Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de los túneles basados en filtro en redes IPv4

Descripción de los túneles basados en filtro en redes IPv4

La encapsulación de enrutamiento genérico (GRE) en su forma más sencilla es la encapsulación de cualquier protocolo de capa de red a través de cualquier otro protocolo de capa de red para conectar redes aisladas que carecen de una ruta de enrutamiento nativa entre ellos. Es un protocolo de encapsulación de capa 3 sin conexión y sin estado, y no ofrece mecanismos para la confiabilidad, el control de flujo o la secuenciación.

El túnel GRE se inicia con acciones de filtro estándar del firewall . El tráfico fluye a través del túnel, siempre que el destino de túnel sea enrutable. Para enrutadores serie MX, esta característica también se admite en los sistemas lógicos.

Para las plataformas de enrutamiento universal 5G serie MX, cuando configure el túnel GRE con filtros de firewall, no necesita crear interfaces de túnel en servicios de túnel de tarjetas de interfaz físicas (PICs) o en MPC3E concentrador de Puerto modular (MPCs). En su lugar, PFEs en las tarjetas de interfaz modular (MICs) o MPCs manejan la encapsulación de la carga GRE y el decapsulation y proporcionan los servicios de túnel a las interfaces relevantes. Como tal, se pueden instalar un par de enrutadores serie MX como enrutadores perimetrales de proveedor (PE) para proporcionar conectividad con enrutadores perimetrales de cliente (CE) en dos redes inconexas.

En el caso de serie PTX enrutadores, los servicios enhanced-mode de red deben establecerse en para que funcionen los túneles GRE basados en filtros. Para obtener más información sobre el túnel basado en filtros en el PTX tunnel-end-point , consulte.

Filtro de Firewall de entrada en el enrutador de PE de entrada

En el enrutador de entrada de PE, configura una definición de túnel que especifica un túnel GRE unidireccional. Para enrutadores de la serie MX con una interfaz lógicaMIC o una MPC de Ingress, debe adjuntar un filtro Firewall de encapsulación. La acción de filtro de Firewall hace referencia a una definición de túnel e inicia la encapsulación de paquetes coincidentes. El proceso de encapsulación adjunta un encabezado IPv4 y un encabezado GRE al paquete de carga y, a continuación, reenvía el paquete GRE resultante al túnel especificado por el filtro.

Filtro de Firewall de entrada en el enrutador PE de salida

En el enrutador de PE de salida, se adjunta un filtro Firewall de encapsulación a la entrada de todas las interfaces lógicas MIC o MPC que son direcciones anunciadas para el enrutador. El filtro de Firewall inicia la desencapsulación de paquetes del protocolo GRE. La desencapsulación quita el encabezado GRE interno y, a continuación, reenvía el paquete de carga original a su destino original en la red del cliente de destino. Si la acción especifica una instancia de enrutamiento opcional, la búsqueda de ruta se realiza utilizando esa tabla secundaria en lugar de la tabla principal.

Características del túnel basado en filtros en redes IPv4

Los túneles basados en filtros de las redes IPv4 son unidireccionales. Sólo transportan paquetes de tránsito y no requieren interfaces de túnel.

Túnel unidireccional

Para usar túneles GRE basados en filtros, empiece por conectar los filtros del firewall estándar a la entrada de cada extremo del túnel (tanto en el enrutador PE de entrada como en el enrutador PE de salida). En los datos que entran en el enrutador PE de entrada, aplique un filtro Firewall de encapsulación. En la entrada del enrutador PE de salida, aplique un filtro Firewall de desencapsulación.

Túnel bidireccional

En el caso de túneles GRE bidireccionales, puede utilizar el mismo par de enrutadores PE, pero debe configurar un segundo túnel en la dirección contraria.

Cargas de tráfico de tránsito

Un túnel IPv4 GRE basado en filtros puede transportar solo las cargas de tráfico de unidifusión o multidifusión. Las operaciones de encapsulación e decapsulation iniciadas por filtro se ejecutan en PFEs para interfaces lógicas Ethernet e interfaces Ethernet agregadas. Este diseño permite un uso más eficiente del ancho de banda de PFE en comparación con los túneles GRE que utilizan interfaces de túnel. Las sesiones del Protocolo de enrutamiento no se pueden configurar encima de los túneles basados en firewall.

El PFEs funciona en el plano de reenvío para procesar paquetes mediante su reenvío entre interfaces de entrada y salida que utilizan una tabla de reenvío local almacenada, que es una copia de la información del motor de enrutamiento (re).

Por otro lado, REs opera en el avión de control para gestionar la administración del sistema, el acceso de los usuarios al enrutador y los procesos de protocolos de enrutamiento, control de interfaz de enrutador y control de componentes del chasis. La arquitectura de Junos OS separa las funciones de estos planos para permitir la flexibilidad de soporte de la plataforma y la escalabilidad del performance de la plataforma. Los paquetes de control de entrada se dirigen al plano de control, donde no están disponibles los procesos de desencapsulación y encapsulación GRE de PFEs.

Aunque puede aplicar filtros de Firewall a direcciones de bucle invertido, las acciones de filtrado de Firewall de desencapsulación GRE no se admiten en las interfaces de bucle invertido de enrutador.

Configuración compacta para varios túneles GRE

Los filtros de Firewall admiten una amplia variedad de criterios de coincidencia y, por extensión, la capacidad de terminar varios túneles GRE que coincidan con los criterios especificados en una definición de filtro de Firewall único. Mediante la creación de varios túneles, cada uno con su propio conjunto de condiciones de coincidencia, puede crear túneles que no interfieran con los paquetes GRE del cliente o entre sí, y que vuelvan a inyectar paquetes para separar las tablas de enrutamiento después de la desencapsulación.

Tunelización con filtros y túneles de firewall con interfaces de túnel

Los túneles con interfaces de túnel admiten tanto el tráfico de control de enrutadores como el tráfico de tránsito, así como el cifrado. El túnel con filtros Firewall no lo hace. Sin embargo, el túnel con filtros de cortafuegos ofrece ventajas de rendimiento y escalabilidad.

Rendimiento de reenvío

El túnel basado en filtros a través de redes IPv4 permite un uso más eficiente del ancho de banda de PFE en comparación con el túnel GRE mediante interfaces de túnel. La encapsulación, la desencapsulación y la búsqueda de rutas son actividades de procesamiento de encabezados de paquetes que, para túneles basados en filtros firewall, se realizan en el PFE. Por lo tanto, el encapsulador nunca necesita enviar paquetes de carga a una interfaz de túnel independiente (que puede residir en un PIC en una ranura diferente que en la interfaz que recibe paquetes de carga).