マルチキャスト トンネル インターフェイスを介したユニキャスト パケットのフィルタリング
ユニキャスト トンネルの設定
ユニキャスト トンネルを gr- 設定するには、インターフェイス(GRE ip- カプセル化を使用する)またはインターフェイス(IP-IP tunnel カプセル化を使用するために)を設定し、 と ステートメントを family 含にします。
gr-fpc/pic/port or ip-fpc/pic/port {
unit logical-unit-number {
copy-tos-to-outer-ip-header;
reassemble-packets;
tunnel {
allow-fragmentation;
destination destination-address;
do-not-fragment;
key number;
routing-instance {
destination routing-instance-name;
}
source address;
ttl number;
}
family family {
address address {
destination address;
}
}
}
}
これらのステートメントは、以下の階層レベルで設定できます。
[edit interfaces][edit logical-systems logical-system-name interfaces]
各 GRE または IP-IP インターフェイスに対して複数の論理ユニットを設定し、ユニットごとに 1 つのトンネルのみを設定できます。
リモート M SeriesおよびT Series、サービスPICまたはトンネルPIC上にインターフェイスを設定できます。マルチMX シリーズ ルーターで、マルチサービス インターフェイスでインターフェイスを設定DPC。
各トンネル インターフェイスは、ポイント to-ポイント インターフェイスである必要があります。Point to point はデフォルトのインターフェイス接続タイプなので point-to-point 、ステートメントを論理インターフェイス設定に含める必要があります。
トンネルの宛先と送信元アドレスを指定する必要があります。残りのステートメントはオプションです。
トンネルから出るトランジット パケットの場合、RPF(リバース パス フォワーディング)、転送テーブル フィルタリング、送信元クラスの使用、宛先クラスの使用、ステートレス ファイアウォール フィルタリングなどの転送パス機能は、トンネル ソースとして設定したインターフェイスではサポートされませんが、トンネル pic インターフェイスではサポートされます。
ただし、GRE または IP-IP ヘッダーから取得されたサービス クラス(CoS)情報はトンネルを通して転送され、パケットを再入力することで使用されます。詳細については、 ルーティング デバイスの Junos OSサービス クラス ユーザー ガイド を参照してください。
無効な設定を防止するために、Junos OS source address destination [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] では、 または 階層レベルで指定されたアドレスを、 [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] 階層レベルで指定されたインターフェイス自身のサブネット アドレスと同じにします。
カプセル化ヘッダーに含まれるTTL(Time to-Live)フィールドを設定するには、 ステートメントを含 ttl みます。トンネルのTTL値を明示的に設定する場合、トンネル内のホップ数よりも1大きく設定する必要があります。たとえば、トンネルに 7 ホップの場合、TTL 値 8 を設定する必要があります。
論理インターフェイスでは、少なくとも 1 つのファミリーを設定する必要があります。GRE トンネル インターフェイスMPLSを有効にするには、ステートメントを GRE インターフェイス family mpls の設定に含める必要があります。さらに、 [edit protocols] GRE トンネル上でリソース予約プロトコル(RSVP)、MPLS、ラベルスイッチ パス(LSP)を有効にするには、階層レベルに適切なステートメントを含める必要があります。ユニキャスト トンネルは双方向です。
設定されたトンネルは、宛先ネットワーク アドレス変換いたNATポイントでトンネルを通過することはできません。詳細については、「 トンネル サービス の概要 」および「 MPLS ユーザー ガイド 」を参照してください。
GREトンネルの場合、デフォルトでは外部IPヘッダーのToSビットをすべてのゼロに設定します。内部 IP ヘッダールーティング エンジンビットToS外部にコピーするには、 ステートメントを含める必要 copy-tos-bits-to-outer-ip-header があります。(この内部から外部へのビット ToS は、すでに IP-IP トンネルのデフォルト動作です)。
適応型サービスインターフェイスまたはマルチサービス インターフェイス上のGREトンネル インターフェイスでは、以下のセクションで説明されているとおり、追加のトンネル属性を設定できます。
- GRE トンネルの鍵番号の設定
- GRE カプセル化の前に GRE トンネルでパケット フラグメント化を有効化
- トンネルのMTU設定の指定
- 外部 IP ヘッダーにビットをToSする GRE トンネルの設定
- GRE カプセル化後のパケットでのフラグメント化と再アセンブの有効化
- IPv6 GRE トンネルのサポート
GRE トンネルの鍵番号の設定
M SeriesおよびT Seriesルーター上の適応型サービスおよびマルチサービス インターフェイスでは、RFC 2890、 GREへのキーおよびシーケンス番号拡張で定義されている通り、GREトンネル内の個々のトラフィックフローを識別するキー値を割り当てできます。ただし、トンネルの送信元と宛先のペアごとに、キーは 1 つしか許可されません。
トンネルに入る各 IP バージョン 4(IPv4)パケットは、GRE トンネルの鍵値を使用してカプセル化されています。トンネルから出る各 IPv4 パケットは、GRE トンネルの鍵値によって検証され、カプセル化が不要になります。適応型サービスまたはマルチサービスPICは、設定された鍵値を一致しないパケットをドロップします。
GRE トンネル インターフェイスに鍵値を割り当てるには、次のステートメントを含 key にします。
key number;
このステートメントは、以下の階層レベルに含めできます。
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
キー番号は 0~4,294,967,295 と入力できます。トンネル エンドポイントに同じ GRE トンネル 鍵値を設定する必要があります。
次の例は、GREトンネル設定でのキーステートメントの使用を示しています。
interfaces {
gr-1/2/0 {
unit 0 {
tunnel {
source 10.58.255.193;
destination 10.58.255.195;
key 1234;
}
...
family inet {
mtu 1500;
address 10.200.0.1/30;
...
}
}
}
}
GRE カプセル化の前に GRE トンネルでパケット フラグメント化を有効化
適応型サービスインターフェイスおよびマルチサービス インターフェイス上のGREトンネル インターフェイスでのみ、IPv4パケットがGREトンネルにカプセル化される前に、IPv4パケットのフラグメント化を有効にできます。
デフォルトでは、GREトンネルを介して送信されるIPv4トラフィックはフラグメント化されません。GRE トンネルで IPv4 パケットのフラグメント化を有効にするには、次のステートメントを含 clear-dont-fragment-bit にします。
clear-dont-fragment-bit;
このステートメントは、以下の階層レベルに含めできます。
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
clear-dont-fragment-bitステートメントを設定に含める場合、トンネルパケット数(最大)を超えないパケットも含め、すべてのパケットで DF(フラグメント最大送信単位ビットMTU。パケットのサイズがトンネルのトラフィック量を超MTU、パケットはカプセル化の前にフラグメント化されます。パケットのサイズがトンネルのパケット値MTUを超えない場合、パケットはフラグメント化されません。
また、IP セキュリティ(IPsec)トンネルを介して送信されるパケットの DF ビットを消去できます。詳細については、「 IPsec ルールの設定 」を参照してください。
トンネルのMTU設定の指定
GRE トンネルで鍵番号とフラグメント化を有効にするには( 「 GRE トンネルで鍵番号を設定する 」および「GRE カプセル化の前に GRE トンネルでパケット フラグメント化を有効にする」で説明)、トンネルに MTU 設定も指定する必要があります。
トンネルのMTU設定を指定するには、 ステートメントを含 mtu にします。
mtu bytes;
このステートメントは、以下の階層レベルに含めできます。
[edit interfaces gr-fpc/pic/port unit logical-unit-number family inet][edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]
設定の詳細については、「ルーティング デバイスMTUネットワーク インターフェイス ライブラリJunos OS を参照してください。
外部 IP ヘッダーにビットをToSする GRE トンネルの設定
IP-IP トンネルとは異なり、GRE トンネルはデフォルトでToS IP ヘッダーにパケット ビットをコピーしません。ルーティング エンジン copy-tos-to-outer-ip-header によって送信されたパケットに対して、ルーティング エンジン が内部 ToS ビットを外部 IP ヘッダー(一部のトンネリング ルーティング プロトコルに必要)にコピーするには、GRE インターフェイスの論理ユニット階層レベルにステートメントを含める必要があります。この例では、内部パケットToS GREトンネル上の外部IPヘッダーにビットをコピーします。
[edit interfaces]
gr-0/0/0 {
unit 0 {
copy-tos-to-outer-ip-header;
family inet;
}
}
GRE カプセル化後のパケットでのフラグメント化と再アセンブの有効化
パケットが GRE トンネルに対して GRE カプセル化された後で、パケットのフラグメント化と再構成を有効にできます。GRE カプセル化パケットのサイズが、パケットが通過するリンクの MTU を超える場合、GRE カプセル化されたパケットはフラグメント化されます。ネットワーク上でさらに処理される前に、フラグメント化された GRE カプセル化パケットを再構成するために、トンネルのエンドポイントで GRE インターフェイスを設定します。
インターフェイスで設定する各トンネルについて、 または ステートメントを含めて、GRE allow-fragmentation カプセル化パケットのフラグメント化を有効または無効 do-not-fragment にできます。
allow-fragmentation; do-not-fragment;
これらのステートメントは、以下の階層レベルで設定できます。
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
トンネル上で allow-fragmentation 設定した場合、DFビットはGREカプセル化パケットの外部IPヘッダーに設定されていないので、フラグメント化が可能です。デフォルトでは、リンクのMTUを超える GRE カプセル化パケットはフラグメント化され、ドロップされます。
トンネルのエンドポイントの GRE インターフェイスでフラグメント化された GRE カプセル化パケットの再センブを有効にするには、次のステートメントを含 reassemble-packets にします。
reassemble-packets;
このステートメントは、以下の階層レベルで設定できます。
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Junos OS リリース 17.3R1 から、MPC7Es、MPC8Es、MPC9Es を使用して、MX シリーズ ルーター上の GRE トンネル インターフェイス上で、GRE カプセル化パケットのフラグメント化と再実装を設定できます。
Junos OSリリース17.1R1から、MPC2E-NGs、MPC3E-NGs、MPC5E、MPC6Eを使用して、MX シリーズルーター上のGREトンネル インターフェイスで、GREカプセル化パケットのフラグメント化と再実装を設定できます。
Junos OSリリース14.2から、MPC1、MPC2、MPC3、MPC4、MPC-16X10GEsを使用して、MX シリーズルーター上のGREトンネル インターフェイスで、GREカプセル化パケットのフラグメント化と再実装を設定できます。
Junos OS リリース 14.1 以前では、GRE カプセル化パケットのフラグメント化と再使用は、MS-DPC を使用する MX シリーズ ルーターでのみサポートされています。
IPv6 GRE トンネルのサポート
リリース リリース Junos OSから17.3R1、特定のルーター上で IPv6 GRE(汎用ルーティング カプセル化)トンネル インターフェイスMX シリーズできます。これにより、IPv6 ネットワーク上で GRE トンネルを実行できます。IPv6 GRE トンネル内でカプセル化できるパケット ペイロード ファミリーには、IPv4、IPv6、MPLS、ISO が含まれます。IPv6 配信パケットのフラグメント化と再組み立てはサポートされていません。
IPv6 GRE トンネル インターフェイスを設定するには、階層レベルでおよび階層レベルで IPv6 アドレスを指定し、階層レベルで IPv6 source [interfaces gr-0/0/0 unit 0] [interfaces gr-0/0/0 unit 0 family inet6] destination [interfaces gr-0/0/0 unit 0 tunnel] family inet6 address アドレスを指定します。
詳細については、
例:ユニキャスト トンネルの設定
番号なし IP-IP トンネルを 2 つ設定します。
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet;
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet;
}
}
階層レベルにアドレスを含めて、番号付きトンネル インターフェイスを [edit interfaces ip-0/3/0 unit (0 | 1) family inet] 設定します。
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet {
address 10.5.5.1/30;
}
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet {
address 10.6.6.100/30;
}
}
}
階層レベルMPLSステートメントを含めて、GRE トンネル family mpls 上に MPLS を [edit interfaces gr-1/2/0 unit 0] 設定します。
[edit interfaces]
gr-1/2/0 {
unit 0 {
tunnel {
source 192.168.1.1;
destination 192.168.1.2;
}
family inet {
address 10.1.1.1/30;
}
family mpls;
}
}
詳細については、
トンネルとマルチキャスト トラフィックの制限
IPv4 または IP バージョン 6(IPv6)トラフィックを転送するインターフェイスの場合、トンネル インターフェイスを設定してマルチキャスト トラフィックのみを許可できます。マルチキャスト専用トンネルを設定するには、 ステートメントを含 multicast-only します。
multicast-only;
このステートメントは、以下の階層レベルで設定できます。
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
マルチキャスト トンネルは、すべてのユニキャスト パケットをフィルタリングします。受信パケットの宛先が224/8以上のプレフィックスではない場合、パケットは破棄され、カウンターが増加します。
このプロパティは、GRE、IP-IP、PIM、マルチキャスト トンネル(mt)インターフェイスでのみ設定できます。
ルーターにトンネル サービスPICmtがある場合、Junos OS VPN(仮想プライベート ネットワーク)ごとに1つのマルチキャスト トンネル インターフェイス( )が設定されます。マルチキャスト トンネル インターフェイスを設定する必要は不要です。