フレキシブル トンネル インターフェイスの設定
フレキシブル トンネル インターフェイスの概要
フレキシブルトンネルインターフェイス(FTI)は、静的ルーティングとBGPプロトコルを使用して、エンドポイントとルーターを接続するトンネル上でルートを交換する論理トンネルインターフェイスの一種です。
- MXシリーズルーターとSRXシリーズファイアウォール上の柔軟なトンネルインターフェイス
- PTXシリーズルーターおよびQFXシリーズスイッチの柔軟なトンネルインターフェイス
- プラットフォーム固有の FTI の動作
- PTXシリーズルーターでのFTIトンネルのMPLSサポート
- ACXシリーズルーターの柔軟なトンネルインターフェイス
- ACXシリーズルーターでのFTIトンネルのMPLSサポート
- 柔軟なトンネル インターフェイスの利点
- フレキシブル トンネル インターフェイスの制限
MXシリーズルーターとSRXシリーズファイアウォール上の柔軟なトンネルインターフェイス
FTI は、MXシリーズ ルーターと SRXシリーズ ファイアウォールで以下の機能を備えています。
-
FTI は、レイヤー 2 疑似ヘッダーを使用した VXLAN カプセル化のみをサポートしています。
-
FTI は、複数の仮想マシンをホストするルーターとサーバー間、または 2 つの異なるデータ センターのルーター間で使用されます。
-
FTI は、ポートミラーの宛先として設定できます。
-
FTI は、論理インターフェイスの統計情報ストリーミングをサポートします。
VXLAN カプセル化プロセスでは、レイヤー 2 アドレスに「疑似」送信元(送信元 MAC:00-00-5E-00-52-00)と宛先(宛先 MAC:00-00-5E-00-52-01)の MAC アドレスが入力されます。ただし、パケットがリモート エンドポイントに到達すると、これらのアドレスは無視されます。リモートエンドポイントは、IP アドレスと指定された宛先UDPポート番号によって識別されます。リモート エンドポイント上の対応する FTI は、VNI(仮想ネットワーク識別子)値、トンネルの送信元 IP アドレス、および宛先 UDP ポート番号によって識別されます。これらの値はすべて、VXLAN カプセル化された FTI で設定できます。
に接続するFTI
図1 は、FTIが遠隔地から仮想プライベートクラウドへの接続を提供する仕組みを示しています。個々の柔軟なトンネル(1〜 N)は、顧客ごとにプロビジョニングされます。顧客向けの論理インターフェイスと対応するFTIは、1つのルーティング インスタンスで動作するように設定されています。FTI は、BGP プロトコル(eBGP および iBGP)を使用して、お客様のデバイスからリモート ゲートウェイへ、またはその逆へパケットを伝送します。
PTXシリーズルーターおよびQFXシリーズスイッチの柔軟なトンネルインターフェイス
一部の PTXシリーズルーターとQFXシリーズスイッチはFTIをサポートしています。プラットフォームとJunosバージョンサポートの詳細については、 Feature Explorerを参照してください。PTX および QFX スイッチの FTI サポートには、以下の機能が含まれます。
-
FTI は、Junos OS リリース 19.3R1 以降のリリースでサポートされています。
-
FTI は UDP カプセル化のみをサポートします。
-
FTI は、MPLS トンネル内の任意の場所(MPLS トランジット、イングレス、エグレス、PHP)から開始できます。
-
UDP カプセル化による FTI は、次のペイロードをサポートします。
-
IPV4 UDPパケット内のIPV4
-
IPV4 UDPパケット内のIPV6
-
MPLS inside IPV4 UDP パケット
-
IPV4 UDPパケット内のISO
-
UDP カプセル化を使用した FTI は、次の機能をサポートします。
-
MPLSリンク保護とノードリンク保護です。
-
RSVP 帯域幅の手動設定。
-
LDP および RSVP 上の BFD を除く、ライブ性検出のための BFD サポート。
-
次のプロトコルのサポート:
-
BGP
-
RSVP
-
自民党
-
OSPF
-
イシス
-
-
スタティックルート。
-
FTI 論理インターフェイスの統計情報。
-
トンネルに入る前の FTI の MTU 設定とペイロードのフラグメント化
-
アンダーレイは、集合型イーサネットまたは通常のインターフェイスであり、タグ付けされたサブインターフェイスまたは通常のレイヤー3インターフェイスにすることができます。
-
オーバーレイとアンダーレイ ECMP。
プラットフォーム固有の FTI の動作
| プラットホーム |
差 |
|---|---|
| Junos OS Evolved搭載PTXルーター |
FTIの出力ファイアウォールフィルターはサポートされていません。 |
UDP カプセル化された FTI インターフェイスを設定するには、[edit interfaces fti0 unit unit tunnel encapsulation] 階層レベルで udp ステートメントを含めます。
例えば:
[edit interfaces]
fti0 {
unit unit_number {
tunnel {
encapsulation udp {
source {
address ipv4_address;
}
destination{
address ipv4_address;
}
}
}
family inet {
destination-udp-port udp port ;
}
family inet6 {
destination-udp-port udp port ;
}
family mpls {
destination-udp-port udp port ;
}
family iso {
destination-udp-port udp port ;
}
}
}
PTXシリーズルーターでのFTIトンネルのMPLSサポート
Junos OS Evolved Release 21.4R1以降、FTIトンネル上にMPLSプロトコルを設定することで、MPLSをサポートしないIPネットワーク上でMPLSパケットを転送できるようになりました。
Junos OS Evolved Release 21.4R1では、GRE(Generic Routing Encapsulation)およびUDPトンネルがIPv4およびIPv6トラフィックのMPLSプロトコルをサポートしています。GREおよびUDPトンネルのカプセル化とカプセル化解除を設定できます。
次の機能がサポートされています。
-
IPv4およびIPv6トラフィックのカプセル化とカプセル化解除
-
UDPポート番号の設定
-
MPLSノードリンク保護
-
LSP のイングレス、エグレス、PHP、トランジットの役割
-
LSP のイングレス、エグレス、PHP、トランジットロールでの ping と traceroute のサポート
-
オーバーレイおよびアンダーレイ ECMP
-
RSVP 帯域幅の手動設定。
-
MPLSサービス
-
L3VPN
-
6VPE
-
L2回線
-
BGP-LU(ネクスショップ単位またはプレフィックスラベルを使用)
-
-
ルーティング インスタンス
-
書き換えルールと分類子の設定を含むサービスクラス(CoS)
-
MTU 構成とペイロードのフラグメント化
-
ライブ性検出のためのBFDサポート。
-
Jビジョン
次の機能はサポートされていません。
-
MPLSリンク保護
-
RSVP 帯域幅 FTI インターフェイスのトンネル宛先へのネクスト ホップに基づく継承
-
TTL伝搬。
-
トンネル エンドポイントのサービス クラス。
-
FT-over-FT解像度。
-
FT 宛先 IP は、BGP ではなく IGP を介して到達可能である必要があります(間接ネクストホップなし)。到達可能性は、LSP ではなく、IPV4 ルートを経由する必要があります。
-
パス MTU 検出 。
UDPトンネルでMPLSトラフィックを許可するには、[edit forwarding-options tunnels udp port-profile profile-name]階層レベルでmpls port-numberステートメントを含めます。MPLS トラフィックを GRE トンネルで許可するには、[edit interfaces fti0 unit unit family] 階層に mpls ステートメントを含めます。
例えば:
[edit forwarding-options]
tunnels {
udp {
port-profile p1 {
inet <port num>
inet6 <port num>
mpls <port num>
iso <port num>
}
}
}
ACXシリーズルーターの柔軟なトンネルインターフェイス
Junos OS Evolvedリリース24.1R1以降、[edit interfaces fti unit unit]階層レベルでtunnel encapsulation gre source address destination addressコマンドを使用してカプセル化を設定できます。プラットフォームとJunosバージョンサポートの詳細については、Feature Explorerを参照してください。
次の機能がサポートされています。
-
FTIインターフェイスベースのGREカプセル化およびカプセル化解除モード
-
inet、inte6、isoペイロード
-
オーバーレイとしてのIPv4とIPv6の両方
-
アンダーレイとしての IPv4 と IPv6 の両方
-
BFD、OSPF、ISIS、および静的ルート
-
アンダーレイおよびオーバーレイ ECMP
-
FTI IFL 統計情報
-
FTI の MTU 設定。
-
FTI の TTL 設定。
-
ホスト ping
-
トンネルのエンドポイント到達性に基づくFTIリンクのアップまたはダウンステータス
-
FTIと標準インターフェースのECMP
-
カプセル化解除側の FTI の入力フィルターのサポート
-
トンネル終端専用モード
-
IPv4 と IPv6 の両方のカプセル化のパス MTU ディスカバリー
-
内部送信元IPのトンネルカプセル化解除時のなりすまし防止
-
flexible-vlan-taging
-
他のトンネル経由のトンネル宛先到達可能性
-
FTI IFF MTU 値が高く、アンダーレイ IFF MTU が低い場合の MTU 例外の生成
-
データパスの制限により、トンネリングされたパケットおよびペイロードのトンネルアンダーレイインターフェイスに適用される出力フィルター
-
データパスの制限により、トンネリングされたパケットおよびペイロード用のトンネルカプセル化解除ノードのNNIインターフェイスに適用される入力フィルター
-
同じトンネル設定のFTIトンネルと動的ネクストホップトンネル。
-
FTI IFF の無効化と有効化
-
トンネルの始点と終点での IP フラグメント化
-
トンネルのカプセル化の統計は、トンネルと MPLS の両方の統計が有効になっているトンネルを介して送信される MPLS カプセル化パケットではサポートされていません。MPLS 統計のみがサポートされます。
-
set system packet-forwarding-options tunnel encap-stats-enableおよびset system packet-forwarding-options tunnel decap-stats-enableステートメントを使用して、トンネルのカプセル化またはカプセル化解除の統計情報を設定できます。CLI(設定/削除/非アクティブ化)を使用すると、カウンターとトンネルの関連付けまたは関連付け解除datapath restart発生します。
トンネルのカプセル化またはカプセル化解除の統計情報を設定すると、PFEプロセスの再起動が発生し、サービスにも影響を与えます。
GREカプセル化でFTIインターフェイスを設定するには、[edit interfaces fti0 unit unit tunnel encapsulation]階層レベルでgreステートメントを含めます。
例えば:
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation gre {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
ttlttl-value;
}
}
family inet {
address ip_address ;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
Junos OS Evolvedリリース24.2R1以降、ACXシリーズはUDPカプセル化とカプセル化解除によるFTIをサポートしています。プラットフォームとJunosバージョンサポートの詳細については、 Feature Explorerを参照してください。
次の機能がサポートされています。
-
UDP を使用した FTI は、次のペイロードをサポートします。
-
IPv4 UDPパケット内のIPv4
-
IPv4 UDPパケット内のIPv6
-
IPv4 UDPパケット内のMPLS
-
IPv4 UDPパケット内のISO
-
IPv6 UDPパケット内のIPv4
-
IPv6 UDPパケット内のIPv6
-
IPv6 UDPパケット内のMPLS
-
IPv6 UDPパケット内のISO
-
-
次のプロトコルのサポート:
-
BGP
-
BFDの
-
OSPF
-
イシス
-
-
スタティックルート。
-
FTI 論理インターフェイスの統計情報。
-
FTI の MTU 設定。
-
FTI の TTL 設定。
-
オーバーレイとアンダーレイ ECMP。
-
bypass-loopback設定とpayload-port-profile profile name設定は必須です。
-
トンネル終端専用モード
-
IPv4 と IPv6 の両方のカプセル化のパス MTU ディスカバリー
-
内部送信元IPのトンネルカプセル化解除時のなりすまし防止
-
flexible-vlan-taging
-
他のトンネル経由のトンネル宛先到達可能性
-
FTI IFF MTU 値が高く、アンダーレイ IFF MTU が低い場合の MTU 例外の生成
-
データパスの制限により、トンネリングされたパケットおよびペイロードのトンネルアンダーレイインターフェイスに適用される出力フィルター
-
データパスの制限により、トンネリングされたパケットおよびペイロード用のトンネルカプセル化解除ノードのNNIインターフェイスに適用される入力フィルター
-
同じトンネル設定のFTIトンネルと動的ネクストホップトンネル。
-
FTI IFF の無効化と有効化
-
トンネルの始点と終点での IP フラグメント化
-
トンネルのカプセル化の統計は、トンネルと MPLS の両方の統計が有効になっているトンネルを介して送信される MPLS カプセル化パケットではサポートされていません。MPLS 統計のみがサポートされます。
-
set system packet-forwarding-options tunnel encap-stats-enableおよびset system packet-forwarding-options tunnel decap-stats-enableステートメントを使用して、トンネルのカプセル化またはカプセル化解除の統計情報を設定できます。CLI(設定/削除/非アクティブ化)を使用すると、カウンターとトンネルの関連付けまたは関連付け解除datapath restart発生します。
UDP カプセル化された FTI インターフェイスを設定するには、[edit interfaces fti0 unit unit tunnel encapsulation] 階層レベルで udp ステートメントを含めます。
例えば:
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation udp {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
payload-port-profile profile name{
inet port num;
inet6 port num;
mpls port num;
iso port num;
}
ttlttl-value;
}
}
family inet {
address ip_address ;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
ACXシリーズルーターでのFTIトンネルのMPLSサポート
Junos OS Evolved Release 24.2R1以降、ACXシリーズルーター上でFTIトンネルを介したMPLSプロトコルを設定することで、MPLSをサポートしないIPネットワーク上でMPLSパケットを転送できるようになりました。
Junos OS Evolvedリリース24.2R1では、汎用ルーティングカプセル化(GRE)とUDPトンネルは、ACXシリーズルーター上のIPv4およびIPv6トラフィックのMPLSプロトコルをサポートしています。GREおよびUDPトンネルのカプセル化とカプセル化解除を設定できます。プラットフォームとJunosバージョンサポートの詳細については、 Feature Explorerを参照してください。
次の機能がサポートされています。
-
IPv4およびIPv6トラフィックのカプセル化とカプセル化解除
-
UDPポート番号の設定
-
LSP のイングレス、エグレス、PHP、トランジットロールでの ping と traceroute のサポート
-
オーバーレイおよびアンダーレイ ECMP
-
カプセル化とカプセル化解除を備えたLDP、RSVP、静的LSP、BGPプロトコル
-
さまざまなトンネル終端シナリオをサポートする MPLSoGREまたはMPLSoUDPトンネルは、以下のいずれかのケースで開始できます。
-
MPLS ラベルエッジルーター(LER)
-
MPLS LSR(ラベルスイッチルーター)
-
MPLS PHP
-
MPLS エグレス PE
-
-
MPLSサービス
-
L3VPN
-
6VPE
-
6PE
-
-
トンネル終端専用モード
-
IPv4 と IPv6 の両方のカプセル化のパス MTU ディスカバリー
-
内部送信元IPのトンネルカプセル化解除時のなりすまし防止
-
flexible-vlan-taging
-
他のトンネル経由のトンネル宛先到達可能性
-
FTI IFF MTU 値が高く、アンダーレイ IFF MTU が低い場合の MTU 例外の生成
-
データパスの制限により、トンネリングされたパケットおよびペイロードのトンネルアンダーレイインターフェイスに適用される出力フィルター
-
データパスの制限により、トンネリングされたパケットおよびペイロード用のトンネルカプセル化解除ノードのNNIインターフェイスに適用される入力フィルター
-
同じトンネル設定のFTIトンネルと動的ネクストホップトンネル。
-
FTI IFF の無効化と有効化
-
トンネルの始点と終点での IP フラグメント化
-
トンネルのカプセル化の統計は、トンネルと MPLS の両方の統計が有効になっているトンネルを介して送信される MPLS カプセル化パケットではサポートされていません。MPLS 統計のみがサポートされます。
-
set system packet-forwarding-options tunnel encap-stats-enableおよびset system packet-forwarding-options tunnel decap-stats-enableステートメントを使用して、トンネルのカプセル化またはカプセル化解除の統計情報を設定できます。CLI(設定/削除/非アクティブ化)を使用すると、カウンターとトンネルの関連付けまたは関連付け解除datapath restart発生します。
GREまたはUDPトンネルでMPLSトラフィックを設定するには、[edit interfaces fti0 unit unit family]階層にmplsステートメントを含めます。
[edit interfaces]
fti0 {
unit unit-number{
tunnel {
encapsulation (gre | udp) {
source {
address ipv4/ipv6_address;
}
destination {
address ipv4/ipv6_address;
}
tunnel-routing-instance {
routing-instance instance name;
}
bypass-loopback;
payload-port-profile profile name{
inet port num;
inet6 port num;
mpls port num;
iso port num;
}
ttlttl-value;
}
}
family inet {
address ip_address;
}
family inet6 {
address ip_address;
}
family mpls;
family iso;
}
}
柔軟なトンネル インターフェイスの利点
-
エントロピーとロードバランシングは転送中に発生します。IP in IP や GRE(Generic Routing Encapsulation)などのトンネル経由のカプセル化とは異なり、VXLAN カプセル化は、UDP データグラムの送信元ポートでのハッシュ計算結果の受け渡しをサポートします。これにより、トランジット中のトラフィックを効率的にロードバランシングできます。
-
FTI は、複数のカプセル化をサポートできる拡張可能な設計になっています。
-
FTI における VXLAN カプセル化の
vni属性は、顧客の分離に役立ちます。 -
UDP カプセル化の FTI は、UDP ヘッダーの送信元ポートと宛先ポートを使用します。UDP送信元ポートは内部ペイロードのハッシュ値から導出されるため、ECMP経由のトラフィック分散を改善するメリットがあります。
フレキシブル トンネル インターフェイスの制限
-
ポリシングは、FTI の分散型フォワーディング モデルに従います。そのため、プロビジョニングされた帯域幅制限は、個々のパケット転送エンジンレベルで適用されます。その結果、より多くのトラフィックが許可される可能性があります。
-
現在、FTI トンネリングされたトラフィックは、厳密に
inet.0インスタンスでルーティングされています。したがって、FTI は IPv4 トラフィックのみをサポートします。 -
MX80はFTIをサポートしていません。
-
書き換えルールや分類子の設定を含む、CoS(サービスクラス)の設定は、FTIではサポートされていません。
-
トンネルヘッダーのTTL(Time-to-live)はデフォルト値の64に設定されています。
-
差別化されたサービスコードポイント(DSCP)値はデフォルト値の0に設定されていますが、内部転送クラスと損失の優先度フィールドは保持され、エグレスインターフェイス書き換えルールのDSCPを書き換えるために使用できます。
-
IP フラグメント化は FTI ではサポートされていません。
UDP カプセル化を使用した FTI は、以下の機能をサポートしていません。
-
LDP および RSVP 上の BFD はサポートされていません。
-
QFX1000デバイス上の集約イーサネットメンバー統計はサポートされていません。
-
FTI 論理インターフェイスあたり 10,000 ルートはサポートされていません。
-
ルーティングインスタンスはサポートされていません。
-
論理システムはサポートされていません。
-
パス MTU ディスカバリーはサポートされていません。
-
ポリシングとファイアウォールはサポートされていません。
-
UDP トンネルの BGP シグナリングはサポートされていません。
-
トンネルエンドポイントのサービスクラスはサポートされていません。
-
TTL 伝搬はサポートされていません。
-
マルチキャスト トラフィックはサポートされていません。
-
プレーン IPV6 UDP トンネルはサポートされていません。
-
トンネルトラフィックのなりすまし防止チェックはサポートされていません。
-
MPLS FRRはサポートされていません。
-
FT-over-FT 解決はサポートされていません。
-
FT 宛先 IP は、BGP ではなく IGP を介して到達可能である必要があります(間接ネクストホップなし)。到達可能性は、LSP ではなく、IPV4 ルートを経由する必要があります。
-
FT 物理インターフェイス レベルの統計情報はサポートされていません。
-
fti0 を除く FTI のすべてのインターフェイスがサポートされているわけではありません。
-
番号なしアドレスはサポートされていません。
参照
フレキシブル トンネル インターフェイスの設定
MXシリーズルーターではレイヤー2疑似ヘッダーを使用した仮想拡張LAN(VXLAN)カプセル化、またはPTXシリーズルーターやQFXシリーズスイッチではUDPカプセル化をサポートするフレキシブルトンネルインターフェイス(FTI)を設定できます。フレキシブル トンネル インターフェイス(FTI)は、IPv4 トランスポート ネットワーク上で IPv4 および IPv6 オーバーレイを作成するために使用できるポイントツーポイントのレイヤー 3 インターフェイスです。ルーティング情報を配信するために、FTI 上で実行するように BGP プロトコル セッションを設定できます。
以下のセクションでは、デバイスで FTI を設定する方法と、vni と destination-udp-port の値で識別される必須のtunnel-endpoint vxlanカプセル化の下で、udp または vxlan-gpe パラメーターを使用して複数のカプセル化を有効にする方法について説明します。
PE1 での FTI の設定
[edit interfaces] 階層レベルで tunnel-endpoint vxlan ステートメントを含めることで、FTI を設定できます。
IPv4 ネットワーク用に FTI を設定し、その属性を定義するには:
検証
目的
FTI が設定されていることを確認し、そのステータスを確認します。
アクション
設定モードでは、 show interfaces fti number コマンドを実行することでMXシリーズルーターに FTI が設定されているかどうかを確認できます。
user@host# show interfaces fti0
Physical interface: fti0, Enabled, Physical link is Up
Interface index: 136, SNMP ifIndex: 504
Type: FTI, Link-level type: Flexible-tunnel-Interface, MTU: Unlimited, Speed: Unlimited
Device flags : Present Running
Interface flags: SNMP-Traps
Link type : Full-Duplex
Link flags : None
Last flapped : Never
Input packets : 0
Output packets: 0
Logical interface fti0.0 (Index 340) (SNMP ifIndex 581)
Flags: Up Point-To-Point SNMP-Traps Encapsulation: VXLAN-GPEv4
Destination UDP port: 4789, VNI: 1000, Source address: 5.5.5.5, Destination address: 6.6.6.6
Input packets : 0
Output packets: 0
Protocol inet, MTU: Unlimited
Max nh cache: 0, New hold nh limit: 0, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 3.3.3/24, Local: 3.3.3.5, Broadcast: 3.3.3.255
同様に、 show interfaces fti0 detail、 show interfaces fti0 extensive、 show interfaces fti0 terse、および show interfaces fti0 statistics コマンドを実行して、FTI の詳細を取得できます。 インターフェイス fti の表示を参照してください。
意味
show interfaces fti0 コマンドは、新しいカプセル化vxlan-gpeで設定された FTI のステータスを表示します。出力では、FTI が設定され、物理リンクがupことを確認します。
SRXファイアウォールでフレキシブルトンネル インターフェイスを設定する
SRXファイアウォールでフレキシブルトンネル インターフェイス(FTI)を設定する場合は、インターフェイスのゾーンとセキュリティポリシーも設定する必要があります。
セキュリティ ゾーンは、ポリシーによるインバウンドおよび送信トラフィックの規制を必要とする 1 つ以上のネットワーク セグメントの集合です。FTI をセキュリティ ゾーンの 1 つに割り当てると、FTI はセキュリティ ゾーン間のセキュリティ ゲートウェイとして機能します。セキュリティ ポリシーによって、FTI を通過するトラフィック フローが制御されます。SRXファイアウォールのセキュリティポリシーを設定して、FTIを通過するトラフィックを許可または拒否できます。次の設定例は、SRXファイアウォールでFTIを設定する方法を示しています。
-
vxlan-gpeカプセル化でFTIを設定します。set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.1/24 set interfaces lo0 unit 0 family inet address 192.168.100.1
-
FTI を設定し、セキュリティ ゾーンに割り当てます。セキュリティ ゾーンの詳細については、「 https://www.juniper.net/documentation/us/en/software/junos/security-policies/topics/topic-map/security-zone-configuration.html」を参照してください。
set security zones security-zone FTI-ZONE host-inbound-traffic system-services all set security zones security-zone FTI-ZONE host-inbound-traffic protocols all set security zones security-zone FTI-ZONE interfaces fti0.0
-
FTI に送信されるトラフィックと、トラフィックがインターフェイスを通過する際に実行する必要があるアクションのポリシーを作成します。この例では、すべてのトラフィックの通過を許可します。セキュリティ ポリシーの設定の詳細については、「 https://www.juniper.net/documentation/us/en/software/junos/security-policies/topics/topic-map/security-policy-configuration.html」を参照してください。
set security policies from-zone FTI-ZONE to-zone trust policy fti-out match source-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-out match destination-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-out match application any set security policies from-zone FTI-ZONE to-zone trust policy fti-out then permit set security policies from-zone FTI-ZONE to-zone trust policy fti-in match source-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-in match destination-address any set security policies from-zone FTI-ZONE to-zone trust policy fti-in match application any set security policies from-zone FTI-ZONE to-zone trust policy fti-in then permit set routing-options static route 198.51.100.2/32 next-hop 10.100.12.2
フレキシブルトンネル作成の検証
show interfaces fti0.0 コマンドを使用して、フレキシブル トンネル インターフェイスに関する情報を表示します。
user@device1>show interfaces fti0.0
Logical interface fti0.0 (Index 72) (SNMP ifIndex 520)
Flags: Up Point-To-Point SNMP-Traps Encapsulation: VXLAN-GPEv4
Destination UDP port: 4789, Source UDP port range: [49160 - 65535],
VNI: 22701, Source address: 10.0.0.2, Destination address: 10.0.0.1
Input packets : 0
Output packets: 5
Security: Zone: FTI-ZONE
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf ospf3 pgm pim rip ripng router-discovery
rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp
snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping lsselfping ntp sip dhcpv6 r2cp webapi-clear-text webapi-ssl
tcp-encap sdwan-appqoe high-availability
Protocol inet, MTU: 1450
Max nh cache: 0, New hold nh limit: 0, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.18.1/24, Local: 10.18.1.2, Broadcast: 10.18.1.255
例:MXシリーズルーターでのフレキシブルトンネルインターフェイスの設定
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MX10003とMXシリーズ5Gユニバーサルルーティングプラットフォーム。
Junos OS リリース 18.3 以降
概要
この例では、柔軟なトンネル インターフェイスを使用して、2 つのルーター間にレイヤー 3 VPN オーバーレイネットワークを作成します。実際の展開では、エンドポイントの 1 つをデータセンター内のサーバーまたはデータ センター ゲートウェイにすることができます。
ゲートウェイ デバイス(PE1)が、FTI トンネルの顧客側を表す企業顧客間のリンクとして機能するサンプル トポロジーを考えてみましょう。eBGP は、カスタマー エッジ(CE1)とプロバイダ エッジ(PE1)のデバイス間でルートを分配するために使用されます。IPv4 は、レイヤー 3 ネットワークを介したテスト フレームの送信に使用されます。このテストは、CE1とCE2の間でトラフィックを転送するために使用されます。両方のルーターの論理インターフェイスは、IPv4サービスのためにネットワークデバイスのトラフィックを転送するためのFTIを作成するために、IPv4アドレスで設定されています。
図 2 は、レイヤー 3 IPv4 サービスでの FTI のパフォーマンスのトポロジー例を示しています。
構成
この例では、PE1 のインターフェイス fti0 と PE2 のインターフェイス fti0 の間にあるレイヤー 3 IPv4 サービスの FTI を設定して、相互接続ルーターのトンネル インターフェイスを形成します。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを [edit] 階層レベルの CLI にコピー アンド ペーストしてください。
PE1でパラメータを設定するには
set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.1/24
PE2でパラメータを設定するには
set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.2 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.1 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789 set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701 set interfaces fti0 unit 0 family inet address 198.51.100.2/24
PE1での設定
手順
次の手順では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PE1でパラメータを設定するには:
設定モードで、
[edit interfaces]階層レベルに移動します。[edit] user@host# edit interfaces
FTIと論理ユニットを設定し、プロトコルファミリーを指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe
論理インターフェイスの送信元アドレスを指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.1
論理インターフェースの宛先アドレスを指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.2
カプセル化
vxlanでtunnel-endpointを設定します。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan
生成されるフレームの UDP ヘッダーで使用する宛先の UDP ポート値を指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789
インターフェイス上のカプセル化
vxlan-gpeを識別するために使用するvni値を指定します。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701
インターフェイスのアドレス タイプ ファミリーを指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 family inet address 198.51.100.1/24
PE2での設定
手順
次の手順では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PE2でパラメータを設定するには:
設定モードで、
[edit interfaces]階層レベルに移動します。[edit] user@host# edit interfaces
FTIと論理ユニットを設定し、プロトコルファミリーを指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe
論理インターフェイスの送信元アドレスを指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe source address 198.51.100.2
論理インターフェースの宛先アドレスを指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination address 198.51.100.1
カプセル化
vxlanでtunnel-endpointを設定します。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe tunnel-endpoint vxlan
生成されるフレームの UDP ヘッダーで使用する宛先の UDP ポート値を指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe destination-udp-port 4789
インターフェイス上のカプセル化
vxlan-gpeを識別するために使用するvni値を指定します。[set interfaces] user@host# set interfaces fti0 unit 0 tunnel encapsulation vxlan-gpe vni 22701
インターフェイスのアドレス タイプ ファミリーを指定します。
[set interfaces] user@host# set interfaces fti0 unit 0 family inet address 198.51.100.2/24
設定が正常に完了したら、
show fti0コマンドを入力してパラメータを表示できます。
業績
設定モードで、 show コマンドを入力して、PE1 と PE2 の設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
PE1のパラメータ:
[edit interfaces]
fti0{
unit 0 {
tunnel {
encapsulation vxlan-gpe {
source {
address 198.51.100.1;
}
destination {
address 198.51.100.2;
}
tunnel-endpoint vxlan;
destination-udp-port 4789;
vni 22701;
}
}
family inet {
address 198.51.100.1/24;
}
}
PE2のパラメータ:
[edit interfaces]
fti0{
unit 0 {
tunnel {
encapsulation vxlan-gpe {
source {
address 198.51.100.2;
}
destination {
address 198.51.100.1;
}
tunnel-endpoint vxlan;
destination-udp-port 4789;
vni 22701;
}
}
family inet {
address 198.51.100.2/24;
}
}
インターフェイスを設定した後、設定モードで commit コマンドを入力します。
FTI でのトンネル終端による IP-IP カプセル化解除の設定
フィルターベースのカプセル化解除では、カプセル化解除されたパケットは内部ヘッダー検索のために再循環され、それに応じて転送されます。ただし、トンネル終端はパケット処理の 1 パスで完了するため、フィルター ベースのプロセスよりもパフォーマンスが向上します。Junos OS Evolved Release 20.1R2以降、トンネル終端を設定することで、PTXシリーズルーターの柔軟なトンネルインターフェイスでIP-IPカプセル化解除を設定できるようになりました。 [edit interfaces fti0 unit number tunnel encapsulation IPIP] 階層レベルでトンネル終端を設定することで、柔軟なトンネル インターフェイスで IP-IP カプセル化解除を設定できます。
Junos OS Evolvedリリース20.1R2では、FTIはカプセル化をサポートしていません。
トンネル終端による IP-IP カプセル化解除を設定するには:
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。