Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 ネットワーク全体のフィルターベーストンネリングについて

IPv4 ネットワーク全体のフィルターベーストンネリングについて

GRE(汎用ルーティングカプセル化)は、最もシンプルな形で、他のネットワークレイヤープロトコル上の任意のネットワークレイヤープロトコルをカプセル化して、それらの間にネイティブルーティングパスがない分離されたネットワークを接続することです。コネクションレスでステートレスなレイヤー 3 カプセル化プロトコルであり、信頼性、フロー制御、シーケンスのためのメカニズムを提供しません。

GRE トンネリングは、標準的な ファイアウォール フィルター アクションで開始されます。トンネル宛先がルーティング可能である場合、トラフィックはトンネルを通過します。MX シリーズ ルーターの場合、この機能は論理システムでもサポートされています。

MX シリーズ 5G ユニバーサル ルーティング プラットフォームでは、ファイアウォール フィルターを使用して GRE トンネリングを設定する場合、トンネル サービスの PIC(物理インターフェイス カード)または MPC3E MPC3E モジュラー ポート コンセントレータ(MPC)上にトンネル インターフェイスを作成する必要はありません。代わりに、MIC(モジュラー インターフェイス カード)または MPC の PFE が GRE ペイロードのカプセル化とカプセル化解除を処理し、関連するインターフェイスにトンネル サービスを提供します。そのため、1 組の MX シリーズ ルーターを PE(プロバイダ エッジ)ルーターとしてインストールし、2 つの分離したネットワーク上で顧客エッジ(CE)ルーターに接続できます。

PTX シリーズ ルーターでは、フィルターベースの GRE トンネリングが機能するように enhanced-mode ネットワーク サービスを設定する必要があります。PTX でのフィルター ベースのトンネリングの詳細については、 を参照してください tunnel-end-point

イングレス PE ルーター上のイングレス ファイアウォール フィルター

イングレス PE ルーターでは、単一方向 GRE トンネルを指定するトンネル定義を設定します。MIC または MPC イングレス 論理インターフェイスを備えた MX シリーズ ルーターでは、カプセル化ファイアウォール フィルターをアタッチします。ファイアウォール フィルター アクションはトンネル定義を参照し、一致したパケットのカプセル化を開始します。カプセル化プロセスは、IPv4 ヘッダーと GRE ヘッダーをペイロード パケットにアタッチし、結果の GRE パケットをフィルター指定トンネルに転送します。

エグレス PE ルーター上のイングレス ファイアウォール フィルター

エグレス PE ルーターでは、カプセル化解除ファイアウォール フィルタを、ルーターのアドバタイズアドレスであるすべての MIC または MPC 論理インターフェイスの入力にアタッチします。ファイアウォール フィルターは、GRE プロトコル パケットのカプセル化解除を開始します。カプセル化解除により、内部 GRE ヘッダーが削除され、元のペイロード パケットが宛先カスタマー ネットワーク上の元の宛先に転送されます。アクションでオプションのルーティング インスタンスが指定されている場合、プライマリ テーブルではなくそのセカンダリ テーブルを使用してルート ルックアップが実行されます。

IPv4 ネットワーク全体のフィルターベース トンネリングの特性

IPv4 ネットワーク全体のフィルターベーストンネルは一方向です。転送パケットのみを転送し、トンネル インターフェイスは必要ありません。

一方向トンネリング

フィルターベースの GRE トンネルを使用するには、まず、各トンネル エンドポイントの 入力 (イングレス PE ルーターとエグレス PE ルーターの両方)に標準のファイアウォール フィルターをアタッチします。イングレス PE ルーターへの入力で、カプセル化ファイアウォール フィルターを適用します。エグレス PE ルーターへの入力で、カプセル化解除ファイアウォール フィルタを適用します。

双方向トンネリング

双方向 GRE トンネリングでは、同じ PE ルーターのペアを使用できますが、逆方向に 2 つ目のトンネルを設定する必要があります。

トランジット トラフィック ペイロード

フィルターベースの GRE IPv4 トンネルは、ユニキャストまたはマルチキャストトランジット トラフィック ペイロードのみを転送できます。フィルターによって開始されるカプセル化とカプセル化解除の操作は、イーサネット論理インターフェイスとアグリゲート イーサネット インターフェイスの PFE 上で実行されます。この設計では、トンネル インターフェイスを使用した GRE トンネリングと比較して、PFE 帯域幅をより効率的に使用できます。ルーティング プロトコル セッションは、ファイアウォール ベースのトンネル上で設定できません。

PFE は 転送プレーン で動作し、ローカルに保存された転送テーブル(RE(ルーティング エンジン)からの情報のローカル コピーを使用して、入出力インターフェイス間でパケットを転送することで、パケットを処理します。

一方、RE は 制御プレーン で動作し、システム管理、ルーターへのユーザー アクセス、ルーティング プロトコル、ルーター インターフェイス制御、一部のシャーシ コンポーネント制御のプロセスを処理します。Junos OSアーキテクチャは、これらのプレーンの機能を分離し、プラットフォームサポートの柔軟性とプラットフォームパフォーマンスの拡張性を可能にします。イングレス制御パケットは、PFE の GRE カプセル化およびカプセル化解除プロセスが使用できない制御プレーンに送信されます。

ファイアウォール フィルターをループバック アドレスに適用することはできますが、GRE のカプセル化とカプセル化解除のファイアウォール フィルター アクションは、ルーター のループバック インターフェイスではサポートされていません。

複数の GRE トンネル向けのコンパクトな構成

ファイアウォール フィルターは、多種多様な一致条件をサポートし、拡張によって、単一のファイアウォール フィルター定義で指定された条件に一致する複数の GRE トンネルを終端する機能を備えています。それぞれ独自の一致条件セットを持つ複数のトンネルを作成することで、顧客 GRE パケットや相互に干渉しないトンネルを作成し、カプセル化解除後にパケットを再注入してルーティング テーブルを分離できます。

ファイアウォール フィルターによるトンネリングとトンネル インターフェイスによるトンネリング

トンネル インターフェイスによるトンネリングでは、ルーター制御トラフィックとトランジット トラフィックと暗号化の両方がサポートされます。ファイアウォール フィルターによるトンネリングは実行されません。ただし、ファイアウォール フィルターによるトンネリングは、パフォーマンスと拡張性にメリットをもたらします。

転送パフォーマンス

IPv4 ネットワーク全体のフィルターベースのトンネリングにより、トンネル インターフェイスを使用した GRE トンネリングと比較して、PFE 帯域幅をより効率的に使用できます。カプセル化、カプセル化解除、ルート ルックアップは、ファイアウォール フィルターベースのトンネリングで PFE で実行されるパケット ヘッダー処理アクティビティです。その結果、カプセル化器はペイロード パケットを別のトンネル インターフェイスに送信する必要はありません(ペイロード パケットを受信するインターフェイスとは異なるスロットにある PIC に存在する可能性があります)。