Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Transport du trafic IPv6 sur IPv4 à l’aide de tunnels basés sur des filtres

Cet exemple montre comment configurer un tunnel d’encapsulation de routage générique unidirectionnelle (GRE) pour transporter le trafic de transit unicast IPv6 sur un réseau de transport IPv4. Pour fournir une connectivité réseau aux deux réseaux IPv6 injoints, deux Plates-formes de routage universelles MX Series 5G sont configurées avec des interfaces qui peuvent être à l’origine et comprendre les paquets IPv4 et IPv6. Cette configuration ne nécessite pas la création d’interfaces de tunnel sur les cartes DCI (Physical Interface Cards) des services de tunnel ou sur les concentrateurs de ports modulaires MPC3E (MPC). Vous fixez plutôt des filtres de pare-feu aux interfaces logiques Ethernet hébergées sur des cartes d’interface modulaires (MPC) ou des MPC dans les deux routeurs MX Series réseau.

Remarque :

La tunneling GRE basée sur des filtres n’est prise en charge PTX Series que lorsque les services réseau sont mis en enhanced-mode place. Pour plus d’informations, consultez enhanced-mode le site .

Conditions préalables

Cet exemple utilise les logiciels Juniper Networks matériels et de Junos OS suivants:

  • Réseau de transport: réseau IPv4 s’exécutant Junos OS version 12.3R2 ou ultérieure.

  • Routeurs PE: deux routeurs MX80 installés en tant que routeurs de périphérie fournisseur qui connectent le réseau IPv4 à deux réseaux IPv6 injoints qui nécessitent un chemin logique d’un réseau à l’autre.

  • Encapsulation d’interface: sur l’encapsuleur (routeur PE d’entrée), une interface logique Ethernet configurée sur le MIC 10 Gigabit Ethernet intégré.

  • Encapsulation des interfaces: sur l’encapsulateur (routeur PE de sortie), les interfaces logiques Ethernet configurées sur trois ports du MIC 10-Gigabit Ethernet intégré.

Avant de commencer à configurer cet exemple:

  1. Sur chaque routeur PE, utilisez la commande mode opérationnel pour déterminer quelles cartes d’interfaces du routeur prendre en charge la tunneling GRE IPv4 basée sur des filtres, puis utiliser l’énoncé de configuration pour configurer show chassis fpc pic-status l’encapsulation et la désencapsulation des interfaces interfaces.

    • À PE1, l’encapsuleur configure une interface d’encapsulation sur une carte d’interface prise en charge.

    • Au niveau du pe2, l’encapsuleur configure trois interfaces de désencapsulation sur une carte d’interface prise en charge.

  2. Vérifiez que les protocoles de routage IPv4 sont activés sur l’ensemble du réseau afin de prendre en charge les chemins de routage de l’encapsulateur à l’encapsulateur.

    Configurez les informations de routage en ajoutant manuellement des routes statiques aux tables de routage ou en configurant des protocoles statiques ou dynamiques de partage de route. Pour plus d’informations, consultez le Guide de l’utilisateur des protocoles Internetet de transport.

  3. Au pe1, ping vers l’adresse de bouclure IPv4 PE2 pour vérifier que l’encapsuleur peut être atteint.

  4. Au pe2, ping vers l’adresse de bouclure IPv6 du routeur CE2 pour vérifier que le routeur de périphérie du client de destination est accessible depuis l’encapsulateur.

    Les chemins de routage IPv6 de PE2 au CE2 peuvent être fournis par des routes statiques ajoutées manuellement aux tables de routage ou par des protocoles statiques ou dynamiques de partage de route.

    • Par défaut, le PE2 fait avancer les paquets en fonction des routes d’interface (routes directes) importés à partir de la table de routage principale.

    • En option, le filtre de dés encapsulation peut spécifier que l’moteur de transfert de paquets utilise une table de routage alternative pour le transport de paquets de charge utile vers le réseau client de destination. Dans une tâche de configuration facultative dans cet exemple, vous spécifiez une table de routage alternative en installant des routes statiques de PE2 à C1 dans l’instance de blue routage. Vous configurez le groupe RIB (Routing Information Base) pour spécifier que les informations de routage sont partagées avec, vous associez les interfaces PE2 avec les routes stockées à la fois dans les routes par défaut et dans l’instance de blue_groupinet6.0blue.inet6.0 routage.

Présentation

Dans cet exemple, vous configurez un tunnel GRE IPv4 unidirectionnel basé sur des filtres entre le routeur PE1 et le routeur PE2, fournissant un chemin logique entre le réseau IPv6 C1 et le réseau IPv6 C2.

Remarque :

Pour activer la tunnelisation GRE bidirectionnelle basée sur des filtres, vous devez configurer un deuxième tunnel dans la direction inverse.

Dans cet exemple, vous pouvez créer un groupe RIB qui spécifie le partage des informations de routage (y compris les routes apprises des pairs, les routes locales résultant de l’application de stratégies de protocole sur les routes apprises et les routes annoncées pour les pairs) de plusieurs tables de routage.

Topologie

Figure 1 indique le chemin du trafic IPv6 transporté du réseau C1 vers le réseau C2, à travers un réseau de transport IPv4, à l’aide d’un tunnel basé sur des filtres entre PE1 et PE2, et ce sans nécessiter d’interfaces de tunnel.

Figure 1 : Tunnel basé sur des filtres entre PE1 et PE2 dans un réseau IPv4Tunnel basé sur des filtres entre PE1 et PE2 dans un réseau IPv4

Tableau 1 résume la configuration du routeur PE1 en tant qu’encapsulateur. Tableau 2 résume la configuration du routeur PE2 en tant qu’encapsulateur.

Tableau 1 : Composants d’encapsulateur sur PE1

Composant

CLI noms

Description

 

 

 

 

Encapsulateur

Nom de l’équipement:Loopback IPv4:Loopback IPv6:

PE110.255.1.12001:db8::1

MX80 routeur PE d’entrée. PE1 connecte le réseau IPv4 au routeur de périphérie client CE1 dans le réseau source IPv6 C1.

Interface d’encapsulation

Nom de l’interface:Adresse IPv4:Adresse IPv6:

xe-0/0/0.010.0.1.10/30::10.34.1.10/120

Interface logique client hébergée sur un MIC de 10 Gigabit Ethernet. Le CE1 envoie ce trafic IPv6 d’origine aux hôtes de l’utilisateur final et destiné aux applications ou hôtes du réseau de destination IPv6 C2.

Filtre d’encapsulation

Nom du filtre:

gre_encap_1

Filtre de pare-feu IPv6 dont l’action permet moteur de transfert de paquets encapsuler des paquets assortis en utilisant les caractéristiques de tunnel spécifiées. L’encapsulation consiste à ajouter un en-tête GRE, à ajouter un en-tête de paquets IPv4, puis à faire passer le paquet GRE par le tunnel GRE IPv4.

Interface source de tunnel

Nom de l’interface:Adresse IPv4:

xe-0/0/2.010.0.1.12

Interface de sortie orientée cœur vers le tunnel.

Modèle de tunnel GRE

Nom du tunnel:

tunnel_1

Définit le tunnel GRE IPv4 depuis le routeur PE1 ( ) vers le routeur PE2(), à l’aide du protocole de tunnellité pris en charge 10.255.1.110.255.2.2 par IPv4 ( gre ).

Tableau 2 : Composants de désencapsulation sur PE2

Composant

CLI noms

Description

 

 

 

Encapsulateur

Nom de l’équipement:Loopback IPv4:Loopback IPv6:

PE210.255.2.22001:fc3::2

MX80 routeur installé en tant que routeur PE de sortie pour recevoir des paquets GRE transmis depuis le routeur d’entrée PE1 entre un tunnel GRE IPv4.

Encapsulation des interfaces

Nom de l’interface:Adresse IPv4:

Nom de l’interface:Adresse IPv4:

Nom de l’interface:Adresse IPv4:

xe-0/0/0.010.0.2.24/30

xe-0/0/1.010.0.2.21/30

xe-0/0/2.010.0.2.22/30

Interfaces logiques d’entrée en cœur hébergées sur des CARTES MPC 10 Gigabit Ethernet. Les interfaces reçoivent des paquets GRE acheminés par le tunnel GRE IPv4 depuis PE1.

Filtre de dés encapsulation

Nom du filtre:

gre_decap_1

Filtre de pare-feu IPv4 qui applique decapsulate l’action aux paquets GRE. L’action du filtre permet au moteur de transfert de paquets de dés encapsuler les paquets assortis.

La désencapsulation consiste à retirer l’en-tête GRE externe, puis à diriger le paquet de charge utile interne IPv6 vers sa destination d’origine sur le réseau IPv6 de destination en effectue une recherche sur la table de routage par défaut.

Interface de sortie de tunnel

Nom de l’interface:Adresse IPv4:Adresse IPv6:

xe-0/0/3.010.0.2.23/30::20.34.2.23/120

Interface client par laquelle le routeur permet de déencapsuler des paquets IPv6 vers le réseau IPv6 de destination C2.

Configuration

Pour transporter des paquets IPv6 du CE1 au CE2 sur un réseau de transport IPv4 à l’aide d’un tunnel basé sur des filtres entre PE1 et PE2 et sans configurer d’interfaces de tunnel, effectuer les tâches suivantes:

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez/collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configuration de PE1 pour encapsuler les paquets IPv6

Configuration de PE2 pour désencapsuler les paquets GRE

Optionnel: Configuration de PE2 avec une table de routage alternative

Configuration de PE1 pour encapsuler les paquets IPv6

Procédure étape par étape

Pour configurer le routeur PE1 pour encapsuler les paquets IPv6 arrivant de CE1:

  1. Configurez les adresses de bouclation du routeur.

  2. Configurez l’interface d’encapsulation adresses IPv4 et IPv6 et fixez le filtre d’encapsulation à l’entrée IPv6.

  3. Configurez l’interface de sortie par cœur du tunnel.

  4. Définissez un filtre de pare-feu IPv6 qui permet moteur de transfert de paquets’encapsuler tous les paquets.

    Remarque :

    encapsulateL’action du filtre de pare-feu est une action de filtre de terminaison. Une action de terminaison de filtre suspend toutes les évaluations d’un filtre de pare-feu pour un paquet spécifique. Le routeur exécute l’action spécifiée et aucune autre modalité n’est examinée.

  5. Définir un modèle de tunnel GRE IPv4 nommé tunnel_1 qui spécifie les adresses IP hôtes de l’interface source d’un tunnel et de trois interfaces de destination du tunnel.

    Remarque :

    Vous pouvez tunneler plusieurs flux, mais distincts, de 10.0.1.10 (l’interface source du tunnel sur PE1) à 10.0.2.20 – 10.0.2.22 (les interfaces de désencapsulation sur PE2) si vous utilisez l’option GRE pour identifier de manière unique chaque key number tunnel.

  6. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant show firewall les commandes et les show interfaces commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Routeur PE1

Confirmez le filtre de pare-feu et le modèle de tunnel sur l’encapsuleur.

Routeur PE1

Confirmez les interfaces sur l’encapsuleur.

Configuration de PE2 pour désencapsuler les paquets GRE

Procédure étape par étape

Pour configurer le routeur PE2 afin de désencapsuler les paquets GRE provenant du tunnel IPv4:

  1. Configurez l’adresse de bouclation du routeur.

  2. Configurez les interfaces de désencapsulation.

  3. Configurez l’interface de sortie client vers CE2.

  4. Appliquez le filtre de pare-feu d’entrée et d’encapsulation à tous les paquets transmis.

  5. Définir le filtre IPv4 gre_decap_1 .

    Définissez un filtre IPv4 qui de-encapsule et de forwarde tous les paquets GRE.

  6. Configurez un t1 terme qui correspond aux paquets transportés dans le tunnel défini par le tunnel_1 routeur PE1. Le tunnel envoie des paquets depuis le routeur PE1 (configuré avec l’adresse de bouclation IPv4 10.255.1.1) au routeur PE2 (configuré avec l’adresse de bouclation IPv4 10.255.2.2).

  7. Configure le terme t1 pour compter et désencapsuler les paquets assortis.

    Si la désencapsulation de l’action du filtre fait référence à l’instance de routage, assurez-vous que l’instance de routage est configurée et que le groupe RIB définit le partage des routes alternatives dans la decapsulateblue table blue_group principale.

  8. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show firewallshow forwarding-options commandes et les . show interfaces Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Routeur PE2

Confirmez le filtre de pare-feu sur l’encapsuleur.

Remarque :

Si la désencapsulation de l’action du filtre fait référence à l’instance de routage, assurez-vous que l’instance de routage est configurée et que le groupe RIB définit le partage des routes alternatives dans la decapsulateblue table blue_group principale.

Routeur PE2

Confirmez les options de forwarding (pour l’encapsulation du filtre de pare-feu à tous les paquets en entrée) sur l’encapsulateur.

Routeur PE2

Confirmez les interfaces sur l’encapsuleur.

Optionnel: Configuration de PE2 avec une table de routage alternative

Procédure étape par étape

Pour configurer le routeur PE2 avec une table de routage alternative:

  1. Configurez l’instance de routage blue et ajoutez des routes statiques au CE2.

    Le Junos OS génère la table de routage à l’aide des informations de blue.inet6.0 routage acquises au sein de l’instance.

  2. Activez les routes pour rester dans les tables de routage et de routage, même si les routes deviennent inactives. Une route statique peut ainsi rester dans la table si le saut suivant n’est pas disponible.

  3. Créez un groupe RIB en créant la table de routage par défaut.

  4. Définir le groupe RIB blue_group .

    Dans import-rib l’énoncé, indiquez d’abord la table de routage principale.

  5. Associer les interfaces de routeur aux informations de routage spécifiées par le groupe RIB.

  6. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show firewallshow routing-instances commandes et les . show routing-options Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Routeur PE2

Si vous avez configuré une table de routage alternative sur le routeur PE2, confirmez la configuration de l’instance de routage.

Routeur PE2

Si vous avez configuré une table de routage alternative sur le routeur PE2, confirmez les configurations de routage direct et le groupe RIB.

Vérification

Vérifier que les configurations fonctionnent correctement.

Vérification des informations de routage

But

Vérifiez que les routes directes incluent les informations de la table de routage alternative.

Action

Pour effectuer la vérification:

  1. (Facultatif) Pour vérifier l’instance de routage sur PE2, utilisez la commande mode opérationnel pour afficher le tableau principal et le nombre de blue routes de cette instance de show route instance routage.

  2. (Facultatif) Pour afficher la table de routage associée à l’instance de routage blue sur PE2, utilisez la show route table commande du mode opérationnel

  3. (Facultatif) Pour vérifier que les routes alternatives depuis l’instance de routage bleue ont été importés sur la table de forwarding PE2, utilisez la commande du mode opérationnel pour afficher le contenu de la table de routage et de la table de forwarding d’instance de show route forwarding-table routage.

Vérification de l’encapsulation sur PE1

But

Vérifiez l’interface d’encapsulation sur PE1.

Action

Pour effectuer la vérification:

  1. Utilisez la commande du mode opérationnel pour vérifier que le filtre de pare-feu encapsulé est relié à l’entrée de show interfaces filters l’interface d’encapsulation.

  2. Utilisez la show interfaces commande du mode opérationnel pour vérifier que l’interface d’encapsulation reçoit des paquets.

  3. Utilisez la commande du mode opérationnel pour vérifier que le trafic protocolaire de sortie déclenche le filtre show firewall filter d’encapsulation.

Sens

Si le filtre d’encapsulation est relié à l’interface d’encapsulation et que l’interface d’encapsulation reçoit le trafic protocolaire de l’encapsulation, et que les statistiques du filtre de pare-feu indiquent que le trafic des protocoles d’entrée est encapsulé, les paquets GRE sont alors transmis par le tunnel.

Vérification de l’encapsulation sur PE2

But

Vérifiez la désencapsulation des interfaces sur PE2.

Action

Pour effectuer la vérification:

  1. Sur pe1, utilisez la commande Mode opérationnel pour ping vérifier que le PE2 est accessible.

  2. Sur le pe2, utilisez la commande Mode opérationnel pour vérifier que le filtre de pare-feu de dés encapsulation est relié à l’entrée des show interfaces filter interfaces de désencapsulation.

  3. Sur le pe2, utilisez la commande mode opérationnel pour vérifier que les show interfaces interfaces de dés encapsulation reçoivent des paquets.

    Selon la manière dont le routage est configuré, les liaisons en place et les liaisons down, certaines des interfaces de désencapsulation peuvent ne pas recevoir de paquets alors que le tunnel fonctionne correctement.

  4. Sur pe2, utilisez la commande Mode opérationnel pour vérifier que le trafic GRE d’entrée déclenche le show firewall filter filtre de désinsencapsulation.

Sens

La vérification confirme les états et activités opérationnels suivants de l’encapsuleur:

  • Le pe2 peut être atteint depuis le PE1.

  • Le filtre de dés encapsulation est fixé à l’entrée de toutes les interfaces de dés encapsulation.

  • L’encapsulateur reçoit le trafic à la fin de l’encapsulation des interfaces comme prévu.

  • Les paquets GRE reçus lors de l’encapsulation des interfaces déclenchent l’action de filtre de pare-feu désintégrant.