Интерфейс туннеля¶

Обзор¶

Технология туннелирования соединяет участников локальных сетей через общую сеть с помощью виртуального туннеля.

Туннельное соединение устанавливается между пограничными маршрутизаторами, которые имеют доступ к локальной и общей сети. Для корректной работы туннеля на каждом пограничном маршрутизаторе должен быть настроен интерфейс туннеля. После настройки маршрутизаторы станут видны локальным устройствам и будут выступать в роли посредников: инкапсулировать, декапсулировать и доставлять данные до локальных устройств через общую сеть. В процессе инкапсуляции ко внутреннему заголовку пакета исходной сети добавляется внешний заголовок общей сети. Таким образом, данные маршрутизируются прозрачно, вне зависимости от их исходного протокола.

Интерфейс туннеля — логический интерфейс на маршрутизаторе Факел.

Порядок работы интерфейса туннеля:

Устройство в локальной сети передает на интерфейс туннеля маршрутизатора «А» данные, которые нужно доставить до получателя в удаленной локальной сети.
Маршрутизатор «А» на одном конце туннеля инкапсулирует внутренний заголовок исходного пакета с данными во внешний заголовок выбранного протокола и доставляет пакет до интерфейса туннеля маршрутизатора «Б» на другом конце туннеля.
Маршрутизатор «Б» декапсулирует пакет, снимает внешний заголовок и передает данные адресату в удаленной локальной сети.

Протоколы туннелирования функционируют на сетевом уровне, но отличаются методами инкапсуляции исходных пакетов. Одни протоколы инкапсулируют данные сетевого уровня, другие — канального. Это позволяет производить более точную настройку в соответствии с требованиями и конфигурацией сети.

Интерфейс туннеля на маршрутизаторе Факел поддерживает следующие протоколы:

IPv4 поверх IPv4 (IPIP),

Simple Internet Transition (SIT),
Generic Routing Encapsulation (GRE),

Generic Routing Encapsulation Terminal Access Point (GRETAP),

Каждый тип протокола включается отдельной командой set interfaces tunnel <interface> encapsulation <protocol>.

Пример настройки¶

Шаг	Настройка маршрутизатора «А»	Настройка маршрутизатора «Б»	Описание
1	set interfaces tunnel `tun1` encapsulation `sit`	set interfaces tunnel `tun1` encapsulation `sit`	Включает протокол инкапсуляции SIT на интерфейсе туннеля
2	set interfaces tunnel `tun1` source-address `192.0.2.10`	set interfaces tunnel `tun1` source-address `192.0.2.20`	Задает IP-адреса источника на интерфейсе туннеля
3	set interfaces tunnel `tun1` remote `192.0.2.20`	set interfaces tunnel `tun1` remote `129.0.2.10`	Задает IP-адрес назначения на интерфейсе туннеля
4	set interfaces tunnel `tun1` parameters ip key `14`	set interfaces tunnel `tun1` parameters ip key `14`	Присваивает интерфейсу туннеля ключ для идентификации созданного туннеля
5	set interfaces tunnel `tun1` mtu `1400`	set interfaces tunnel `tun1` mtu `1400`	Устанавливает максимальный размер передаваемого пакета на интерфейсе туннеля

Список команд¶

Режим «Конфигурирование»¶

interfaces tunnel <interface> address <address>¶

Описание:

Задает интерфейсу туннеля локальный IP-адрес.

Синтаксис:

set interfaces tunnel <interface> address <address>
delete interfaces tunnel <interface> address <address>
show interfaces tunnel <interface> address

Аргументы:

<interface> — имя интерфейса туннеля;
<address> — локальный IP-адрес, который администратор вручную назначает интерфейсу туннеля. Может быть указан несколько раз как адрес IPv4 или адрес IPv6.

Режим: «Конфигурирование».

interfaces tunnel <interface> description <description>¶

Описание:

Добавляет описание для интерфейса туннеля.

Синтаксис:

set interfaces tunnel <interface> description <description>
delete interfaces tunnel <interface> description <description>
show interfaces tunnel <interface> description

Аргументы:

<interface> — имя интерфейса туннеля;
<description> — описание для интерфейса туннеля.

Режим: «Конфигурирование».

Примечание

Инструменты мониторинга, работающие на основе протокола SNMP, также могут обращаться к интерфейсу туннеля по указанному описанию.

interfaces tunnel <interface> disable¶

Описание:

Выключает интерфейс туннеля. Интерфейсу будет присвоен статус A/D (выключен администратором).

Синтаксис:

set interfaces tunnel <interface> disable
delete interfaces tunnel <interface> disable
show interfaces tunnel <interface>

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

interfaces tunnel <interface> disable-link-detect¶

Описание:

Прекращает отслеживать состояние физического соединения на интерфейсе туннеля. Если соединение по Ethernet-кабелю пропадет, система проигнорирует это событие для интерфейса туннеля. По умолчанию состояние физического соединения отслеживается.

Синтаксис:

set interfaces tunnel <interface> disable-link-detect
delete interfaces tunnel <interface> disable-link-detect
show interfaces tunnel <interface>

Аргументы:

<interface> — имя интерфейса Ethernet.

Режим: «Конфигурирование».

interfaces tunnel <interface> enable-multicast¶

Описание:

Включает на интерфейсе туннеля режим многоадресной рассылки.

Синтаксис:

set interfaces tunnel <interface> enable-multicast
delete interfaces tunnel <interface> enable-multicast
show interfaces tunnel <interface>

Аргументы:

<interface> — имя интерфейса Ethernet.

Режим: «Конфигурирование».

interfaces tunnel <interface> redirect <destination>¶

Описание:

Перенаправляет трафик на другой интерфейс маршрутизатора Факел.

Синтаксис:

set interfaces tunnel <interface> redirect <destination>
delete interfaces tunnel <interface> redirect <destination>
show interfaces tunnel <interface> redirect

Аргументы:

<interface> — имя интерфейса туннеля;
<destination> — имя интерфейса, на который будет перенаправлен трафик.

Режим: «Конфигурирование».

interfaces tunnel <interface> remote <address>¶

Описание:

Задает интерфейсу туннеля IP-адрес назначения.

Синтаксис:

set interfaces tunnel <interface> remote <address>
delete interfaces tunnel <interface> remote <address>
show interfaces tunnel <interface> remote

Аргументы:

<interface> — имя интерфейса туннеля;
<address> — IP-адрес назначения другого интерфейса туннеля.

Режим: «Конфигурирование».

interfaces tunnel <interface> source-address <address>¶

Описание:

Задает интерфейсу туннеля IP-адрес источника.

Синтаксис:

set interfaces tunnel <interface> source-address <address>
delete interfaces tunnel <interface> source-address <address>
show interfaces tunnel <interface> source-address

Аргументы:

<interface> — имя интерфейса туннеля;
<address> — IP-адрес источника.

Режим: «Конфигурирование».

interfaces tunnel <interface> source-interface <source-interface>¶

Описание:

Выбирает интерфейс, с которого маршрутизатор Факел будет отправлять данные по туннелю.

Синтаксис:

set interfaces tunnel <interface> source-interface <source-interface>
delete interfaces tunnel <interface> source-interface <source-interface>
show interfaces tunnel <interface> source-interface <source-interface>

Аргументы:

<interface> — имя интерфейса туннеля;
<source-interface> — имя интерфейса туннеля, с которого маршрутизатор Факел будет отправлять данные по туннелю.

Режим: «Конфигурирование».

interfaces tunnel <interface> mtu <mtu>¶

Описание:

Устанавливает максимальный размер передаваемого пакета на интерфейсе туннеля.

Синтаксис:

set interfaces tunnel <interface> mtu <mtu>
delete interfaces tunnel <interface> mtu <mtu>
show interfaces tunnel <interface> mtu

Аргументы:

<interface> — имя интерфейса туннеля;
<mtu> — максимальный размер передаваемого пакета. Формат: байты.

Режим: «Конфигурирование».

interfaces tunnel <interface> vrf <vrf>¶

Описание:

Размещает интерфейс туннеля на указанном VRF-экземпляре.

Синтаксис:

set interfaces tunnel <interface> vrf <vrf>
delete interfaces tunnel <interface> vrf <vrf>
show interfaces tunnel <interface> vrf

Аргументы:

<interface> — имя интерфейса туннеля;
<vrf> — имя VRF-экземпляра.

Режим: «Конфигурирование».

interfaces tunnel <interface> parameters erspan direction <ingress | egress>¶

Описание:

Выбирает направление трафика на интерфейсе туннеля, которое будет зеркалироваться технологией ERSPAN.

Синтаксис:

set interfaces tunnel <interface> parameters erspan direction <ingress | egress>
delete interfaces tunnel <interface> parameters erspan direction <ingress | egress>
show interfaces tunnel <interface> parameters erspan direction

Аргументы:

interface — имя интерфейса туннеля;
ingress — входящий трафик;
egress — исходящий трафик.

Режим: «Конфигурирование».

interfaces tunnel <interface> parameters erspan hw-id <hw-id>¶

Описание:

Присваивает интерфейсу туннеля аппаратный идентификатор на время сессии ERSPAN. Помогает различать устройства в туннеле при ERSPAN-зеркалировании.

Синтаксис:

set interfaces tunnel <interface> parameters erspan hw-id <hw-id>
delete interfaces tunnel <interface> parameters erspan hw-id <hw-id>
show interfaces tunnel <interface> parameters erspan hw-id

Аргументы:

<interface> — имя интерфейса туннеля;
<hw-id> — аппаратный идентификатор. Диапазон значений: 0-1048575.

Режим: «Конфигурирование».

interfaces tunnel <interface> parameters erspan index <index>¶

Описание:

Присваивает интерфейсу туннеля индекс сессии ERSPAN. Это уникальный идентификатор, который связывает источник и приемник зеркалированного трафика. Помогает удалённому анализатору определить, к какой сессии зеркалирования относятся получаемые пакеты.

Синтаксис:

set interfaces tunnel <interface> parameters erspan index <index>
delete interfaces tunnel <interface> parameters erspan index <index>
show interfaces tunnel <interface> parameters erspan index

Аргументы:

<interface> — имя интерфейса туннеля;
<index>— индекс сессии ERSPAN. Диапазон значений: от 0 до 63.

Режим: «Конфигурирование».

Примечание

Для работы индекса сессии ERSPAN необходима аппаратная поддержка. Может не функционировать на устройствах других производителей.

interfaces tunnel <interface> parameters erspan version <1 | 2>¶

Описание:

Выбирает версию технологии ERSPAN.

Синтаксис:

set interfaces tunnel <interface> parameters erspan version <1 | 2>
delete interfaces tunnel <interface> parameters erspan version <1 | 2>
show interfaces tunnel <interface> parameters erspan version

Аргументы:

<interface> — имя интерфейса туннеля;
<1> — версия ERSPAN Type II. Значение по умолчанию;
<2> — версия ERSPAN Type III.

Режим: «Конфигурирование».

interfaces tunnel <interface> parameters ip key <key>¶

Описание:

Присваивает интерфейсу туннеля ключ для идентификации созданного туннеля.

Синтаксис:

set interfaces tunnel <interface> parameters ip key <key>
delete interfaces tunnel <interface> parameters ip key <key>
show interfaces tunnel <interface> parameters ip key

Аргументы:

<interface> — имя интерфейса туннеля;
<key> — ключ для идентификации созданного туннеля. Диапазон значений: от 0 до 4294967295.

Режим: «Конфигурирование».

interfaces tunnel <interface> parameters ip ignore-df¶

Описание:

Указывает интерфейсу туннеля игнорировать требование бита DF «не фрагментировать IP-пакеты». IP-пакеты, передаваемые по туннелю, будут фрагментироваться, если их размер превысит максимально допустимый размера передаваемого пакета.

Синтаксис:

set interfaces tunnel <interface> parameters ip ignore-df
delete interfaces tunnel <interface> parameters ip ignore-df
show interfaces tunnel <interface> parameters ip

Аргументы:

<interface> — имя интерфейса туннеля

Режим: «Конфигурирование».

interfaces tunnel <interface> parameters ip no-pmtu-discovery¶

Описание:

Отключает для интерфейса туннеля вычисление максимально допустимого размера передаваемого пакета на маршруте.

Синтаксис:

set interfaces tunnel <interface> parameters ip no-pmtu-discovery
delete interfaces tunnel <interface> parameters ip no-pmtu-discovery
show interfaces tunnel <interface> parameters ip

Аргументы:

<interface> — имя интерфейса туннеля

Режим: «Конфигурирование».

interfaces tunnel <interface> parameters ip tos <tos>¶

Описание:

Задает значение ToS в IP-заголовке трафика, который будет передаваться по интерфейсу туннеля. Используется для различения трафика по признакам приоритетности или иным заданным параметрам. Маршрутизатор Факел будет обрабатывать пакеты, исходя из заданных значений.

Синтаксис:

set interfaces tunnel <interface> parameters ip tos <tos>
delete interfaces tunnel <interface> parameters ip tos <tos>
show interfaces tunnel <interface> parameters ip tos

Аргументы:

<interface> — имя интерфейса туннеля
<tos> — значение ToS. Диапазон значений: от 0 до 99.

Режим: «Конфигурирование».

interfaces tunnel <interface> parameters ip ttl <ttl>¶

Описание:

Задает на интерфейсе туннеля время жизни IP-пакета. После того как IP-пакет пройдет один маршрутизатор, его время жизни сократится на одно значение.

Синтаксис:

set interfaces tunnel <interface> parameters ip ttl <ttl>
delete interfaces tunnel <interface> parameters ip ttl <ttl>
show interfaces tunnel <interface> parameters ip ttl

Аргументы:

<interface> — имя интерфейса туннеля;
<ttl> — время жизни IP-пакета. Формат: количество пройденных маршрутизаторов. Диапазон значений: от 1 до 255. Число 0 копирует значение из IP-заголовка.

Режим: «Конфигурирование».

interfaces tunnel <interface> ip adjust-mss <mss | clamp-mss-to-pmtu>¶

Описание:

Устанавливает на интерфейсе туннеля конкретное значение для максимального размера сегмента при передаче пакетов по протоколу TCP или рассчитывает значение автоматически, динамически подстраиваясь под допустимый максимальный размер передаваемого пакета на маршруте.

Конкретным значением администратор ПО Факел задает порог и ограничивает отправку пакетов, размер которых будет превышать заданное значение.

Максимальный размер сегмента — это опциональное поле в заголовке TCP-пакета с установленным флагом SYN. Если автоматическое обнаружение максимального размера передаваемого пакета на маршруте работает некорректно, установите конкретный размер сегмента вручную.

Синтаксис:

set interfaces tunnel <interface> ip adjust-mss <mss | clamp-mss-to-pmtu>
delete interfaces tunnel <interface> ip adjust-mss <mss | clamp-mss-to-pmtu>
show interfaces tunnel <interface> ip adjust-mss

Аргументы:

<interface> — имя интерфейса туннеля;
<mss> — конкретное значение для максимального размера сегмента на протоколе TCP. Диапазон значений: от 536 до 65535;
<clamp-mss-to-pmtu> — максимальный размер сегмента будет задан автоматически.

Режим: «Конфигурирование».

Подсказка

Максимальный размер сегмента = максимальный размер передаваемого пакета - 20 (заголовок протокола IP) - 20 (заголовок протокола TCP) = 1452 байта при максимальном размере передаваемого пакета в 1492 байт.

interfaces tunnel <interface> ip arp-cache-timeout¶

Описание:

Задает временной интервал между записями в ARP-кэш на интерфейсе туннеля. ARP-кэш хранит информацию о связях между IP- и MAC-адресами. Кэш продолжит хранить данные, если от протокола верхнего уровня будет получен соответствующий сигнал. Если сигнал получен не будет, данные будут стерты.

Синтаксис:

set interfaces tunnel <interface> ip arp-cache-timeout sec
delete interfaces tunnel <interface> ip arp-cache-timeout sec
show interfaces tunnel <interface> ip arp-cache-timeout

Аргументы:

<interface> — имя интерфейса туннеля;
<sec> — интервал между записью данных в ARP-кэш. Формат: секунды. Диапазон значений: от 1 до 86400. Значение по умолчанию: 30 секунд.

Режим: «Конфигурирование».

interfaces tunnel <interface> ip disable-arp-filter¶

Описание:
Выключает фильтрацию по протоколу ARP на интерфейсе туннеля. ПО Факел сможет отвечать на ARP-запросы IP-адресами с других интерфейсов. Это позволит контролировать, какие интерфейсы будут отвечать на ARP-запросы. Применяется в сложных сетевых конфигурациях, где необходимо строго разделять трафик между интерфейсами.
Если фильтрация через протокол ARP включена (по умолчанию), то на одной подсети смогут существовать несколько сетевых интерфейсов. При этом конкретный интерфейс ответит на ARP-запрос тогда, когда ядро системы примет решение маршрутизировать пакеты через этот интерфейс. Это позволяет настраивать на уровне ядра, какой сетевой интерфейс будет отвечать на ARP-запрос. Однако для этого необходимо использовать маршрутизацию от источника.

Синтаксис:

set interfaces tunnel <interface> ip disable-arp-filter
delete interfaces tunnel <interface> ip disable-arp-filter
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

interfaces tunnel <interface> ip disable-forwarding¶

Описание:

Выключает переадресацию пакетов по протоколу IPv4 с интерфейса туннеля на любой другой интерфейс. После выполнения команды интерфейс туннеля перейдет в режим хоста.

Синтаксис:

set interfaces tunnel <interface> ip disable-forwarding
delete interfaces tunnel <interface> ip disable-forwarding
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

interfaces tunnel <interface> ip enable-directed-broadcast¶

Описание:

Включает направленную широковещательную переадресацию на интерфейсе туннеля. Если IP-адрес интерфейса получит пакет через широковещательную рассылку, то маршрутизатор Факел переадресует его на подсеть назначения.

Более подробная информация содержится в документах RFC 1812 и 2644.

Синтаксис:

set interfaces tunnel <interface> ip enable-directed-broadcast
delete interfaces tunnel <interface> ip enable-directed-broadcast
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

interfaces tunnel <interface> ip enable-arp-accept¶

Описание:

Создает новые записи в ARP-таблице интерфейса туннеля для gratuitous ARP-кадров, если им не присвоены соответствующие IP-адреса.

Автоматически обновляет ARP-таблицу при появлении gratuitous ARP-кадров типа «запрос», «ответ».

Если ARP-таблица уже содержит IP-адрес, соответствующий gratuitous ARP-кадру, то таблица все равно будет обновлена, даже если команда не была выполнена.

Синтаксис:

set interfaces tunnel <interface> ip enable-arp-accept
delete interfaces tunnel <interface> ip enable-arp-accept
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

interfaces tunnel <interface> ip enable-arp-announce¶

Описание:

Ограничивает на интерфейсе туннеля анонсирование локального IP-адреса источника при отправке IP-пакетов через ARP-запрос. ПО Факел будет использовать в исходящих ARP-запросах только те IP-адреса источника, которые соответствуют локальным IP-адресам в подсети цели.

При генерации ARP-запроса интерфейс туннеля проверяет все подсети назначения. По умолчанию ПО Факел при отправке ARP-запросов использует любой локальный IP-адрес, настроенный на любом интерфейсе.

Синтаксис:

set interfaces tunnel <interface> ip enable-arp-announce
delete interfaces tunnel <interface> ip enable-arp-announce
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

Примечание

Если вы выполнили команду, то при отправке ARP-запросов не используйте адреса вне подсети назначения.

interfaces tunnel <interface> ip enable-arp-ignore¶

Описание

Указывает интерфейсу туннеля отвечать на ARP-запросы только в том случае, если целевой IP-адрес — локальный адрес на принимающем интерфейсе, который получил ARP-запрос.

По умолчанию интерфейс туннеля отвечает на ARP-запросы даже в том случае, если целевой IP-адрес — локальный IP-адрес назначения на любом интерфейсе. Независимо от того, какой интерфейс получил запрос.

Синтаксис:

set interfaces tunnel <interface> ip enable-arp-ignore
delete interfaces tunnel <interface> ip enable-arp-ignore
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

interfaces tunnel <interface> ip enable-proxy-arp¶

Описание:

Включает прокси-сервер на интерфейсе туннеля для маршрутизации ARP-запросов. Интерфейс туннеля сможет отвечать со своих MAC-адресов на ARP-запросы со стороны IP-адресов назначения, если IP-адреса назначения будут находиться на других интерфейсах маршрутизатора. В дальнейшем ПО Факел будет перенаправлять пакеты на IP-адреса назначения через прокси-сервер.

Синтаксис:

set interfaces tunnel <interface> ip enable-proxy-arp
delete interfaces tunnel <interface> ip enable-proxy-arp
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

interfaces tunnel <interface> ip proxy-arp-pvlan¶

Описание:

Создает на интерфейсе туннеля частную сеть VLAN и включает на ней прокси-сервер для маршрутизации ARP-запросов. Устройства на разных портах смогут отвечать на ARP-запросы вышестоящего маршрутизатора и получат возможность обмениваться данными. Фактически интерфейс выступает в роли коммутатора, когда отдельные порты не могут общаться друг с другом напрямую, но могут поддерживать связь через вышестоящий маршрутизатор посредством маршрутизации ARP-запросов через прокси-сервер.

Более подробная информация содержится в документе RFC 3069.

Синтаксис:

set interfaces tunnel <interface> ip proxy-arp-pvlan
delete interfaces tunnel <interface> ip proxy-arp-pvlan
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля.

Режим: «Конфигурирование».

Подсказка

Вы можете использовать эту команду без предварительного выполнения команды interfaces tunnel <interface> ip enable-proxy-arp.

interfaces tunnel <interface> ip source-validation <strict | loose | disable>¶

Описание:

Включает на интерфейсе туннеля различные режимы проверки источника запроса по обратному пути.

Более подробная информация содержится в документе RFC 3704.

Синтаксис:

set interfaces tunnel <interface> ip source-validation <strict | loose | disable>
delete interfaces tunnel <interface> ip source-validation <strict | loose | disable>
show interfaces tunnel <interface> ip

Аргументы:

<interface> — имя интерфейса туннеля;
<strict> — строгий режим. Применяется для предотвращения подмены IP-адреса при DDos-атаках. Каждый входящий пакет проверяется по таблице FIB. Если IP-адрес источника не соответствует записи в таблице FIB, пакет не пройдет проверку и будет отброшен. В этом режиме некоторые полезные пакеты могут быть отклонены, если сеть имеет сложную конфигурацию;
<loose> — нестрогий режим. Применяется в случае ассиметричной маршрутизации или другой сложной конфигурации сети. Каждый входящий пакет проверяется по таблице FIB. Если IP-адрес источника недоступен ни через какой интерфейс, то пакет не пройдет проверку и будет отброшен;
<disable> — проверка источника по обратному пути выключена.

Режим: «Конфигурирование».

Режим «Администрирование»¶

interfaces tunnel¶

Описание:

Отображает краткую информацию о статусе интерфейса туннеля.

Синтаксис:

show interfaces tunnel

Режим: «Администрирование».

Уровень привилегий: «Администратор».

interfaces tunnel detail¶

Описание:

Отображает детальную информацию о статусе интерфейса туннеля.

Синтаксис:

show interfaces tunnel detail

Режим: «Администрирование».

Уровень привилегий: «Администратор».