Интерфейс туннеля

Описание

Подобно VPN, IP-туннель напрямую соединяет две сети через третью сеть, например Интернет. Однако не все туннельные протоколы поддерживают шифрование.

Маршрутизаторы в обеих сетях, создающие туннель, должны иметь как минимум два интерфейса:

• один интерфейс, подключенный к локальной сети

• один интерфейс, подключенный к сети, через которую создается туннель.

Для создания туннеля на обоих маршрутизаторах создается виртуальный интерфейс с IP-адресом из удаленной подсети.

ПО Факел поддерживает следующие типы IP-туннелей:

• IPv4 поверх IPv4 (IPIP)

• IPv4 поверх IPv6 (IPIP6)

• IPv6 поверх IPv6 (IP6IP6)

• Simple Internet Transition (SIT)

• Generic Routing Encapsulation (GRE)

• Generic Routing Encapsulation over IPv6 (IP6GRE)

• Generic Routing Encapsulation Terminal Access Point (GRETAP)

• Generic Routing Encapsulation Terminal Access Point over IPv6 (IP6GRETAP)

• Virtual Tunnel Interfaces (VTI)

В зависимости от типа, эти туннели действуют либо на втором, либо на третьем уровне модели OSI.

Список команд

Основные настройки

• set interfaces tunnel <interface> address <address>

Задает адрес <address | dhcp | dhcpv6> для сетевого интерфейса <interface>. Адрес может быть указан несколько раз как IPv4 и/или IPv6 адрес, например, 192.0.2.1/24 и/или 2001:db8::1/64

• set interfaces tunnel <interface> description <description>

Задает псевдоним <description> для сетевого интерфейса <interface>. Например псевдоним может использоваться командой show interfaces или средствами мониторинга на базе SNMP.

• set interfaces tunnel <interface> disable

Отключает сетевой интерфейс <interface>. После отключения интерфейс будет переведен в состояние административного отключения (A/D).

• set interfaces tunnel <interface> disable-flow-control

Отключает генерацию управления потоком Ethernet (кадров паузы).

Управление потоком Ethernet - это механизм временного прекращения передачи данных в компьютерных сетях семейства Ethernet. Цель этого механизма - обеспечить нулевую потерю пакетов в условиях перегрузки сети.

Станция отправитель (компьютер или сетевой коммутатор) может передавать данные быстрее, чем другой конец канала связи может их принять. Используя управление потоком, принимающая станция может подать сигнал отправителю с просьбой приостановить передачу до тех пор, пока получатель не поймает его.

• set interfaces tunnel <interface> disable-link-detect

С помощью этой команды можно настроить сетевой интерфейс таким образом, чтобы он не обнаруживал изменений физического состояния канала связи, например, при отсоединении кабеля.

По умолчанию сетевые интерфейсы настроены на обнаружение изменения физического состояния канала.

• set interfaces tunnel <interface> mtu <mtu>

Устанавливает размер MTU <mtu> для сетевого интерфейса <interface>.

• set interfaces tunnel <interface> ip arp-cache-timeout <1-86400>

Устанавливает тайм-аут записи в ARP-кэш в секундах <1-86400> для сетевого интерфейса <interface>. По умолчанию это значение равно 30 секундам.

• set interfaces tunnel <interface> ip disable-arp-filter

Отключает фильтрацию ARP на сетевом интерфейсе <interfaces>.

Если этот параметр установлен, то ядро может отвечать на запросы ARP адресами с других интерфейсов.

По умолчанию этот параметр отключен. Это позволяет иметь несколько сетевых интерфейсов в одной подсети, и ответ на ARP адреса каждого интерфейса зависит от того, будет ли ядро маршрутизировать пакет с ARP адреса через этот интерфейс. Для работы этой функции необходимо использовать маршрутизацию на основе источника.

• set interfaces tunnel <interface> ip disable-forwarding

Отключает переадресацию IP на сетевом интерфейсе <interface>.

• set interfaces tunnel <interface> ip enable-arp-accept

Включает прием ARP пакетов на сетевом интерфейсе <interface>.

Определяет поведение для ARP пакетов, IP записи которых еще не присутствует в ARP таблице. Если настройка включена, то создаются новые записи в ARP таблице.

Как ответы, так и запросы типа gratuitous arp будут вызывать обновление ARP таблицы, если эта настройка включена.

Если в ARP таблице уже содержится IP адрес кадра gratuitous arp, то ARP таблица будет обновлена независимо от того, включена или выключена эта настройка.

• set interfaces tunnel <interface> ip enable-arp-announce

Включает анонсирование ARP пакетов на сетевом интерфейсе <interface>.

• set interfaces tunnel <interface> ip enable-arp-ignore

Включает игнорирование ARP пакетов на сетевом интерфейсе <interface>.

Этот параметр определяет режимы отправки ответов в ответ на полученные ARP запросы, разрешающие локальные целевые IP-адреса:

• Если параметр включен, ответ будет отправлен только в том случае, если целевой IP адрес является локальным адресом, настроенным на входящем интерфейсе.

• Если параметр отключен (по умолчанию), ответ будет получен для любого локального целевого IP адреса, настроенного на любом интерфейсе.

• set interfaces tunnel <interface> ip enable-proxy-arp

Включает прокси ARP на сетевом интерфейсе <interfaces>. Прокси ARP позволяет интерфейсу Ethernet отвечать своим MAC адресом на ARP запросы IP адресов назначения в подсетях, подключенных к другим интерфейсам системы.

• set interfaces tunnel <interface> ip proxy-arp-pvlan

Включает прокси ARP частного VLAN на сетевом интерфейсе <interfaces>.

• set interfaces tunnel <interface> ip source-validation <strict | loose | disable>

Включает политику проверки источника по обратному пути, как указано в RFC 3704.

В настоящее время в RFC 3704 рекомендуется включать строгий режим для предотвращения подмены IP адресов в результате DDos атак. При использовании асимметричной или другой сложной маршрутизации рекомендуется использовать свободный режим.

• strict: Каждый входящий пакет проверяется по FIB, и если интерфейс не является наилучшим обратным путем, то проверка пакета будет неудачной. По умолчанию неудачные пакеты отбрасываются.

• loose: Адрес источника каждого входящего пакета также проверяется по FIB, и если адрес источника не достижим ни через один интерфейс, проверка пакета будет неудачной.

• disable: Нет проверки источника

• set interfaces tunnel <interface> ipv6 address autoconf

Включает механизм получения IPv6-адреса с помощью :abbr: SLAAC(Stateless Address Auto-configuration).

Примечание

Этот метод автоматически отключает пересылку трафика IPv6 на сетевом интерфейсе.

• set interfaces tunnel <interface> ipv6 address eui64 <prefix>

Устанавливает префикс EUI-64 на основе MAC адреса <prefix> для IPv6 адреса сетевого интерфейса <interface>.

• set interfaces tunnel <interface> ipv6 address no-default-link-local

Удаляет локальный адрес IPv6 по умолчанию для сетевого интерфейса <interface>.

• set interfaces tunnel <interface> ipv6 disable-forwarding

Отключает IP переадресацию на сетевом интерфейсе <interface>.

• set interfaces tunnel <interface> vrf <vrf>

Размещает сетевой интерфейс <interface> в указанном экземпляре VRF <vrf>.

• IPv4 туннель
• IPv6 туннель
• SIT туннель
• GRE туннель
• VTI интерфейс