MXシリーズルーターおよびPTXシリーズルーターでのトンネルインターフェイスの設定

• インターフェイス(gr、lt、および ip)ベーストンネル —帯域幅プロファイルの適用が必要な場合に、インターフェイスベーストンネルを設定できます。GRE トンネルは IPv4、IPv6、MPLS、ISO、およびイーサネット ペイロードをサポートし、IP-IP トンネルは IPv4 および IPv6 ペイロードをサポートします。

  実装するインターフェイスベーストンネルを設定できます。

  • トンネルごとに帯域幅を適用するIPネットワーク経由のトンネリング。たとえば、リモートサイトに向けて。

  • DDoSクリーニング用のステアリング。

  • リモートの宛先へのミラーリング。

  GREプロセス中、GREヘッダーがパケットに追加された後、パケットは2回目のルックアップのために同じパケット転送エンジンにループバックされます。パケットは、400Gに制限された帯域幅を持つループバックインターフェイスを介して、イングレスパイプラインに戻ります。カプセル化されたパケットは、宛先に転送されます。

  GREトンネルのカプセル化解除は、インライントンネル終端によって実装され、ループバックストリームを使用しません。ただし、トラフィックフローがパケット転送エンジンから別のパケット転送エンジンに切り替わる際にファブリックホップが増えるため、パケット転送エンジンの全体的なパケットパフォーマンスが影響を受けます。

• FTI(フレキシブル トンネル インターフェイス)- 帯域幅プロファイルの適用が不要な場合に FTI を設定できます。FTI は、IPv4 ペイロードと IPv6 ペイロードの両方をサポートします。FTI を設定して以下を実装できます。

  • リモートの宛先へのミラーリング。

  • IP-IPオーバーレイを備えたIPファブリック。

  • DDoSクリーニング用のステアリング。

  カプセル化およびカプセル化解除の後に余分な検索が行われるため、パケットのパフォーマンスが低下します。

• 動的トンネル:動的トンネルを設定して、データセンターゲートウェイを設計できます。

  ループバック回避を使用した動的トンネル実装では、カプセル化またはカプセル化解除の後に余分なルックアップが発生するため、パケットのパフォーマンスが低下します。

• ファイアウォールフィルターベースのトンネル— これらのトンネルは以下をサポートします。

  • UDPカプセル化におけるGREとGRE。

  • UDPカプセル化解除におけるGRE、IP-IP、GRE

  ファイアウォールフィルターベースのトンネルを設定して、データセンターゲートウェイを設計できます。

  トンネルインターフェイスを使用せずに、ファイアウォールフィルターアクションを使用してGREベースのカプセル化とカプセル化解除を設定できます。カプセル化とカプセル化解除は、フィルターを処理するパケット転送エンジンで行われます。MXシリーズルーターは、以下のファイアウォールフィルターをサポートしています。

  • 入力時のインターフェイスレベル(イングレスパケット転送エンジンで実行)

  • 出力時のインターフェイスレベル(エグレスパケット転送エンジンで実行)

  • 転送テーブル レベル(ルート ルックアップ前またはルート ルックアップ後)どちらの場合も、フィルターはイングレス PFE で実行されます

  このシナリオでは、カプセル化後に余分なルックアップが行われるため、パケットのパフォーマンスが低下します。カプセル化解除の場合、フィルター構成によりパケットのパフォーマンスが低下します。

PTX10001-36MR、PTX10004、PTX10008、および PTX10016 のトンネル インターフェイスの概要

このセクションでは、Junos OS Evolvedを搭載したPTX10001-36MR、PTX10004、PTX10008、およびPTX10016ルーターにさまざまな機能を実装するためのトンネルインターフェイスの設定について説明します。

• フレキシブル トンネル インターフェイス(FTI):FTI ベースのトンネルを設定して以下を実装できます。

  • DDoSクリーニング用のステアリング。

  • すべての動的トンネルユースケースに対応するカプセル化解除。

  これらのトンネルは、GRE、UDP、IP-IP のカプセル化およびカプセル化解除オプションをサポートしています。パケットパフォーマンスの低下は、カプセル化オプションに依存します。カプセル化は、フラット化されたネクストホップトポロジをサポートします。

  フレキシブル トンネル インターフェイスで GRE トンネルを設定できます。[edit interfaces fti0 unit unit-number family (inet | inet6)]階層で tunnel-terminationステートメントを有効にすると、サンプリング、ポートミラーリング、フィルタリングなどの他のアクションが適用される前に、トンネルがWANインターフェイス上で終了します。

• ループバックを介した FTI(フレキシブル トンネル インターフェイス)- FTI を設定して、リモートの宛先へのミラーリングを実装できます。

  FTI では、トンネルのカプセル化後、トラフィックは(イングレス パケット転送エンジン上の)ループバック インターフェイスに送信され、その後、最終的な宛先に送信されます。宛先には、セグメント ルーティング - トラフィック制御(SR-TE)ネクスト ホップの背後の宛先を含めることができます。ループバック インターフェイスの帯域幅は 400G に制限されています。

  ループバック インターフェイスを使用して、FTI での GRE/IP-in-IP/UDP トンネル カプセル化を設定できます。[edit interfaces fti0 unit unit-number 階層で コマンドtunnel encapsulation (gre|ipip|udp) source address destination addressを使用してカプセル化を設定できます。この機能を設定する際には、以下の点を考慮する必要があります。

  • tunnel-termination を追加すると、トンネルのカプセル化解除のみのトンネルとなり、カプセル化は無効になります。

  • コマンドを設定しない場合、送信元アドレスと宛先アドレスの両方の指定が必須です。

  • 送信元アドレスに可変プレフィックス マスクを構成することはできません

    カプセル化解除用にファイアウォールフィルターを設定すると、frewallフィルターは設定された一致条件とアクションに基づいてパケットのカプセル化を解除します。その後、カプセル化解除されたパケットは、内部ヘッダー検索を行うためにingressブロックに再循環され、それに応じて転送されます。ただし、トンネルの終端はパケット処理のシングルパスで完了するため、フィルターベースのプロセスよりもパフォーマンスが向上します。

    トンネルが単方向の終端のみモードを有効にするには、FTI の [edit interfaces fti0 unit unit_number tunnel encapsulation (gre|ipip|udp)]階層で tunnel-termination を設定します。

    送信元アドレスを除外してもかまいません。これは、設定した宛先アドレスでトンネルが終了することを示します。オプションの tunnel-routing-instance は、カプセル化解除後、ルーティングインスタンスに対応する VRF ID で内部 IP ルックアップが実行されることを示します。

    カプセル化解除されるパケットは、送信元ルックアップ ユニットで処理されます。検索キーには、IPv4 または IPv6 の宛先アドレスと、すべてのインターフェイスでトンネルを終端する必要がない場合は、オプションで L3VPN アドレスが含まれます。最初のルックアップが成功すると、それ以上のソース ルックアップは不要になり、トンネルが終了します。送信元アドレスで 2 回目のルックアップが必要な場合、送信元ルックアップ ユニットは、送信元アドレスと最初のルックアップ結果をキーとして、別のルックアップを行います。2 回目のルックアップが成功すると、トンネルは終了します。

    [edit interfaces fti0 unit unit-number]階層でトンネル終了ステートメントを有効にすると、サンプリング、ポートミラーリング、フィルタリングなどの他のアクションが適用される前に、トンネルがWANインターフェイス上で終端されます。

    受信インターフェイスでトンネル終端を有効にするには、 で tunnel-termination を設定します。 [edit interfaces et fpc/pic/port unit unit_number]

• 動的トンネル:動的トンネルを設定して、以下を設計できます。

  • IPファブリック。

  • IP オーバーレイ。

  • データセンターゲートウェイ

  これらのトンネルは、IP-IP カプセル化をサポートしています。

  Junos OS Evolvedを搭載したPTXシリーズルーターは、カプセル化解除用の動的トンネルをサポートしていません。代わりに、宛先アドレスを指定せずに、カプセル化解除に静的 FTI トンネルを使用できます。トンネルは、カプセル化解除のみオプションを使用して設定されます。

  MPLS-over-UDP トンネルとも呼ばれる、ネクストホップベースの動的 UDP トンネルを設定できます。Junos OSは、トンネルの宛先ルートを解決するために、ネクストホップを動的に作成します。また、ポリシー制御を使用して、選択したIPプレフィックス上のMPLS-over-UDPトンネルを解決することもできます。ネクストホップがデフォルトで有効になっている場合、MPLS-over-UDP機能は、ルーターでサポートされるIPトンネルの数に対して拡張上の利点を提供するためです。

PTX1000、PTX5000、および PTX10002-50C-Overview のトンネル インターフェイス

このセクションでは、Junos OS Evolvedを搭載したPTX1000、PTX5000、およびPTX10002-50Cルーターでさまざまな機能を実装するためのトンネルインターフェイスの設定について説明します。

• フレキシブル トンネル インターフェイス(FTI):FTP を設定して IP ファブリックを実装できます。IPを介してトンネルの宛先に到達する必要がある場合に、このオプションを優先します。これらのトンネルは以下をサポートします。

  • GRE、UDP、IP-IP カプセル化オプション。

  • UDP および IP-IP のカプセル化解除オプション

  カプセル化およびカプセル化解除の後に余分な検索が行われるため、パケットのパフォーマンスが低下します。

• 動的トンネル:動的トンネルを設定して、データセンターゲートウェイを設計できます。カプセル化およびカプセル化解除の後に余分な検索が行われるため、パケットのパフォーマンスが低下します。

• ファイアウォールフィルターベースのトンネル—ファイアウォールフィルターベースのトンネルを設定して、EPE(egressピアリングエンジニアリング)を実装できます。余分なルックアップにより、カプセル化中にパケットのパフォーマンスが低下します。

• リモート宛先へのミラーリング — リモート宛先へのミラーリングされたパケットのトンネリングを実装できます。余分なルックアップにより、カプセル化中にパケットのパフォーマンスが低下します。

リモート宛先へのポート ミラーリング

ポート ミラーリングは、ハブとは異なり、宛先デバイス上のすべてのポートにパケットをブロードキャストしないルーターとスイッチのトラフィック分析に使用できます。ポート ミラーリングは、すべてのパケットまたはポリシー ベースのサンプル パケットのコピーをデータを監視および分析できるローカルまたはリモート アナライザに送信します。

サービスプロバイダーネットワークの顧客向けエッジでプロバイダーエッジ(PE)ルーターとして設定されたMXシリーズルーターの場合、イングレスポイントとエグレスポイントでレイヤー2ポートミラーリングファイアウォールフィルターを適用して、MXシリーズルーターとルーターやイーサネットスイッチなどのカスタマーエッジ(CE)デバイス間のトラフィックをミラーリングできます。

MXシリーズルーターでは、トンネルインターフェイスに到着したトラフィックを複数の宛先にミラーリングできます。ネクストホップ グループに 2 つ以上の宛先を指定し、フィルター操作としてネクストホップ グループを参照するファイアウォール フィルターを定義してから、MX シリーズ ルーターの論理トンネル インターフェイス(lt-)または仮想トンネル インターフェイス(vt-)にフィルターを適用します。

ポートミラーリングの設定およびリモート宛先のポートミラーリングの設定を参照してください。

データ パスがフレキシブル トンネル インターフェイス(FTI)ベースのトンネルを通過する場合、ルーターはトンネル カプセル化を使用して出力パケットを送信します。元のパケットと、すべてのカプセル化が適用されたパケットを、インターフェイスを出るときにミラーリングする設定を設定することができます。

FTI にインストールされているフィルタに基づいてミラーリングを有効にするには:

• ミラーリングするパケットをマークするには、FTI でのポリシー アクションを使用します。ルーターは通常、ポリシーアクションを使用してエグレス書き換えルールを選択しますが、この場合はポリシーアクションを使用して、特別な書き換えルールを設定せずに、内部ポリシー属性で対象パケットをマークします。

• エグレスWAN側の特定のポリシーに一致するパケットをソフトウェア傍受し、 l2-mirror アクションを開始します。 パケットは、トンネルのカプセル化を含むレイヤー2ヘッダー情報とともに報告されます。

  見る 例:PTXルーターでのローカルポートミラーリングの設定例:PTXルーターでのローカルポートミラーリングの設定および 例:PTXルーターでのリモートポートミラーリングの設定。

データセンターゲートウェイ

データセンターゲートウェイは、一方の側でインターネットまたはエンタープライズVPNを、もう一方の側でサーバーにホストされている仮想マシンを相互接続します。MPLS-over-GREやMPLS-over-UDPなどのオーバーレイトランスポート技術は、データセンター設計の一部です。ホストルートは、SDNコントローラからデータセンターゲートウェイに伝達され、仮想ルーティングおよび転送(VRF)またはインターネットルーティングコンテキストにインポートされます。データセンターサーバーには、ネクストホップベースの動的トンネルを介してアクセスできます。トンネルは、BGP ルートプロトコルのネクストホップ解決プロセスでサーバー上で確立されます。

RFC 5549 で説明されているように、IPv4 トラフィックは CPE デバイスから IPv4-over-IPv6 ゲートウェイにトンネリングされます。これらのゲートウェイは、エニーキャストアドレスを介して CPE デバイスに通知されます。ゲートウェイデバイスは、リモート CPE デバイスへの動的 IPv4-over-IPv6 トンネルを作成し、トラフィックを誘導するために、IPv4 の集合経路を告知します。プログラム可能なインターフェイスを持つルートリフレクターは、ネットワークにトンネル情報を注入します。ルートリフレクターは、内部BGP(IBGP)を介してゲートウェイルーターに接続されており、ゲートウェイルーターは、IPv6アドレスをネクストホップとしてホストルートのIPv4アドレスをアドバタイズします。

MPLS-over-UDP トンネルは次のように処理されます。

1. MPLS-over-UDP トンネルが設定された後、トンネル複合ネクストホップを持つトンネル宛先マスクルートが、inet.3 ルーティングテーブル内のトンネルに作成されます。この IP トンネル ルートは、動的トンネル設定が削除される場合にのみ取り消されます。

   トンネル複合ネクストホップ属性には、次のようなものがあります。

   • レイヤー3 VPN複合ネクストホップが無効になっている場合—送信元と宛先のアドレス、カプセル化文字列、VPNラベル

   • レイヤー3 VPN複合ネクストホップとプレフィックス単位のVPNラベル割り当てが有効な場合:送信元アドレス、宛先アドレス、カプセル化文字列。

   • レイヤー3 VPN複合ネクストホップが有効で、プレフィックス単位のVPNラベル割り当てが無効になっている場合—送信元アドレス、宛先アドレス、およびカプセル化文字列。この場合のルートは、セカンダリルートとともに他の VRF インスタンステーブルに追加されます。

2. プロバイダエッジ(PE)デバイスは、IBGPセッションを使用して相互接続されます。リモート BGP ネイバーへの IBGP ルートネクストホップはプロトコルネクストホップであり、トンネルネクストホップとのトンネルマスクルートを使用して解決されます。

3. プロトコルネクストホップがトンネル複合ネクストホップ上で解決された後、転送ネクストホップを持つ間接ネクストホップが作成されます。

4. トンネル複合ネクストホップは、間接ネクストホップのネクストホップを転送するために使用されます。

「例:ネクストホップベースの MPLS-over-UDP 動的トンネルの設定」および 例:ネクストホップベースの IP-over-IP 動的トンネルの設定