Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de la tunelización basada en filtros en redes IPv4

Descripción de la tunelización basada en filtros en redes IPv4

La encapsulación de enrutamiento genérico (GRE) en su forma más simple es la encapsulación de cualquier protocolo de capa de red sobre cualquier otro protocolo de capa de red para conectar redes inconexas que carecen de una ruta de enrutamiento nativa entre ellas. Es un protocolo de encapsulación de capa 3 sin conexión y sin estado, y no ofrece mecanismos de confiabilidad, control de flujo o secuenciación.

La tunelización GRE se inicia con acciones de filtro de firewall estándar. El tráfico fluye a través del túnel siempre que el destino del túnel sea enrutable. Para los enrutadores de la serie MX, esta función también se admite en sistemas lógicos.

Para las plataformas de enrutamiento universal 5G de la serie MX, cuando configure la tunelización GRE con filtros de firewall, no necesita crear interfaces de túnel en tarjetas de interfaz física (PIC) de servicios de túnel ni en concentradores de puertos modulares (MPC) MPC3E. En su lugar, los PFE en las tarjetas de interfaz modular (MIC) o MPC manejan la encapsulación y desencapsulación de la carga GRE y proporcionan los servicios de túnel a las interfaces relevantes. Como tal, se puede instalar un par de enrutadores de la serie MX como enrutadores perimetrales de proveedor (PE) para proporcionar conectividad a los enrutadores perimetrales del cliente (CE) en dos redes separadas.

Para los enrutadores de la serie PTX, los servicios de red deben estar configurados para que la tunelización GRE basada en filtros funcione.enhanced-mode Para obtener más información sobre la tunelización basada en filtros en el PTX, consulte .tunnel-end-point

Filtro de firewall de entrada en el enrutador de PE de entrada

En el enrutador de PE de entrada, configure una definición de túnel que especifique un túnel GRE unidireccional. En el caso de los enrutadores serie MX con una interfaz lógica de entrada MIC o MPC, se adjunta un filtro de firewall de encapsulación. La acción de filtro de firewall hace referencia a una definición de túnel e inicia la encapsulación de paquetes coincidentes. El proceso de encapsulación adjunta un encabezado IPv4 y un encabezado GRE al paquete de carga y, a continuación, reenvía el paquete GRE resultante al túnel especificado por el filtro.

Filtro de firewall de entrada en el enrutador de PE de salida

En el enrutador PE de salida, se adjunta un filtro de firewall de desencapsulación a la entrada de todas las interfaces lógicas MIC o MPC que son direcciones anunciadas para el enrutador. El filtro de firewall inicia la desencapsulación de los paquetes del protocolo GRE. La desencapsulación elimina el encabezado GRE interno y, a continuación, reenvía el paquete de carga original a su destino original en la red del cliente de destino. Si la acción especifica una instancia de enrutamiento opcional, la búsqueda de ruta se realiza utilizando esa tabla secundaria en lugar de la tabla principal.

Características de la tunelización basada en filtros en redes IPv4

Los túneles basados en filtros en las redes IPv4 son unidireccionales. Solo transportan paquetes de tránsito y no requieren interfaces de túnel.

Tunelización unidireccional

Para usar túneles GRE basados en filtros, comience por conectar filtros de firewall estándar en la entrada de cada punto de conexión del túnel (tanto en el enrutador de PE de entrada como en el enrutador de PE de salida). En la entrada al enrutador de PE de entrada, se aplica un filtro de firewall de encapsulación. En la entrada al enrutador de PE de salida, aplique un filtro de firewall de desencapsulación.

Tunelización bidireccional

Para la tunelización GRE bidireccional, puede usar el mismo par de enrutadores PE, pero debe configurar un segundo túnel en la dirección inversa.

Cargas útiles de tráfico de tránsito

Un túnel GRE IPv4 basado en filtros solo puede transportar cargas útiles de tráfico de tránsito de unidifusión o multidifusión. Las operaciones de encapsulación y desencapsulación iniciadas por filtros se ejecutan en PFE para interfaces lógicas Ethernet e interfaces Ethernet agregadas. Este diseño permite un uso más eficiente del ancho de banda de PFE en comparación con la tunelización GRE mediante interfaces de túnel. Las sesiones del protocolo de enrutamiento no se pueden configurar sobre los túneles basados en firewall.

Los PFE operan en el plano de reenvío para procesar paquetes reenviándolos entre interfaces de entrada y salida mediante una tabla de reenvío almacenada localmente, que es una copia local de la información del motor de enrutamiento (RE).

Por otro lado, las RE operan en el plano de control para manejar la administración del sistema, el acceso de los usuarios al enrutador y los procesos para los protocolos de enrutamiento, el control de la interfaz del enrutador y algunos controles de componentes del chasis. La arquitectura de Junos OS separa las funciones de estos planos para permitir la flexibilidad del soporte de la plataforma y la escalabilidad del rendimiento de la plataforma. Los paquetes de control de entrada se dirigen al plano de control donde los procesos de encapsulación y desencapsulación GRE de los PFE no están disponibles.

Aunque puede aplicar filtros de firewall a direcciones de circuito cerrado, las acciones de filtro de firewall de encapsulación y desencapsulación de GRE no se admiten en las interfaces de circuito cerrado del enrutador.

Configuración compacta para múltiples túneles GRE

Los filtros de firewall admiten una amplia variedad de criterios de coincidencia y, por extensión, la capacidad de terminar varios túneles GRE que coinciden con los criterios especificados en una única definición de filtro de firewall. Al crear varios túneles, cada uno con su propio conjunto de condiciones de coincidencia, puede crear túneles que no interfieran con los paquetes GRE del cliente ni entre sí, y que vuelvan a inyectar paquetes en tablas de enrutamiento separadas después de la desencapsulación.

Tunelización con filtros de firewall y tunelización con interfaces de túnel

La tunelización con interfaces de túnel admite tanto el tráfico de control del enrutador y el tráfico de tránsito, como el cifrado. La tunelización con filtros de firewall no lo hace. Sin embargo, la tunelización con filtros de firewall proporciona beneficios en cuanto al rendimiento y la escalabilidad.

Rendimiento de reenvío

La tunelización basada en filtros a través de redes IPv4 permite un uso más eficiente del ancho de banda de PFE en comparación con la tunelización GRE mediante interfaces de túnel. La encapsulación, la desencapsulación y la búsqueda de rutas son actividades de procesamiento de encabezados de paquetes que, para la tunelización basada en filtros de firewall, se realizan en el PFE. En consecuencia, el encapsulador nunca necesita enviar paquetes de carga a una interfaz de túnel independiente (que podría residir en una PIC en una ranura diferente a la interfaz que recibe los paquetes de carga).

Temas relacionados