トンネル サービスの概要
トンネル サービスの概要
トランスポートプロトコル内で任意のパケットをカプセル化することにより、トンネリングはプライベートでセキュアなパスをパブリックネットワークを通じて提供します。トンネルは非連続サブネットワークを接続して、暗号化インターフェイス、VPN(仮想プライベートネットワーク)、MPLSを可能にします。ルーターにトンネル 物理インターフェイス カード (PIC)がインストールされている場合は、ユニキャスト、マルチキャスト、および論理トンネルを設定できます。
プラットフォームとJunosバージョンサポートの詳細については、 Feature Explorerを参照してください。
VPN には 2 種類のトンネルを設定できます。1 つはルーティングテーブルの検索を円滑にするためのもので、もう 1 つは VPN ルーティングおよび転送インスタンス(VRF)のテーブルの検索を容易にするものです。
暗号化インターフェイスについては、 暗号化インターフェイスの設定を参照してください。VPN については、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。MPLS の詳細については、 MPLS アプリケーションユーザーガイドを参照してください。
SRXシリーズファイアウォールでは、GRE(Generic Routing Encapsulation)とIP-IPトンネルは、それぞれ内部インターフェイスgr-0/0/0とip-0/0/0を使用します。Junos OS は、システムの起動時にこれらのインターフェイスを作成します。これらは物理インターフェイスに関連付けられていません。
ジュニパーネットワークスの Junos OS は、以下の表に示すトンネル タイプをサポートしています。
| インターフェイス |
形容 |
|---|---|
|
|
設定可能なGRE(一般ルーティングのカプセル化)インターフェイス。GREは、あるルーティングプロトコルを別のルーティングプロトコルの上にカプセル化することができます。 ルーター内では、パケットはこの内部インターフェイスにルーティングされ、最初にGREパケットでカプセル化され、次に別のプロトコルパケットで再カプセル化されてGREが完了します。GREインターフェイスは内部インターフェイスのみであり、物理インターフェイスには関連付けられていません。GRE を実行するには、インターフェイスを設定する必要があります。 |
|
|
内部で生成された GRE インターフェイス。このインターフェイスは、GRE を処理するために Junos OS によって生成されます。このインターフェイスは設定できません。 |
|
|
設定可能なIP-over-IPカプセル化(IPトンネリングとも呼ばれる)インターフェイス。IP トンネリングでは、ある IP パケットを別の IP パケット上にカプセル化できます。 パケットは内部インターフェイスにルーティングされ、そこでIPパケットでカプセル化され、カプセル化パケットの宛先アドレスに転送されます。IP-IP インターフェイスは内部インターフェイスのみであり、物理インターフェイスには関連付けられていません。IPトンネリングを実行するには、インターフェイスを設定する必要があります。 |
|
|
内部で生成された IP-over-IP インターフェイス。このインターフェイスは、IP-over-IPカプセル化を処理するためにJunos OSによって生成されます。これは設定可能なインターフェイスではありません。 |
|
|
ルーターの SRXシリーズ ファイアウォールでは、 |
|
|
内部で生成されたマルチキャスト トンネル インターフェイス。マルチキャスト トンネルは、すべてのユニキャスト パケットをフィルタリングします。受信パケットの宛先が ルーター内では、パケットはマルチキャストフィルタリングのためにこの内部インターフェイスにルーティングされます。マルチキャストトンネルインターフェイスは、内部インターフェイスのみであり、物理インターフェイスには関連付けられていません。ルーターにトンネル サービス PIC がある場合、Junos OSは設定した VPN(仮想プライベート ネットワーク)ごとに 1 つのマルチキャスト トンネル インターフェイス( |
|
|
内部で生成されたマルチキャスト トンネル インターフェイス。このインターフェイスは、マルチキャスト トンネル サービスを処理するために Junos OS によって生成されます。これは設定可能なインターフェイスではありません。 |
|
|
設定可能なプロトコル独立マルチキャスト(PIM)カプセル化解除インターフェイス。PIM スパース モードでは、ファーストホップ ルーターがランデブー ポイント ルーター宛のパケットをカプセル化します。パケットはユニキャストヘッダーでカプセル化され、ユニキャストトンネルを介してランデブーポイントに転送されます。次に、ランデブー ポイントでパケットのカプセル化を解除し、マルチキャスト ツリーを介して送信します。 ルーター内では、パケットはカプセル化解除のためにこの内部インターフェイスにルーティングされます。PIMカプセル化解除インターフェイスは内部インターフェイスのみであり、物理インターフェイスには関連付けられていません。PIM のカプセル化解除を実行するには、インターフェイスを設定する必要があります。
手記:
SRXシリーズファイアウォールでは、このインターフェイスタイプは |
|
|
設定可能な PIM カプセル化インターフェイス。PIM スパース モードでは、ファーストホップ ルーターがランデブー ポイント ルーター宛のパケットをカプセル化します。パケットはユニキャストヘッダーでカプセル化され、ユニキャストトンネルを介してランデブーポイントに転送されます。次に、ランデブー ポイントでパケットのカプセル化を解除し、マルチキャスト ツリーを介して送信します。 ルーター内では、パケットはカプセル化のためにこの内部インターフェイスにルーティングされます。PIMカプセル化インターフェイスは内部インターフェイスのみであり、物理インターフェイスには関連付けられていません。PIM カプセル化を実行するには、インターフェイスを設定する必要があります。
手記:
SRXシリーズファイアウォールでは、このインターフェイスタイプは |
|
|
内部で生成された PIM カプセル化解除インターフェイス。このインターフェイスは、PIM のカプセル化解除を処理するために Junos OS によって生成されます。これは設定可能なインターフェイスではありません。 |
|
|
内部で生成された PIM カプセル化インターフェイス。このインターフェイスは、PIM カプセル化を処理するために Junos OS によって生成されます。これは設定可能なインターフェイスではありません。 |
|
|
設定可能な仮想ループバックトンネルインターフェイス。MPLSラベルに基づくVRFテーブルの検索を容易にします。このインターフェイスタイプは、SRXシリーズファイアウォールではサポートされていません。 MPLS ラベルに基づく VRF テーブル検索を容易にするように仮想ループバックトンネルを設定するには、仮想ループバックトンネルのインターフェイス名を指定し、特定のルーティングテーブルに属するルーティング インスタンスに関連付けます。パケットは、ルート検索のために仮想ループバックトンネルをループバックします。 |
Junos OS リリース 15.1以降では、GREインターフェイス上でレイヤー2イーサネットサービスを設定できます(GREカプセル化を使用するgr-fpc/pic/port)。レイヤー 2 イーサネット パケットを GRE トンネルで終端できるようにするには、gr- インターフェイスでブリッジ ドメイン プロトコル ファミリーを設定し、gr- インターフェイスをブリッジ ドメインに関連付ける必要があります。GRE インターフェイスをコアに面したインターフェイスとして設定する必要があり、これらはアクセス インターフェイスまたはトランク インターフェイスである必要があります。gr- インターフェイスでブリッジ ドメイン ファミリーを設定するには、[edit interfaces gr-fpc/pic/port unit logical-unit-number]階層レベルで family bridge ステート メントを含めます。gr-インターフェイスをブリッジ ドメインに関連付けるには、[edit routing-instances routing-instance-name bridge-domains bridge-domain-name]階層レベルでinterface gr-fpc/pic/port ステートメントを含めます。[edit bridge-domains bridge-domain-name]階層レベルで vlan-id (all | none | number) ステートメントまたは vlan-id-list [ vlan-id-numbers ] ステートメントを含めることで、ブリッジ ドメイン内の GRE インターフェイスをブリッジ ドメイン内の対応する VLAN ID のVLAN IDまたはリストに関連付けることができます。ブリッジ ドメインに設定された VLAN ID は、[edit interfaces gr-fpc/pic/port unit logical-unit-number] 階層レベルで vlan-id (all | none | number) ステートメントまたは vlan-id-list [ vlan-id-numbers ] ステートメントを使用して GRE インターフェイスに設定する VLAN ID と一致する必要があります。また、仮想スイッチ インスタンスに関連付けられたブリッジ ドメイン内で GRE インターフェイスを設定できます。GRE トンネルを介したレイヤー 2 イーサネット パケットも、GRE キー オプションでサポートされています。gre-key一致条件を使用すると、ユーザーはGREカプセル化パケットのオプションフィールドであるGREキーフィールドと照合できます。キーは、単一のキー値、キー値の範囲、またはその両方として一致させることができます。
Junos OS リリース 16.1 以降では、GRE インターフェイスを介したリモート コレクターへのレイヤー 2 ポート ミラーリングがサポートされています。
プラットフォーム固有の トンネル インターフェイス の動作
| プラットホーム |
差 |
|---|---|
| MX304 |
Junos OS リリース 24.4R1 以降、トンネル インターフェイスは、PFE がオフラインまたはオンラインで発生したときに、それぞれ削除または作成されます。IPv4-over-IPv6 または IPv6-over-IPv4 動的トンネルに関連付けられたアンカー PFE がオフラインになると、トンネルも削除されます。 |
参照
ラインカード(MPC7E〜MPC11E)を備えたMXシリーズルーターのトンネルインターフェイス
MPC7E-10G、MPC7E-MRATE、MX2K-MPC8E、MX2K-MPC9Eは、MPCごとに合計4つのインライントンネルインターフェイス(PICごとに1つ)をサポートします。これらのMPCを搭載したMXシリーズルーターでは、PICスロットごとに最大4スロット(0〜3スロット)のトンネルインターフェイスのセットを作成できます。
MPC10E-15Cは、MPCごとに3つのインライントンネルインターフェイス(PICごとに1つ)をサポートしますが、MPC10E-10Cは、MPCごとに2つのインライントンネルインターフェイス(PICごとに1つ)をサポートします。MPC10E-15Cを搭載したMXシリーズルーターでは、以下が可能です
PICスロットごとに最大3スロット(0〜2)のトンネルインターフェイスのセットを作成します。また、MPC10E-10Cを搭載したMXシリーズルーターでは、PICスロットごとに最大2スロット(0および1)までトンネルインターフェイスのセットを作成できます。MX2K-MPC11Eは、MPCごとに8個、PICごとに1つのインライントンネルインターフェイスをサポートします。MX2K-MPC11Eを搭載したMXシリーズルーターでは、PICスロットごとに最大8スロット(0〜7)のトンネルインターフェイスのセットを作成できます。これらのPICは、疑似トンネルPICと呼ばれます。MPC7E-10G、MPC7E-MRATE、MX2K-MPC8E、MX2K-MPC9E、MPC10E-15C、MPC10E-10C、MX2K-MPC11E を搭載したMXシリーズルーター上にトンネル インターフェイスを作成するには、 [edit chassis] 階層レベルで次のステートメントを含めます。
[edit chassis]
fpc slot-number {
pic number {
tunnel-services {
bandwidth ;
}
}
}
- MPC7E-MRATEのパケット転送エンジンマッピングとトンネル帯域幅
- MPC7E-10Gのパケット転送エンジンマッピングとトンネル帯域幅
- MX2K-MPC8Eのパケット転送エンジンマッピングとトンネル帯域幅
- MX2K-MPC9Eのパケット転送エンジンマッピングとトンネル帯域幅
- MPC10E-10Cのパケット転送エンジンマッピングとトンネル帯域幅
- MPC10E-15Cのパケット転送エンジンマッピングとトンネル帯域幅
- MX2K-MPC11Eのパケット転送エンジンマッピングとトンネル帯域幅
- MX10K-LC9600のパケット転送エンジンマッピングとトンネル帯域幅
MPC7E-MRATEのパケット転送エンジンマッピングとトンネル帯域幅
MPC7E-MRATEのトンネル帯域幅は、1 Gbps刻みで1〜120 Gbpsです。ただし、設定で帯域幅を指定しない場合は、120Gbpsに設定されます。
表 2 は、MPC7-MRATE のトンネル帯域幅とパケット転送エンジン間のマッピングを示しています。
疑似トンネルPIC |
トンネルPICあたりの最大帯域幅 |
PFE マッピング |
PFE あたりの最大トンネル帯域幅 |
最大PFE帯域幅 |
|---|---|---|---|---|
PIC0 |
120 Gbps |
PFE0 |
120 Gbps |
240 Gbps
|
PIC1 |
120 Gbps |
|||
PIC2 |
120 Gbps |
PFE1 |
120 Gbps |
240 Gbps |
PIC3 |
120 Gbps |
MPC7E-10Gのパケット転送エンジンマッピングとトンネル帯域幅
MPC7E-10Gのトンネル帯域幅は1〜120Gbpsで、1Gbpsずつ増分されますが、設定で帯域幅を指定しない場合は、120Gbpsに設定されます。
表 3 は、MPC7E-10G のトンネル帯域幅とパケット転送エンジン間のマッピングを示しています。
疑似トンネルPIC |
トンネルPICあたりの最大帯域幅 |
PFE マッピング |
PFE あたりの最大トンネル帯域幅 |
最大PFE帯域幅 |
|---|---|---|---|---|
PIC0 |
120 Gbps |
PFE0 |
120 Gbps |
200 Gbps
|
PIC1 |
120 Gbps |
|||
PIC2 |
120 Gbps |
PFE1 |
120 Gbps |
200 Gbps |
PIC3 |
120 Gbps |
MX2K-MPC8Eのパケット転送エンジンマッピングとトンネル帯域幅
MX2K-MPC8Eのトンネル帯域幅は、1〜120Gbpsで、1Gbps刻みで変化します。ただし、設定で帯域幅を指定しない場合は、120Gbpsに設定されます。
表 4 は、MX2K-MPC8E のトンネル帯域幅とパケット転送エンジン間のマッピングを示しています。
疑似トンネルPIC |
トンネルPICあたりの最大帯域幅 |
パケット転送エンジンのマッピング |
PFE あたりの最大トンネル帯域幅 |
最大PFE帯域幅 |
|---|---|---|---|---|
PIC0 |
120 Gbps |
PFE0 |
120 Gbps |
240 Gbps |
PIC1 |
120 Gbps |
PFE1 |
120 Gbps |
240 Gbps |
PIC2 |
120 Gbps |
PFE2 |
120 Gbps |
240 Gbps |
PIC3 |
120 Gbps |
PFE3 |
120 Gbps |
240 Gbps |
MX2K-MPC9Eのパケット転送エンジンマッピングとトンネル帯域幅
MX2K-MPC9Eのトンネル帯域幅は、1〜200Gbpsで、1Gbps刻みで、ただし、設定で帯域幅を指定しない場合は、200Gbpsに設定されます。
表 5 は、MX2K-MPC9E のトンネル帯域幅とパケット転送エンジン間のマッピングを示しています。
| 疑似トンネルPIC |
トンネルPICあたりの最大帯域幅 |
PFE マッピング |
PFE あたりの最大トンネル帯域幅 |
最大PFE帯域幅 |
|---|---|---|---|---|
| PIC0 |
200 Gbps |
PFE0 |
200 Gbps |
400 Gbps
|
| PIC1 |
200 Gbps |
PFE1 | 200 Gbps |
400 Gbps |
| PIC2 |
200 Gbps |
PFE2 |
200 Gbps |
400 Gbps |
| PIC3 |
200 Gbps |
PFE3 | 200 Gbps |
400 Gbps |
MPC10E-10Cのパケット転送エンジンマッピングとトンネル帯域幅
MPC10E-10Cのトンネル帯域幅は、1〜400Gbpsで、1Gbps刻みです。ただし、設定で帯域幅を指定しない場合は、400Gbpsに設定されます。
表6 は、MPC10E-10Cのトンネル帯域幅とパケット転送エンジン間のマッピングを示しています。
| 疑似トンネルPIC |
トンネルPICあたりの最大帯域幅 |
パケット転送エンジンのマッピング |
PFE あたりの最大トンネル帯域幅 |
最大PFE帯域幅 |
|---|---|---|---|---|
| PIC0 |
250 Gbps |
PFE0 |
250 Gbps |
500Gbps |
| PIC1 |
250 Gbps |
PFE1 |
250 Gbps |
500Gbps |
MPC10E-15Cのパケット転送エンジンマッピングとトンネル帯域幅
MPC10E-15Cのトンネル帯域幅は、1〜400Gbpsで、1Gbps刻みです。ただし、設定で帯域幅を指定しない場合は、400Gbpsに設定されます。
表7 は、MPC10E-15Cのトンネル帯域幅とパケット転送エンジン間のマッピングを示しています。
| 疑似トンネルPIC |
トンネルPICあたりの最大帯域幅 |
パケット転送エンジンのマッピング |
PFE あたりの最大トンネル帯域幅 |
最大PFE帯域幅 |
|---|---|---|---|---|
| PIC0 |
250 Gbps |
PFE0 |
250 Gbps |
500Gbps |
| PIC1 |
250 Gbps |
PFE1 |
250 Gbps |
500Gbps |
| PIC2 |
250 Gbps |
PFE2 |
250 Gbps |
500Gbps |
MX2K-MPC11Eのパケット転送エンジンマッピングとトンネル帯域幅
MX2K-MPC11Eのトンネル帯域幅は、1〜400Gbpsで、1Gbps刻みで変化します。ただし、設定で帯域幅を指定しない場合は、400Gbpsに設定されます。
表 8 は、MX2K-MPC11E のトンネル帯域幅とパケット転送エンジン間のマッピングを示しています。
疑似トンネルPIC |
トンネルPICあたりの最大帯域幅 |
PFE マッピング |
PFE あたりの最大トンネル帯域幅 |
最大PFE帯域幅 |
|---|---|---|---|---|
PIC0 |
250 Gbps |
PFE0 |
250 Gbps |
500Gbps |
PIC1 |
250 Gbps |
PFE1 |
250 Gbps |
500Gbps |
PIC2 |
250 Gbps |
PFE2 |
250 Gbps |
500Gbps |
PIC3 |
250 Gbps |
PFE3 |
250 Gbps |
500Gbps |
PIC4 |
250 Gbps |
PFE4 |
250 Gbps |
500Gbps |
PIC5 |
250 Gbps |
PFE5 |
250 Gbps |
500Gbps |
PIC6 |
250 Gbps |
PFE6 |
250 Gbps |
500Gbps |
PIC7の |
250 Gbps |
PFE7型 |
250 Gbps |
500Gbps |
MPC10E-10C、MPC10E-15C、MX2K-MPC11E の設定でトンネル サービス 帯域幅の値が指定されていないと、特定のトラフィック条件で PFE あたりの最大トンネル帯域幅よりも大きな値になります。
MX10K-LC9600のパケット転送エンジンマッピングとトンネル帯域幅
MX10K-LC9600のトンネル帯域幅は、1〜400Gbpsで、1Gbps刻みで変化します。ただし、設定で帯域幅を指定しない場合は、400Gbpsに設定されます。
表9 は、MX10K-LC9600のトンネル帯域幅とパケット転送エンジン間のマッピングを示しています。
| 疑似トンネルPIC |
トンネル ポート |
トンネルPICあたりの最大帯域幅 |
PFE マッピング |
PFE あたりの最大トンネル帯域幅 |
最大PFE帯域幅 |
|---|---|---|---|---|---|
| PIC0 |
0 |
200 Gbps |
PFE0 |
200 Gbps |
800 Gbps |
| 1 |
200 Gbps |
PFE0 |
200 Gbps |
||
| 2 |
200 Gbps |
PFE1 |
200 Gbps |
||
| 3 |
200 Gbps |
PFE1 |
200 Gbps |
||
| PIC1 |
0 |
200 Gbps |
PFE2 |
200 Gbps |
800 Gbps |
| 1 |
200 Gbps |
PFE2 |
200 Gbps |
||
| 2 |
200 Gbps |
PFE3 |
200 Gbps |
||
| 3 |
200 Gbps |
PFE3 |
200 Gbps |
||
| PIC2 |
0 |
200 Gbps |
PFE4 |
200 Gbps |
800 Gbps |
| 1 |
200 Gbps |
PFE4 |
200 Gbps |
||
| 2 |
200 Gbps |
PFE5 |
200 Gbps |
||
| 3 |
200 Gbps |
PFE5 |
200 Gbps |
||
| PIC3 |
0 |
200 Gbps |
PFE6 |
200 Gbps |
800 Gbps |
| 1 |
200 Gbps |
PFE6 |
200 Gbps |
||
| 2 |
200 Gbps |
PFE7型 |
200 Gbps |
||
| 3 |
200 Gbps |
PFE7型 |
200 Gbps |
||
| PIC4 |
0 |
200 Gbps |
PFE8 |
200 Gbps |
800 Gbps |
| 1 |
200 Gbps |
PFE8 |
200 Gbps |
||
| 2 |
200 Gbps |
PFE9 |
200 Gbps |
||
| 3 |
200 Gbps |
PFE9 |
200 Gbps |
||
| PIC5 |
0 |
200 Gbps |
PFE10 |
200 Gbps |
800 Gbps |
| 1 |
200 Gbps |
PFE10 |
200 Gbps |
||
| 2 |
200 Gbps |
PFE11 |
200 Gbps |
||
| 3 |
200 Gbps |
PFE11 |
200 Gbps |
参照
動的トンネルの概要
非MPLSネットワークを介して移動するVPNには、GREトンネルが必要です。このトンネルは、静的トンネルまたは動的トンネルのいずれかです。静的トンネルは、2 つの PE ルーター間で手動で設定されます。動的トンネルは、BGPルート解決を使用して設定されます。
ルーターが、MPLSパスを持たないBGPネクストホップ上で解決するVPNルートを受信すると、GREトンネルを動的に作成し、VPNトラフィックをそのルートに転送することができます。GRE IPv4 トンネルのみがサポートされます。
2つのPEルーター間に動的トンネルを設定するには、 dynamic-tunnels ステートメントを含めます。
dynamic-tunnels tunnel-name {
destination-networks prefix;
source-address address;
}
以下の階層レベルでこのステートメントを設定することができます。
[edit routing-options][edit routing-instances routing-instance-name routing-options][edit logical-systems logical-system-name routing-options][edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
gr-fpc/pic/port )。