Обзор служб туннеля
Обзор служб туннеля
За счет инкапсуляации произвольных пакетов в транспортный протокол туннелирование обеспечивает частный безопасный путь через иную сеть общего частного туннелирование. Туннели соединяют размыкаемую подсеть и позволяют шифровать интерфейсы, виртуальные частные сети (VPN) и MPLS. Если на маршрутизаторе установлена туннельная карта физического интерфейса (PIC ), M Series или серия T, можно настроить однонастройную, многоавегурную и логические туннели.
Можно настроить два типа туннелей для VPN: один для облегчения осмотра таблицы маршрутов, другой для облегчения настройки vpn-маршрутов и таблицы переадранки (VRF).
Для получения информации об интерфейсах шифрования см . "Настройка интерфейсов шифрования". Для получения информации о VPN см. библиотеку Junos OS VPN для устройств маршрутов. Для получения дополнительной информации MPLS см . руководство MPLS приложений.
На серия SRX устройствах общая инкапсуляция маршрутизации (GRE) и IP-туннели используют внутренние интерфейсы, gr-0/0/0 и ip-0/0/0 соответственно. Интерфейсы Junos OS при загрузке системы; они не связаны с физическими интерфейсами.
Туннель Juniper Networks Junos OS поддерживают типы туннелей, показанные в следующей таблице.
Интерфейс |
Описание |
|---|---|
|
Настраиваемый общий интерфейс инкапсуляции маршрутизации (GRE). GRE позволяет инкапсуляцию одного протокола маршрутизации через другой протокол маршрутизации. Внутри маршрутизатора пакеты маршрутизации на этот внутренний интерфейс, где они сначала инкапсулированы с помощью пакета GRE, а затем повторно инкапсулированы с другим пакетом протокола для завершения GRE. Интерфейс GRE является только внутренним интерфейсом и не связан с физическим интерфейсом. Необходимо настроить интерфейс для выполнения GRE. |
|
Внутренний сгенерированный интерфейс GRE. Этот интерфейс генерируется Junos OS для обработки GRE. Этот интерфейс настроить нельзя. |
|
Настраиваемый интерфейс инкапсуляции IP-over-IP (также называемый IP-туннелением). IP-туннеление позволяет инкапсуляцию одного IP-пакета другому IP-пакету. Пакеты маршрутизации на внутренний интерфейс, где они инкапсулированы с помощью IP-пакета, а затем переадправлены на адрес назначения инкапсулированного пакета. IP-интерфейс является внутренним и не связан только с физическим интерфейсом. Необходимо настроить интерфейс для выполнения IP-туннелирований. |
|
Внутренний сгенерированный интерфейс IP-over-IP. Этот интерфейс генерируется Junos OS для обработки IP-over-IP-инкапсуляции. Это не настраиваемый интерфейс. |
|
Интерфейс На серия SRX устройств этот интерфейс является |
|
Внутренний сгенерирован интерфейс многоастных туннелей. Многокастные туннели фильтруют все однонастоные пакеты; если входящий пакет не предназначен Внутри маршрутизатора пакеты маршрутются на этот внутренний интерфейс для многоастерной фильтрации. Интерфейс многоастных туннелей является внутренним интерфейсом и не связан только с физическим интерфейсом. Если маршрутизатор имеет PIC для служб туннеля, Junos OS автоматически настраивает один интерфейс многоабъестного туннеля ( |
|
Внутренний сгенерирован интерфейс многоастных туннелей. Этот интерфейс генерируется Junos OS для обработки многоабных туннелей. Это не настраиваемый интерфейс. |
|
Настраиваемый интерфейс декапсуляции независимой многоафровой (PIM) протоколов. В разреженном режиме PIM маршрутизатор первого перехода инкапсулирует пакеты, предназначенные для маршрутизатора точки встречи. Пакеты инкапсулированы с помощью одноадростного заглавного указателя и переадтранслются через одноадростный туннель к точке встречи. Точка встречи затем декапсулирует пакеты и передает их через дерево многоавестной передачи. Внутри маршрутизатора пакеты маршрутизации на этот внутренний интерфейс для деинкапсуляции. Интерфейс de-encapsulation PIM является только внутренним интерфейсом и не связан с физическим интерфейсом. Необходимо настроить интерфейс для выполнения деинкапсуляции PIM.
Примечание:
На серия SRX устройствах этот тип интерфейса : |
|
Настраиваемый интерфейс инкапсуляции PIM. В разреженном режиме PIM маршрутизатор первого перехода инкапсулирует пакеты, предназначенные для маршрутизатора точки встречи. Пакеты инкапсулированы с помощью одноадростного заглавного указателя и переадтранслются через одноадростный туннель к точке встречи. Точка встречи затем декапсулирует пакеты и передает их через дерево многоавестной передачи. Внутри маршрутизатора пакеты маршрутизации на этот внутренний интерфейс для инкапсуляции. Интерфейс инкапсуляции PIM является только внутренним интерфейсом и не связан с физическим интерфейсом. Необходимо настроить интерфейс для выполнения инкапсуляции PIM.
Примечание:
На серия SRX устройствах этот тип интерфейса : |
|
Внутренне созданный интерфейс PIM de-encapsulation. Этот интерфейс генерируется Junos OS для обработки деинкапсуляции PIM. Это не настраиваемый интерфейс. |
|
Внутренне созданный интерфейс инкапсуляции PIM. Этот интерфейс генерируется Junos OS обработкой инкапсуляции PIM. Это не настраиваемый интерфейс. |
|
Настраиваемый виртуальный интерфейс туннеля обратной связи. Облегчает просмотр таблицы VRF на MPLS меток. Этот тип интерфейса поддерживается на M Series и серия T, но не на серия SRX устройствах. Чтобы настроить виртуальный туннель обратной связи для облегчения MPLS таблицы VRF, необходимо указать имя интерфейса виртуального петли туннеля и связать его с экземпляром маршрутов, который принадлежит определенной таблице маршрутов. Пакет проходит через виртуальный туннель обратной связи для искомого маршрута. |
Начиная с Junos OS 15.1, можно настроить службы Ethernet уровня 2 через интерфейсы GRE (gr-fpc/pic/port для использования инкапсуляции GRE). Чтобы включить завершаемые пакеты Ethernet уровня 2 в туннелях GRE, gr- gr- необходимо настроить семейство протоколов домена моста на интерфейсах и связать интерфейсы с доменом моста. Интерфейсы GRE необходимо настроить в качестве интерфейсов с основными интерфейсами, которые должны быть интерфейсами доступа или магистральным. Чтобы настроить семейство доменов моста на интерфейсах gr- , включите family bridge утверждение на [edit interfaces gr-fpc/pic/port unit logical-unit-number] уровне иерархии. Чтобы ассоциировать интерфейс gr- с доменом моста, включим interface gr-fpc/pic/port утверждение на уровне [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] иерархии. Интерфейсы GRE в домене моста можно связать с соответствующим VLAN ID или списком VLAN В vlan-id (all | none | number) vlan-id-list [ vlan-id-numbers ] [edit bridge-domains bridge-domain-name] домене моста, включив в себя утверждение или утверждение на уровне иерархии. ID VLAN, настроенные для домена моста, должны совпадать с ID VLAN, настроенными для интерфейсов GRE vlan-id (all | none | number) vlan-id-list [ vlan-id-numbers ] [edit interfaces gr-fpc/pic/port unit logical-unit-number] с помощью утверждения или утверждения на уровне иерархии. Можно также настроить интерфейсы GRE в пределах домена моста, связанного с виртуальный коммутатор экземпляром. Пакеты Ethernet уровня 2 по туннелям GRE также поддерживаются с помощью параметра ключа GRE. Условие совпадения gre-ключа позволяет пользователю соедиировать с полем ключа GRE, которое является необязательным полем в инкапсулированных пакетах GRE. Ключ может быть совместим как одно ключевое значение, диапазон значений ключей или оба значения.
Начиная с Junos OS 16.1 поддерживается зеркальное отражение портов на уровне 2 для удаленного коллектора через интерфейс GRE.
См. также
Туннельные интерфейсы на серия MX с картами линии (MPC7E через MPC11E)
MPC7E-10G, MPC7E-MRATE, MX2K-MPC8E и MX2K-MPC9E поддерживают в сумме четыре интерфейса inline tunnel на каждый MPC, по одному на PIC. Можно создать набор туннельных интерфейсов для каждого слота PIC не более чем из четырех слотов (от 0 до 3) на серия MX с этими MPC.
MPC10E-15C поддерживает три интерфейса inline tunnel на каждый MPC, по одному на PIC, в то время как MPC10E-10C поддерживает два интерфейса по линиям туннеля на каждый MPC, по одному на PIC. На серия MX маршрутизаторах с MPC10E-15C можно
создайте набор туннельных интерфейсов для каждого слота PIC максимум из трех слотов (от 0 до 2). И на серия MX маршрутизаторах с MPC10E-10C можно создать набор туннельных интерфейсов для каждого слота PIC максимум из двух слотов (0 и 1).MX2K-MPC11E поддерживает 8 интерфейсов туннелей на каждый MPC, по одному на PIC. На серия MX маршрутизаторах с MX2K-MPC11E можно создать набор туннельных интерфейсов для каждого слота PIC до восьми слотов (от 0 до 7). Эти CS называются псевдо-туннельным РС. Туннельные интерфейсы создаются на серия MX с MPC7E-10G, MPC7E-MRATE, MX2K-MPC8E, MX2K-MPC9E, MPC10E-15C, MPC10E-10C и MX2K-MPC11E [edit chassis] , включив следующие утверждения на иерархическом уровне:
[edit chassis]
fpc slot-number {
pic number {
tunnel-services {
bandwidth ;
}
}
}
- модуль передачи пакетов и пропускная способность туннеля для MPC7E-MRATE
- модуль передачи пакетов и пропускная способность туннеля для MPC7E-10G
- модуль передачи пакетов и пропускная способность туннеля для MX2K-MPC8E
- модуль передачи пакетов и пропускная способность туннеля для MX2K-MPC9E
- модуль передачи пакетов и пропускная способность туннеля для MPC10E-10C
- модуль передачи пакетов и пропускная способность туннеля для MPC10E-15C
- модуль передачи пакетов и пропускная способность туннеля для MX2K-MPC11E
- модуль передачи пакетов и пропускная способность туннеля для MX10K-LC9600
модуль передачи пакетов и пропускная способность туннеля для MPC7E-MRATE
Пропускная способность туннеля для MPC7E-MRATE составляет 1–120 Гбит/с большей пропускной способностью 1 Гбит/с. Однако если в конфигурации не указана полоса пропускания, то она будет 120 Гбит/с.
Таблица 2 содержит сопоставление между пропускной способностью туннеля и механизмами переададации пакетов для MPC7-MRATE.
Псевдо-туннель PIC |
Максимальная пропускная способность для pic туннеля |
Сопоставление PFE |
Максимальная пропускная способность туннеля на PFE |
Максимальная пропускная способность PFE |
|---|---|---|---|---|
PIC0 |
120 Гбит/с |
PFE0 |
120 Гбит/с |
240 Гбит/с
|
PIC1 |
120 Гбит/с |
|||
PIC2 |
120 Гбит/с |
PFE1 |
120 Гбит/с |
240 Гбит/с |
PIC3 |
120 Гбит/с |
модуль передачи пакетов и пропускная способность туннеля для MPC7E-10G
Пропускная способность туннеля для MPC7E-10G составляет 1–120 Гбит/с с инкрементной пропускной способностью 1 Гбит/с. Однако если пропускная способность в конфигурации не указана, то будет установлена 120 Гбит/с.
Таблица 3 содержит сопоставление между пропускной способностью туннеля и механизмами переад доступа пакетов для MPC7E-10G.
Псевдо-туннель PIC |
Максимальная пропускная способность для pic туннеля |
Сопоставление PFE |
Максимальная пропускная способность туннеля на PFE |
Максимальная пропускная способность PFE |
|---|---|---|---|---|
PIC0 |
120 Гбит/с |
PFE0 |
120 Гбит/с |
200 Гбит/с
|
PIC1 |
120 Гбит/с |
|||
PIC2 |
120 Гбит/с |
PFE1 |
120 Гбит/с |
200 Гбит/с |
PIC3 |
120 Гбит/с |
модуль передачи пакетов и пропускная способность туннеля для MX2K-MPC8E
Пропускная способность туннеля для MX2K-MPC8E составляет 1 – 120 Гбит/с инкрементной частотой 1 Гбит/с. Однако если в конфигурации не указана полоса пропускания, то она будет 120 Гбит/с.
Таблица 4 содержит сопоставление между пропускной способностью туннеля и механизмами переад доступа пакетов для MX2K-MPC8E.
Псевдо-туннель PIC |
Максимальная пропускная способность для pic туннеля |
модуль передачи пакетов сопоставления |
Максимальная пропускная способность туннеля на PFE |
Максимальная пропускная способность PFE |
|---|---|---|---|---|
PIC0 |
120 Гбит/с |
PFE0 |
120 Гбит/с |
240 Гбит/с |
PIC1 |
120 Гбит/с |
PFE1 |
120 Гбит/с |
240 Гбит/с |
PIC2 |
120 Гбит/с |
PFE2 |
120 Гбит/с |
240 Гбит/с |
PIC3 |
120 Гбит/с |
PFE3 |
120 Гбит/с |
240 Гбит/с |
модуль передачи пакетов и пропускная способность туннеля для MX2K-MPC9E
Пропускная способность туннеля для MX2K-MPC9E составляет 1–200 Гбит/с с, однако, если пропускная способность в конфигурации не указана, то она будет 200 Гбит/с.
Таблица 5 содержит сопоставление между пропускной способностью туннеля и механизмами переад доступа пакетов для MX2K-MPC9E.
| Псевдо-туннель PIC |
Максимальная пропускная способность для pic туннеля |
Сопоставление PFE |
Максимальная пропускная способность туннеля на PFE |
Максимальная пропускная способность PFE |
|---|---|---|---|---|
| PIC0 |
200 Гбит/с |
PFE0 |
200 Гбит/с |
400 Гбит/с
|
| PIC1 |
200 Гбит/с |
PFE1 | 200 Гбит/с |
400 Гбит/с |
| PIC2 |
200 Гбит/с |
PFE2 |
200 Гбит/с |
400 Гбит/с |
| PIC3 |
200 Гбит/с |
PFE3 | 200 Гбит/с |
400 Гбит/с |
модуль передачи пакетов и пропускная способность туннеля для MPC10E-10C
Пропускная способность туннеля для MPC10E-10C составляет 1–400 Гбит/с с инкрементной пропускной способностью 1 Гбит/с. Однако если в конфигурации не указана полоса пропускания, то будет установлена пропускная способность 400 Гбит/с.
Таблица 6 содержит сопоставление между пропускной способностью туннеля и механизмами переад доступа пакетов для MPC10E-10C.
| Псевдо-туннель PIC |
Максимальная пропускная способность для pic туннеля |
модуль передачи пакетов сопоставления |
Максимальная пропускная способность туннеля на PFE |
Максимальная пропускная способность PFE |
|---|---|---|---|---|
| PIC0 |
250 Гбит/с |
PFE0 |
250 Гбит/с |
500 Гбит/с |
| PIC1 |
250 Гбит/с |
PFE1 |
250 Гбит/с |
500 Гбит/с |
модуль передачи пакетов и пропускная способность туннеля для MPC10E-15C
Пропускная способность туннеля для MPC10E-15C составляет 1–400 Гбит/с с инкрементной пропускной способностью 1 Гбит/с. Однако если в конфигурации не указана полоса пропускания, то будет установлена пропускная способность 400 Гбит/с.
Таблица 7 содержит сопоставление между пропускной способностью туннеля и механизмами переад доступа пакетов для MPC10E-15C.
| Псевдо-туннель PIC |
Максимальная пропускная способность для pic туннеля |
модуль передачи пакетов сопоставления |
Максимальная пропускная способность туннеля на PFE |
Максимальная пропускная способность PFE |
|---|---|---|---|---|
| PIC0 |
250 Гбит/с |
PFE0 |
250 Гбит/с |
500 Гбит/с |
| PIC1 |
250 Гбит/с |
PFE1 |
250 Гбит/с |
500 Гбит/с |
| PIC2 |
250 Гбит/с |
PFE2 |
250 Гбит/с |
500 Гбит/с |
модуль передачи пакетов и пропускная способность туннеля для MX2K-MPC11E
Пропускная способность туннеля для MX2K-MPC11E составляет 1–400 Гбит/с с инкрементной пропускной способностью 1 Гбит/с. Однако если в конфигурации не указана полоса пропускания, то будет установлена пропускная способность 400 Гбит/с.
Таблица 8 содержит сопоставление между пропускной способностью туннеля и механизмами переад доступа пакетов для MX2K-MPC11E.
Псевдо-туннель PIC |
Максимальная пропускная способность для pic туннеля |
Сопоставление PFE |
Максимальная пропускная способность туннеля на PFE |
Максимальная пропускная способность PFE |
|---|---|---|---|---|
PIC0 |
250 Гбит/с |
PFE0 |
250 Гбит/с |
500 Гбит/с |
PIC1 |
250 Гбит/с |
PFE1 |
250 Гбит/с |
500 Гбит/с |
PIC2 |
250 Гбит/с |
PFE2 |
250 Гбит/с |
500 Гбит/с |
PIC3 |
250 Гбит/с |
PFE3 |
250 Гбит/с |
500 Гбит/с |
PIC4 |
250 Гбит/с |
PFE4 |
250 Гбит/с |
500 Гбит/с |
PIC5 |
250 Гбит/с |
PFE5 |
250 Гбит/с |
500 Гбит/с |
PIC6 |
250 Гбит/с |
PFE6 |
250 Гбит/с |
500 Гбит/с |
PIC7 |
250 Гбит/с |
PFE7 |
250 Гбит/с |
500 Гбит/с |
Неустановленное значение полосы пропускания туннельных служб в конфигурации для MPC10E-10C, MPC10E-15C и MX2K-MPC11E приводит к значению, большему, чем максимальная пропускная способность туннеля на PFE в определенных условиях трафика.
модуль передачи пакетов и пропускная способность туннеля для MX10K-LC9600
Пропускная способность туннеля для MX10K-LC9600 составляет 1–400 Гбит/с приращением 1 Гбит/с. Однако если в конфигурации не указана полоса пропускания, то будет установлена пропускная способность 400 Гбит/с.
Таблица 9 содержит сопоставление между пропускной способностью туннеля и механизмами переад доступа пакетов для MX10K-LC9600.
| Псевдо-туннель PIC |
Максимальная пропускная способность для pic туннеля |
Сопоставление PFE |
Максимальная пропускная способность туннеля на PFE |
Максимальная пропускная способность PFE |
|---|---|---|---|---|
| PIC0 |
200 Гбит/с |
PFE0 |
200 Гбит/с |
400 Гбит/с |
| PFE1 |
||||
| PIC1 |
200 Гбит/с |
PFE2 |
200 Гбит/с |
400 Гбит/с |
| PFE3 |
||||
| PIC2 |
200 Гбит/с |
PFE4 |
200 Гбит/с |
400 Гбит/с |
| PFE5 |
||||
| PIC3 |
200 Гбит/с |
PFE6 |
200 Гбит/с |
400 Гбит/с |
| PFE7 |
||||
| PIC4 |
200 Гбит/с |
PFE8 |
200 Гбит/с |
400 Гбит/с |
| PFE9 |
||||
| PIC5 |
200 Гбит/с |
PFE10 |
200 Гбит/с |
400 Гбит/с |
| PFE11 |
См. также
Обзор динамических туннелей
VPN, которая проходит через несетевую MPLS, требует туннеля GRE. Этот туннель может быть как статическим, так и динамическим. Статический туннель настраивается вручную между двумя PE маршрутизаторами. Динамический туннель настраивается с использованием BGP маршрутов.
Когда маршрутизатор получает маршрут VPN, который разрешается через следующий BGP, который не имеет MPLS пути, туннель GRE может быть создан динамически, что позволяет трафику VPN быть перенанченным на этот маршрут. Поддерживаются только туннели GRE IPv4.
Для настройки динамического туннеля между двумя PE маршрутизаторами включаем утверждение dynamic-tunnels :
dynamic-tunnels tunnel-name {
destination-networks prefix;
source-address address;
}
Это утверждение можно настроить на следующих уровнях иерархии:
[edit routing-options][edit routing-instances routing-instance-name routing-options][edit logical-systems logical-system-name routing-options][edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]