EN ESTA PÁGINA
Ejemplo: configuración de MPLS a través de GRE con fragmentación y reensamblaje de IPsec
Este ejemplo se basa en la necesidad de admitir una MTU estándar de 1.500 bytes para clientes de red privada virtual (VPN) compatibles con GRE a través de túneles IPsec, cuando el proveedor de WAN no ofrece una opción de MTU Jumbo. El tráfico reenviado a través del vínculo WAN de 1500 bytes se puede eliminar porque la sobrecarga de encapsulación del protocolo (capa 2, MPLS, GRE e IPsec) da como resultado una trama que supera la MTU del vínculo WAN.
Las caídas relacionadas con MTU son principalmente un problema para el tráfico que no se puede fragmentar. Por ejemplo, el tráfico IP marcado como no fragmentar o el tráfico VPN/VPLS de capa 2, que por su naturaleza no se puede fragmentar. Por motivos de rendimiento, muchas configuraciones de IPsec bloquean la fragmentación posterior al cifrado, lo que provoca la caída de paquetes.
Este documento proporciona una solución a este problema al mostrar cómo configurar un túnel IPsec para realizar la fragmentación posterior en el tráfico que de otro modo no podría fragmentarse. En este caso, opere el rendimiento del cifrado forzando la post-fragmentación en lugar de tener que reducir la MTU de sus clientes VPN para evitar caídas relacionadas con MTU.
En este ejemplo se muestra cómo configurar el modo de servicios de paquetes selectivos mediante una única instancia de enrutamiento (la predeterminada) para procesar el tráfico VPN en modo de paquetes. En el modo de paquetes se omiten las zonas de seguridad. Esto significa que las interfaces VRF de capa 2 y capa 3 no se colocan en una zona de seguridad y no se necesita ninguna política que les permita comunicarse a través de la zona de Internet.
Mediante los pasos de este ejemplo, puede realizar la fragmentación de paquetes encapsulados IPsec en la interfaz física saliente del dispositivo de envío y volver a ensamblarlos en el dispositivo receptor antes del descifrado de IPsec.
El reensamblaje de paquetes fragmentados utiliza una gran cantidad de recursos del dispositivo, y el rendimiento del dispositivo será más lento que con el tráfico no fragmentado. Cuando sea posible, debe configurar una MTU Jumbo en la interfaz WAN para evitar la necesidad de fragmentación. En este ejemplo se muestra cómo proporcionar una MTU estándar de 1.500 bytes a dispositivos cliente que bloquean la fragmentación cuando se usa IPsec a través de una conexión WAN que no ofrece compatibilidad Jumbo.
El tema incluye las siguientes secciones:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Dos puertas de enlace de servicios de la serie SRX
Junos OS versión 11.4 o posterior
Este ejemplo se ha revalidado en Junos OS versión 20.3R1
Para que este ejemplo funcione como se documenta, debe asegurarse de que la configuración de SRX no tenga ninguna interfaz con family ethernet-switching
habilitada. El uso family ethernet-switching
pone el dispositivo SRX en modo mixto. Este ejemplo se basa en el modo de operación de ruta. Para obtener más información sobre los modos de operación de ruta y mixtos, consulte Descripción de las interfaces de capa 2 en dispositivos de seguridad. Además, probamos este ejemplo con la configuración predeterminada de fábrica para la edit protocols l2-learning
jerarquía.
Descripción general y topología
En este ejemplo se incluyen las siguientes configuraciones:
Configure las interfaces para el valor adecuado de encapsulación de protocolo y unidad máxima de transmisión (MTU).
Aplique el filtro de firewall en la interfaz ge-0/0/0.10 para establecer el modo de paquete. Configure la interfaz orientada a la WAN ge-0/0/1.0 con una MTU de 1.524 bytes.
Establezca un valor MTU grande en las interfaces lógicas GRE e IPsec para evitar la fragmentación de IPsec en las interfaces lógicas. El tráfico encapsulado GRE se tuneliza dentro de IPsec.
Agregue la familia MPLS a la interfaz GRE gr-0/0/0 y aplique filtros de firewall para habilitar el modo de paquete.
Configure un túnel IPsec en el dispositivo con la opción en la configuración de VPN IPsec para permitir la fragmentación de paquetes IPsec de gran tamaño en la
df-bit clear
interfaz ge-0/0/1.0 saliente. Esta configuración permite que el dispositivo SRX realice la fragmentación después del cifrado IPsec para el tráfico de cliente VPN marcado con el bit de no fragmentar (DNF). El tráfico del cliente VPN que no está marcado como DNF se fragmenta antes del cifrado IPsec para mejorar el rendimiento.Configure todas las interfaces que no estén orientadas al cliente, como ge-0/0/1.0, gr-0/0/0.0, lo0.0 y st0.0 en una única zona de seguridad denominada "Internet". En este ejemplo, se utiliza una sola zona de seguridad para mantener el foco en los problemas de fragmentación con MPLS sobre GRE sobre IPSec. La seguridad se puede mejorar colocando el dispositivo en modo de flujo para MPLS y, a continuación, colocando las interfaces orientadas al cliente en una zona. Una vez en una zona, las políticas de seguridad pueden controlar las comunicaciones y evocar funciones avanzadas como IDP y reconocimiento de aplicaciones. Para obtener más información, consulte Zonas de seguridad.
Configure una política para permitir todo el tráfico (intrazona).
Configure OSPF para la distribución de direcciones lo0.0, LDP para la distribución de etiquetas/transporte MPLS e IBGP con las
inet-vpn
familias yl2vpn
para admitir los clientes VPN.Configure dos instancias de enrutamiento, una para una VPN de capa 3 y otra para un servicio VPLS de capa 2.
La figura 1 muestra la topología de este ejemplo.
Este ejemplo se centra en VPLS y una VPN de capa 3 a través de un túnel IPsec. También se admiten circuitos de capa 2. Para un circuito de capa 2, debe configurar un filtro MPLS de familia y un filtro CCC de familia. Los filtros se utilizan para evocar el procesamiento en modo paquete con el fin de admitir la fragmentación a través de IPsec.
Topología
En la tabla 1 se ofrece un resumen de los parámetros utilizados en esta topología para el dispositivo PE1. Puede adaptar los parámetros para el dispositivo PE2 o utilizar la configuración rápida de PE2 que se proporciona a continuación.
Componentes |
Descripción |
---|---|
PE1 |
Firewall serie SRX PE1: GE-0/0/0.10:
|
GE-0/0/2.11:
|
|
GE-0/0/1.0:
|
|
GR-0/0/0:
|
|
lo0:
|
|
st0.0:
|
|
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
La configuración del dispositivo SRX1 (PE1):
set system host-name SRX1 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" set security ike gateway srx-2 ike-policy standard set security ike gateway srx-2 address 172.16.23.1 set security ike gateway srx-2 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-2 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.0.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.1 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.2 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.1/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.1/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.1/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.1:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 1 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 1 site-identifier 1 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.1:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.1 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.2 family inet any set protocols bgp group IBGP neighbor 10.255.255.2 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.23.0/30 next-hop 172.16.13.2 set routing-options router-id 10.255.255.1
La configuración del dispositivo SRX2 (PE2):
set system host-name SRX2 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$Ahg6tORhclvMXREdb2gJZ" set security ike gateway srx-1 ike-policy standard set security ike gateway srx-1 address 172.16.13.1 set security ike gateway srx-1 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-1 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.1.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.2 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.1 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.2/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.2/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.2/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.2:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 2 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 2 site-identifier 2 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.2:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.2 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.1 family inet any set protocols bgp group IBGP neighbor 10.255.255.1 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.1 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.13.0/30 next-hop 172.16.23.2 set routing-options router-id 10.255.255.2
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI para Junos OS.
Para fragmentar la trama MPLS y volver a ensamblar el paquete:
Configure las interfaces físicas.
[edit interfaces] user@SRX1# set ge-0/0/0 description L3VPN user@SRX1# set ge-0/0/0 mtu 4000 user@SRX1# set ge-0/0/0 unit 10 vlan-id 10 user@SRX1# set ge-0/0/0 unit 10 family inet filter input packet-mode-inet user@SRX1# set ge-0/0/0 unit 10 family inet address 192.168.0.1/24 user@SRX1# set ge-0/0/1 description Internet user@SRX1# set ge-0/0/1 mtu 1514 user@SRX1# set ge-0/0/1 unit 0 family inet address 172.16.13.1/30 user@SRX1# set ge-0/0/2 description VPLS user@SRX1# set ge-0/0/2 flexible-vlan-tagging user@SRX1# set ge-0/0/2 mtu 1522 user@SRX1# set ge-0/0/2 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 vlan-id 512
Configure las interfaces lógicas.
[edit interfaces] user@SRX1# set gr-0/0/0 unit 0 description "MPLS core facing interface" user@SRX1# set gr-0/0/0 unit 0 tunnel source 172.16.0.1 user@SRX1# set gr-0/0/0 unit 0 tunnel destination 172.16.0.2 user@SRX1# set gr-0/0/0 unit 0 family inet mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family inet address 172.16.255.1/30 user@SRX1# set gr-0/0/0 unit 0 family mpls mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family mpls filter input packet-mode user@SRX1# set lo0 unit 0 family inet address 10.255.255.1/32 user@SRX1# set st0 unit 0 family inet mtu 9178 user@SRX1# set st0 unit 0 family inet address 172.16.0.1/30
Configure los filtros de firewall que se utilizan para configurar las interfaces para que funcionen con el modo de paquete.
[edit firewall] user@SRX1# set family inet filter packet-mode-inet term all-traffic then packet-mode user@SRX1# set family inet filter packet-mode-inet term all-traffic then accept user@SRX1# set family mpls filter packet-mode term all-traffic then packet-mode user@SRX1# set family mpls filter packet-mode term all-traffic then accept
Nota:Si está configurando un circuito de capa 2, también debe agregar un filtro para evocar el modo de paquete en la interfaz orientada hacia CE en la familia CCC:
set firewall family ccc filter packet-mode-ccc term all-traffic then packet-mode set firewall family ccc filter packet-mode-ccc term all-traffic then accept
Configure las directivas de IKE e IPsec.
[edit security] user@SRX1# set ike policy standard mode main user@SRX1# set ike policy standard proposal-set standard user@SRX1# set ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" user@SRX1# set ike gateway srx-2 ike-policy standard user@SRX1# set ike gateway srx-2 address 172.16.23.1 user@SRX1# set ike gateway srx-2 external-interface ge-0/0/1.0 user@SRX1# set ipsec policy standard proposal-set standard user@SRX1# set ipsec vpn ipsec-vpn-1 bind-interface st0.0 user@SRX1# set ipsec vpn ipsec-vpn-1 df-bit clear user@SRX1# set ipsec vpn ipsec-vpn-1 ike gateway srx-2 user@SRX1# set ipsec vpn ipsec-vpn-1 ike ipsec-policy standard user@SRX1# set ipsec vpn ipsec-vpn-1 establish-tunnels immediately
Nota:Para mantener el enfoque en la fragmentación a través de IPsec, usamos el cifrado predeterminado en este ejemplo (3DES-CBC). Para aumentar el rendimiento y la seguridad, considere la posibilidad de utilizar un cifrado más reciente, como AES-GCM-256. consulte algoritmo de cifrado (IKE de seguridad)
Configure todas las interfaces que no están orientadas al cliente en una única zona de seguridad y una política para permitir todo el tráfico (intrazona).
[edit security policies from-zone Internet to-zone Internet] user@SRX1# set policy Internet match source-address any user@SRX1# set policy Internet match destination-address any user@SRX1# set policy Internet match application any user@SRX1# set policy Internet then permit [edit security zones security-zone Internet] user@SRX1# set host-inbound-traffic system-services all user@SRX1# set host-inbound-traffic protocols all user@SRX1# set interfaces ge-0/0/1.0 user@SRX1# set interfaces gr-0/0/0.0 user@SRX1# set interfaces lo0.0 user@SRX1# set interfaces st0.0
Configure el protocolo OSPF para la distribución de direcciones lo0.0, configure IBGP con las familias inet-vpn y l2vpn. Configure también la señalización MPLS y LDP.
[edit protocols] user@SRX1# set bgp tcp-mss 1200 user@SRX1# set bgp group IBGP type internal user@SRX1# set bgp group IBGP local-address 10.255.255.1 user@SRX1# set bgp group IBGP local-as 65100 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet-vpn any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling user@SRX1# set ospf traffic-engineering user@SRX1# set ospf area 0.0.0.0 interface lo0.0 user@SRX1# set ospf area 0.0.0.0 interface lo0.0 passive user@SRX1# set ospf area 0.0.0.0 interface gr-0/0/0.0 user@SRX1# set mpls interface gr-0/0/0.0 user@SRX1# set ldp interface gr-0/0/0.0 user@SRX1# set ldp interface lo0.0
Configure el ID del enrutador y una ruta estática al extremo remoto del vínculo WAN.
[edit routing-option] user@SRX1# set static route 172.16.23.0/30 next-hop 172.16.13.2 user@SRX1# set router-id 10.255.255.1
Configure dos instancias de enrutamiento, una para VPN de capa 3 y otra para la aplicación VPLS.
[edit routing-instances] user@SRX1# set L3VPN instance-type vrf user@SRX1# set L3VPN route-distinguisher 10.255.255.1:1000 user@SRX1# set L3VPN interface ge-0/0/0.10 user@SRX1# set L3VPN vrf-target target:65100:1000 user@SRX1# set L3VPN vrf-target import target:65100:1000 user@SRX1# set L3VPN vrf-target export target:65100:1000 user@SRX1# set L3VPN vrf-table-label user@SRX1# set L3VPN routing-options auto-export user@SRX1# set VPLS instance-type vpls user@SRX1# set VPLS interface ge-0/0/2.11 user@SRX1# set VPLS route-distinguisher 10.255.255.1:1001 user@SRX1# set VPLS vrf-target target:65100:1001 user@SRX1# set VPLS protocols vpls no-tunnel-services user@SRX1# set VPLS protocols vpls site 1 site-identifier 1 user@SRX1# set VPLS protocols vpls site 1 interface ge-0/0/2.11 user@SRX1# set VPLS protocols vpls mac-tlv-receive user@SRX1# set VPLS protocols vpls mac-tlv-send
Resultados
Mostrar los resultados de la configuración:
user@SRX1> show configuration
security {
ike {
policy standard {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk"; ## SECRET-DATA
}
gateway srx-2 {
ike-policy standard;
address 172.16.23.1;
external-interface ge-0/0/1.0;
}
}
ipsec {
policy standard {
proposal-set standard;
}
vpn ipsec-vpn-1 {
bind-interface st0.0;
df-bit clear;
ike {
gateway srx-2;
ipsec-policy standard;
}
establish-tunnels immediately;
}
}
policies {
from-zone Internet to-zone Internet {
policy Internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone Internet {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
gr-0/0/0.0;
lo0.0;
st0.0;
}
}
}
}
interfaces {
ge-0/0/0 {
vlan-tagging;
mtu 4000;
unit 10 {
description L3VPN;
vlan-id 10;
family inet {
filter {
input packet-mode-inet;
}
address 192.168.0.1/24;
}
}
}
gr-0/0/0 {
unit 0 {
description "MPLS core facing interface";
tunnel {
source 172.16.0.1;
destination 172.16.0.2;
}
family inet {
mtu 9000;
address 172.16.255.1/30;
}
family mpls {
mtu 9000;
filter {
input packet-mode;
}
}
}
}
ge-0/0/1 {
description Internet;
mtu 1514;
unit 0 {
family inet {
address 172.16.13.1/30;
}
}
}
ge-0/0/2 {
flexible-vlan-tagging;
mtu 1522;
encapsulation vlan-vpls;
unit 11 {
description VPLS;
encapsulation vlan-vpls;
vlan-id 512;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.255.1/32;
}
}
}
st0 {
unit 0 {
family inet {
mtu 9178;
address 172.16.0.1/30;
}
}
}
}
firewall {
family inet {
filter packet-mode-inet {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
family mpls {
filter packet-mode {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
}
routing-instances {
L3VPN {
routing-options {
auto-export;
}
interface ge-0/0/0.10;
instance-type vrf;
route-distinguisher 10.255.255.1:1000;
vrf-target {
target:65100:1000;
import target:65100:1000;
export target:65100:1000;
}
vrf-table-label;
}
VPLS {
protocols {
vpls {
site 1 {
interface ge-0/0/2.11;
site-identifier 1;
}
no-tunnel-services;
mac-tlv-receive;
mac-tlv-send;
}
}
interface ge-0/0/2.11;
instance-type vpls;
route-distinguisher 10.255.255.1:1001;
vrf-target target:65100:1001;
}
}
protocols {
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface gr-0/0/0.0;
}
}
bgp {
group IBGP {
type internal;
local-address 10.255.255.1;
local-as 65100;
neighbor 10.255.255.2 {
family inet {
any;
}
family inet-vpn {
any;
}
family l2vpn {
signaling;
}
}
}
tcp-mss 1200;
}
ldp {
interface gr-0/0/0.0;
interface lo0.0;
}
mpls {
interface gr-0/0/0.0;
}
}
routing-options {
static {
route 172.16.23.0/30 next-hop 172.16.13.2;
}
router-id 10.255.255.1;
}
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de que las interfaces físicas y lógicas estén activas
- Comprobación de asociaciones de seguridad IPsec
- Comprobación de OSPF y BGP
- Verificación del funcionamiento de LDP
- Verificación de la conexión VPLS
- Verificación de la conectividad VPLS de extremo a extremo para paquetes grandes con DNF establecido
- Verificación de la fragmentación de IP en la interfaz de salida
- Verificación de L3VPN
Comprobación de que las interfaces físicas y lógicas estén activas
Propósito
Compruebe que las interfaces físicas y lógicas estén activas en el dispositivo.
Acción
Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba el show interfaces terse
comando.
user@SRX1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.10 up up inet 192.168.0.1/24
ge-0/0/0.32767 up up
gr-0/0/0 up up
gr-0/0/0.0 up up inet 172.16.255.1/30
mpls
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.13.1/30
ge-0/0/2 up up
ge-0/0/2.11 up up vpls
ge-0/0/2.32767 up up
dsc up up
fti0 up up
fxp0 up up
fxp0.0 up up inet 10.54.5.56/19
gre up up
ipip up up
irb up up
lo0 up up
lo0.0 up up inet 10.255.255.1 --> 0/0
lo0.16384 up up inet 127.0.0.1 --> 0/0
lo0.16385 up up inet 10.0.0.1 --> 0/0
10.0.0.16 --> 0/0
128.0.0.1 --> 0/0
128.0.0.4 --> 0/0
128.0.1.16 --> 0/0
lo0.32768 up up
lsi up up
lsi.0 up up inet
iso
inet6
lsi.1048576 up up vpls
. . .
<some output removed for brevity>
Significado
El resultado del show interfaces terse
comando muestra que todas las interfaces físicas y lógicas utilizadas en esta configuración son operativas.
Comprobación de asociaciones de seguridad IPsec
Propósito
Compruebe que las asociaciones de seguridad IKE e IPsec estén activas en el dispositivo.
Acción
Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show security ike security-association
comandos y show security ipsec security-association
.
user@SRX1>show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address 6699112 UP 2a5d1a37e5bd0cd1 09880f53cdbb35bb Main 172.16.23.1 user@SRX1>show security ipsec security-associations
Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 f1396d7e 1868/ unlim - root 500 172.16.23.1 >131073 ESP:3des/sha1 ff799c04 1868/ unlim - root 500 172.16.23.1
Significado
El resultado muestra el estado Up esperado para la sesión IKE y que se ha establecido correctamente un túnel IPsec.
Comprobación de OSPF y BGP
Propósito
Compruebe que OSPF y BGP funcionan correctamente en el túnel GRE. Recuerde que el túnel GRE se enruta a su vez sobre el túnel IPsec verificado en el paso anterior. En este ejemplo, la operación correcta de OSPF/BGP comprueba indirectamente que el tráfico pueda pasar por el túnel GRE (y, a continuación, por IPsec). Si lo desea, puede hacer ping al punto de conexión GRE para una verificación adicional.
Acción
Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show ospf neighbor
comandos y show bgp summary
.
user@SRX1>show ospf neighbor
Address Interface State ID Pri Dead 172.16.255.2 gr-0/0/0.0 Full 10.255.255.2 128 33 user@SRX1>show bgp summary
Threading mode: BGP I/O Default eBGP mode: advertise - accept, receive - accept Groups: 1 Peers: 1 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 0 0 0 0 0 0 inet.2 0 0 0 0 0 0 bgp.l3vpn.0 1 1 0 0 0 0 bgp.l3vpn.2 0 0 0 0 0 0 bgp.l2vpn.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.255.255.2 65100 988 988 0 1 7:21:03 Establ inet.0: 0/0/0/0 inet.2: 0/0/0/0 bgp.l3vpn.0: 1/1/1/0 bgp.l3vpn.2: 0/0/0/0 bgp.l2vpn.0: 1/1/1/0 L3VPN.inet.0: 1/1/1/0 VPLS.l2vpn.0: 1/1/1/0
Significado
La salida confirma el estado vecino esperado de OSPF de full
. Este vecino de OSPF está estanlished sobre la interfaz GRE. Dado que OSPF está operativo, es de esperar que el SRX local haya aprendido la ruta a la dirección de circuito cerrado del SRX remoto. Esta ruta permite establecer la sesión de emparejamiento de IBGP basada en bucle cerrado (sobre el túnel GRE). El resultado del show bgp summary
comando confirma que la sesión BGP está en el estado establecido y que está intercambiando rutas L3VPN y L2VPN.
Verificación del funcionamiento de LDP
Propósito
Compruebe que LDP funciona correctamente en el túnel GRE. LDP funciona como el protocolo de señalización MPLS en este ejemplo.
Acción
Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show ldp neighbor
comandos y show ldp session
.
user@SRX1>show ldp neighbor
Address Interface Label space ID Hold time 172.16.255.2 gr-0/0/0.0 10.255.255.2:0 12 user@SRX1>show ldp session
Address State Connection Hold time Adv. Mode 10.255.255.2 Operational Open 28 DU
Significado
El resultado confirma la relación de vecino LDP esperada a través de la interfaz GRE. El resultado del comando confirma el show ldp session
establecimiento correcto de la sesión en la dirección de circuito cerrado del dispositivo SRX remoto. Esto permite a LDP intercambiar etiquetas de transporte que, a su vez, admiten el reenvío de MPLS para los clientes VPN.
Verificación de la conexión VPLS
Propósito
Verifique que la conexión VPLS esté en estado activo.
Acción
Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba el show vpls connections
comando.
user@SRX1> show vpls connections
Layer-2 VPN connections:
Legend for connection status (St)
EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down NP -- interface hardware not present
CM -- control-word mismatch -> -- only outbound connection is up
CN -- circuit not provisioned <- -- only inbound connection is up
OR -- out of range Up -- operational
OL -- no outgoing label Dn -- down
LD -- local site signaled down CF -- call admission control failure
RD -- remote site signaled down SC -- local and remote site ID collision
LN -- local site not designated LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status IL -- no incoming label
MM -- MTU mismatch MI -- Mesh-Group ID not available
BK -- Backup connection ST -- Standby connection
PF -- Profile parse failure PB -- Profile busy
RS -- remote site standby SN -- Static Neighbor
LB -- Local site not best-site RB -- Remote site not best-site
VM -- VLAN ID mismatch HS -- Hot-standby Connection
Legend for interface status
Up -- operational
Dn -- down
Instance: VPLS
Edge protection: Not-Primary
Local site: 1 (1)
connection-site Type St Time last up # Up trans
2 rmt Up Aug 25 07:52:38 2021 1
Remote PE: 10.255.255.2, Negotiated control-word: No
Incoming label: 262146, Outgoing label: 262145
Local interface: lsi.1048578, Status: Up, Encapsulation: VPLS
Description: Intf - vpls VPLS local site 1 remote site 2
Flow Label Transmit: No, Flow Label Receive: No
Significado
El resultado muestra el estado esperado Up
para la conexión VPLS. Con la conexión operativa, los dispositivos cliente VPN deberían poder pasar tráfico.
Verificación de la conectividad VPLS de extremo a extremo para paquetes grandes con DNF establecido
Propósito
Compruebe que los dispositivos cliente VPLS de capa 2 puedan enviar tramas de 1500 bytes con el bit DNF establecido. Dado que se trata de un servicio de capa 2, la fragmentación no es posible. Como resultado, el bit DNF funciona de extremo a extremo. Recuerde que con la configuración de este ejemplo, dicha configuración da como resultado que el dispositivo SRX de entrada fragmente el paquete IPsec después de cifrar el tráfico (postfragmentación). La postfragmentación se produce cuando el tráfico sale de la interfaz ge-0/0/1 orientada hacia la WAN.
La fragmentación posterior obliga al dispositivo SRX remoto a volver a ensamblar el paquete antes de que pueda realizar el descifrado, lo que puede afectar el rendimiento del reenvío del tráfico cifrado. Este es el comportamiento esperado cuando se usa la df-bit clear
opción. La demostración de este comportamiento es la razón de este NCE. Las otras df-bit
opciones, a saber df-bit copy
, y , dan como resultado el descarte de paquetes y df-bit set
la generación de un mensaje de error ICMP para paquetes VPN que superan la MTU WAN cuando el cliente VPN establece el bit DNF.
Acción
Desde el modo operativo en el host VPLS1, haga ping al host VPLS2 de manera que genere un paquete IP de 1500 bytes con el bit DNF establecido. Cuando se agrega la sobrecarga MPLS, GRE e IPsec de este tráfico, supera la MTU de la interfaz WAN saliente. Dado que la prefragmentación se bloquea en virtud de que se trata de un servicio de capa 2 (o, en el caso del cliente L3VPN, estableciendo el bit DNF), dicho paquete fuerza la postfragmentación en función de la configuración de la opción.df-bit clear
La configuración y el funcionamiento de los dispositivos cliente VPN están fuera del ámbito de este ejemplo. Para las pruebas, se utiliza un enrutador MX para actuar como clientes VPN. Como resultado, el comando ping demostrado se basa en la CLI de Junos.
user@vpls-host1> ping 192.168.2.102 size 1472 do-not-fragment count 2
PING 192.168.2.102 (192.168.2.102): 1472 data bytes
1480 bytes from 192.168.2.102: icmp_seq=0 ttl=64 time=23.045 ms
1480 bytes from 192.168.2.102: icmp_seq=1 ttl=64 time=5.342 ms
--- 192.168.2.102 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.342/14.194/23.045/8.852 ms
Significado
El resultado muestra que los pings se realizan correctamente. Los 1480 bytes de tráfico de eco dan como resultado un paquete IP de 1500 bytes cuando se agrega el encabezado IP de 20 bytes. Por lo tanto, los resultados confirman que el dispositivo cliente VPLS puede intercambiar paquetes de 1.500 bytes a través de un enlace WAN con una MTU de 1.500 bytes, a pesar de la sobrecarga de encapsulación. Recuerde que debido a que este es un servicio de capa 2, la fragmentación no es posible y el bit DNF funciona de extremo a extremo. Sin embargo, el uso del bit DNF es importante cuando se prueba el cliente L3VPN, ya que el dispositivo PE puede fragmentar el tráfico IP.
Verificación de la fragmentación de IP en la interfaz de salida
Propósito
Verifique que el tráfico de cliente VPLS que supere la MTU WAN esté fragmentado en la interfaz ge-0/0/1.0 saliente. La temporización es importante en este paso porque el tráfico OSPF, LDP y BGP en segundo plano hace que los contadores de interfaz ge-0/0/0.0 aumenten. El objetivo es generar 100 paquetes de 1.500 bytes desde el host VPLS y, a continuación, comparar rápidamente las estadísticas de IPsec y de interfaz para confirmar que se ven aproximadamente el doble de paquetes en la interfaz WAN saliente en comparación con los recuentos en el túnel IPsec.
Acción
Desde el modo operativo en la puerta de enlace de servicios de la serie SRX, borre las estadísticas de IPsec y de interfaz con los clear interfaces statistics all
comandos y clear security ipsec statistics
. A continuación, genere 100 pings rápidos con un tamaño de paquete de 1.500 bytes entre los puntos finales del VPLS. Cuando se completen los pings, muestre los recuentos de paquetes para el túnel IPsec y la interfaz ge-0/0/1 con los show interfaces ge-0/0/1 detail
comandos y show security ipsec statistics
.
user@SRX1>clear interfaces statistics all
user@SRX1>clear interfaces statistics all
Genere 100 pings rápidos con un tamaño de paquete de 1.500 bytes entre los puntos finales del VPLS. Esto no se muestra por brevedad. Consulte el comando en el paso anterior. No se muestra aquí por brevedad.
user@SRX1>show interfaces ge-0/0/1 detail
Physical interface: ge-0/0/1, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 509, Generation: 139 Description: Internet Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Link-mode: Full-duplex, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 56:04:19:00:3a:7b, Hardware address: 56:04:19:00:3a:7b Last flapped : 2021-08-27 12:17:01 PDT (01:27:43 ago) Statistics last cleared: 2021-08-27 13:44:28 PDT (00:00:16 ago) Traffic statistics: Input bytes : 163440 0 bps Output bytes : 162000 0 bps Input packets: 210 0 pps Output packets: 200 0 pps Egress queues: 8 supported, 4 in use . . . user@SRX1>show security ipsec statistics
ESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 155722 Encrypted packets: 113 Decrypted packets: 112 . . .
Significado
El resultado del show interfaces ge-0/0/1.0 detail
comando muestra que se han enviado y recibido más de 200 paquetes. Por el contrario, las estadísticas de IPsec confirman un recuento de alrededor de 100 paquetes. Esto confirma que cada paquete enviado por el cliente VPLS estaba fragmentado en la interfaz ge-0/0/1.0 orientada a la WAN.
Verificación de L3VPN
Propósito
Verifique el funcionamiento de L3VPN.
Acción
Desde el modo operativo en la puerta de enlace de servicios de la serie SRX, muestre la ruta a la subred remota de L3VPN con el show route
comando. A continuación, genere pings al punto de conexión remoto de L3VPN para verificar la conectividad.
user@SRX1> show route 192.168.1.0/24
L3VPN.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.1.0/24 *[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
bgp.l3vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.255.255.2:1000:192.168.1.0/24
*[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
Pruebe la conectividad desde el SRX local al punto de conexión VPN remoto:
user@SRX1> ping 192.168.1.101 routing-instance L3VPN count 2
PING 192.168.1.101 (192.168.1.101): 56 data bytes
64 bytes from 192.168.1.101: icmp_seq=0 ttl=63 time=3.485 ms
64 bytes from 192.168.1.101: icmp_seq=1 ttl=63 time=3.412 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.412/3.449/3.485/0.036 ms
En esta configuración, un ping desde el SRX local al cliente L3VPN local no se realiza correctamente. Esto se relaciona con el uso del modo de paquete y la falta de zonas de seguridad para las interfaces VPN. Como se muestra arriba, puede hacer ping desde el SRX local a los destinos remotos de L3VPN. Aunque no se muestra, se espera que un ping generado desde el cliente L3VPN local a la interfaz PE VRF local se realice correctamente.
Pruebe la conectividad de extremo a extremo para L3VPN. Genere pings jumbo entre los puntos finales del cliente L3VPN. Recuerde que el cliente L3VPN está configurado con una MTU 4k en este ejemplo. Una vez más, usamos un enrutador MX para reemplazar el cliente L3VPN, por lo que se usa la sintaxis ping de Junos:
user@l3vpn1> ping 192.168.1.101 size 3000 do-not-fragment count 2
PING 192.168.1.101 (192.168.1.101): 3000 data bytes
3008 bytes from 192.168.1.101: icmp_seq=0 ttl=62 time=5.354 ms
3008 bytes from 192.168.1.101: icmp_seq=1 ttl=62 time=5.607 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.354/5.481/5.607/0.126 ms
Significado
El resultado muestra que la ruta al cliente L3VPN remoto se aprende correctamente a través de BGP y que apunta a la interfaz GRE con una operación de etiqueta MPLS. Los resultados de las pruebas de ping confirman la conectividad esperada para L3VPN incluso cuando se envían pings de 3.000 + bytes con el bit DNF establecido.