Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de la tunelización basada en filtros en redes IPv4

Descripción de la tunelización basada en filtros en redes IPv4

La encapsulación de enrutamiento genérico (GRE) en su forma más simple es la encapsulación de cualquier protocolo de capa de red sobre cualquier otro protocolo de capa de red para conectar redes desarticuladas que carecen de una ruta de enrutamiento nativa entre ellas. Es un protocolo de encapsulación de capa 3 sin conexión y sin estado, y no ofrece mecanismos de confiabilidad, control de flujo o secuenciación.

La tunelización GRE se inicia con acciones estándar de filtro de firewall . El tráfico fluye a través del túnel, siempre que el destino del túnel sea enrutable. En el caso de los enrutadores de la serie MX, esta función también se admite en sistemas lógicos.

En el caso de las plataformas de enrutamiento universal de 5G serie MX, cuando configure la tunelización GRE con filtros de firewall, no es necesario crear interfaces de túnel en tarjetas de interfaz físicas (PIC) de servicios de túnel o en concentradores de puerto modular (MPC3E). En su lugar, los PFP en las tarjetas de interfaz modular (MIC) o MPC manejan la encapsulación y la desencapsulación de carga gre y proporcionan los servicios de túnel a las interfaces pertinentes. Como tal, se pueden instalar un par de enrutadores de la serie MX como enrutadores de borde de proveedor (PE) para proporcionar conectividad a los enrutadores de borde del cliente (CE) en dos redes desarticuladas.

Para los enrutadores de la serie PTX, los servicios de red deben estar configurados para que enhanced-mode la tunelización GRE basada en filtros funcione. Para obtener más información sobre la tunelización basada en filtros en el PTX, consulte tunnel-end-point .

Filtro de firewall de entrada en el enrutador de PE de entrada

En el enrutador de PE de entrada, configure una definición de túnel que especifique un túnel GRE unidireccional. Para enrutadores serie MX con una interfaz lógica de entrada MIC o MPC, se adjunta un filtro de firewall de encapsulación. La acción de filtro de firewall hace referencia a una definición de túnel e inicia la encapsulación de paquetes coincidentes. El proceso de encapsulación adjunta un encabezado IPv4 y un encabezado GRE al paquete de carga y, luego, reenvía el paquete GRE resultante al túnel especificado por el filtro.

Filtro de firewall de entrada en el enrutador de PE de salida

En el enrutador de PE de salida, se adjunta un filtro de firewall de desencapsulación a la entrada de todas las interfaces lógicas MIC o MPC que se anuncian direcciones para el enrutador. El filtro de firewall inicia la desencapsulación de paquetes de protocolo GRE. La desencapsulación elimina el encabezado interno del GRE y, luego, reenvía el paquete de carga original a su destino original en la red del cliente de destino. Si la acción especifica una instancia de enrutamiento opcional, se realiza una búsqueda de ruta utilizando esa tabla secundaria en lugar de la tabla principal.

Características de la tunelización basada en filtros en redes IPv4

Los túneles basados en filtros en las redes IPv4 son unidireccionales. Solo transportan paquetes de tránsito y no requieren interfaces de túnel.

Tunelización unidireccional

Para usar túneles GRE basados en filtros, comience por adjuntar filtros de firewall estándar en la entrada de cada punto de conexión de túnel (tanto en el enrutador de PE de entrada como en el enrutador de PE de salida). En la entrada al enrutador de PE de entrada, se aplica un filtro de firewall de encapsulación. En la entrada al enrutador de PE de salida, aplique un filtro de firewall de desencapsulación.

Tunelización bidireccional

Para la tunelización GRE bidireccional, puede usar el mismo par de enrutadores de PE, pero debe configurar un segundo túnel en la dirección inversa.

Cargas de tráfico de tránsito

Un túnel IPv4 de GRE basado en filtros puede transportar cargas de tráfico de tránsito de unidifusión o multidifusión solo. Las operaciones de encapsulación y desencapsulación iniciadas por filtros se ejecutan en PFP para interfaces lógicas de Ethernet e interfaces Ethernet agregadas. Este diseño permite un uso más eficiente del ancho de banda PFE en comparación con la tunelización GRE mediante interfaces de túnel. Las sesiones de protocolo de enrutamiento no se pueden configurar sobre los túneles basados en firewall.

Los PFE funcionan en el plano de reenvío para procesar paquetes reenvíándolos entre interfaces de entrada y salida mediante una tabla de reenvío almacenada localmente, que es una copia local de la información del motor de enrutamiento (RE).

Por otro lado, las RE operan en el plano de control para manejar la administración del sistema, el acceso de los usuarios al enrutador y los procesos para protocolos de enrutamiento, control de interfaz de enrutador y algunos componentes de chasis. La arquitectura de Junos OS separa las funciones de estos planos para permitir la flexibilidad del soporte de la plataforma y la escalabilidad del rendimiento de la plataforma. Los paquetes de control de entrada se dirigen al plano de control donde los procesos de encapsulación y desencapsulación GRE de los PFP no están disponibles.

Aunque puede aplicar filtros de firewall a direcciones de circuito cerrado, las acciones de filtro de firewall de encapsulación y desencapsulación de GRE no se admiten en las interfaces de circuito cerrado del enrutador.

Configuración compacta para varios túneles GRE

Los filtros de firewall admiten una amplia variedad de criterios de coincidencia y, por extensión, la capacidad de terminar varios túneles GRE que coincidan con los criterios especificados en una sola definición de filtro de firewall. Al crear varios túneles, cada uno con su propio conjunto de condiciones de coincidencia, puede crear túneles que no interfieran con los paquetes GRE del cliente o entre sí y que vuelvan a inyectar paquetes para separar tablas de enrutamiento después de la desencapsulación.

Tunelización con filtros de firewall y tunelización con interfaces de túnel

La tunelización con interfaces de túnel admite tanto el tráfico de control del enrutador y el tráfico de tránsito, como también el cifrado. La tunelización con filtros de firewall no lo hace. Sin embargo, la tunelización con filtros de firewall ofrece beneficios en el rendimiento y el escalamiento.

Rendimiento del reenvío

La tunelización basada en filtros en redes IPv4 permite un uso más eficiente del ancho de banda PFE en comparación con la tunelización GRE mediante interfaces de túnel. La encapsulación, la desencapsulación y la búsqueda de ruta son actividades de procesamiento de encabezados de paquete que, para la tunelización basada en filtros de firewall, se realizan en el PFE. En consecuencia, el encapsulador nunca necesita enviar paquetes de carga a una interfaz de túnel independiente (que podría residir en una PIC en una ranura diferente a la interfaz que recibe paquetes de carga).

Temas relacionados