Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: configuración de MPLS a través de GRE con fragmentación y reensamblaje de IPsec

Este ejemplo se basa en la necesidad de admitir una MTU estándar de 1.500 bytes para clientes de red privada virtual (VPN) compatibles con GRE a través de túneles IPsec, cuando el proveedor de WAN no ofrece una opción de MTU Jumbo. El tráfico reenviado a través del vínculo WAN de 1500 bytes se puede eliminar porque la sobrecarga de encapsulación del protocolo (capa 2, MPLS, GRE e IPsec) da como resultado una trama que supera la MTU del vínculo WAN.

Las caídas relacionadas con MTU son principalmente un problema para el tráfico que no se puede fragmentar. Por ejemplo, el tráfico IP marcado como no fragmentar o el tráfico VPN/VPLS de capa 2, que por su naturaleza no se puede fragmentar. Por motivos de rendimiento, muchas configuraciones de IPsec bloquean la fragmentación posterior al cifrado, lo que provoca la caída de paquetes.

Este documento proporciona una solución a este problema al mostrar cómo configurar un túnel IPsec para realizar la fragmentación posterior en el tráfico que de otro modo no podría fragmentarse. En este caso, opere el rendimiento del cifrado forzando la post-fragmentación en lugar de tener que reducir la MTU de sus clientes VPN para evitar caídas relacionadas con MTU.

En este ejemplo se muestra cómo configurar el modo de servicios de paquetes selectivos mediante una única instancia de enrutamiento (la predeterminada) para procesar el tráfico VPN en modo de paquetes. En el modo de paquetes se omiten las zonas de seguridad. Esto significa que las interfaces VRF de capa 2 y capa 3 no se colocan en una zona de seguridad y no se necesita ninguna política que les permita comunicarse a través de la zona de Internet.

Mediante los pasos de este ejemplo, puede realizar la fragmentación de paquetes encapsulados IPsec en la interfaz física saliente del dispositivo de envío y volver a ensamblarlos en el dispositivo receptor antes del descifrado de IPsec.

Nota:

El reensamblaje de paquetes fragmentados utiliza una gran cantidad de recursos del dispositivo, y el rendimiento del dispositivo será más lento que con el tráfico no fragmentado. Cuando sea posible, debe configurar una MTU Jumbo en la interfaz WAN para evitar la necesidad de fragmentación. En este ejemplo se muestra cómo proporcionar una MTU estándar de 1.500 bytes a dispositivos cliente que bloquean la fragmentación cuando se usa IPsec a través de una conexión WAN que no ofrece compatibilidad Jumbo.

El tema incluye las siguientes secciones:

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos puertas de enlace de servicios de la serie SRX

  • Junos OS versión 11.4 o posterior

    • Este ejemplo se ha revalidado en Junos OS versión 20.3R1

Nota:

Para que este ejemplo funcione como se documenta, debe asegurarse de que la configuración de SRX no tenga ninguna interfaz con family ethernet-switching habilitada. El uso family ethernet-switching pone el dispositivo SRX en modo mixto. Este ejemplo se basa en el modo de operación de ruta. Para obtener más información sobre los modos de operación de ruta y mixtos, consulte Descripción de las interfaces de capa 2 en dispositivos de seguridad. Además, probamos este ejemplo con la configuración predeterminada de fábrica para la edit protocols l2-learning jerarquía.

Descripción general y topología

En este ejemplo se incluyen las siguientes configuraciones:

  • Configure las interfaces para el valor adecuado de encapsulación de protocolo y unidad máxima de transmisión (MTU).

  • Aplique el filtro de firewall en la interfaz ge-0/0/0.10 para establecer el modo de paquete. Configure la interfaz orientada a la WAN ge-0/0/1.0 con una MTU de 1.524 bytes.

  • Establezca un valor MTU grande en las interfaces lógicas GRE e IPsec para evitar la fragmentación de IPsec en las interfaces lógicas. El tráfico encapsulado GRE se tuneliza dentro de IPsec.

  • Agregue la familia MPLS a la interfaz GRE gr-0/0/0 y aplique filtros de firewall para habilitar el modo de paquete.

  • Configure un túnel IPsec en el dispositivo con la opción en la configuración de VPN IPsec para permitir la fragmentación de paquetes IPsec de gran tamaño en la df-bit clear interfaz ge-0/0/1.0 saliente. Esta configuración permite que el dispositivo SRX realice la fragmentación después del cifrado IPsec para el tráfico de cliente VPN marcado con el bit de no fragmentar (DNF). El tráfico del cliente VPN que no está marcado como DNF se fragmenta antes del cifrado IPsec para mejorar el rendimiento.

  • Configure todas las interfaces que no estén orientadas al cliente, como ge-0/0/1.0, gr-0/0/0.0, lo0.0 y st0.0 en una única zona de seguridad denominada "Internet". En este ejemplo, se utiliza una sola zona de seguridad para mantener el foco en los problemas de fragmentación con MPLS sobre GRE sobre IPSec. La seguridad se puede mejorar colocando el dispositivo en modo de flujo para MPLS y, a continuación, colocando las interfaces orientadas al cliente en una zona. Una vez en una zona, las políticas de seguridad pueden controlar las comunicaciones y evocar funciones avanzadas como IDP y reconocimiento de aplicaciones. Para obtener más información, consulte Zonas de seguridad.

  • Configure una política para permitir todo el tráfico (intrazona).

  • Configure OSPF para la distribución de direcciones lo0.0, LDP para la distribución de etiquetas/transporte MPLS e IBGP con las inet-vpn familias y l2vpn para admitir los clientes VPN.

  • Configure dos instancias de enrutamiento, una para una VPN de capa 3 y otra para un servicio VPLS de capa 2.

La figura 1 muestra la topología de este ejemplo.

Figura 1: Topología de ejemplo de MPLS sobre GRE sobre túneles IPsec MPLS Over GRE Over IPsec Tunnels Example Topology

Este ejemplo se centra en VPLS y una VPN de capa 3 a través de un túnel IPsec. También se admiten circuitos de capa 2. Para un circuito de capa 2, debe configurar un filtro MPLS de familia y un filtro CCC de familia. Los filtros se utilizan para evocar el procesamiento en modo paquete con el fin de admitir la fragmentación a través de IPsec.

Topología

En la tabla 1 se ofrece un resumen de los parámetros utilizados en esta topología para el dispositivo PE1. Puede adaptar los parámetros para el dispositivo PE2 o utilizar la configuración rápida de PE2 que se proporciona a continuación.

Tabla 1: Componentes de la topología

Componentes

Descripción

PE1

Firewall serie SRX PE1:

GE-0/0/0.10:

  • Dirección IP: 192.168.0.1/24

  • Interfaz L3VPN orientada al cliente

  • input packet-mode-inet: familia inet en modo de paquete

  • MTU: 4k

GE-0/0/2.11:

  • Interfaz VPLS orientada al cliente

  • vlan-vpls: Encapsulación VPLS

  • MTU: 1,522

GE-0/0/1.0:

  • Interfaz de salida

  • Dirección IP: 172.16.13.1/30

  • MTU: 1,514

GR-0/0/0:

  • Interfaz principal que se conecta a MPLS

  • Dirección IP: 172.16.255.1/30

  • input packet-mode: Familia MPLS en modo de paquete

  • MTU de Inet: 9k

lo0:

  • Interfaz lógica

  • Dirección IP: 10.255.255.1/32

st0.0:

  • Interfaz de túnel

  • Dirección IP: 172.16.0.1/30

  • MTU de Inet: 9,178

  • df-bit clear — Esta opción borra el bit de no fragmentar (DF) en el encabezado del paquete saliente

  • L3VPN— Instancia de enrutamiento para la aplicación VPN Layer3

  • VPLS— Instancia de enrutamiento para la aplicación VPLS

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

La configuración del dispositivo SRX1 (PE1):

La configuración del dispositivo SRX2 (PE2):

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI para Junos OS.

Para fragmentar la trama MPLS y volver a ensamblar el paquete:

  1. Configure las interfaces físicas.

  2. Configure las interfaces lógicas.

  3. Configure los filtros de firewall que se utilizan para configurar las interfaces para que funcionen con el modo de paquete.

    Nota:

    Si está configurando un circuito de capa 2, también debe agregar un filtro para evocar el modo de paquete en la interfaz orientada hacia CE en la familia CCC:

  4. Configure las directivas de IKE e IPsec.

    Nota:

    Para mantener el enfoque en la fragmentación a través de IPsec, usamos el cifrado predeterminado en este ejemplo (3DES-CBC). Para aumentar el rendimiento y la seguridad, considere la posibilidad de utilizar un cifrado más reciente, como AES-GCM-256. consulte algoritmo de cifrado (IKE de seguridad)

  5. Configure todas las interfaces que no están orientadas al cliente en una única zona de seguridad y una política para permitir todo el tráfico (intrazona).

  6. Configure el protocolo OSPF para la distribución de direcciones lo0.0, configure IBGP con las familias inet-vpn y l2vpn. Configure también la señalización MPLS y LDP.

  7. Configure el ID del enrutador y una ruta estática al extremo remoto del vínculo WAN.

  8. Configure dos instancias de enrutamiento, una para VPN de capa 3 y otra para la aplicación VPLS.

Resultados

Mostrar los resultados de la configuración:

Verificación

Confirme que la configuración funciona correctamente.

Comprobación de que las interfaces físicas y lógicas estén activas

Propósito

Compruebe que las interfaces físicas y lógicas estén activas en el dispositivo.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba el show interfaces terse comando.

Significado

El resultado del show interfaces terse comando muestra que todas las interfaces físicas y lógicas utilizadas en esta configuración son operativas.

Comprobación de asociaciones de seguridad IPsec

Propósito

Compruebe que las asociaciones de seguridad IKE e IPsec estén activas en el dispositivo.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show security ike security-association comandos y show security ipsec security-association .

Significado

El resultado muestra el estado Up esperado para la sesión IKE y que se ha establecido correctamente un túnel IPsec.

Comprobación de OSPF y BGP

Propósito

Compruebe que OSPF y BGP funcionan correctamente en el túnel GRE. Recuerde que el túnel GRE se enruta a su vez sobre el túnel IPsec verificado en el paso anterior. En este ejemplo, la operación correcta de OSPF/BGP comprueba indirectamente que el tráfico pueda pasar por el túnel GRE (y, a continuación, por IPsec). Si lo desea, puede hacer ping al punto de conexión GRE para una verificación adicional.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show ospf neighbor comandos y show bgp summary .

Significado

La salida confirma el estado vecino esperado de OSPF de full. Este vecino de OSPF está estanlished sobre la interfaz GRE. Dado que OSPF está operativo, es de esperar que el SRX local haya aprendido la ruta a la dirección de circuito cerrado del SRX remoto. Esta ruta permite establecer la sesión de emparejamiento de IBGP basada en bucle cerrado (sobre el túnel GRE). El resultado del show bgp summary comando confirma que la sesión BGP está en el estado establecido y que está intercambiando rutas L3VPN y L2VPN.

Verificación del funcionamiento de LDP

Propósito

Compruebe que LDP funciona correctamente en el túnel GRE. LDP funciona como el protocolo de señalización MPLS en este ejemplo.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba los show ldp neighbor comandos y show ldp session .

Significado

El resultado confirma la relación de vecino LDP esperada a través de la interfaz GRE. El resultado del comando confirma el show ldp session establecimiento correcto de la sesión en la dirección de circuito cerrado del dispositivo SRX remoto. Esto permite a LDP intercambiar etiquetas de transporte que, a su vez, admiten el reenvío de MPLS para los clientes VPN.

Verificación de la conexión VPLS

Propósito

Verifique que la conexión VPLS esté en estado activo.

Acción

Desde el modo operativo de la puerta de enlace de servicios de la serie SRX, escriba el show vpls connections comando.

Significado

El resultado muestra el estado esperado Up para la conexión VPLS. Con la conexión operativa, los dispositivos cliente VPN deberían poder pasar tráfico.

Verificación de la conectividad VPLS de extremo a extremo para paquetes grandes con DNF establecido

Propósito

Compruebe que los dispositivos cliente VPLS de capa 2 puedan enviar tramas de 1500 bytes con el bit DNF establecido. Dado que se trata de un servicio de capa 2, la fragmentación no es posible. Como resultado, el bit DNF funciona de extremo a extremo. Recuerde que con la configuración de este ejemplo, dicha configuración da como resultado que el dispositivo SRX de entrada fragmente el paquete IPsec después de cifrar el tráfico (postfragmentación). La postfragmentación se produce cuando el tráfico sale de la interfaz ge-0/0/1 orientada hacia la WAN.

La fragmentación posterior obliga al dispositivo SRX remoto a volver a ensamblar el paquete antes de que pueda realizar el descifrado, lo que puede afectar el rendimiento del reenvío del tráfico cifrado. Este es el comportamiento esperado cuando se usa la df-bit clear opción. La demostración de este comportamiento es la razón de este NCE. Las otras df-bit opciones, a saber df-bit copy , y , dan como resultado el descarte de paquetes y df-bit setla generación de un mensaje de error ICMP para paquetes VPN que superan la MTU WAN cuando el cliente VPN establece el bit DNF.

Acción

Desde el modo operativo en el host VPLS1, haga ping al host VPLS2 de manera que genere un paquete IP de 1500 bytes con el bit DNF establecido. Cuando se agrega la sobrecarga MPLS, GRE e IPsec de este tráfico, supera la MTU de la interfaz WAN saliente. Dado que la prefragmentación se bloquea en virtud de que se trata de un servicio de capa 2 (o, en el caso del cliente L3VPN, estableciendo el bit DNF), dicho paquete fuerza la postfragmentación en función de la configuración de la opción.df-bit clear

La configuración y el funcionamiento de los dispositivos cliente VPN están fuera del ámbito de este ejemplo. Para las pruebas, se utiliza un enrutador MX para actuar como clientes VPN. Como resultado, el comando ping demostrado se basa en la CLI de Junos.

Significado

El resultado muestra que los pings se realizan correctamente. Los 1480 bytes de tráfico de eco dan como resultado un paquete IP de 1500 bytes cuando se agrega el encabezado IP de 20 bytes. Por lo tanto, los resultados confirman que el dispositivo cliente VPLS puede intercambiar paquetes de 1.500 bytes a través de un enlace WAN con una MTU de 1.500 bytes, a pesar de la sobrecarga de encapsulación. Recuerde que debido a que este es un servicio de capa 2, la fragmentación no es posible y el bit DNF funciona de extremo a extremo. Sin embargo, el uso del bit DNF es importante cuando se prueba el cliente L3VPN, ya que el dispositivo PE puede fragmentar el tráfico IP.

Verificación de la fragmentación de IP en la interfaz de salida

Propósito

Verifique que el tráfico de cliente VPLS que supere la MTU WAN esté fragmentado en la interfaz ge-0/0/1.0 saliente. La temporización es importante en este paso porque el tráfico OSPF, LDP y BGP en segundo plano hace que los contadores de interfaz ge-0/0/0.0 aumenten. El objetivo es generar 100 paquetes de 1.500 bytes desde el host VPLS y, a continuación, comparar rápidamente las estadísticas de IPsec y de interfaz para confirmar que se ven aproximadamente el doble de paquetes en la interfaz WAN saliente en comparación con los recuentos en el túnel IPsec.

Acción

Desde el modo operativo en la puerta de enlace de servicios de la serie SRX, borre las estadísticas de IPsec y de interfaz con los clear interfaces statistics all comandos y clear security ipsec statistics . A continuación, genere 100 pings rápidos con un tamaño de paquete de 1.500 bytes entre los puntos finales del VPLS. Cuando se completen los pings, muestre los recuentos de paquetes para el túnel IPsec y la interfaz ge-0/0/1 con los show interfaces ge-0/0/1 detail comandos y show security ipsec statistics .

Genere 100 pings rápidos con un tamaño de paquete de 1.500 bytes entre los puntos finales del VPLS. Esto no se muestra por brevedad. Consulte el comando en el paso anterior. No se muestra aquí por brevedad.

Significado

El resultado del show interfaces ge-0/0/1.0 detail comando muestra que se han enviado y recibido más de 200 paquetes. Por el contrario, las estadísticas de IPsec confirman un recuento de alrededor de 100 paquetes. Esto confirma que cada paquete enviado por el cliente VPLS estaba fragmentado en la interfaz ge-0/0/1.0 orientada a la WAN.

Verificación de L3VPN

Propósito

Verifique el funcionamiento de L3VPN.

Acción

Desde el modo operativo en la puerta de enlace de servicios de la serie SRX, muestre la ruta a la subred remota de L3VPN con el show route comando. A continuación, genere pings al punto de conexión remoto de L3VPN para verificar la conectividad.

Pruebe la conectividad desde el SRX local al punto de conexión VPN remoto:

Nota:

En esta configuración, un ping desde el SRX local al cliente L3VPN local no se realiza correctamente. Esto se relaciona con el uso del modo de paquete y la falta de zonas de seguridad para las interfaces VPN. Como se muestra arriba, puede hacer ping desde el SRX local a los destinos remotos de L3VPN. Aunque no se muestra, se espera que un ping generado desde el cliente L3VPN local a la interfaz PE VRF local se realice correctamente.

Pruebe la conectividad de extremo a extremo para L3VPN. Genere pings jumbo entre los puntos finales del cliente L3VPN. Recuerde que el cliente L3VPN está configurado con una MTU 4k en este ejemplo. Una vez más, usamos un enrutador MX para reemplazar el cliente L3VPN, por lo que se usa la sintaxis ping de Junos:

Significado

El resultado muestra que la ruta al cliente L3VPN remoto se aprende correctamente a través de BGP y que apunta a la interfaz GRE con una operación de etiqueta MPLS. Los resultados de las pruebas de ping confirman la conectividad esperada para L3VPN incluso cuando se envían pings de 3.000 + bytes con el bit DNF establecido.