les cartes d’interface physique (PIC) des services de tunnel ou sur les concentrateurs de ports modulaires (MPC) MPC3E. Au lieu de cela, les PFE sur les cartes d’interface modulaires (MIC) ou MPC gèrent l’encapsulation et la décapsulation de la charge utile GRE et fournissent les services de tunnel aux interfaces concernées. Ainsi, une paire de routeurs MX Series peut être installée en tant que routeurs PE (Provider Edge) pour fournir une connectivité aux routeurs CE (Customer Edge) sur deux réseaux disjoints.
Pour les routeurs PTX Series, les services réseau doivent être définis sur pour que le tunneling GRE basé sur enhanced-mode filtre fonctionne. Pour plus d’informations sur la tunnelisation basée sur les filtres sur le PTX, reportez-vous à la section tunnel-end-point .
- Filtre de pare-feu d’entrée sur le routeur PE d’entrée
- Filtre de pare-feu d’entrée sur le routeur PE sortant
Filtre de pare-feu d’entrée sur le routeur PE d’entrée
Sur le routeur PE entrant, vous configurez une définition de tunnel qui spécifie un tunnel GRE unidirectionnel. Pour les routeurs MX Series dotés d’une interface logique d’entrée MIC ou MPC, vous connectez un filtre de pare-feu d’encapsulation. L’action de filtre de pare-feu fait référence à une définition de tunnel et lance l’encapsulation des paquets correspondants. Le processus d’encapsulation associe un en-tête IPv4 et un en-tête GRE au paquet de charge utile, puis transfère le paquet GRE résultant au tunnel spécifié par le filtre.
Filtre de pare-feu d’entrée sur le routeur PE sortant
Sur le routeur PE de sortie, vous attachez un filtre de pare-feu de désencapsulation à l’entrée de toutes les interfaces logiques MIC ou MPC qui sont des adresses annoncées pour le routeur. Le filtre de pare-feu initie la désencapsulation des paquets de protocole GRE. La désencapsulation supprime l’en-tête GRE interne, puis transmet le paquet de charge utile d’origine à sa destination d’origine sur le réseau client de destination. Si l’action spécifie une instance de routage facultative, la recherche de route est effectuée à l’aide de cette table secondaire au lieu de la table principale.
Caractéristiques des tunnels basés sur les filtres sur les réseaux IPv4
Les tunnels basés sur les filtres sur les réseaux IPv4 sont unidirectionnels. Ils transportent uniquement des paquets de transit et ne nécessitent pas d’interfaces tunnel.
- Tunnelisation unidirectionnelle
- Tunnelisation bidirectionnelle
- Charges utiles de trafic de transit
- Configuration compacte pour plusieurs tunnels GRE
Tunnelisation unidirectionnelle
Pour utiliser des tunnels GRE basés sur des filtres, commencez par fixer des filtres de pare-feu standard à l’entrée de chaque point de terminaison de tunnel (à la fois au niveau du routeur PE d’entrée et du routeur PE de sortie). À l’entrée du routeur PE entrant, vous appliquez un filtre de pare-feu d’encapsulation. À l’entrée du routeur PE de sortie, appliquez un filtre de pare-feu de désencapsulation.
Tunnelisation bidirectionnelle
Pour les tunnels GRE bidirectionnels, vous pouvez utiliser la même paire de routeurs PE, mais vous devez configurer un deuxième tunnel dans le sens inverse.
Charges utiles de trafic de transit
Un tunnel IPv4 GRE basé sur un filtre peut transporter uniquement des charges utiles de trafic de transit unicast ou multicast. Les opérations d’encapsulation et de décapsulation initiées par le filtre s’exécutent sur les PFE pour les interfaces logiques Ethernet et les interfaces Ethernet agrégées. Cette conception permet une utilisation plus efficace de la bande passante PFE par rapport à la tunnelisation GRE utilisant des interfaces de tunnel. Les sessions de protocole de routage ne peuvent pas être configurées au-dessus des tunnels basés sur le pare-feu.
Les PFE opèrent dans le plan de transfert pour traiter les paquets en les transférant entre les interfaces d’entrée et de sortie à l’aide d’une table de transfert stockée localement, qui est une copie locale des informations du moteur de routage (RE).
D’autre part, les REs opèrent dans le plan de contrôle pour gérer la gestion du système, l’accès des utilisateurs au routeur et les processus de protocoles de routage, le contrôle de l’interface de routeur et le contrôle de certains composants du châssis. L’architecture Junos OS sépare les fonctions de ces plans pour offrir la flexibilité de la prise en charge de la plate-forme et l’évolutivité des performances de la plate-forme. Les paquets de contrôle d’entrée sont dirigés vers le plan de contrôle où les processus d’encapsulation et de désencapsulation GRE des PFE ne sont pas disponibles.
Bien qu’il soit possible d’appliquer des filtres de pare-feu aux adresses de bouclage, les actions de filtre de pare-feu d’encapsulation et de désencapsulation GRE ne sont pas prises en charge sur les interfaces de bouclage des routeurs.
Configuration compacte pour plusieurs tunnels GRE
Les filtres de pare-feu prennent en charge une grande variété de critères de correspondance et, par extension, la possibilité de terminer plusieurs tunnels GRE qui correspondent aux critères spécifiés dans une définition de filtre de pare-feu unique. En créant plusieurs tunnels, chacun avec son propre ensemble de conditions de correspondance, vous pouvez créer des tunnels qui n’interfèrent pas avec les paquets GRE des clients ou entre eux et qui réinjectent les paquets dans des tables de routage distinctes après la désencapsulation.
Tunnelisation avec filtres de pare-feu et tunnelisation avec interfaces de tunnel
La tunnelisation avec des interfaces de tunnel prend en charge à la fois le trafic de contrôle du routeur et le trafic de transit, ainsi que le chiffrement. Ce n’est pas le cas du tunneling avec des filtres de pare-feu. Cependant, la tunnelisation avec des filtres de pare-feu offre des avantages en termes de performances et d’évolutivité.
Performances de transfert
La tunnelisation basée sur les filtres sur les réseaux IPv4 permet une utilisation plus efficace de la bande passante PFE que la tunnelisation GRE utilisant des interfaces de tunnel. L’encapsulation, la désencapsulation et la recherche de route sont des activités de traitement d’en-tête de paquets qui, pour la tunnelisation basée sur le filtre de pare-feu, sont effectuées sur le PFE. Par conséquent, l’encapsulateur n’a jamais besoin d’envoyer des paquets de charge utile à une interface de tunnel distincte (qui peut résider sur un PIC dans un emplacement différent de celui de l’interface qui reçoit les paquets de charge utile).