Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de interfaces de túnel en enrutadores serie MX y enrutadores serie PTX

Descripción de las interfaces de túnel en enrutadores de la serie MX

  • Túneles basados en interfaz (gr, lt e ip): puede configurar túneles basados en interfaz cuando sea necesario aplicar el perfil de ancho de banda.Los túneles GRE admiten carga IPv4, IPv6, MPLS, ISO y Ethernet, mientras que los túneles IP-IP admiten carga IPv4 e IPv6.

    Puede configurar túneles basados en interfaces para implementar:

    • Tunelización a través de una red IP con aplicación de ancho de banda por túnel. Por ejemplo, hacia el sitio remoto.

    • Dirección para limpieza DDoS.

    • Duplicación a destinos remotos.

    Durante el proceso GRE, después de agregar el encabezado GRE al paquete, el paquete se vuelve al mismo motor de reenvío de paquetes para una segunda búsqueda. El paquete ingresa a la canalización de entrada a través de la interfaz de circuito cerrado, que tiene un ancho de banda limitado de 400G. A continuación, el paquete encapsulado se reenvía al destino.

    La desencapsulación del túnel GRE se implementa mediante la terminación del túnel en línea y no utiliza el flujo de circuito cerrado. Sin embargo, el rendimiento general de paquetes del motor de reenvío de paquetes se ve afectado debido a los saltos adicionales de la estructura a medida que el flujo de tráfico cambia de un motor de reenvío de paquetes a otro.

  • Interfaces de túnel flexibles (FTI): puede configurar FTI cuando no sea necesario aplicar el perfil de ancho de banda. Las FTI admiten cargas IPv4 e IPv6. Puede configurar FTI para implementar:

    • Duplicación a destinos remotos.

    • Estructuras IP con superposiciones IP-IP.

    • Dirección para limpieza DDoS.

    El rendimiento de los paquetes se reduce debido a la búsqueda adicional después de la encapsulación y la desencapsulación.

  • Túneles dinámicos: puede configurar túneles dinámicos para diseñar puertas de enlace de centros de datos.

    En la implementación de túneles dinámicos con evitación de circuito cerrado, el rendimiento de los paquetes se reduce debido a la búsqueda adicional después de una encapsulación o desencapsulación.

  • Túneles basados en filtros de firewall: estos túneles admiten:

    • GRE y GRE en encapsulación UDP.

    • GRE, IP-IP y GRE en desencapsulación UDP.

    Puede configurar túneles basados en filtros de firewall para diseñar puertas de enlace de centros de datos.

    Puede configurar la encapsulación y desencapsulación basadas en GRE mediante una acción de filtro de firewall sin utilizar una interfaz de túnel. La encapsulación y desencapsulación se realizan en el motor de reenvío de paquetes que procesa el filtro. Los enrutadores de la serie MX admiten filtros de firewall para:

    • Nivel de interfaz en la entrada (ejecutado en el motor de reenvío de paquetes de entrada)

    • Nivel de interfaz en la salida (ejecutado en el motor de reenvío de paquetes de salida)

    • Nivel de tabla de reenvío (ya sea antes de la búsqueda de ruta o después de la búsqueda de ruta). En ambos casos, el filtro se ejecuta en el PFE de entrada

    En este escenario, el rendimiento del paquete se reduce debido a la búsqueda adicional después de la encapsulación. En caso de desencapsulación, el rendimiento del paquete se reduce debido a la configuración del filtro.

Descripción de las interfaces de túnel en enrutadores de la serie PTX

Puede configurar interfaces de túnel para implementar diferentes funciones en los enrutadores de la serie PTX. Las siguientes secciones proporcionan una descripción general de las funciones implementadas en los diferentes enrutadores de la serie PTX.

Interfaces de túnel en PTX10001-36MR, PTX10004, PTX10008 y PTX10016-Overview

En esta sección se proporciona información sobre cómo configurar interfaces de túnel para implementar diferentes funciones en enrutadores PTX10001-36MR, PTX10004, PTX10008 y PTX10016 con Junos OS evolucionado.

  • Interfaces de túnel flexibles (FTI): puede configurar túneles basados en FTI para implementar:

    • Dirección para limpieza DDoS.

    • Desencapsulación para todos los casos de uso de túneles dinámicos.

    Estos túneles admiten las opciones de encapsulación y desencapsulación GRE, UDP e IP-IP. La reducción en el rendimiento del paquete depende de la opción de encapsulación. La encapsulación admite una topología aplanada del próximo salto.

    Puede configurar túneles GRE en interfaces de túnel flexibles. Cuando se habilita la tunnel-termination instrucción en la [edit interfaces fti0 unit unit-number family (inet | inet6)] jerarquía, los túneles terminan en la interfaz WAN antes de que se apliquen otras acciones, como el muestreo, la creación de reflejo de puertos o el filtrado.

  • Interfaces de túnel flexibles (FTI) a través de un circuito cerrado: puede configurar FTI para implementar la creación de reflejo en destinos remotos.

    En una FTI, después de la encapsulación del túnel, el tráfico se envía a la interfaz de circuito cerrado (en el motor de reenvío de paquetes de entrada) y, posteriormente, al destino final. Los destinos podrían incluir aquellos detrás de los próximos saltos de enrutamiento de segmentos-tráfico diseñado (SR-TE). La interfaz de circuito cerrado tiene un ancho de banda limitado de 400G.

    Puede configurar la encapsulación de túnel GRE/IP-IN-IP/UDP en FTI mediante la interfaz de circuito cerrado. Puede configurar la encapsulación mediante el comando tunnel encapsulation (gre|ipip|udp) source address destination address de la [edit interfaces fti0 unit unit-number jerarquía. Debe tener en cuenta los siguientes puntos al configurar esta característica:

    • La adición tunnel-termination hace que el túnel de solo desencapsulación del túnel y la encapsulación esté deshabilitada.

    • Especificar la dirección de origen y de destino es obligatorio cuando no se configura el comando.

    • No se permite configurar una máscara de prefijo variable en la dirección de origen

      Cuando se configura un filtro de firewall para la desencapsulación, el filtro frewall desencapsula los paquetes en función de las condiciones y la acción de coincidencia configuradas. Luego, los paquetes desencapsulados se vuelven a circular al bloque de entrada para realizar una búsqueda de encabezado interno y se reenvían en consecuencia. Sin embargo, la terminación del túnel se completa en una sola pasada de procesamiento de paquetes, lo que proporciona una mejora del rendimiento en comparación con el proceso basado en filtros.

      Para habilitar el modo de solo terminación, en el que el túnel es unidireccional, puede configurarlo tunnel-termination en la [edit interfaces fti0 unit unit_number tunnel encapsulation (gre|ipip|udp)]jerarquía de la FTI.

      Se puede excluir la dirección de origen, lo que indica que el túnel termina en la dirección de destino configurada. El opcional tunnel-routing-instance indica que después de la desencapsulación, la búsqueda IP interna se realiza con el ID VRF correspondiente a la instancia de enrutamiento.

      Los paquetes que se van a desencapsular se procesan en la unidad de búsqueda de origen. La clave de búsqueda contiene la dirección de destino IPv4 o IPv6 y, opcionalmente, la dirección L3VPN si no es necesario terminar el túnel en todas las interfaces. Si la primera búsqueda se realiza correctamente, no se necesita más búsqueda de origen y se finaliza el túnel. Si se necesita una segunda búsqueda en la dirección de origen, la unidad de búsqueda de origen realiza otra búsqueda utilizando la dirección de origen y el primer resultado de la búsqueda como clave. Si la segunda búsqueda se realiza correctamente, se finaliza el túnel.

      Cuando se habilita la instrucción tunnel-termination en la jerarquía [edit interfaces fti0 unit number], los túneles terminan en la interfaz WAN antes de aplicar cualquier otra acción, como muestreo, duplicación de puertos o filtrado.

      Para habilitar la terminación del túnel en la interfaz entrante, configure tunnel-termination en el cuadro [edit interfaces et fpc/pic/port unit unit_number]

  • Túneles dinámicos: puede configurar túneles dinámicos para diseñar:

    • Estructuras IP.

    • Superposiciones IP.

    • Puertas de enlace del centro de datos.

    Estos túneles admiten la encapsulación IP-IP.

    Los enrutadores de la serie PTX con Junos OS evolucionado no admiten túneles dinámicos para la desencapsulación. En su lugar, puede utilizar túneles FTI estáticos para la desencapsulación, sin especificar la dirección de destino. Los túneles se configuran con la opción de solo desencapsulación.

    Puede configurar túneles UDP dinámicos basados en el próximo salto, también conocidos como túneles MPLS sobre UDP. Junos OS crea dinámicamente los próximos saltos para resolver la ruta de destino del túnel. También puede usar el control de políticas para resolver túneles MPLS a través de UDP mediante prefijos IP seleccionados. Porque cuando los saltos siguientes están habilitados de forma predeterminada, la función MPLS-over-UDP proporciona una ventaja de escala para el número de túneles IP admitidos en el enrutador.

Interfaces de túnel en PTX1000, PTX5000 y PTX10002-50C-Overview

En esta sección se proporciona información sobre cómo configurar interfaces de túnel para implementar diferentes funciones en enrutadores PTX1000, PTX5000 y PTX10002-50C con Junos OS evolucionado.

  • Interfaces de túnel flexibles (FTI): puede configurar las FTI para implementar la estructura IP. Preferimos esta opción cuando necesitamos llegar a destinos de túnel a través de IP. Estos túneles admiten:

    • Opciones de encapsulación GRE, UDP e IP-IP.

    • Opciones de desencapsulación UDP e IP-IP.

    El rendimiento de los paquetes se reduce debido a la búsqueda adicional después de la encapsulación y la desencapsulación.

  • Túneles dinámicos: puede configurar túneles dinámicos para diseñar puertas de enlace de centro de datos. El rendimiento de los paquetes se reduce debido a la búsqueda adicional después de la encapsulación y la desencapsulación.

  • Túneles basados en filtros de firewall: puede configurar túneles basados en filtros de firewall para implementar la ingeniería de emparejamiento de salida (EPE). El rendimiento del paquete se reduce durante la encapsulación debido a la búsqueda adicional.

  • Duplicación a destino remoto: puede implementar la tunelización de paquetes reflejados a destinos remotos. El rendimiento del paquete se reduce durante la encapsulación debido a la búsqueda adicional.

Casos de uso implementados mediante la configuración de túneles en enrutadores serie MX y PTX

En esta sección se proporciona información acerca de algunos de los casos de uso de la configuración de interfaces de túnel para implementar diferentes funciones (casos de uso) en los enrutadores serie MX y PTX.

Duplicación de puertos a destinos remotos

Puede usar la creación de reflejo de puertos para el análisis de tráfico en enrutadores y conmutadores que, a diferencia de los concentradores, no difunden paquetes a todos los puertos del dispositivo de destino. La duplicación de puertos envía copias de todos los paquetes o paquetes de muestra basados en políticas a analizadores locales o remotos donde puede supervisar y analizar los datos.

Para un enrutador de la serie MX configurado como enrutador perimetral de proveedor (PE) en el borde orientado al cliente de una red de proveedor de servicios, puede aplicar un filtro de firewall de duplicación de puertos de capa 2 en los puntos de entrada y salida para reflejar el tráfico entre el enrutador de la serie MX y los dispositivos perimetrales del cliente (CE), como enrutadores y conmutadores Ethernet.

En los enrutadores de la serie MX, puede reflejar el tráfico que llega a las interfaces de túnel a múltiples destinos. Especifique dos o más destinos en un grupo de salto siguiente, defina un filtro de firewall que haga referencia al grupo de salto siguiente como acción de filtro y, a continuación, aplique el filtro a una interfaz de túnel lógico (lt-) o interfaces de túnel virtual (vt-) en el enrutador de la serie MX.

Consulte Configuración de la duplicación de puertos y Configuración de la creación de duplicación de puertos para destinos remotos.

Cuando la ruta de datos atraviesa un túnel basado en la interfaz de túnel flexible (FTI), el enrutador envía el paquete de salida con encapsulación de túnel. Puede configurar una configuración que refleje el paquete original, así como el paquete con todas las encapsulaciones a medida que sale de la interfaz.

Para habilitar la creación de reflejo basada en un filtro instalado en la FTI:

Puertas de enlace del centro de datos

Las puertas de enlace del centro de datos interconectan las VPN de Internet o empresariales por un lado y las máquinas virtuales alojadas en servidores por el otro. Las tecnologías de transporte superpuestas, como MPLS-over-GRE o MPLS-over-UDP, forman parte del diseño de un centro de datos. Las rutas de host se comunican a la puerta de enlace del centro de datos desde el controlador SDN y se importan en contextos de enrutamiento y reenvío virtual (VRF) o enrutamiento de Internet. Se puede acceder a los servidores del centro de datos a través de túneles dinámicos basados en el próximo salto. Los túneles se establecen en servidores en el proceso de resolución del próximo salto del protocolo de ruta BGP.

Como se describe en RFC 5549, el tráfico IPv4 se tuneliza desde los dispositivos CPE a las puertas de enlace IPv4 a través de IPv6. Estas puertas de enlace se anuncian a los dispositivos CPE a través de direcciones anycast. Luego, los dispositivos de puerta de enlace crean túneles dinámicos de IPv4 sobre IPv6 a dispositivos CPE remotos y anuncian rutas agregadas IPv4 para dirigir el tráfico. Los reflectores de ruta con interfaces programables inyectan la información del túnel en la red. Los reflectores de ruta se conectan a través de BGP interno (IBGP) a enrutadores de puerta de enlace, que anuncian las direcciones IPv4 de rutas de host con direcciones IPv6 como el próximo salto.

El túnel MPLS-over-UDP se maneja de la siguiente manera:

  1. Después de configurar un túnel MPLS a través de UDP, se crea una ruta de máscara de destino de túnel con un siguiente salto compuesto de túnel para el túnel en la tabla de enrutamiento inet.3. Esta ruta de túnel IP solo se retira cuando se elimina la configuración del túnel dinámico.

    Entre los atributos del próximo salto compuesto de túnel se incluyen los siguientes:

    • Cuando el siguiente salto compuesto de VPN de capa 3 está deshabilitado: dirección de origen y destino, cadena de encapsulación y etiqueta VPN.

    • Cuando la asignación de etiquetas VPN por prefijo y el siguiente salto compuesto de VPN de capa 3 están habilitados: dirección de origen, dirección de destino y cadena de encapsulación.

    • Cuando el siguiente salto compuesto de VPN de capa 3 está habilitado y la asignación de etiquetas VPN por prefijo está deshabilitada: dirección de origen, dirección de destino y cadena de encapsulación. En este caso, la ruta se agrega a la otra tabla de instancias de VRF con una ruta secundaria.

  2. Los dispositivos perimetrales del proveedor (PE) están interconectados mediante una sesión de IBGP. La ruta del IBGP del siguiente salto a un vecino remoto del BGP es el protocolo del siguiente salto, que se resuelve mediante la ruta de la máscara de túnel con el siguiente salto del túnel.

  3. Después de que el protocolo del siguiente salto se resuelve sobre el siguiente salto compuesto del túnel, se crean los siguientes saltos indirectos con los siguientes saltos de reenvío.

  4. El siguiente salto compuesto de túnel se utiliza para reenviar los siguientes saltos de los siguientes saltos indirectos.

Consulte Ejemplo: Configuración de túneles dinámicos MPLS a través de UDP basados en saltos y Ejemplo: Configuración de túneles dinámicos IP a través de IP basados en saltos siguientes