IPv4 ネットワーク全体のフィルターベーストンネリングについて
IPv4 ネットワーク全体のフィルターベーストンネリングについて
最も単純な形式の汎用ルーティングカプセル化(GRE)とは、任意のネットワーク層プロトコルを他のネットワーク層プロトコルに上書きして、間にネイティブルーティングパスがないばらばらのネットワークに接続することです。これはコネクションレスかつステートレスのレイヤー3カプセル化プロトコルであり、信頼性、フロー制御、または順序付けのためのメカニズムを提供していません。
GRE トンネリングは、標準の ファイアウォール フィルター アクションで開始されます。トンネルの宛先がルーティング可能である場合、トラフィックはトンネルを通過します。MX シリーズ ルーターの場合、この機能は論理システムでもサポートされています。
MXシリーズ5Gユニバーサルルーティングプラットフォームでは、ファイアウォールフィルターでGREトンネリングを設定する際に、トンネルサービスのPIC(物理インターフェイスカード)やMPC3Eモジュラーポートコンセントレータ(MPC)上にトンネルインターフェイスを作成する必要はありません。代わりに、モジュラー インターフェイス カード(MIC)または MPC 上の PFE が GRE ペイロードのカプセル化とカプセル化解除を処理し、関連するインターフェイスにトンネル サービスを提供します。そのため、MXシリーズルーターのペアをプロバイダエッジ(PE)ルーターとして設置し、2つの切り離されたネットワーク上のカスタマーエッジ(CE)ルーターへの接続を提供できます。
PTXシリーズルーターの場合、フィルターベースのGREトンネリングを機能させるには、ネットワークサービスを enhanced-mode
に設定する必要があります。PTXでのフィルターベーストンネリングの詳細については、 tunnel-end-point
を参照してください。
イングレスPEルーターのイングレスファイアウォールフィルター
イングレス PE ルーターで、単方向 GRE トンネルを指定するトンネル定義を設定します。MICまたはMPCイングレス 論理インターフェイスを備えたMXシリーズルーターの場合、カプセル化ファイアウォールフィルターをアタッチします。ファイアウォールフィルターアクションは、トンネル定義を参照し、一致したパケットのカプセル化を開始します。カプセル化プロセスでは、IPv4ヘッダーとGREヘッダーをペイロードパケットに添付し、結果のGREパケットをフィルター指定のトンネルに転送します。
エグレスPEルーターのイングレスファイアウォールフィルター
エグレス PE ルーターでは、ルーターのアドバタイズされたアドレスであるすべての MIC または MPC 論理インターフェイスの入力に、カプセル化解除ファイアウォール フィルターをアタッチします。ファイアウォールフィルターは、GRE プロトコルパケットのカプセル化解除を開始します。カプセル化解除により、内部GREヘッダーが削除され、元のペイロードパケットが宛先カスタマーネットワーク上の元の宛先に転送されます。アクションでオプションのルーティング インスタンスが指定された場合、ルート検索はプライマリ テーブルではなく、そのセカンダリ テーブルを使用して実行されます。
IPv4ネットワークにおけるフィルターベーストンネリングの特性
IPv4 ネットワーク間のフィルターベースのトンネルは単方向です。トランジットパケットのみを伝送し、トンネルインターフェイスは必要ありません。
単方向トンネリング
フィルターベースの GRE トンネルを使用するには、まず各トンネル エンドポイントの入力( イングレス PE ルーターとエグレス PE ルーターの両方)に標準のファイアウォール フィルターをアタッチします。イングレス PE ルーターへの入力で、カプセル化ファイアウォールフィルターを適用します。エグレス PE ルーターへの入力で、カプセル化解除ファイアウォールフィルターを適用します。
双方向トンネリング
双方向 GRE トンネリングでは、同じペアの PE ルーターを使用できますが、逆方向に 2 つ目のトンネルを設定する必要があります。
トランジットトラフィックペイロード
フィルターベースのGRE IPv4トンネルは、ユニキャストまたはマルチキャストのトランジットトラフィックペイロードのみを伝送できます。フィルターによって開始されるカプセル化およびカプセル化解除操作は、イーサネット論理インターフェイスおよび集合型イーサネット インターフェイスの PFE で実行されます。この設計により、トンネル インターフェイスを使用した GRE トンネリングと比較して、PFE 帯域幅の効率を高めることができます。ルーティングプロトコルセッションは、ファイアウォールベースのトンネルの上には設定できません。
PFE は 、ルーティング エンジン (RE)からの情報のローカル コピーである、ローカルに保存された転送テーブルを使用して、入力インターフェイスと出力インターフェイス間でパケットを転送することにより、パケットを処理する転送プレーンで動作します。
一方、REは コントロールプレーン で動作し、システム管理、ルーターへのユーザーアクセス、ルーティングプロトコル、ルーターインターフェイス制御、一部のシャーシコンポーネント制御のプロセスを処理します。Junos OSアーキテクチャは、これらのプレーンの機能を分離することで、プラットフォームサポートの柔軟性とプラットフォームパフォーマンスの拡張性を実現します。イングレス制御パケットは、PFEのGREカプセル化およびカプセル化解除プロセスが利用できないコントロールプレーンに送信されます。
ファイアウォールフィルターをループバックアドレスに適用することはできますが、GREのカプセル化およびカプセル化解除のファイアウォールフィルターアクションは、ルーターループバックインターフェイスではサポートされていません。
複数のGREトンネル向けのコンパクトな構成
ファイアウォールフィルターは、さまざまな一致基準をサポートしており、拡張として、1つのファイアウォールフィルター定義で指定された基準に一致する複数のGREトンネルを終端する機能をサポートしています。それぞれ独自の一致条件を持つ複数のトンネルを作成することで、顧客のGREパケットまたは相互に干渉せず、カプセル化解除後にパケットを別々のルーティングテーブルに再注入するトンネルを作成できます。
ファイアウォールフィルターを使用したトンネリングとトンネルインターフェイスを使用したトンネリング
トンネル インターフェイスを使用したトンネリングは、ルーター制御トラフィックとトランジット トラフィックの両方、および暗号化をサポートします。ファイアウォールフィルターを使用したトンネリングはそうではありません。ただし、ファイアウォールフィルターを使用したトンネリングには、パフォーマンスとスケーリングの面で利点があります。
フォワーディング パフォーマンス
IPv4 ネットワーク上でのフィルターベースのトンネリングは、トンネル インターフェイスを使用した GRE トンネリングと比較して、PFE 帯域幅の効率的な使用を可能にします。カプセル化、カプセル化解除、ルート検索は、ファイアウォールフィルターベースのトンネリングの場合、PFEで実行されるパケットヘッダー処理アクティビティです。その結果、エンカプスレータは、ペイロードパケットを別のトンネルインターフェイス(ペイロードパケットを受信するインターフェイスとは異なるスロットのPICに存在する可能性がある)に送信する必要がありません。