Filtrado de paquetes de unidifusión a través de interfaces de túnel de multidifusión
Configuración de túneles de unidifusión
Para configurar un túnel de unidifusión, configure una gr-
interfaz (para usar encapsulación GRE) o una ip-
interfaz (para usar encapsulación IP-IP) e incluya las tunnel
instrucciones y family
:
gr-fpc/pic/port or ip-fpc/pic/port { unit logical-unit-number { copy-tos-to-outer-ip-header; reassemble-packets; tunnel { allow-fragmentation; destination destination-address; do-not-fragment; key number; routing-instance { destination routing-instance-name; } source address; ttl number; } family family { address address { destination address; } } } }
Puede configurar estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces]
[edit logical-systems logical-system-name interfaces]
Puede configurar varias unidades lógicas para cada interfaz GRE o IP-IP, y puede configurar solo un túnel por unidad.
En enrutadores serie M y T, puede configurar la interfaz en una PIC de servicio o una PIC de túnel. En enrutadores serie MX, configure la interfaz en un DPC multiservicios.
Cada interfaz de túnel debe ser una interfaz de punto a punto. Punto a punto es el tipo de conexión de interfaz predeterminado, por lo que no es necesario incluir la point-to-point
instrucción en la configuración de interfaz lógica.
Debe especificar las direcciones de destino y origen del túnel. El resto de instrucciones son opcionales.
En el caso de los paquetes de tránsito que salen del túnel, las funciones de ruta de reenvío, como el reenvío de rutas inversas (RPF), el filtrado de tabla de reenvío, el uso de clase de origen, el uso de clase de destino y el filtrado de firewall sin estado, no se admiten en las interfaces que configure como fuentes de túnel, pero se admiten en interfaces de pic de túnel.
Sin embargo, la información de clase de servicio (CoS) obtenida del encabezado GRE o IP-IP se transporta a través del túnel y es utilizada por los paquetes que vuelven a ingresar. Para obtener más información, consulte la Guía del usuario de clase de servicio de Junos OS para dispositivos de enrutamiento.
Para evitar una configuración no válida, Junos OS no permite que la dirección especificada por la source
instrucción o destination
en el [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel]
nivel jerárquico sea la misma que la dirección de subred de la interfaz, especificada por la address
instrucción en el nivel de jerarquía [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name]
.
Para establecer el campo de tiempo de duración (TTL) que se incluye en el encabezado de encapsulación, incluya la ttl
instrucción. Si configura explícitamente un valor TTL para el túnel, debe configurarlo para que sea uno mayor que el número de saltos en el túnel. Por ejemplo, si el túnel tiene siete saltos, debe configurar un valor TTL de 8.
Debe configurar al menos una familia en la interfaz lógica. Para habilitar MPLS a través de interfaces de túnel GRE, debe incluir la instrucción en la family mpls
configuración de interfaz GRE. Además, debe incluir las instrucciones adecuadas en el nivel de jerarquía para habilitar el [edit protocols]
Protocolo de reserva de recursos (RSVP), MPLS y rutas conmutadas por etiquetas (LSP) en túneles GRE. Los túneles de unidifusión son bidireccionales.
Un túnel configurado no puede pasar por traducción de direcciones de red (TDR) en ningún punto del camino hacia el destino. Para obtener más información, consulte Descripción general de los servicios de túnel y la Guía del usuario de aplicaciones de MPLS.
Para un túnel GRE, el valor predeterminado es establecer los bits ToS en el encabezado IP externo en todos los ceros. Para que el motor de enrutamiento copie los bits ToS del encabezado IP interno al exterior, incluya la copy-tos-bits-to-outer-ip-header
instrucción. (Esta copia de bits ToS interna a externa ya es el comportamiento predeterminado de los túneles IP-IP).)
Para interfaces de túnel GRE en interfaces de servicios adaptables o de multiservicios, puede configurar atributos de túnel adicionales, como se describe en las siguientes secciones:
- Configurar un número de clave en túneles GRE
- Habilitación de la fragmentación de paquetes en túneles GRE antes de la encapsulación gre
- Especificar una configuración de MTU para el túnel
- Configuración de un túnel GRE para copiar bits ToS al encabezado IP externo
- Permitir la fragmentación y el reensamblamiento en paquetes después de la encapsulación GRE
- Soporte para túneles GRE IPv6
Configurar un número de clave en túneles GRE
Para los servicios adaptables y las interfaces de múltiples servicios en enrutadores serie M y T, puede asignar un valor clave para identificar un flujo de tráfico individual dentro de un túnel GRE, como se define en RFC 2890, Extensiones de número de clave y secuencia a GRE. Sin embargo, solo se permite una clave para cada par de origen y destino de túnel.
Cada paquete IP versión 4 (IPv4) que entra en el túnel se encapsula con el valor de clave de túnel GRE. Cada paquete IPv4 que sale del túnel se verifica con el valor de la clave de túnel GRE y se desencapsula. La PIC de servicios adaptables o multiservicios elimina los paquetes que no coinciden con el valor de clave configurado.
Para asignar un valor clave a una interfaz de túnel GRE, incluya la key
instrucción:
key number;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number tunnel]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
El número clave puede ser del 0 al 4,294,967,295. Debe configurar el mismo valor de clave de túnel GRE en los puntos de conexión de túnel.
En el siguiente ejemplo se muestra el uso de la instrucción clave en una configuración de túnel GRE:
interfaces { gr-1/2/0 { unit 0 { tunnel { source 10.58.255.193; destination 10.58.255.195; key 1234; } ... family inet { mtu 1500; address 10.200.0.1/30; ... } } } }
Habilitación de la fragmentación de paquetes en túneles GRE antes de la encapsulación gre
Para las interfaces de túnel GRE solo en interfaces de servicios adaptables y multiservicios, puede habilitar la fragmentación de paquetes IPv4 antes de que se encapsulan GRE en túneles GRE.
De forma predeterminada, el tráfico IPv4 transmitido a través de túneles GRE no está fragmentado. Para habilitar la fragmentación de paquetes IPv4 en túneles GRE, incluya la clear-dont-fragment-bit
instrucción:
clear-dont-fragment-bit;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Cuando se incluye la clear-dont-fragment-bit
instrucción en la configuración, el bit de no fragmentar (DF) se borra en todos los paquetes, incluso en los paquetes que no superan la unidad de transmisión máxima de túnel (MTU). Si el tamaño del paquete supera el valor de MTU del túnel, el paquete se fragmenta antes de la encapsulación. Si el tamaño del paquete no supera el valor de MTU del túnel, el paquete no se fragmenta.
También puede borrar el bit DF en paquetes transmitidos a través de túneles de seguridad IP (IPsec). Para obtener más información, consulte Configuración de reglas IPsec.
Especificar una configuración de MTU para el túnel
Para habilitar números de clave y fragmentación en túneles GRE (como se describe en Configuración de un número de clave en túneles GRE y Habilitación de la fragmentación de paquetes en túneles GRE antes de la encapsulación gre), también debe especificar una configuración de MTU para el túnel.
Para especificar una configuración de MTU para el túnel, incluya la mtu
instrucción:
mtu bytes;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces gr-fpc/pic/port unit logical-unit-number family inet]
[edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]
Para obtener más información acerca de la configuración de MTU, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento.
Configuración de un túnel GRE para copiar bits ToS al encabezado IP externo
A diferencia de los túneles IP-IP, los túneles GRE no copian los bits ToS al encabezado IP externo de forma predeterminada. Para que el motor de enrutamiento copie los bits ToS internos en el encabezado IP externo (que es necesario para algunos protocolos de enrutamiento tunelizadas) en paquetes enviados por el motor de enrutamiento, incluya la copy-tos-to-outer-ip-header
instrucción en el nivel de jerarquía de unidad lógica de una interfaz GRE. En este ejemplo, se copian los bits ToS internos en el encabezado IP externo en un túnel GRE:
[edit interfaces] gr-0/0/0 { unit 0 { copy-tos-to-outer-ip-header; family inet; } }
Permitir la fragmentación y el reensamblamiento en paquetes después de la encapsulación GRE
Puede habilitar la fragmentación y el reensamblamiento de paquetes después de que se encapsulan GRE para un túnel GRE. Cuando el tamaño de un paquete encapsulado gre es mayor que la MTU de un vínculo por el que pasa el paquete, el paquete encapsulado GRE se fragmenta. Configure la interfaz GRE en el punto de conexión del túnel para volver a ensamblar los paquetes fragmentados encapsulados gre antes de que se procesen más en la red.
Para cada túnel que configure en una interfaz, puede habilitar o deshabilitar la fragmentación de paquetes encapsulados gre mediante la inclusión de la allow-fragmentation
instrucción or do-not-fragment
:
allow-fragmentation; do-not-fragment;
Puede configurar estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number tunnel]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
Si configura allow-fragmentation
en un túnel, el bit DF no se establece en el encabezado IP externo del paquete encapsulado GRE, lo que permite la fragmentación. De forma predeterminada, los paquetes encapsulados en GRE que superan el tamaño de MTU de un vínculo no se fragmentan y se pierden.
Para habilitar el reensamblamiento de paquetes encapsulados gre fragmentados en la interfaz GRE en el punto de conexión del túnel, incluya la reassemble-packets
instrucción:
reassemble-packets;
Puede configurar esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
A partir de Junos OS versión 17.3R1, puede configurar la fragmentación y reensamblaje de paquetes encapsulados en GRE en interfaces de túnel GRE en enrutadores serie MX con MPC7Es, MPC8Es y MPC9Es.
A partir de Junos OS versión 17.1R1, puede configurar la fragmentación y reensamblaje de paquetes encapsulados en GRE en interfaces de túnel GRE en enrutadores serie MX con MPC2E-NGs, MPC3E-NGs, MPC5Es y MPC6Es.
A partir de Junos OS versión 14.2, puede configurar la fragmentación y reensamblaje de paquetes encapsulados en GRE en interfaces de túnel GRE en enrutadores serie MX con MPC1, MPC2, MPC3, MPC4 y MPC-16X10GEs.
En la versión 14.1 y anteriores de Junos OS, la fragmentación y el reensamblaje de paquetes encapsulados en GRE solo se admiten en enrutadores serie MX con MS-DPC.
Soporte para túneles GRE IPv6
A partir de Junos OS versión 17.3R1, puede configurar interfaces de túnel de encapsulación de enrutamiento genérico (GRE) IPv6 en enrutadores serie MX. Esto le permite ejecutar un túnel GRE en una red IPv6. Las familias de carga de paquetes que se pueden encapsular en los túneles GRE IPv6 incluyen IPv4, IPv6, MPLS e ISO. No se admite la fragmentación ni el reensamblamiento de los paquetes de entrega IPv6.
Para configurar una interfaz de túnel GRE IPv6, especifique direcciones IPv6 para source
y en el [interfaces gr-0/0/0 unit 0 tunnel]
nivel de jerarquía, especifique family inet6
en el [interfaces gr-0/0/0 unit 0]
nivel de jerarquía y especifique una dirección IPv6 para address
el [interfaces gr-0/0/0 unit 0 family inet6]
destination
nivel de jerarquía.
Ver también
Ejemplos: Configuración de túneles de unidifusión
Configure dos túneles IP-IP sin numeración:
[edit interfaces] ip-0/3/0 { unit 0 { tunnel { source 192.168.4.18; destination 192.168.4.253; } family inet; } unit 1 { tunnel { source 192.168.4.18; destination 192.168.4.254; } family inet; } }
Configure interfaces de túnel numeradas mediante la inclusión de una dirección en el [edit interfaces ip-0/3/0 unit (0 | 1) family inet]
nivel jerárquico:
[edit interfaces] ip-0/3/0 { unit 0 { tunnel { source 192.168.4.18; destination 192.168.4.253; } family inet { address 10.5.5.1/30; } } unit 1 { tunnel { source 192.168.4.18; destination 192.168.4.254; } family inet { address 10.6.6.100/30; } } }
Configure un túnel MPLS sobre GRE incluyendo la family mpls
instrucción en el [edit interfaces gr-1/2/0 unit 0]
nivel jerárquico:
[edit interfaces] gr-1/2/0 { unit 0 { tunnel { source 192.168.1.1; destination 192.168.1.2; } family inet { address 10.1.1.1/30; } family mpls; } }
Ver también
Restricción de túneles al tráfico de multidifusión
En el caso de las interfaces que contienen tráfico IPv4 o IP versión 6 (IPv6), puede configurar una interfaz de túnel para permitir solo tráfico de multidifusión. Para configurar un túnel de solo multidifusión, incluya la multicast-only
instrucción:
multicast-only;
Puede configurar esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number family family]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
Los túneles de multidifusión filtran todos los paquetes de unidifusión; si un paquete entrante no está destinado a un prefijo 224/8 o superior, el paquete se pierde y un contador se incrementa.
Puede configurar esta propiedad solo en interfaces GRE, IP-IP, PIM y túnel de multidifusión (mt
).
Si el enrutador tiene una PIC de servicios de túnel, Junos OS configura automáticamente una interfaz de túnel de multidifusión (mt
) para cada red privada virtual (VPN) que configure. No es necesario configurar interfaces de túnel de multidifusión.