Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration d’un filtre de pare-feu pour désencapsuler le trafic GRE ou IPIP

Le GRE (Generic Routing Encapsulation) et l’IP sur IP (IPIP) offrent tous deux un chemin privé et sécurisé pour le transport des paquets à travers un réseau en les encapsulant (ou en les tunnelisant). La tunnelisation est effectuée par des points de terminaison de tunnel qui encapsulent ou désencapsulent le trafic.

Vous pouvez utiliser un filtre de pare-feu pour désencapsuler le trafic du tunnel sur le commutateur. Cette fonctionnalité offre des avantages significatifs en termes d’évolutivité, de performances et de flexibilité, car vous n’avez pas besoin de créer une interface de tunnel pour effectuer la désencapsulation. Par exemple, vous pouvez terminer plusieurs tunnels à partir de plusieurs adresses IP sources avec un seul terme de pare-feu.

REMARQUE :

Les commutateurs EX4600, QFX5100 et OCX prennent en charge pas moins de 512 tunnels GRE, y compris les tunnels créés avec un filtre de pare-feu. C’est-à-dire que vous pouvez créer un total de 512 tunnels GRE, quelle que soit la méthode que vous utilisez.

Configuration d’un filtre pour désencapsuler le trafic GRE

Pour configurer un filtre de pare-feu afin de désencapsuler le trafic GRE :

  1. Créez un filtre de pare-feu IPv4 et spécifiez (éventuellement) une adresse source pour le tunnel :

    Vous devez créer un filtre IPv4 à l’aide de la méthode using car l’en-tête family inet externe d’un paquet GRE doit être IPv4. Si vous spécifiez une adresse source, il doit s’agir d’une adresse sur un périphérique qui encapsulera le trafic dans des paquets GRE.

    REMARQUE :

    Pour terminer plusieurs tunnels à partir de plusieurs adresses IP sources avec un terme de pare-feu, ne configurez pas d’adresse source. Dans ce cas, le filtre désencapsulera tous les paquets GRE reçus par l’interface à laquelle vous appliquez le filtre.

  2. Spécifiez une adresse de destination pour le tunnel :

    Il doit s’agir d’une adresse sur une interface du commutateur sur laquelle vous souhaitez que le ou les tunnels se terminent et que les paquets GRE soient désencapsulés. Vous devez également configurer cette adresse en tant que point de terminaison de tunnel sur tous les routeurs source de tunnel avec lesquels vous souhaitez former des tunnels sur le commutateur.

  3. Spécifiez que le filtre doit correspondre et accepter le trafic GRE :
  4. Spécifiez que le filtre doit désencapsuler le trafic GRE :

    En fonction de la configuration que vous avez effectuée jusqu’à présent, le commutateur transfère les paquets désencapsulés en comparant l’en-tête interne à la table de routage par défaut (inet0). Si vous souhaitez que le commutateur utilise une instance de routage virtuelle pour transférer les paquets désencapsulés, effectuez les opérations suivantes :

  5. Spécifiez le nom de l’instance de routage virtuel :
  6. Spécifiez que l’instance de routage virtuel est un routeur virtuel :
  7. Spécifiez les interfaces qui appartiennent au routeur virtuel :

Configuration d’un filtre pour désencapsuler le trafic IPIP

Pour configurer un filtre de pare-feu afin de désencapsuler le trafic IPIP :

  1. Créez un filtre de pare-feu IPv4 et spécifiez (éventuellement) une adresse source pour le tunnel :

    Vous devez créer un filtre IPv4 à l’aide de la méthode using car l’en-tête family inet externe d’un paquet IPIP doit être IPv4. Si vous spécifiez une adresse source, il doit s’agir d’une adresse sur un périphérique qui encapsulera le trafic dans des paquets IPIP.

    REMARQUE :

    Pour terminer plusieurs tunnels à partir de plusieurs adresses IP sources avec un terme de pare-feu, ne configurez pas d’adresse source. Dans ce cas, le filtre désencapsule tous les paquets IPIP reçus par l’interface à laquelle vous appliquez le filtre.

  2. Spécifiez une adresse de destination pour le tunnel :

    Il doit s’agir d’une adresse sur une interface du commutateur sur laquelle vous souhaitez que le ou les tunnels se terminent et que les paquets IPIP soient désencapsulés. Vous devez également configurer cette adresse en tant que point de terminaison de tunnel sur tous les routeurs source de tunnel avec lesquels vous souhaitez former des tunnels sur le commutateur.

  3. Spécifiez que le filtre doit correspondre et accepter le trafic IPIP :
  4. Spécifiez que le filtre doit désencapsuler le trafic IPIP :

    En fonction de la configuration que vous avez effectuée jusqu’à présent, le commutateur transfère les paquets désencapsulés en comparant l’en-tête interne à la table de routage par défaut (inet0). Si vous souhaitez que le commutateur utilise une instance de routage virtuelle pour transférer les paquets désencapsulés, effectuez les opérations suivantes :

  5. Spécifiez le nom de l’instance de routage virtuel :
  6. Spécifiez que l’instance de routage virtuel est un routeur virtuel :
  7. Spécifiez les interfaces qui appartiennent au routeur virtuel :

Application du filtre à une interface

Une fois que vous avez créé le filtre de pare-feu, vous devez également l’appliquer à une interface qui recevra le trafic GRE ou IPIP . Assurez-vous de l’appliquer dans le sens de la saisie. Par exemple, saisissez

Étant donné que l’en-tête externe d’un paquet GRE ou IPIP doit être IPv4, vous devez appliquer le filtre à une interface IPv4 et spécifier family inet.

Rubriques connexes