SUR CETTE PAGE
Exemple : configuration de MPLS sur GRE avec fragmentation et réassemblage IPsec
Cet exemple est basé sur la nécessité de prendre en charge un MTU standard de 1 500 octets vers les clients de réseau privé virtuel (VPN) pris en charge par GRE sur des tunnels IPsec, lorsque le fournisseur WAN n’offre pas d’option MTU Jumbo. Le trafic transféré sur la liaison WAN de 1500 octets peut être interrompu car la surcharge d’encapsulation du protocole (couche 2, MPLS, GRE et IPsec) génère une trame supérieure à la MTU de la liaison WAN.
Les baisses liées aux MTU sont principalement un problème pour le trafic qui ne peut pas être fragmenté. Par exemple, le trafic IP marqué comme ne pas fragmenter ou le trafic VPN/VPLS de couche 2, qui, de par sa nature, ne peut pas être fragmenté. Pour des raisons de performances, de nombreuses configurations IPsec bloquent la fragmentation post-chiffrement, ce qui entraîne une perte de paquets.
Ce document fournit une solution à ce problème en vous montrant comment configurer un tunnel IPsec pour effectuer une post-fragmentation sur le trafic qui autrement ne peut pas être fragmenté. Dans ce cas, vous échangez les performances de cryptage en forçant la post-fragmentation contre la réduction du MTU de vos clients VPN pour empêcher les pertes liées aux MTU.
Cet exemple montre comment configurer le mode de services de paquets sélectifs à l’aide d’une seule instance de routage (la instance par défaut) pour traiter le trafic VPN en mode paquet. En mode paquet, les zones de sécurité sont contournées. Cela signifie que les interfaces VRF de couche 2 et de couche 3 ne sont pas placées dans une zone de sécurité et qu’aucune stratégie n’est nécessaire pour leur permettre de communiquer via la zone Internet.
En suivant les étapes de cet exemple, vous pouvez effectuer la fragmentation des paquets encapsulés IPsec sur l’interface physique sortante du périphérique émetteur et le réassembler sur le périphérique récepteur avant le déchiffrement IPsec.
Le réassemblage de paquets fragmentés utilise beaucoup de ressources sur le périphérique et les performances du périphérique seront plus lentes qu’avec un trafic non fragmenté. Dans la mesure du possible, vous devez configurer une MTU jumbo sur l’interface WAN pour éviter toute fragmentation. Cet exemple vous montre comment fournir une MTU standard de 1 500 octets à des périphériques clients qui bloquent la fragmentation lors de l’utilisation d’IPsec sur une connexion WAN qui n’offre pas de prise en charge jumbo.
La rubrique comprend les sections suivantes :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Deux passerelles de services SRX Series
Junos OS version 11.4 ou ultérieure
Cet exemple a été revalidé sur Junos OS version 20.3R1
Pour que cet exemple fonctionne comme documenté, vous devez vous assurer qu’aucune interface n’est activée dans family ethernet-switching votre configuration SRX. L’utilisation family ethernet-switching met le périphérique SRX en mode mixte. Cet exemple est basé sur le mode de fonctionnement de routage. Pour plus d’informations sur les modes de fonctionnement mixtes et de routage, consultez Présentation des interfaces de couche 2 sur les dispositifs de sécurité. De plus, nous avons testé cet exemple avec les paramètres d’usine par défaut de la edit protocols l2-learning hiérarchie.
Présentation et topologie
Cet exemple inclut les configurations suivantes :
Configurez les interfaces pour l’encapsulation de protocole appropriée et la valeur maximale de l’unité de transmission (MTU).
Appliquez le filtre de pare-feu sur l’interface ge-0/0/0.10 pour définir le mode paquet. Configurez l’interface orientée WAN ge-0/0/1.0 avec un MTU de 1 524 octets.
Définissez une valeur MTU élevée sur interfaces logiques GRE et IPsec pour éviter la fragmentation IPsec au niveau des interfaces logiques. Le trafic encapsulé GRE est tunnelisé à l’intérieur d’IPsec.
Ajoutez la famille MPLS à l’interface GRE gr-0/0/0 et appliquez des filtres de pare-feu pour activer le mode paquet.
Configurez un tunnel IPsec sur le périphérique avec l’option dans la configuration VPN IPsec pour permettre la fragmentation des paquets IPsec surdimensionnés sur l’interface
df-bit clearge-0/0/1.0 sortante. Ce paramètre permet au périphérique SRX d’effectuer une fragmentation après le chiffrement IPsec pour le trafic client VPN marqué du bit DNF (Do Not Fragment). Le trafic client VPN qui n’est pas marqué comme DNF est fragmenté avant le chiffrement IPsec pour améliorer les performances.Configurez toutes les interfaces non orientées client telles que ge-0/0/1.0, gr-0/0/0.0, lo0.0 et st0.0 dans une seule zone de sécurité appelée « Internet ». Une seule zone de sécurité est utilisée dans cet exemple pour garder le focus sur les problèmes de fragmentation avec MPLS sur GRE over IPSec. La sécurité peut être renforcée en plaçant l’équipement en mode flux pour MPLS, puis en plaçant les interfaces client dans une zone. Une fois dans une zone, les politiques de sécurité peuvent contrôler les communications et évoquer des fonctionnalités avancées telles que l’IDP et la reconnaissance des applications. Pour plus d’informations, consultez Zones de sécurité.
Configurez une stratégie pour autoriser tout le trafic (intrazone).
Configurez OSPF pour la distribution d’adresses lo0.0, LDP pour la distribution d’étiquettes/transport MPLS et IBGP avec les familles et
l2vpnpour prendre en charge lesinet-vpnclients VPN.Configurez deux instances de routage, une pour un VPN de couche 3 et une pour un service VPLS de couche 2.
La figure 1 montre la topologie pour cet exemple.
Cet exemple se concentre sur VPLS et un VPN de couche 3 sur un tunnel IPsec. Les circuits de couche 2 sont également pris en charge. Pour un circuit de couche 2, vous devez configurer à la fois un filtre MPLS familial et un filtre CCC familial. Les filtres sont utilisés pour évoquer le traitement en mode paquet afin de prendre en charge la fragmentation sur IPsec.
Topologie
Le tableau 1 fournit un résumé des paramètres utilisés dans cette topologie pour le périphérique PE1. Vous pouvez adapter les paramètres de l’équipement PE2 ou utiliser la configuration rapide du PE2 fournie ci-dessous.
Composants |
Description |
|---|---|
PE1 |
Pare-feu PE1 SRX Series : GE-0/0/0,10 :
|
GE-0/0/2.11 :
|
|
GE-0/0/1.0 :
|
|
GR-0/0/0 :
|
|
lo0 :
|
|
ST0.0 :
|
|
|
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
La configuration de l’équipement SRX1 (PE1) :
set system host-name SRX1 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" set security ike gateway srx-2 ike-policy standard set security ike gateway srx-2 address 172.16.23.1 set security ike gateway srx-2 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-2 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.0.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.1 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.2 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.1/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.1/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.1/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.1:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 1 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 1 site-identifier 1 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.1:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.1 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.2 family inet any set protocols bgp group IBGP neighbor 10.255.255.2 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.23.0/30 next-hop 172.16.13.2 set routing-options router-id 10.255.255.1
La configuration de l’équipement SRX2 (PE2) :
set system host-name SRX2 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$Ahg6tORhclvMXREdb2gJZ" set security ike gateway srx-1 ike-policy standard set security ike gateway srx-1 address 172.16.13.1 set security ike gateway srx-1 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-1 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.1.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.2 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.1 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.2/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.2/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.2/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.2:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 2 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 2 site-identifier 2 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.2:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.2 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.1 family inet any set protocols bgp group IBGP neighbor 10.255.255.1 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.1 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.13.0/30 next-hop 172.16.23.2 set routing-options router-id 10.255.255.2
Procédure étape par étape
L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration du Guide de l’utilisateur de la CLI pour Junos OS.
Pour fragmenter la trame MPLS et réassembler le paquet :
Configurez les interfaces physiques.
[edit interfaces] user@SRX1# set ge-0/0/0 description L3VPN user@SRX1# set ge-0/0/0 mtu 4000 user@SRX1# set ge-0/0/0 unit 10 vlan-id 10 user@SRX1# set ge-0/0/0 unit 10 family inet filter input packet-mode-inet user@SRX1# set ge-0/0/0 unit 10 family inet address 192.168.0.1/24 user@SRX1# set ge-0/0/1 description Internet user@SRX1# set ge-0/0/1 mtu 1514 user@SRX1# set ge-0/0/1 unit 0 family inet address 172.16.13.1/30 user@SRX1# set ge-0/0/2 description VPLS user@SRX1# set ge-0/0/2 flexible-vlan-tagging user@SRX1# set ge-0/0/2 mtu 1522 user@SRX1# set ge-0/0/2 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 vlan-id 512
Configurez les interfaces logiques.
[edit interfaces] user@SRX1# set gr-0/0/0 unit 0 description "MPLS core facing interface" user@SRX1# set gr-0/0/0 unit 0 tunnel source 172.16.0.1 user@SRX1# set gr-0/0/0 unit 0 tunnel destination 172.16.0.2 user@SRX1# set gr-0/0/0 unit 0 family inet mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family inet address 172.16.255.1/30 user@SRX1# set gr-0/0/0 unit 0 family mpls mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family mpls filter input packet-mode user@SRX1# set lo0 unit 0 family inet address 10.255.255.1/32 user@SRX1# set st0 unit 0 family inet mtu 9178 user@SRX1# set st0 unit 0 family inet address 172.16.0.1/30
Configurez les filtres de pare-feu utilisés pour configurer les interfaces afin qu’elles fonctionnent en mode paquet.
[edit firewall] user@SRX1# set family inet filter packet-mode-inet term all-traffic then packet-mode user@SRX1# set family inet filter packet-mode-inet term all-traffic then accept user@SRX1# set family mpls filter packet-mode term all-traffic then packet-mode user@SRX1# set family mpls filter packet-mode term all-traffic then accept
Note:Si vous configurez un circuit de couche 2, vous devez également ajouter un filtre pour évoquer le mode paquet sur l’interface orientée CE sous la famille CCC :
set firewall family ccc filter packet-mode-ccc term all-traffic then packet-mode set firewall family ccc filter packet-mode-ccc term all-traffic then accept
Configurez les stratégies IKE et IPsec.
[edit security] user@SRX1# set ike policy standard mode main user@SRX1# set ike policy standard proposal-set standard user@SRX1# set ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" user@SRX1# set ike gateway srx-2 ike-policy standard user@SRX1# set ike gateway srx-2 address 172.16.23.1 user@SRX1# set ike gateway srx-2 external-interface ge-0/0/1.0 user@SRX1# set ipsec policy standard proposal-set standard user@SRX1# set ipsec vpn ipsec-vpn-1 bind-interface st0.0 user@SRX1# set ipsec vpn ipsec-vpn-1 df-bit clear user@SRX1# set ipsec vpn ipsec-vpn-1 ike gateway srx-2 user@SRX1# set ipsec vpn ipsec-vpn-1 ike ipsec-policy standard user@SRX1# set ipsec vpn ipsec-vpn-1 establish-tunnels immediately
Note:Pour garder l’accent sur la fragmentation sur IPsec, nous utilisons le chiffrement par défaut dans cet exemple (3DES-CBC). Pour améliorer les performances et la sécurité, envisagez d’utiliser un chiffrage plus récent, tel que AES-GCM-256. voir algorithme de cryptage (Security IKE)
Configurez toutes les interfaces non orientées client dans une seule zone de sécurité et une stratégie pour autoriser tout le trafic (intrazone).
[edit security policies from-zone Internet to-zone Internet] user@SRX1# set policy Internet match source-address any user@SRX1# set policy Internet match destination-address any user@SRX1# set policy Internet match application any user@SRX1# set policy Internet then permit [edit security zones security-zone Internet] user@SRX1# set host-inbound-traffic system-services all user@SRX1# set host-inbound-traffic protocols all user@SRX1# set interfaces ge-0/0/1.0 user@SRX1# set interfaces gr-0/0/0.0 user@SRX1# set interfaces lo0.0 user@SRX1# set interfaces st0.0
Configurez le protocole OSPF pour la distribution d’adresses lo0.0, configurez IBGP avec les familles inet-vpn et l2vpn. Configurez également la signalisation MPLS et LDP.
[edit protocols] user@SRX1# set bgp tcp-mss 1200 user@SRX1# set bgp group IBGP type internal user@SRX1# set bgp group IBGP local-address 10.255.255.1 user@SRX1# set bgp group IBGP local-as 65100 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet-vpn any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling user@SRX1# set ospf traffic-engineering user@SRX1# set ospf area 0.0.0.0 interface lo0.0 user@SRX1# set ospf area 0.0.0.0 interface lo0.0 passive user@SRX1# set ospf area 0.0.0.0 interface gr-0/0/0.0 user@SRX1# set mpls interface gr-0/0/0.0 user@SRX1# set ldp interface gr-0/0/0.0 user@SRX1# set ldp interface lo0.0
Configurez l’ID du routeur et un itinéraire statique vers l’extrémité distante de la liaison WAN.
[edit routing-option] user@SRX1# set static route 172.16.23.0/30 next-hop 172.16.13.2 user@SRX1# set router-id 10.255.255.1
Configurez deux instances de routage, l’une pour le VPN de couche 3 et l’autre pour l’application VPLS.
[edit routing-instances] user@SRX1# set L3VPN instance-type vrf user@SRX1# set L3VPN route-distinguisher 10.255.255.1:1000 user@SRX1# set L3VPN interface ge-0/0/0.10 user@SRX1# set L3VPN vrf-target target:65100:1000 user@SRX1# set L3VPN vrf-target import target:65100:1000 user@SRX1# set L3VPN vrf-target export target:65100:1000 user@SRX1# set L3VPN vrf-table-label user@SRX1# set L3VPN routing-options auto-export user@SRX1# set VPLS instance-type vpls user@SRX1# set VPLS interface ge-0/0/2.11 user@SRX1# set VPLS route-distinguisher 10.255.255.1:1001 user@SRX1# set VPLS vrf-target target:65100:1001 user@SRX1# set VPLS protocols vpls no-tunnel-services user@SRX1# set VPLS protocols vpls site 1 site-identifier 1 user@SRX1# set VPLS protocols vpls site 1 interface ge-0/0/2.11 user@SRX1# set VPLS protocols vpls mac-tlv-receive user@SRX1# set VPLS protocols vpls mac-tlv-send
Résultats
Affichez les résultats de la configuration :
user@SRX1> show configuration
security {
ike {
policy standard {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk"; ## SECRET-DATA
}
gateway srx-2 {
ike-policy standard;
address 172.16.23.1;
external-interface ge-0/0/1.0;
}
}
ipsec {
policy standard {
proposal-set standard;
}
vpn ipsec-vpn-1 {
bind-interface st0.0;
df-bit clear;
ike {
gateway srx-2;
ipsec-policy standard;
}
establish-tunnels immediately;
}
}
policies {
from-zone Internet to-zone Internet {
policy Internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone Internet {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
gr-0/0/0.0;
lo0.0;
st0.0;
}
}
}
}
interfaces {
ge-0/0/0 {
vlan-tagging;
mtu 4000;
unit 10 {
description L3VPN;
vlan-id 10;
family inet {
filter {
input packet-mode-inet;
}
address 192.168.0.1/24;
}
}
}
gr-0/0/0 {
unit 0 {
description "MPLS core facing interface";
tunnel {
source 172.16.0.1;
destination 172.16.0.2;
}
family inet {
mtu 9000;
address 172.16.255.1/30;
}
family mpls {
mtu 9000;
filter {
input packet-mode;
}
}
}
}
ge-0/0/1 {
description Internet;
mtu 1514;
unit 0 {
family inet {
address 172.16.13.1/30;
}
}
}
ge-0/0/2 {
flexible-vlan-tagging;
mtu 1522;
encapsulation vlan-vpls;
unit 11 {
description VPLS;
encapsulation vlan-vpls;
vlan-id 512;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.255.1/32;
}
}
}
st0 {
unit 0 {
family inet {
mtu 9178;
address 172.16.0.1/30;
}
}
}
}
firewall {
family inet {
filter packet-mode-inet {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
family mpls {
filter packet-mode {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
}
routing-instances {
L3VPN {
routing-options {
auto-export;
}
interface ge-0/0/0.10;
instance-type vrf;
route-distinguisher 10.255.255.1:1000;
vrf-target {
target:65100:1000;
import target:65100:1000;
export target:65100:1000;
}
vrf-table-label;
}
VPLS {
protocols {
vpls {
site 1 {
interface ge-0/0/2.11;
site-identifier 1;
}
no-tunnel-services;
mac-tlv-receive;
mac-tlv-send;
}
}
interface ge-0/0/2.11;
instance-type vpls;
route-distinguisher 10.255.255.1:1001;
vrf-target target:65100:1001;
}
}
protocols {
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface gr-0/0/0.0;
}
}
bgp {
group IBGP {
type internal;
local-address 10.255.255.1;
local-as 65100;
neighbor 10.255.255.2 {
family inet {
any;
}
family inet-vpn {
any;
}
family l2vpn {
signaling;
}
}
}
tcp-mss 1200;
}
ldp {
interface gr-0/0/0.0;
interface lo0.0;
}
mpls {
interface gr-0/0/0.0;
}
}
routing-options {
static {
route 172.16.23.0/30 next-hop 172.16.13.2;
}
router-id 10.255.255.1;
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du fonctionnement des interfaces physiques et logiques
- Vérification des associations de sécurité IPsec
- Vérification d’OSPF et BGP
- Vérification du fonctionnement LDP
- Vérification de la connexion VPLS
- Vérification de la connectivité VPLS de bout en bout pour les gros paquets avec DNF Set
- Vérification de la fragmentation IP sur l’interface sortante
- Vérification du L3VPN
Vérification du fonctionnement des interfaces physiques et logiques
But
Vérifiez que les interfaces physiques et logiques sont actives sur l’appareil.
Action
En mode opérationnel sur la passerelle de services SRX Series, saisissez la show interfaces terse commande.
user@SRX1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.10 up up inet 192.168.0.1/24
ge-0/0/0.32767 up up
gr-0/0/0 up up
gr-0/0/0.0 up up inet 172.16.255.1/30
mpls
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.13.1/30
ge-0/0/2 up up
ge-0/0/2.11 up up vpls
ge-0/0/2.32767 up up
dsc up up
fti0 up up
fxp0 up up
fxp0.0 up up inet 10.54.5.56/19
gre up up
ipip up up
irb up up
lo0 up up
lo0.0 up up inet 10.255.255.1 --> 0/0
lo0.16384 up up inet 127.0.0.1 --> 0/0
lo0.16385 up up inet 10.0.0.1 --> 0/0
10.0.0.16 --> 0/0
128.0.0.1 --> 0/0
128.0.0.4 --> 0/0
128.0.1.16 --> 0/0
lo0.32768 up up
lsi up up
lsi.0 up up inet
iso
inet6
lsi.1048576 up up vpls
. . .
<some output removed for brevity>
Sens
La sortie de la show interfaces terse commande montre que toutes les interfaces physiques et logiques utilisées dans cette configuration sont opérationnelles.
Vérification des associations de sécurité IPsec
But
Vérifiez que les associations de sécurité IKE et IPsec sont activées sur l’appareil.
Action
Dans le mode opérationnel de la passerelle de services SRX Series, saisissez les show security ike security-association commandes et show security ipsec security-association .
user@SRX1>show security ike security-associationsIndex State Initiator cookie Responder cookie Mode Remote Address 6699112 UP 2a5d1a37e5bd0cd1 09880f53cdbb35bb Main 172.16.23.1 user@SRX1>show security ipsec security-associationsTotal active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 f1396d7e 1868/ unlim - root 500 172.16.23.1 >131073 ESP:3des/sha1 ff799c04 1868/ unlim - root 500 172.16.23.1
Sens
La sortie indique l’état Up attendu pour la session IKE et indique qu’un tunnel IPsec a été établi avec succès.
Vérification d’OSPF et BGP
But
Vérifiez que OSPF et BGP fonctionnent correctement sur le tunnel GRE. Rappelez-vous que le tunnel GRE est à son tour acheminé sur le tunnel IPsec vérifié à l’étape précédente. Dans cet exemple, le bon fonctionnement OSPF/BGP vérifie indirectement que le trafic peut passer sur le tunnel GRE (puis IPsec). Si vous le souhaitez, vous pouvez envoyer une requête ping au point de terminaison GRE pour plus de vérification.
Action
Dans le mode opérationnel de la passerelle de services SRX Series, saisissez les show ospf neighbor commandes et show bgp summary .
user@SRX1>show ospf neighborAddress Interface State ID Pri Dead 172.16.255.2 gr-0/0/0.0 Full 10.255.255.2 128 33 user@SRX1>show bgp summaryThreading mode: BGP I/O Default eBGP mode: advertise - accept, receive - accept Groups: 1 Peers: 1 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 0 0 0 0 0 0 inet.2 0 0 0 0 0 0 bgp.l3vpn.0 1 1 0 0 0 0 bgp.l3vpn.2 0 0 0 0 0 0 bgp.l2vpn.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.255.255.2 65100 988 988 0 1 7:21:03 Establ inet.0: 0/0/0/0 inet.2: 0/0/0/0 bgp.l3vpn.0: 1/1/1/0 bgp.l3vpn.2: 0/0/0/0 bgp.l2vpn.0: 1/1/1/0 L3VPN.inet.0: 1/1/1/0 VPLS.l2vpn.0: 1/1/1/0
Sens
La sortie confirme l’état de voisinage OSPF attendu de full. Ce voisin OSPF est établi sur l’interface GRE. OSPF étant opérationnel, vous devez vous attendre à ce que le SRX local ait appris le chemin vers l’adresse de bouclage du SRX distant. Cette route permet d’établir la session d’appairage IBGP basée sur le bouclage (via le tunnel GRE). La sortie de la commande confirme que la show bgp summary session BGP est dans l’état établi et qu’elle échange les routes L3VPN et L2VPN.
Vérification du fonctionnement LDP
But
Vérifiez que LDP fonctionne correctement sur le tunnel GRE. LDP fonctionne comme le protocole de signalisation MPLS dans cet exemple.
Action
Dans le mode opérationnel de la passerelle de services SRX Series, saisissez les show ldp neighbor commandes et show ldp session .
user@SRX1>show ldp neighborAddress Interface Label space ID Hold time 172.16.255.2 gr-0/0/0.0 10.255.255.2:0 12 user@SRX1>show ldp sessionAddress State Connection Hold time Adv. Mode 10.255.255.2 Operational Open 28 DU
Sens
La sortie confirme la relation de voisinage LDP attendue sur l’interface GRE. La sortie de la commande confirme l’établissement réussi de la session à l’adresse show ldp session de bouclage du périphérique SRX distant. Cela permet à LDP d’échanger des étiquettes de transport qui, à leur tour, prennent en charge le transfert MPLS pour les clients VPN.
Vérification de la connexion VPLS
But
Vérifiez que la connexion VPLS est activée.
Action
En mode opérationnel sur la passerelle de services SRX Series, saisissez la show vpls connections commande.
user@SRX1> show vpls connections
Layer-2 VPN connections:
Legend for connection status (St)
EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down NP -- interface hardware not present
CM -- control-word mismatch -> -- only outbound connection is up
CN -- circuit not provisioned <- -- only inbound connection is up
OR -- out of range Up -- operational
OL -- no outgoing label Dn -- down
LD -- local site signaled down CF -- call admission control failure
RD -- remote site signaled down SC -- local and remote site ID collision
LN -- local site not designated LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status IL -- no incoming label
MM -- MTU mismatch MI -- Mesh-Group ID not available
BK -- Backup connection ST -- Standby connection
PF -- Profile parse failure PB -- Profile busy
RS -- remote site standby SN -- Static Neighbor
LB -- Local site not best-site RB -- Remote site not best-site
VM -- VLAN ID mismatch HS -- Hot-standby Connection
Legend for interface status
Up -- operational
Dn -- down
Instance: VPLS
Edge protection: Not-Primary
Local site: 1 (1)
connection-site Type St Time last up # Up trans
2 rmt Up Aug 25 07:52:38 2021 1
Remote PE: 10.255.255.2, Negotiated control-word: No
Incoming label: 262146, Outgoing label: 262145
Local interface: lsi.1048578, Status: Up, Encapsulation: VPLS
Description: Intf - vpls VPLS local site 1 remote site 2
Flow Label Transmit: No, Flow Label Receive: No
Sens
La sortie affiche l’état attendu Up de la connexion VPLS. Une fois la connexion opérationnelle, les appareils clients VPN devraient pouvoir transmettre le trafic.
Vérification de la connectivité VPLS de bout en bout pour les gros paquets avec DNF Set
But
Vérifiez que les périphériques clients VPLS de couche 2 sont capables d’envoyer des trames de 1500 octets avec le bit DNF défini. Comme il s’agit d’un service de couche 2, la fragmentation n’est pas possible. En conséquence, le bit DNF fonctionne de bout en bout. Rappelez-vous qu’avec la configuration de cet exemple, un tel paramètre entraîne la fragmentation du paquet IPsec par le périphérique SRX entrant après le chiffrement du trafic (post-fragmentation). La post-fragmentation se produit lorsque le trafic sort de l’interface GE-0/0/1 orientée WAN.
La post-fragmentation force le périphérique SRX distant à réassembler le paquet avant de pouvoir effectuer le déchiffrement, ce qui peut avoir un impact sur les performances de transfert du trafic chiffré. Il s’agit du comportement attendu lorsque l’option df-bit clear est utilisée. Démonstration de ce comportement est la raison de ce NCE. Les autres df-bit options, à savoir df-bit copy et , entraînent la suppression des paquets et df-bit setla génération d’un message d’erreur ICMP pour les paquets VPN qui dépassent la MTU WAN lorsque le bit DNF est défini par le client VPN.
Action
Depuis le mode opérationnel sur VPLS Host1, envoyez un ping à VPLS Host2 d’une manière qui génère un paquet IP de 1500 octets avec le bit DNF défini. Lorsque la surcharge MPLS, GRE et IPsec est ajoutée à ce trafic, il dépasse le MTU de l’interface WAN sortante. Étant donné que la pré-fragmentation est bloquée du fait qu’il s’agit d’un service de couche 2 (ou dans le cas du client L3VPN, en définissant le bit DNF), un tel paquet force la post-fragmentation en fonction du paramètre de l’option df-bit clear
La configuration et le fonctionnement des périphériques clients VPN n’entrent pas dans le cadre de cet exemple. Pour les tests, un routeur MX est utilisé pour agir en tant que clients VPN. Par conséquent, la commande ping illustrée est basée sur l’interface de ligne de commande Junos.
user@vpls-host1> ping 192.168.2.102 size 1472 do-not-fragment count 2
PING 192.168.2.102 (192.168.2.102): 1472 data bytes
1480 bytes from 192.168.2.102: icmp_seq=0 ttl=64 time=23.045 ms
1480 bytes from 192.168.2.102: icmp_seq=1 ttl=64 time=5.342 ms
--- 192.168.2.102 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.342/14.194/23.045/8.852 ms
Sens
La sortie montre que les pings réussissent. Le trafic d’écho de 1480 octets génère un paquet IP de 1500 octets lorsque l’en-tête IP de 20 octets est ajouté. Ainsi, les résultats confirment que le périphérique client VPLS peut échanger des paquets de 1 500 octets sur une liaison WAN avec un MTU de 1 500 octets, malgré la surcharge d’encapsulation. Rappelons qu’étant donné qu’il s’agit d’un service de couche 2, la fragmentation n’est pas possible et le bit DNF fonctionne de bout en bout. Cependant, l’utilisation du bit DNF est importante lors du test du client L3VPN, car le périphérique PE est capable de fragmenter le trafic IP.
Vérification de la fragmentation IP sur l’interface sortante
But
Vérifiez que le trafic client VPLS qui dépasse la MTU WAN est fragmenté sur l’interface ge-0/0/1.0 sortante. Le timing est important dans cette étape, car le trafic OSPF, LDP et BGP en arrière-plan entraîne l’incrémentation des compteurs d’interface ge-0/0/0.0. L’objectif est de générer 100 paquets de 1 500 octets à partir de l’hôte VPLS, puis de comparer rapidement les statistiques IPsec et de l’interface pour confirmer qu’environ deux fois plus de paquets sont vus sur l’interface WAN sortante par rapport au nombre sur le tunnel IPsec.
Action
En mode opérationnel sur la passerelle de services SRX Series, effacez les statistiques IPsec et de l’interface à l’aide des clear interfaces statistics all commandes et clear security ipsec statistics . Générez ensuite 100 pings rapides d’une taille de paquet de 1 500 octets entre les points de terminaison VPLS. Une fois les pings terminés, affichez le nombre de paquets pour le tunnel IPsec et l’interface ge-0/0/1 avec les show interfaces ge-0/0/1 detail commandes and show security ipsec statistics .
user@SRX1>clear interfaces statistics alluser@SRX1>clear interfaces statistics all
Générez 100 pings rapides avec une taille de paquet de 1 500 octets entre les points de terminaison VPLS. Ceci n’est pas indiqué pour la brièveté. Reportez-vous à la commande de l’étape précédente. Non illustré ici par souci de brièveté.
user@SRX1>show interfaces ge-0/0/1 detailPhysical interface: ge-0/0/1, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 509, Generation: 139 Description: Internet Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Link-mode: Full-duplex, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 56:04:19:00:3a:7b, Hardware address: 56:04:19:00:3a:7b Last flapped : 2021-08-27 12:17:01 PDT (01:27:43 ago) Statistics last cleared: 2021-08-27 13:44:28 PDT (00:00:16 ago) Traffic statistics: Input bytes : 163440 0 bps Output bytes : 162000 0 bps Input packets: 210 0 pps Output packets: 200 0 pps Egress queues: 8 supported, 4 in use . . . user@SRX1>show security ipsec statisticsESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 155722 Encrypted packets: 113 Decrypted packets: 112 . . .
Sens
La sortie de la show interfaces ge-0/0/1.0 detail commande montre que plus de 200 paquets ont été envoyés et reçus. En revanche, les statistiques IPsec confirment un décompte d’environ 100 paquets. Cela confirme que chaque paquet envoyé par le client VPLS a été fragmenté sur l’interface WAN ge-0/0/1.0.
Vérification du L3VPN
But
Vérifiez le fonctionnement de L3VPN.
Action
Depuis le mode opérationnel de la passerelle de services SRX Series, affichez la route vers le sous-réseau L3VPN distant à l’aide de la show route commande. Générez ensuite des pings sur le point de terminaison L3VPN distant pour vérifier la connectivité.
user@SRX1> show route 192.168.1.0/24
L3VPN.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.1.0/24 *[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
bgp.l3vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.255.255.2:1000:192.168.1.0/24
*[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
Testez la connectivité entre le SRX local et le point de terminaison VPN distant :
user@SRX1> ping 192.168.1.101 routing-instance L3VPN count 2
PING 192.168.1.101 (192.168.1.101): 56 data bytes
64 bytes from 192.168.1.101: icmp_seq=0 ttl=63 time=3.485 ms
64 bytes from 192.168.1.101: icmp_seq=1 ttl=63 time=3.412 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.412/3.449/3.485/0.036 ms
Dans cette configuration, un ping du SRX local vers le client L3VPN local échoue. Cela est lié à l’utilisation du mode paquet et à l’absence de zones de sécurité pour les interfaces VPN. Comme indiqué ci-dessus, vous pouvez envoyer un ping depuis le SRX local vers les destinations L3VPN distantes. Bien que cela ne soit pas indiqué, un ping généré du client L3VPN local vers l’interface VRF PE locale devrait réussir.
Testez la connectivité de bout en bout pour le L3VPN. Générez des pings jumbo entre les points de terminaison du client L3VPN. Rappelons que le client L3VPN est configuré avec un MTU 4k dans cet exemple. Encore une fois, nous utilisons un routeur MX pour remplacer le client L3VPN, donc la syntaxe ping Junos est utilisée :
user@l3vpn1> ping 192.168.1.101 size 3000 do-not-fragment count 2
PING 192.168.1.101 (192.168.1.101): 3000 data bytes
3008 bytes from 192.168.1.101: icmp_seq=0 ttl=62 time=5.354 ms
3008 bytes from 192.168.1.101: icmp_seq=1 ttl=62 time=5.607 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.354/5.481/5.607/0.126 ms
Sens
La sortie montre que la route vers le client L3VPN distant est correctement apprise via BGP, et qu’elle pointe vers l’interface GRE avec une opération d’étiquetage MPLS. Les résultats des tests ping confirment la connectivité attendue pour le L3VPN, même lors de l’envoi de 3 000 + octets pings avec le bit DNF défini.