Filtrado de paquetes de unidifusión a través de interfaces de túnel de multidifusión
Configuración de túneles de unidifusión
Para configurar un túnel de unidifusión, configure una gr-
interfaz (para usar la encapsulación GRE) o una ip-
interfaz (para usar la encapsulación IP-IP) e incluya las tunnel
instrucciones y family
:
gr-fpc/pic/port or ip-fpc/pic/port { unit logical-unit-number { copy-tos-to-outer-ip-header; reassemble-packets; tunnel { allow-fragmentation; destination destination-address; do-not-fragment; key number; routing-instance { destination routing-instance-name; } source address; ttl number; } family family { address address { destination address; } } } }
Puede configurar estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces]
[edit logical-systems logical-system-name interfaces]
Puede configurar varias unidades lógicas para cada interfaz GRE o IP-IP, y sólo puede configurar un túnel por unidad.
En los enrutadores serie M y T, puede configurar la interfaz en una PIC de servicio o en una PIC de túnel. En enrutadores de la serie MX, configure la interfaz en un DPC multiservicio.
Cada interfaz de túnel debe ser una interfaz punto a punto. Punto a punto es el tipo de conexión de interfaz predeterminado, por lo que no es necesario incluir la point-to-point
instrucción en la configuración de interfaz lógica.
Debe especificar las direcciones de destino y de origen del túnel. Las instrucciones restantes son opcionales.
Para los paquetes de tránsito que salen del túnel, las características de ruta de reenvío, como el reenvío de ruta inversa (RPF), el filtrado de tablas de reenvío, el uso de clases de origen, el uso de clases de destino y el filtrado de firewall sin estado, no se admiten en las interfaces que configure como orígenes de túnel, pero sí en las interfaces de PIC de túnel.
Sin embargo, la información de clase de servicio (CoS) obtenida del encabezado GRE o IP-IP se transporta a través del túnel y es utilizada por los paquetes que vuelven a ingresar. Para obtener más información, consulte la Guía del usuario de la clase de servicio de Junos OS para dispositivos de enrutamiento.
Para evitar una configuración no válida, Junos OS no permite establecer la dirección especificada por la source
instrucción or destination
en el nivel jerárquico [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel]
para que sea la misma que la dirección de subred propia de la interfaz, especificada por la address
instrucción en el nivel de jerarquía [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name]
.
Para establecer el campo de tiempo de vida (TTL) que se incluye en el encabezado de encapsulación, incluya la ttl
instrucción. Si configura explícitamente un valor TTL para el túnel, debe configurarlo para que sea mayor que el número de saltos del túnel. Por ejemplo, si el túnel tiene siete saltos, debe configurar un valor TTL de 8.
Debe configurar al menos una familia en la interfaz lógica. Para habilitar las interfaces de túnel MPLS sobre GRE, debe incluir la family mpls
instrucción en la configuración de la interfaz GRE. Además, debe incluir las instrucciones adecuadas en el nivel de jerarquía para habilitar el [edit protocols]
Protocolo de reserva de recursos (RSVP), MPLS y rutas de conmutación de etiquetas (LSP) a través de túneles GRE. Los túneles de unidifusión son bidireccionales.
Un túnel configurado no puede pasar por la traducción de direcciones de red (NAT) en ningún punto del camino hacia el destino. Para obtener más información, consulte Descripción general de los servicios de túnel y la Guía del usuario de aplicaciones MPLS.
Para un túnel GRE, el valor predeterminado es establecer los bits ToS en el encabezado IP exterior en todos los ceros. Para que el motor de enrutamiento copie los bits de ToS del encabezado IP interno al externo, incluya la copy-tos-bits-to-outer-ip-header
instrucción. (Esta copia de bits ToS interna a externa ya es el comportamiento predeterminado para los túneles IP-IP).
Para las interfaces de túnel GRE en interfaces de servicios adaptables o multiservicios, puede configurar atributos de túnel adicionales, como se describe en las secciones siguientes:
- Configuración de un número de clave en túneles GRE
- Habilitación de la fragmentación de paquetes en túneles GRE antes de la encapsulación GRE
- Especificación de una configuración de MTU para el túnel
- Configuración de un túnel GRE para copiar bits ToS en el encabezado IP externo
- Habilitación de la fragmentación y el reensamblaje en paquetes después de la encapsulación GRE
- Compatibilidad con túneles GRE IPv6
Configuración de un número de clave en túneles GRE
Para los servicios adaptativos y las interfaces multiservicios en enrutadores serie M y T, puede asignar un valor de clave para identificar un flujo de tráfico individual dentro de un túnel GRE, tal como se define en RFC 2890, Extensiones de número de clave y secuencia para GRE. Sin embargo, solo se permite una clave para cada par de origen y destino del túnel.
Cada paquete IP versión 4 (IPv4) que entra en el túnel se encapsula con el valor de clave de túnel GRE. Cada paquete IPv4 que sale del túnel se verifica mediante el valor de clave de túnel GRE y se desencapsula. El PIC de servicios adaptables o multiservicios descarta paquetes que no coinciden con el valor de clave configurado.
Para asignar un valor de clave a una interfaz de túnel GRE, incluya la key
instrucción:
key number;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number tunnel]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
El número clave puede ser del 0 al 4.294.967.295. Debe configurar el mismo valor de clave de túnel GRE en los extremos de túnel.
En el ejemplo siguiente se muestra el uso de la instrucción key en una configuración de túnel GRE:
interfaces { gr-1/2/0 { unit 0 { tunnel { source 10.58.255.193; destination 10.58.255.195; key 1234; } ... family inet { mtu 1500; address 10.200.0.1/30; ... } } } }
Habilitación de la fragmentación de paquetes en túneles GRE antes de la encapsulación GRE
Solo para interfaces de túnel GRE en interfaces de servicios adaptativos y multiservicios, puede habilitar la fragmentación de paquetes IPv4 antes de encapsularlos en GRE en túneles GRE.
De forma predeterminada, el tráfico IPv4 transmitido a través de túneles GRE no está fragmentado. Para habilitar la fragmentación de paquetes IPv4 en túneles GRE, incluya la clear-dont-fragment-bit
instrucción:
clear-dont-fragment-bit;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Cuando se incluye la clear-dont-fragment-bit
instrucción en la configuración, el bit don't-fragment (DF) se borra en todos los paquetes, incluso en los paquetes que no superan la unidad de transmisión máxima de túnel (MTU). Si el tamaño del paquete supera el valor MTU del túnel, el paquete se fragmenta antes de la encapsulación. Si el tamaño del paquete no supera el valor MTU del túnel, el paquete no se fragmenta.
También puede borrar el bit DF en paquetes transmitidos a través de túneles de seguridad IP (IPsec). Para obtener más información, consulte Configuración de reglas IPsec.
Especificación de una configuración de MTU para el túnel
Para habilitar los números de clave y la fragmentación en túneles GRE (como se describe en Configuración de un número de clave en túneles GRE y Habilitación de la fragmentación de paquetes en túneles GRE antes de la encapsulación GRE), también debe especificar una configuración de MTU para el túnel.
Para especificar una configuración de MTU para el túnel, incluya la mtu
instrucción:
mtu bytes;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces gr-fpc/pic/port unit logical-unit-number family inet]
[edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]
Para obtener más información acerca de la configuración de MTU, consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento.
Configuración de un túnel GRE para copiar bits ToS en el encabezado IP externo
A diferencia de los túneles IP-IP, los túneles GRE no copian los bits ToS al encabezado IP externo de forma predeterminada. Para que el motor de enrutamiento copie los bits ToS internos en el encabezado IP externo (que es necesario para algunos protocolos de enrutamiento tunelizados) en los paquetes enviados por el motor de enrutamiento, incluya la copy-tos-to-outer-ip-header
instrucción en el nivel de jerarquía de unidad lógica de una interfaz GRE. En este ejemplo se copian los bits ToS internos en el encabezado IP externo de un túnel GRE:
[edit interfaces] gr-0/0/0 { unit 0 { copy-tos-to-outer-ip-header; family inet; } }
Habilitación de la fragmentación y el reensamblaje en paquetes después de la encapsulación GRE
Puede habilitar la fragmentación y el reensamblaje de paquetes después de encapsularlos con GRE para un túnel GRE. Cuando el tamaño de un paquete encapsulado en GRE es mayor que la MTU de un vínculo por el que pasa el paquete, el paquete encapsulado en GRE se fragmenta. La interfaz GRE se configura en el extremo del túnel para volver a ensamblar los paquetes encapsulados en GRE fragmentados antes de que se procesen más a fondo en la red.
Para cada túnel que configure en una interfaz, puede habilitar o deshabilitar la fragmentación de paquetes encapsulados en GRE incluyendo la allow-fragmentation
instrucción o do-not-fragment
:
allow-fragmentation; do-not-fragment;
Puede configurar estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number tunnel]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
Si se configura allow-fragmentation
en un túnel, el bit DF no se establece en el encabezado IP externo del paquete encapsulado en GRE, lo que permite la fragmentación. De forma predeterminada, los paquetes encapsulados en GRE que superan el tamaño MTU de un vínculo no se fragmentan y se eliminan.
Para habilitar el reensamblaje de paquetes encapsulados en GRE fragmentados en la interfaz GRE en el extremo del túnel, incluya la reassemble-packets
instrucción:
reassemble-packets;
Puede configurar esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
A partir de Junos OS versión 17.3R1, puede configurar la fragmentación y el reensamblaje de paquetes encapsulados en GRE en interfaces de túnel GRE en enrutadores serie MX con MPC7Es, MPC8Es y MPC9Es.
A partir de Junos OS versión 17.1R1, puede configurar la fragmentación y el reensamblaje de paquetes encapsulados en GRE en interfaces de túnel GRE en enrutadores serie MX con MPC2E-NG, MPC3E-NG, MPC5E y MPC6Es.
A partir de Junos OS versión 14.2, puede configurar la fragmentación y el reensamblaje de paquetes encapsulados en GRE en interfaces de túnel GRE en enrutadores serie MX con MPC1, MPC2, MPC3, MPC4 y MPC-16X10GE.
En Junos OS versión 14.1 y anteriores, la fragmentación y el reensamblaje de paquetes encapsulados en GRE solo se admite en enrutadores serie MX con MS-DPC.
Compatibilidad con túneles GRE IPv6
A partir de Junos OS versión 17.3R1, puede configurar interfaces de túnel de encapsulación de enrutamiento genérico (GRE) IPv6 en enrutadores serie MX. Esto le permite ejecutar un túnel GRE a través de una red IPv6. Las familias de carga de paquetes que se pueden encapsular dentro de los túneles GRE IPv6 incluyen IPv4, IPv6, MPLS e ISO. No se admite la fragmentación y el reensamblaje de los paquetes de entrega IPv6.
Para configurar una interfaz de túnel GRE IPv6, especifique direcciones IPv6 para source
y destination
en el nivel de [interfaces gr-0/0/0 unit 0 tunnel]
jerarquía, especifique family inet6
en el nivel de [interfaces gr-0/0/0 unit 0]
jerarquía y especifique una dirección IPv6 para address
en el nivel de [interfaces gr-0/0/0 unit 0 family inet6]
jerarquía.
Ver también
Ejemplos: configuración de túneles de unidifusión
Configure dos túneles IP-IP no numerados:
[edit interfaces] ip-0/3/0 { unit 0 { tunnel { source 192.168.4.18; destination 192.168.4.253; } family inet; } unit 1 { tunnel { source 192.168.4.18; destination 192.168.4.254; } family inet; } }
Configure interfaces de túnel numerado incluyendo una dirección en el nivel de [edit interfaces ip-0/3/0 unit (0 | 1) family inet]
jerarquía:
[edit interfaces] ip-0/3/0 { unit 0 { tunnel { source 192.168.4.18; destination 192.168.4.253; } family inet { address 10.5.5.1/30; } } unit 1 { tunnel { source 192.168.4.18; destination 192.168.4.254; } family inet { address 10.6.6.100/30; } } }
Configure un túnel MPLS a través de GRE incluyendo la family mpls
instrucción en el nivel de [edit interfaces gr-1/2/0 unit 0]
jerarquía:
[edit interfaces] gr-1/2/0 { unit 0 { tunnel { source 192.168.1.1; destination 192.168.1.2; } family inet { address 10.1.1.1/30; } family mpls; } }
Ver también
Restricción de túneles al tráfico de multidifusión
Para las interfaces que transportan tráfico IPv4 o IP versión 6 (IPv6), puede configurar una interfaz de túnel para permitir solo tráfico de multidifusión. Para configurar un túnel de solo multidifusión, incluya la multicast-only
instrucción:
multicast-only;
Puede configurar esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number family family]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
Los túneles de multidifusión filtran todos los paquetes de unidifusión; Si un paquete entrante no está destinado a un prefijo 224/8 o superior, el paquete se descarta y se incrementa un contador.
Puede configurar esta propiedad únicamente en interfaces GRE, IP-IP, PIM y túnel de multidifusión (mt
).
Si el enrutador tiene una PIC de servicios de túnel, Junos OS configura automáticamente una interfaz de túnel de multidifusión (mt
) para cada red privada virtual (VPN) que configure. No es necesario configurar interfaces de túnel de multidifusión.