Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de GRE Keepalive Time

Las interfaces de túnel de encapsulación de enrutamiento genérico (GRE) no tienen un mecanismo integrado para detectar cuándo un túnel está inactivo. Los mensajes Keepalive ayudan a las interfaces del túnel GRE a detectar cuándo un túnel está inactivo. Los temas a continuación discuten el funcionamiento y la configuración del tiempo de mantenimiento de GRE.

Entendiendo GRE Keepalive Time

Las interfaces de túnel de encapsulación de enrutamiento genérico (GRE) no tienen un mecanismo integrado para detectar cuándo un túnel está inactivo. Puede habilitar los mensajes keepalive para que sirvan como mecanismo de detección.

Los tiempos de Keepalive solo se pueden configurar para la interfaz ATM a través de ADSL, que ya no es compatible con SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550HM a partir de Junos OS versión 15.1X49-D10. Los tiempos de Keepalive están habilitados de forma predeterminada para otras interfaces.

Keepalives se puede configurar en la interfaz física o lógica. Si se configura en la interfaz física, los keepalives se envían a todas las interfaces lógicas que forman parte de la interfaz física. Si se configura en una interfaz lógica individual, los keepalives solo se envían a esa interfaz lógica. Además de configurar un keepalive, debe configurar el tiempo de espera.

Puede configurar los keepalives en una interfaz de túnel de encapsulación de enrutamiento genérico (GRE) incluyendo tanto la instrucción como la keepalive-time hold-time instrucción en el nivel jerárquico [edit protocols oam gre-tunnel interface interface-name] .

Nota:

Para el correcto funcionamiento de keepalives en una interfaz GRE, también debe incluir la family inet instrucción en el nivel jerárquico [edit interfaces interface-name unit unit] . Si no incluye esta instrucción, la interfaz se marca como inactiva.

Configuración de GRE Keepalive Time

Los tiempos de Keepalive solo se pueden configurar para la interfaz ATM a través de ADSL, que ya no es compatible con SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550HM a partir de Junos OS versión 15.1X49-D10.

Configuración del tiempo de mantenimiento y el tiempo de espera para una interfaz de túnel GRE

Puede configurar los keepalives en una interfaz de túnel de encapsulación de enrutamiento genérico (GRE) incluyendo tanto la instrucción como la keepalive-time hold-time instrucción en el nivel jerárquico [edit protocols oam gre-tunnel interface interface-name] .

Nota:

Para el correcto funcionamiento de keepalives en una interfaz GRE, también debe incluir la family inet instrucción en el nivel jerárquico [edit interfaces interface-name unit unit] . Si no incluye esta instrucción, la interfaz se marca como inactiva.

Para configurar una interfaz de túnel GRE:

  1. Configure la interfaz de túnel GRE en [edit interfaces interface-name unit unit-number] el nivel jerárquico, donde el nombre de la interfaz es gr-x/y/z y la familia se establece como inet.
  2. Configure el resto de las opciones de interfaz de túnel GRE según los requisitos.

Para configurar el tiempo de mantenimiento de vida para una interfaz de túnel GRE:

  1. Configure el protocolo de operación, administración y mantenimiento (OAM) en el nivel de jerarquía para la interfaz de [edit protocols] túnel GRE.

  2. Configure la opción de interfaz de túnel GRE para el protocolo OAM.

  3. Configure el tiempo de keepalive de 1 a 50 segundos para la interfaz de túnel GRE.

  4. Configure el tiempo de espera de 5 a 250 segundos. Tenga en cuenta que el tiempo de espera debe ser al menos el doble del tiempo de mantenimiento.

Mostrar configuración de tiempo GRE Keepalive

Propósito

Muestre el valor de tiempo keepalive configurado como 10 y el valor de tiempo de retención como 30 en una interfaz de túnel GRE (por ejemplo, gr-1/1/10.1):

Acción

Para mostrar los valores configurados en la interfaz de túnel GRE, ejecute el comando en el show oam gre-tunnel nivel de [edit protocols] jerarquía:

Mostrar información de tiempo Keepalive en una interfaz de túnel GRE

Propósito

Muestra la información de estado actual de una interfaz de túnel GRE cuando se configuran parámetros de tiempo keepalive y tiempo de espera en ella y cuando expira el tiempo de espera.

Acción

Para comprobar la información de estado actual en una interfaz de túnel GRE (por ejemplo, gr-3/3/0.3), ejecute los show interfaces gr-3/3/0.3 terse comandos y show interfaces gr-3/3/0.3 extensive operativos.

mostrar interfaces gr-3/3/0.3 concisa

mostrar interfaces gr-3/3/0.3 extensivo

Nota:

Cuando expire el tiempo de espera:

  • El túnel GRE permanecerá activo aunque la interfaz no pueda enviar ni recibir tráfico.

  • El Link estado será Up y el Gre keepalives adjacency state será Down.

Significado

La información de estado actual de una interfaz de túnel GRE con parámetros de tiempo keepalive y tiempo de espera se muestra como se esperaba cuando expira el tiempo de espera.

Ejemplo: configurar el túnel GRE

La encapsulación de enrutamiento genérico (GRE) es un protocolo de encapsulación IP que se utiliza para transportar paquetes a través de una red. La información se envía de una red a otra a través de un túnel GRE. GRE encapsula una carga útil como un paquete GRE. Este paquete GRE está encapsulado en un protocolo externo (protocolo de entrega). Los extremos del túnel GRE reenvían cargas útiles a túneles GRE para enrutar paquetes al destino. Después de llegar al punto final, se elimina la encapsulación GRE y la carga útil se transmite a su destino final. El uso principal de GRE es transportar paquetes que no son IP a través de una red IP; sin embargo, GRE también se utiliza para transportar paquetes IP a través de una nube IP.

Requisitos

  • Configure una interfaz GRE (gr-). La interfaz gr- contiene una dirección local y una dirección de destino. Aparece tan pronto como se configura. Incluso puede configurar una dirección IP en la interfaz gr-.

  • Configure una ruta para llegar a la subred de destino (conectividad de extremo a extremo). Puede configurar una ruta estática a través de la interfaz gr- o utilizar un protocolo de puerta de enlace interior (IGP) como OSPF.

Visión general

Los túneles GRE están diseñados para ser completamente sin estado, lo que significa que cada extremo del túnel no guarda ninguna información sobre el estado o la disponibilidad del extremo del túnel remoto. Normalmente, una interfaz de túnel GRE aparece tan pronto como se configura y permanece activa mientras haya una dirección de origen de túnel válida o una interfaz activa.

Configuración

De forma predeterminada, la interfaz de subred local es ge-0/0/0 con dirección IPv4 como 10.10.11.1/24. La subred de destino es 10.10.10.0/24 con la interfaz IPv4 del extremo de túnel como 10.10.10.1/24.

La configuración GRE muestra la configuración predeterminada entre las interfaces de túnel en los firewalls de la serie SRX.

Figura 1: Configuración del GRE Tunnel Configuration túnel GRE

Configuración del dispositivo sometido a prueba (DUT)

Procedimiento paso a paso

Puede configurar una ruta estática a través de la interfaz gr- o mediante IGP.

  1. Configure la interfaz de subred local ge-0/0/0.

  2. Configure la subred de destino.

  3. Configure los extremos del túnel gr- y especifique la dirección de origen, la dirección de destino y la familia como inet para los extremos del túnel.

  4. Vincule la interfaz de túnel GRE gr-0/0/0 a una zona de seguridad.

  5. Configure una ruta estática a la subred de destino con la interfaz de túnel GRE como próximo salto.

  6. En caso de que no desee definir una ruta estática, configure OSPF o cualquier otro protocolo entre interfaces gr-0/0/0 en ambos lados y subred interna como vecino pasivo, para recibir todas las rutas internas.

Configuración rápida de CLI
Resultados

En el modo de configuración, ingrese el show comando para confirmar la configuración en los dispositivos. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración GRE mediante la ruta estática:

Verificación

Para comprobar que la configuración de GRE en el firewall de la serie SRX se realiza correctamente, realice las siguientes tareas:

Verificar la interfaz GRE

Propósito

Verifique que la interfaz GRE esté activa.

Acción

Ejecute el show interfaces comando:

Significado

La interfaz GRE está activa.

Verificar la accesibilidad a la subred de destino

Propósito

Compruebe que se puede acceder a la ruta de la red de destino a través de la interfaz de túnel GRE.

Acción

Ejecute el comando en el show route forwarding-table matching 10.10.10.0/24 nivel jerárquico [edit interfaces] :

Significado

Se puede acceder a la red de destino a través de la interfaz de túnel GRE.

Comprobar la accesibilidad de extremo a extremo mediante el comando ping

Configuración de GRE a través de túneles IPsec

Visión general

Los túneles GRE ofrecen una seguridad mínima, mientras que un túnel IPsec ofrece una seguridad mejorada en términos de confidencialidad, autenticación de datos y garantía de integridad. Además, IPsec no puede admitir directamente paquetes de multidifusión. Sin embargo, si primero se usa un túnel GRE encapsulado, se puede usar un túnel IPsec para proporcionar seguridad al paquete de multidifusión. En un túnel GRE a través de IPsec, se puede enrutar todo el tráfico de enrutamiento (IP y no IP). Cuando el paquete original (IP/no IP) está encapsulado GRE, tiene un encabezado IP definido por el túnel GRE, normalmente las direcciones IP de la interfaz de túnel. El protocolo IPsec puede entender el paquete IP; por lo tanto, encapsula el paquete GRE para convertirlo en GRE a través de IPsec.

Los pasos básicos necesarios para configurar GRE a través de IPsec son los siguientes:

  • Configure el túnel IPsec basado en rutas.

  • Configure el túnel GRE.

  • Configure una ruta estática con el destino como subred remota a través de la interfaz gr-.

  • Configure la ruta estática para el extremo GRE con la interfaz st0 como próximo salto.

Configuración

En este ejemplo, la configuración predeterminada tiene la interfaz de subred local como ge-0/0/0 con la dirección IPv4 como 10.10.11.1/24. La subred de destino es 10.10.10.0/24. Los extremos del túnel de interfaz gr-0/0/0 son direcciones de circuito cerrado en ambos lados, con la dirección IPv4 de circuito cerrado local como 192.168.0.1 y la dirección IPv4 de circuito cerrado remoto como 192.168.0.2. Las interfaces gr-0/0/0, st0 y lo0 están enlazadas a una zona de seguridad y las políticas se crean en consecuencia.

Configuración de una interfaz GRE a través de un túnel IPsec

Procedimiento paso a paso
  1. Configure el GRE en el nivel jerárquico, donde el [set interfaces interface-name unit unit-number] nombre de la interfaz es ge-0/0/0 y la familia se establece como inet.

  2. Configure los extremos del túnel gr- y especifique la dirección de origen, la dirección de destino y la familia como inet para los extremos del túnel.

  3. De manera similar, configure la interfaz lo0 y st0 con la familia establecida como inet.

  4. Confifure las interfaces GRE con las zonas de seguridad. Utilice el show zones comando para ver las zonas donde se muestran las interfaces de túnel configuradas, lo0 y st0.

Resultados

En el modo de configuración, ingrese el comando para confirmar la configuración de la show interfaz. Las interfaces configuradas están enlazadas a una zona de seguridad en el nivel jerárquico [edit security] . Utilice el show zones comando para ver las zonas donde se muestran las interfaces configuradas (gr-, st0.0 y lo0). Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Parámetros para configurar las interfaces GRE:

Parámetros para configurar las interfaces GRE con zonas de seguridad:

Verificación

Comprobación del túnel IPsec

Propósito

Compruebe que el túnel IPsec esté activo.

Acción

Ejecute los comandos show security ike security-associations y show security ipsec security-associations comandos.

Configuración de un túnel GRE cuando el destino del túnel se encuentra en una instancia de enrutamiento

Visión general

Puede configurar un túnel GRE cuando el destino del túnel se encuentre en una instancia de enrutamiento predeterminada o en una instancia de enrutamiento no predeterminada. La configuración de un túnel GRE requiere definir el origen del túnel y las direcciones de destino del túnel. Si el destino del túnel se encuentra en una instancia de enrutamiento y hay más de una instancia de enrutamiento presente, debe especificar la instancia de enrutamiento correcta y también la tabla de enrutamiento que se utilizará para llegar a la dirección de destino del túnel configurada.

Nota:

La dirección de destino del túnel se considera accesible de forma predeterminada mediante la tabla de enrutamiento predeterminada "inet.0".

Configuración

En este ejemplo, puede configurar un túnel GRE entre las interfaces gr- en los firewalls de la serie SRX con dos instancias. Las instancias son cuando el destino del túnel se encuentra en una instancia de enrutamiento predeterminada y cuando el destino del túnel se encuentra en una instancia de enrutamiento no predeterminada.

Configuración de un túnel GRE cuando el destino del túnel se encuentra en una instancia de enrutamiento predeterminada

En este ejemplo se usa la instancia de enrutamiento predeterminada para llegar al destino del túnel. Debido a esto, la tabla de enrutamiento inet.0 se utiliza de forma predeterminada.

Procedimiento paso a paso
  1. Especifique la dirección de origen y destino del túnel.

  2. Configure la interfaz ge- y la interfaz lo0 con la familia establecida como inet.

  3. Configure la interfaz de túnel GRE para las opciones de enrutamiento, tal como se menciona en el tema de configuración GRE.

Configuración de un túnel GRE cuando el destino del túnel se encuentra en una instancia de enrutamiento no predeterminada

Para una instancia de enrutamiento no predeterminada, asegúrese de que ya ha configurado la interfaz gr-0/0/0.

Procedimiento paso a paso
  1. Configure el túnel GRE con la interfaz gr-0/00 y la familia establecidas como inet.

  2. Especifique la dirección de origen y destino del túnel.

  3. Configure la interfaz ge- y la interfaz lo0 con la familia establecida como inet.

  4. Configure las instancias de enrutamiento utilizadas para la interfaz de túnel.

  5. Configure la instancia de enrutamiento para las interfaces de túnel GRE.

  6. Agregue la ruta estática para el destino del túnel.

    Nota:

    Cuando el firewall de la serie SRX está en modo de paquetes, no es necesario configurar una ruta estática para que el destino del túnel sea accesible desde inet.0. Sin embargo, aún debe especificar la instancia de enrutamiento correcta en la interfaz gr-0/0/0.

Resultados

En el modo de configuración, ingrese el show comando para confirmar la configuración en los dispositivos. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando el destino del túnel se encuentra en una instancia de enrutamiento predeterminada:

Cuando el destino del túnel se encuentra en una instancia de enrutamiento no predeterminada:

Verificación

Verificación del uso de rutas estáticas

Propósito

Compruebe que se utiliza la ruta estática.

Acción

Ejecute el show route forwarding table comando.

Verificación de la ruta estática utilizada en la instancia predeterminada

Propósito

Compruebe que la ruta estática se utiliza para la instancia predeterminada.

Acción

Ejecute el show route forwarding table comando.