マルチキャスト トンネル インターフェイスを介したユニキャスト パケットのフィルタリング
ユニキャスト トンネルの設定
ユニキャストトンネルを設定するには、インターフェイス(GREカプセル化を使用する)またはインターフェイス(IP-IPカプセル化をip-使用する)を設定gr-し、 および family ステートメントをtunnel含めます。
gr-fpc/pic/port or ip-fpc/pic/port {
unit logical-unit-number {
copy-tos-to-outer-ip-header;
reassemble-packets;
tunnel {
allow-fragmentation;
destination destination-address;
do-not-fragment;
key number;
routing-instance {
destination routing-instance-name;
}
source address;
ttl number;
}
family family {
address address {
destination address;
}
}
}
}
これらのステートメントは、以下の階層レベルで設定できます。
[edit interfaces][edit logical-systems logical-system-name interfaces]
GRE または IP-IP インターフェイスごとに複数の論理ユニットを設定でき、ユニットごとに設定できるトンネルは 1 つだけです。
M シリーズおよび T シリーズ ルーターでは、サービス PIC またはトンネル PIC 上のインターフェイスを設定できます。MX シリーズ ルーターで、マルチサービス DPC 上のインターフェイスを設定します。
各トンネル インターフェイスは、ポイントツーポイント インターフェイスである必要があります。ポイントツーポイントはデフォルトのインターフェイス接続タイプであるため、論理インターフェイス設定に ステートメントを point-to-point 含める必要はありません。
トンネルの宛先と送信元アドレスを指定する必要があります。残りのステートメントはオプションです。
トンネルを出るトランジットパケットの場合、リバースパスフォワーディング(RPF)、転送テーブルフィルタリング、ソースクラス使用率、宛先クラス使用率、ステートレスファイアウォールフィルタリングなどの転送パス機能は、トンネルソースとして設定したインターフェイスではサポートされませんが、トンネル pic インターフェイスではサポートされています。
ただし、GRE または IP-IP ヘッダーから取得した CoS(サービス クラス)情報はトンネルを介して伝送され、再入力パケットによって使用されます。詳細については、 ルーティングデバイス向けJunos OSサービスクラスユーザーガイドを参照してください。
無効な設定を防ぐために、Junos OSは、 階層レベルで または destination ステートメントでsource指定されたアドレスを、 [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] 階層レベルの [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] ステートメントでaddress指定されたインターフェイスの独自のサブネットアドレスと同じアドレスに設定することを禁止します。
カプセル化ヘッダーに含まれるTTL(Time-to-live)フィールドを設定するには、 ステートメントを ttl 含めます。トンネルのTTL値を明示的に設定する場合、トンネル内のホップ数よりも1大きく設定する必要があります。例えば、トンネルに7ホップがある場合、TTL値を8に設定する必要があります。
論理インターフェイスには、少なくとも1つのファミリーを設定する必要があります。MPLS over GRE トンネル インターフェイスを有効にするには、GRE インターフェイス設定に family mpls ステートメントを含める必要があります。さらに、GRE トンネル上で [edit protocols] RSVP(リソース予約プロトコル)、MPLS、LSP(ラベルスイッチ パス)を有効にするには、 階層レベルで適切なステートメントを含める必要があります。ユニキャスト トンネルは双方向です。
設定されたトンネルは、宛先に向かう途中の任意のポイントで NAT(ネットワーク アドレス変換)を通過できません。詳細については、 トンネルサービスの概要 と MPLSアプリケーションユーザーガイドを参照してください。
GRE トンネルの場合、デフォルトは外部 IP ヘッダーの ToS ビットをすべてのゼロに設定します。ルーティング エンジンが内部 IP ヘッダーから外部に ToS ビットをコピーするには、 ステートメントを copy-tos-bits-to-outer-ip-header 含めます。(この内部から外側への ToS ビットのコピーは、すでに IP-IP トンネルのデフォルト動作です)。
適応サービスまたはマルチサービスインターフェイス上のGREトンネルインターフェイスでは、以下のセクションで説明されているように、追加のトンネル属性を設定できます。
- GREトンネルでキー番号を設定する
- GRE カプセル化の前に GRE トンネルでパケット フラグメント化を有効にする
- トンネルの MTU 設定の指定
- 外部IPヘッダーにSビットにコピーするGREトンネルの設定
- GRE カプセル化後のパケットのフラグメント化と再構築の有効化
- IPv6 GRE トンネルのサポート
GREトンネルでキー番号を設定する
M シリーズおよび T シリーズ ルーター上の適応サービスおよびマルチサービス インターフェイスでは、RFC 2890、 GRE への鍵 およびシーケンス番号拡張で定義されているように、GRE トンネル内の個々のトラフィック フローを識別するためのキー値を割り当てることができます。ただし、トンネルの送信元と宛先のペアごとに使用できるキーは 1 つだけです。
トンネルに入る各 IP バージョン 4(IPv4)パケットは、GRE トンネル キー値でカプセル化されます。トンネルを出る各 IPv4 パケットは、GRE トンネル キー値によって検証され、カプセル化解除されます。適応サービスまたはマルチサービスPICは、設定されたキー値に一致しないパケットを破棄します。
GREトンネルインターフェイスにキー値を割り当てるには、 ステートメントを key 含めます。
key number;
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
キー番号は 0~4,294,967,295 です。トンネルエンドポイントに同じGREトンネルキー値を設定する必要があります。
次の例は、GREトンネル設定でのキーステートメントの使用を示しています。
interfaces {
gr-1/2/0 {
unit 0 {
tunnel {
source 10.58.255.193;
destination 10.58.255.195;
key 1234;
}
...
family inet {
mtu 1500;
address 10.200.0.1/30;
...
}
}
}
}
GRE カプセル化の前に GRE トンネルでパケット フラグメント化を有効にする
適応サービスおよびマルチサービスインターフェイス上のGREトンネルインターフェイスの場合のみ、GREトンネルでGREカプセル化される前に、IPv4パケットのフラグメント化を有効にすることができます。
デフォルトでは、GRE トンネルを介して送信される IPv4 トラフィックはフラグメント化されません。GRE トンネルで IPv4 パケットのフラグメント化を有効にするには、 ステートメントを clear-dont-fragment-bit 含めます。
clear-dont-fragment-bit;
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
設定に ステートメントを clear-dont-fragment-bit 含めると、トンネル最大送信単位(MTU)を超えないパケットであっても、すべてのパケットでDF(don't-fragment)ビットがクリアされます。パケットのサイズがトンネルの MTU 値を超える場合、カプセル化の前にパケットがフラグメント化されます。パケットのサイズがトンネルの MTU 値を超えない場合、パケットはフラグメント化されません。
また、IP セキュリティ(IPsec)トンネルを介して送信されるパケットの DF ビットをクリアすることもできます。詳細については、「 IPsec ルールの設定」を参照してください。
トンネルの MTU 設定の指定
GREトンネルでキー番号とフラグメント化を有効にするには(GREトンネルでのキー番号の設定とGREトンネルのパケットフラグメント化をGREカプセル化する前に有効にするを参照)、トンネルのMTU設定も指定する必要があります。
トンネルのMTU設定を指定するには、 ステートメントを mtu 含めます。
mtu bytes;
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces gr-fpc/pic/port unit logical-unit-number family inet][edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]
MTU設定の詳細については、 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリを参照してください。
外部IPヘッダーにSビットにコピーするGREトンネルの設定
IP-IP トンネルとは異なり、GRE トンネルは、デフォルトで ToS ビットを外部 IP ヘッダーにコピーしません。ルーティング エンジンがルーティング エンジンによって送信されたパケットの外部 IP ヘッダー(一部のトンネリング ルーティング プロトコルに必要)に内部 ToS ビットをコピーするには、GRE インターフェイスの論理ユニット階層レベルに ステートメントを含 copy-tos-to-outer-ip-header めます。この例では、GRE トンネルの外部 IP ヘッダーに内部 ToS ビットをコピーします。
[edit interfaces]
gr-0/0/0 {
unit 0 {
copy-tos-to-outer-ip-header;
family inet;
}
}
GRE カプセル化後のパケットのフラグメント化と再構築の有効化
パケットが GRE トンネルにカプセル化された後、パケットのフラグメント化と再構築を有効にすることができます。GRE カプセル化されたパケットのサイズが、パケットが通過するリンクの MTU よりも大きい場合、GRE カプセル化パケットはフラグメント化されます。ネットワーク上でさらに処理される前に、フラグメント化された GRE カプセル化パケットを再アセンブリするようにトンネルのエンドポイントで GRE インターフェイスを設定します。
インターフェイス上で設定する各トンネルでは、 または do-not-fragment ステートメントを含めることで、GREカプセル化パケットのフラグメント化をallow-fragmentation有効または無効にすることができます。
allow-fragmentation; do-not-fragment;
これらのステートメントは、以下の階層レベルで設定できます。
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
トンネル上でを設定 allow-fragmentation した場合、DFビットはGREカプセル化されたパケットの外部IPヘッダーに設定されないため、フラグメント化が可能になります。デフォルトでは、リンクの MTU サイズを超える GRE カプセル化パケットはフラグメント化されず、破棄されます。
トンネルのエンドポイントで GRE インターフェイス上でフラグメント化された GRE カプセル化パケットの再構築を有効にするには、 ステートメントを reassemble-packets 含めます。
reassemble-packets;
このステートメントは、以下の階層レベルで設定できます。
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Junos OS リリース 17.3R1 以降、MPC7Es、MPC8Es、MPC9Es を搭載した MX シリーズ ルーター上の GRE トンネル インターフェイス上で、GRE カプセル化されたパケットのフラグメント化と再アセンブルを設定できます。
Junos OS リリース 17.1R1 以降では、MPC2E-NGs、MPC3E-NGs、MPC5E、MPC6E を搭載した MX シリーズ ルーター上の GRE トンネル インターフェイスで、GRE カプセル化されたパケットのフラグメント化と再アセンブルを設定できます。
Junos OS リリース 14.2 以降では、MPC1、MPC2、MPC3、MPC4、MPC-16X10GEs を搭載した MX シリーズ ルーターで、GRE トンネル インターフェイス上の GRE カプセル化されたパケットのフラグメント化と再構築を設定できます。
Junos OS リリース 14.1 以前では、GRE カプセル化されたパケットのフラグメント化と再アセンブルは、MS-DPC を搭載した MX シリーズ ルーターでのみサポートされています。
IPv6 GRE トンネルのサポート
Junos OSリリース17.3R1以降、MXシリーズルーターでIPv6 GRE(汎用ルーティングカプセル化)トンネルインターフェイスを設定できるようになりました。これにより、IPv6 ネットワーク上で GRE トンネルを実行できます。IPv6 GRE トンネル内でカプセル化できるパケット ペイロード ファミリーには、IPv4、IPv6、MPLS、ISO が含まれます。IPv6 配信パケットのフラグメント化と再構築はサポートされていません。
IPv6 GREトンネルインターフェイスを設定するには、 および の階層レベルで IPv6 アドレスsourceを[interfaces gr-0/0/0 unit 0 tunnel]指定し、 階層レベルで を指定family inet6し、 階層レベルで [interfaces gr-0/0/0 unit 0] の IPv6 アドレスを[interfaces gr-0/0/0 unit 0 family inet6]指定しますaddress。destination
「」も参照
例:ユニキャスト トンネルの設定
2つの番号なしIP-IPトンネルを設定します。
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet;
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet;
}
}
階層レベルでアドレスを含めて、番号付きトンネル インターフェイスを [edit interfaces ip-0/3/0 unit (0 | 1) family inet] 設定します。
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet {
address 10.5.5.1/30;
}
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet {
address 10.6.6.100/30;
}
}
}
階層レベルで ステートメントを含めて、 family mpls MPLS over GRE トンネルを [edit interfaces gr-1/2/0 unit 0] 設定します。
[edit interfaces]
gr-1/2/0 {
unit 0 {
tunnel {
source 192.168.1.1;
destination 192.168.1.2;
}
family inet {
address 10.1.1.1/30;
}
family mpls;
}
}
「」も参照
マルチキャスト トラフィックへのトンネルの制限
IPv4 または IP バージョン 6(IPv6)トラフィックを伝送するインターフェイスでは、マルチキャスト トラフィックのみを許可するようにトンネル インターフェイスを設定できます。マルチキャスト専用トンネルを設定するには、 ステートメントを multicast-only 含めます。
multicast-only;
このステートメントは、以下の階層レベルで設定できます。
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
マルチキャストトンネルは、すべてのユニキャストパケットをフィルタリングします。受信パケットの宛先が 224/8 以上のプレフィックスでない場合、パケットはドロップされ、カウンターがインクリメントされます。
GRE、IP-IP、PIM、マルチキャスト トンネル(mt)インターフェイスでのみこのプロパティを設定できます。
ルーターにトンネルサービスPICがある場合、Junos OSは設定したVPN(仮想プライベートネットワーク)ごとに1つのマルチキャストトンネルインターフェイス(mt)を自動的に設定します。マルチキャスト トンネル インターフェイスを設定する必要はありません。