Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de un filtro de firewall para desencapsular tráfico GRE o IPIP

Tanto la encapsulación de enrutamiento genérico (GRE) como la de IP a través de IP (IPIP) proporcionan una ruta privada y segura para transportar paquetes a través de una red mediante la encapsulación (o tunelización) de los paquetes. La tunelización se realiza mediante puntos de conexión de túnel que encapsulan o desencapsulan el tráfico.

Puede usar un filtro de firewall para desencapsular el tráfico de túnel en el conmutador. Esta característica ofrece beneficios significativos en términos de escalabilidad, rendimiento y flexibilidad, ya que no es necesario crear una interfaz de túnel para realizar la desencapsulación. Por ejemplo, puede terminar muchos túneles desde varias direcciones IP de origen con un término de firewall.

Nota:

Los conmutadores EX4600, QFX5100 y OCX admiten hasta 512 túneles GRE, incluidos los túneles creados con un filtro de firewall. Es decir, puede crear un total de 512 túneles GRE, independientemente del método que utilice.

Configurar un filtro para desencapsular el tráfico GRE

Para configurar un filtro de firewall para desencapsular el tráfico GRE:

  1. Cree un filtro de firewall IPv4 y (opcionalmente) especifique una dirección de origen para el túnel:

    Debe crear un filtro IPv4 mediante family inet , ya que el encabezado externo de un paquete GRE debe ser IPv4. Si especifica una dirección de origen, debería ser una dirección en un dispositivo que encapsulará el tráfico en paquetes GRE.

    Nota:

    Para terminar muchos túneles desde varias direcciones IP de origen con un término de firewall, no configure una dirección de origen. En este caso, el filtro desencapsulará todos los paquetes GRE recibidos por la interfaz a la que aplique el filtro.

  2. Especifique una dirección de destino para el túnel:

    Esta debe ser una dirección en una interfaz del conmutador en la que desea que finalicen el túnel o túneles y que los paquetes GRE se desencapsulan. También debe configurar esta dirección como un punto de conexión de túnel en todos los enrutadores de origen del túnel con los que desea formar túneles en el conmutador.

  3. Especifique que el filtro debe coincidir y aceptar tráfico GRE:
  4. Especifique que el filtro debe desencapsular el tráfico GRE:

    Según la configuración realizada hasta ahora, el conmutador reenvía los paquetes desencapsulados comparando el encabezado interno con la tabla de enrutamiento predeterminada (inet0). Si desea que el conmutador use una instancia de enrutamiento virtual para reenviar los paquetes desencapsulados, realice los siguientes pasos:

  5. Especifique el nombre de la instancia de enrutamiento virtual:
  6. Especifique que la instancia de enrutamiento virtual es un enrutador virtual:
  7. Especifique las interfaces que pertenecen al enrutador virtual:

Configurar un filtro para desencapsular el tráfico IPIP

Para configurar un filtro de firewall para desencapsular el tráfico IPIP::

  1. Cree un filtro de firewall IPv4 y (opcionalmente) especifique una dirección de origen para el túnel:

    Debe crear un filtro IPv4 mediante, family inet ya que el encabezado externo de un paquete IPIP debe ser IPv4. Si especifica una dirección de origen, debe ser una dirección en un dispositivo que encapsulará el tráfico en paquetes IPIP.

    Nota:

    Para terminar muchos túneles desde varias direcciones IP de origen con un término de firewall, no configure una dirección de origen. En este caso, el filtro desencapsulará cualquier paquete IPIP recibido por la interfaz a la que aplique el filtro.

  2. Especifique una dirección de destino para el túnel:

    Esta debe ser una dirección en una interfaz del conmutador en la que desea que finalicen el túnel o túneles y que los paquetes IPIP se desencapsulan. También debe configurar esta dirección como un punto de conexión de túnel en todos los enrutadores de origen del túnel con los que desea formar túneles en el conmutador.

  3. Especifique que el filtro debe coincidir y aceptar tráfico IPIP:
  4. Especifique que el filtro debe desencapsular el tráfico IPIP:

    Según la configuración realizada hasta ahora, el conmutador reenvía los paquetes desencapsulados comparando el encabezado interno con la tabla de enrutamiento predeterminada (inet0). Si desea que el conmutador use una instancia de enrutamiento virtual para reenviar los paquetes desencapsulados, realice los siguientes pasos:

  5. Especifique el nombre de la instancia de enrutamiento virtual:
  6. Especifique que la instancia de enrutamiento virtual es un enrutador virtual:
  7. Especifique las interfaces que pertenecen al enrutador virtual:

Aplicación del filtro a una interfaz

Después de crear el filtro de firewall, también debe aplicarlo a una interfaz que recibirá tráfico GRE o IPIP . Asegúrese de aplicarlo en la dirección de entrada. Por ejemplo, ingrese

Dado que el encabezado externo de un paquete GRE o IPIP debe ser IPv4, debe aplicar el filtro a una interfaz IPv4 y especificar family inet.

Temas relacionados