Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Transport du trafic IPv6 sur IPv4 à l’aide de tunnels basés sur les filtres

Cet exemple montre comment configurer un tunnel d’encapsulation de routage générique unidirectionnel (GRE) pour transporter le trafic de transit unicast IPv6 sur un réseau de transport IPv4. Pour fournir une connectivité réseau aux deux réseaux IPv6 disjoints, deux plates-formes de routage universelles 5G MX Series sont configurées avec des interfaces capables de générer et de comprendre les paquets IPv4 et IPv6. La configuration ne nécessite pas la création d’interfaces de tunnel sur les cartes d’interface physique (PIC) des services de tunnel ou sur les concentrateurs de ports modulaires (MPC) MPC3E. Au lieu de cela, vous attachez des filtres de pare-feu aux interfaces logiques Ethernet hébergées sur des cartes d’interface modulaires (MIC) ou MPC dans les deux routeurs MX Series.

REMARQUE :

Le tunneling GRE basé sur les filtres est pris en charge sur les routeurs PTX Series uniquement lorsque les services réseau sont définis sur enhanced-mode. Pour plus d’informations, reportez-vous à la section enhanced-mode.

Conditions préalables

Cet exemple utilise le matériel Juniper Networks et le logiciel Junos OS suivants :

  • Réseau de transport : réseau IPv4 exécutant Junos OS version 12.3R2 ou ultérieure.

  • Routeurs PE : deux routeurs MX80 installés en tant que routeurs PE (Provider Edge) qui connectent le réseau IPv4 à deux réseaux IPv6 disjoints qui nécessitent un chemin logique d’un réseau à l’autre.

  • Interface d’encapsulation : sur l’encapsulateur (le routeur PE d’entrée), une interface logique Ethernet configurée sur le MIC Ethernet 10 Gigabit intégré.

  • Interfaces de désencapsulation : sur le désencapsulateur (le routeur PE de sortie), interfaces logiques Ethernet configurées sur trois ports du MIC Ethernet 10 Gigabit intégré.

Avant de commencer à configurer cet exemple :

  1. Sur chaque routeur PE, utilisez la show chassis fpc pic-status commande mode opérationnel pour déterminer les cartes de ligne de routeur qui prennent en charge le tunneling GRE IPv4 basé sur les filtres, puis utilisez l’instruction de configuration pour configurer les interfaces interfaces d’encapsulation et de désencapsulation.

    • Au niveau de PE1, l’encapsulateur, configurez une interface d’encapsulation sur une carte de ligne prise en charge.

    • Au niveau de PE2, le désencapsulateur, configurez trois interfaces de désencapsulation sur une carte de ligne prise en charge.

  2. Vérifiez que les protocoles de routage IPv4 sont activés sur le réseau pour prendre en charge les chemins de routage de l’encapsulateur vers le désencapsulateur.

    Configurez les informations de routage en ajoutant manuellement des routes statiques aux tables de routage ou en configurant des protocoles de partage de routage statiques ou dynamiques. Pour plus d’informations, reportez-vous au Guide de l’utilisateur Transport et protocoles Internet.

  3. Au niveau PE1, envoyez une requête ping à l’adresse de bouclage IPv4 PE2 pour vérifier que le désencapsulateur est accessible à partir de l’encapsulateur.

  4. À PE2, envoyez une requête ping à l’adresse de bouclage IPv6 du routeur CE2 pour vérifier que le routeur de périphérie client de destination est accessible à partir du désencapsulateur.

    Les chemins de routage IPv6 de PE2 à CE2 peuvent être fournis par des routes statiques ajoutées manuellement aux tables de routage ou par des protocoles de partage de route statiques ou dynamiques.

    • Par défaut, PE2 transfère les paquets en fonction des routes d’interface (routes directes) importées de la table de routage principale.

    • En option, le filtre de désencapsulation peut spécifier que le moteur de transfert de paquets utilise une autre table de routage pour transférer les paquets de charge utile au réseau client de destination. Dans une tâche de configuration facultative de cet exemple, vous spécifiez une autre table de routage en installant des routes statiques de PE2 à C1 dans l’instance bluede routage . Vous configurez le groupe blue_group de la base d’informations de routage (RIB) pour spécifier que les informations de route de sont partagées avec blue.inet6.0, puis vous associez les interfaces PE2 aux routes stockées à la fois dans les routes par défaut et dans l’instance de inet6.0 routage.

Présentation

Dans cet exemple, vous allez configurer un tunnel IPv4 GRE unidirectionnel basé sur un filtre du routeur PE1 au routeur PE2, fournissant un chemin logique du réseau IPv6 C1 au réseau IPv6 C2.

REMARQUE :

Pour activer la tunnelisation GRE bidirectionnelle basée sur un filtre, vous devez configurer un deuxième tunnel dans le sens inverse.

En tant que tâche facultative dans cet exemple, vous pouvez créer un groupe RIB, qui spécifie le partage des informations de routage (y compris les routes apprises des homologues, les routes locales résultant de l’application de stratégies de protocole aux routes apprises et les routes annoncées aux homologues) de plusieurs tables de routage.

Topologie

Figure 1 montre le chemin du trafic IPv6 transporté du réseau C1 au réseau C2, à travers un réseau de transport IPv4 en utilisant un tunnel basé sur un filtre de PE1 vers PE2 et sans nécessiter d’interfaces de tunnel.

Figure 1 : Tunnel basé sur les filtres de PE1 à PE2 dans un réseau IPv4Tunnel basé sur les filtres de PE1 à PE2 dans un réseau IPv4

Tableau 1 résume la configuration du routeur PE1 en tant qu’encapsulateur. Tableau 2 résume la configuration du routeur PE2 en tant que désencapsulateur.

Tableau 1 : Composants de l’encapsulateur sur PE1

Composant

Noms CLI

Description

 

 

 

 

Encapsulateur

Nom de l’appareil :Bouclage IPv4 :Bouclage IPv6 :

PE110.255.1.12001:db8::1

Routeur MX80 installé en tant que routeur PE entrant. PE1 connecte le réseau IPv4, le routeur de périphérie client CE1, au réseau source IPv6 C1.

Interface d’encapsulation

Nom de l’interface :Adresse IPv4 :Adresse IPv6 :

xe-0/0/0.010.0.1.10/30::10.34.1.10/120

Interface logique client hébergée sur un MIC Ethernet 10 Gigabit. CE1 envoie à cette interface le trafic IPv6 qui provient des hôtes utilisateurs finaux et est destiné aux applications ou aux hôtes du réseau de destination IPv6 C2.

Filtre d’encapsulation

Nom du filtre :

gre_encap_1

Filtre de pare-feu IPv6 dont l’action amène le moteur de transfert de paquets à encapsuler les paquets correspondants à l’aide des caractéristiques de tunnel spécifiées. L’encapsulation consiste à ajouter un en-tête GRE, à ajouter un en-tête de paquet IPv4, puis à transférer le paquet GRE résultant via le tunnel GRE IPv4.

Interface source du tunnel

Nom de l’interface :Adresse IPv4 :

xe-0/0/2.010.0.1.12

Interface de sortie vers le tunnel.

Modèle de tunnel GRE

Nom du tunnel :

tunnel_1

Définit le tunnel GRE IPv4 du routeur PE1 () au routeur PE2(), en utilisant le protocole de tunnelisation pris en charge par IPv4 (10.255.1.110.255.2.2gre).

Tableau 2 : Composants de désencapsulation sur PE2

Composant

Noms CLI

Description

 

 

 

Décapsuleur

Nom de l’appareil :Bouclage IPv4 :Bouclage IPv6 :

PE210.255.2.22001:fc3::2

Routeur MX80 installé en tant que routeur PE de sortie pour recevoir les paquets GRE transférés du routeur entrant PE1 via un tunnel GRE IPv4.

Désencapsulation des interfaces

Nom de l’interface :Adresse IPv4 :

Nom de l’interface :Adresse IPv4 :

Nom de l’interface :Adresse IPv4 :

xe-0/0/0.010.0.2.24/30

xe-0/0/1.010.0.2.21/30

xe-0/0/2.010.0.2.22/30

Interfaces logiques entrantes orientées vers le cur hébergées sur des MIC Ethernet 10 Gigabit. Les interfaces reçoivent les paquets GRE acheminés via le tunnel IPv4 GRE à partir de PE1.

Filtre de désencapsulation

Nom du filtre :

gre_decap_1

Filtre de pare-feu IPv4 qui applique l’action decapsulate aux paquets GRE. L’action de filtrage entraîne le désencapsulation des paquets correspondants par le moteur de transfert de paquets.

La désencapsulation consiste à supprimer l’en-tête GRE externe, puis à transférer le paquet de charge utile IPv6 interne vers sa destination d’origine sur le réseau IPv6 de destination en effectuant une recherche de destination sur la table de routage par défaut.

Interface de sortie du tunnel

Nom de l’interface :Adresse IPv4 :Adresse IPv6 :

xe-0/0/3.010.0.2.23/30::20.34.2.23/120

Interface client par laquelle le routeur transmet les paquets IPv6 désencapsulés au réseau IPv6 de destination : C2.

Configuration

Pour transporter des paquets IPv6 de CE1 à CE2 sur un réseau de transport IPv4 à l’aide d’un tunnel basé sur un filtre de PE1 vers PE2 et sans configurer d’interfaces de tunnel, effectuez les tâches suivantes :

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Configuration de PE1 pour encapsuler des paquets IPv6

Configuration de PE2 pour désencapsuler les paquets GRE

Optionnel: Configuration de PE2 avec une table de routage alternative

Configuration de PE1 pour encapsuler des paquets IPv6

Procédure étape par étape

Pour configurer le routeur PE1 afin d’encapsuler des paquets IPv6 provenant de CE1 :

  1. Configurez les adresses de bouclage du routeur.

  2. Configurez les adresses IPv4 et IPv6 de l’interface d’encapsulation et attachez le filtre d’encapsulation à l’entrée IPv6.

  3. Configurez l’interface de sortie du tunnel orientée vers le cur.

  4. Définissez un filtre de pare-feu IPv6 qui permet au moteur de transfert de paquets d’encapsuler tous les paquets.

    REMARQUE :

    L’action encapsulate de filtre de pare-feu est une action de filtrage de fin . Une action d’arrêt de filtre interrompt toute évaluation d’un filtre de pare-feu pour un paquet spécifique. Le routeur effectue l’action spécifiée et aucun terme supplémentaire n’est examiné.

  5. Définissez un modèle de tunnel IPv4 GRE nommé tunnel_1 qui spécifie les adresses IP de l’hôte d’une interface source de tunnel et de trois interfaces de destination de tunnel.

    REMARQUE :

    Vous pouvez tunneliser plusieurs flux distincts de 10.0.1.10 (l’interface source du tunnel sur PE1) à 10.0.2.20 – 10.0.2.22 (les interfaces de désencapsulation sur PE2) si vous utilisez l’option key number GRE pour identifier de manière unique chaque tunnel.

  6. Si vous avez terminé de configurer l’appareil, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les commandes show firewall et show interfaces . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Routeur PE1

Confirmez le filtre de pare-feu et le modèle de tunnel sur l’encapsulateur.

Routeur PE1

Confirmez les interfaces sur l’encapsulateur.

Configuration de PE2 pour désencapsuler les paquets GRE

Procédure étape par étape

Pour configurer le routeur PE2 afin de désencapsuler les paquets GRE provenant du tunnel IPv4 :

  1. Configurez l’adresse de bouclage du routeur.

  2. Configurez les interfaces de désencapsulation.

  3. Configurez l’interface de sortie côté client sur CE2.

  4. Appliquez le filtre de pare-feu de désencapsulation d’entrée à tous les paquets transférés.

  5. Définir un filtre gre_decap_1IPv4 .

    Définissez un filtre IPv4 qui désencapsule et transfère tous les paquets GRE.

  6. Configurez term t1 pour qu’il corresponde aux paquets transportés à travers le tunnel tunnel_1 défini sur le routeur PE1. Le tunnel envoie des paquets du routeur PE1 (configuré avec l’adresse de bouclage IPv4 10.255.1.1) au routeur PE2 (configuré avec l’adresse de bouclage IPv4 10.255.2.2).

  7. Configurez term t1 pour compter et désencapsuler les paquets correspondants.

    Si l’action decapsulate de filtre de désencapsulation fait référence à l’instance de routage, assurez-vous que l’instance blue de routage est configurée et que le groupe blue_group RIB définit le partage des routes alternatives dans la table principale.

  8. Si vous avez terminé de configurer l’appareil, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show firewall, show forwarding-optionset show interfaces . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Routeur PE2

Vérifiez le filtre de pare-feu sur le désencapsulateur.

REMARQUE :

Si l’action decapsulate de filtre de désencapsulation fait référence à l’instance de routage, assurez-vous que l’instance blue de routage est configurée et que le groupe blue_group RIB définit le partage des routes alternatives dans la table principale.

Routeur PE2

Confirmez les options de transfert (pour attacher le filtre de pare-feu de désencapsulation à tous les paquets transférés en entrée) sur le décapsuleur.

Routeur PE2

Confirmez les interfaces sur le désencapsulateur.

Optionnel: Configuration de PE2 avec une table de routage alternative

Procédure étape par étape

Pour configurer le routeur PE2 avec une autre table de routage :

  1. Configurez l’instance bluede routage et ajoutez des routes statiques à CE2.

    Le logiciel Junos OS génère la table de routage à l’aide des informations de routage apprises au sein de blue.inet6.0 l’instance.

  2. Activez les routes pour qu’elles restent dans les tables de routage et de transfert, même si elles deviennent inactives. Cela permet à une route statique de rester dans la table si le saut suivant n’est pas disponible.

  3. Créez un groupe RIB en créant explicitement la table de routage par défaut.

  4. Définissez le groupe blue_groupRIB .

    Dans l’instruction, spécifiez d’abord import-rib la table de routage principale.

  5. Associez les interfaces de routeur aux informations de routage spécifiées par le groupe RIB.

  6. Si vous avez terminé de configurer l’appareil, validez la configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en saisissant les show firewallcommandes , show routing-instanceset show routing-options. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Routeur PE2

Si vous avez configuré une autre table de routage sur le routeur PE2, confirmez la configuration de l’instance de routage.

Routeur PE2

Si vous avez configuré une autre table de routage sur le routeur PE2, confirmez le groupe RIB et les configurations de routage direct.

Vérification

Vérifiez que les configurations fonctionnent correctement.

Vérification des informations de routage

But

Vérifiez que les routes directes incluent les informations de la table de routage alternative.

Action

Pour effectuer la vérification :

  1. (Facultatif) Pour vérifier l’instance de routage sur PE2, utilisez la commande mode opérationnel pour afficher la show route instance table principale et le nombre de routes pour cette instance blue de routage.

  2. (Facultatif) Pour afficher la table de routage associée à l’instance blue de routage sur PE2, utilisez la show route table commande mode opérationnel

  3. (Facultatif) Pour vérifier que les routes alternatives de l’instance de routage bleue ont été importées dans la table de transfert PE2, utilisez la commande mode opérationnel pour afficher le contenu de la table de transfert du routeur et de la show route forwarding-table table de transfert de l’instance de routage.

Vérification de l’encapsulation sur PE1

But

Vérifiez l’interface d’encapsulation sur PE1.

Action

Pour effectuer la vérification :

  1. Utilisez la show interfaces filters commande mode opérationnel pour vérifier que le filtre du pare-feu d’encapsulation est attaché à l’entrée de l’interface d’encapsulation.

  2. Utilisez la show interfaces commande mode opérationnel pour vérifier que l’interface d’encapsulation reçoit des paquets.

  3. Utilisez la show firewall filter commande mode opérationnel pour vérifier que le trafic entrant du protocole passager déclenche le filtre d’encapsulation.

Sens

Si le filtre d’encapsulation est attaché à l’interface d’encapsulation et que l’interface d’encapsulation reçoit le trafic du protocole passager et que les statistiques du filtre du pare-feu indiquent que le trafic entrant du protocole passager est encapsulé, les paquets GRE sont transférés via le tunnel.

Vérification de la désencapsulation sur PE2

But

Vérifiez les interfaces de désencapsulation sur PE2.

Action

Pour effectuer la vérification :

  1. Sur PE1, utilisez la ping commande mode opérationnel pour vérifier que PE2 est accessible.

  2. Sur PE2, utilisez la show interfaces filter commande mode opérationnel pour vérifier que le filtre du pare-feu de désencapsulation est attaché à l’entrée des interfaces de désencapsulation.

  3. Sur PE2, utilisez la show interfaces commande mode opérationnel pour vérifier que les interfaces de désencapsulation reçoivent des paquets.

    Selon la façon dont le routage est configuré et quelles liaisons sont actives et inactives, certaines interfaces de désencapsulation peuvent ne pas recevoir de paquets alors que le tunnel fonctionne correctement.

  4. Sur PE2, utilisez la show firewall filter commande mode opérationnel pour vérifier que le trafic GRE entrant déclenche le filtre de désencapsulation.

Sens

La vérification confirme les états de fonctionnement et les activités suivants de l’encapsulateur :

  • PE2 est accessible à partir du PE1.

  • Le filtre de désencapsulation est fixé à l’entrée de toutes les interfaces de désencapsulation.

  • Le désencapsulateur reçoit le trafic au niveau des interfaces de désencapsulation, comme prévu.

  • Les paquets GRE reçus au niveau des interfaces de désencapsulation déclenchent l’action de filtre du pare-feu de désencapsulation.