Интерфейс VTI

Обзор

Интерфейс VTI (Virtual Tunnel Interface) — логический сетевой интерфейс, который устанавливает соединение между двумя одноранговыми узлами сети. Работает на сетевом уровне модели OSI.

После установления соединения между двумя интерфейсами VTI устанавливается туннель. Конечная точка туннеля VTI ассоциируется с интерфейсом VTI, поэтому данные между двумя устройствами маршрутизируются через туннель прозрачно. Это делает VTI функционально схожим с физически интерфейсом.

VTI часто используют в связке с набором протоколов шифрования IPSec, поскольку в этом случает настроить защищенное соединение проще, чем на других логических интерфейсах. Информация об использовании набора протоколов IPSec содержится в разделе Стек протоколов IPsec

Основные возможности интерфейса VTI:

• Данные между двумя интерфейсами VTI пересылаются прозрачно, вне зависимости от протокола их передачи;

• Для маркировки пакетов используется метка fwmark;

• Каждый интерфейс VTI получает свой IP-адрес;

• Политики ACL, NAT, QoS применяются так же, как и к физическому интерфейсу;

• Состояние туннеля отслеживается динамически с помощью IPSec SA. Если IPSec SA перестанет шифровать трафик, туннель также отключится;

• Не добавляет дополнительный служебный заголовок и экономит размер передаваемого пакета;

• Широко поддерживается поставщиками оборудования.

Внимание

Если вы будете настраивать туннель IPsec типа Site-to-Site с использованием интерфейсов VTI, отключите автоматическую установку маршрута. Необходимость вызвана техническими ограничениями в протоколе StrongSWAN. Команда для отключения: set vpn ipsec options disable-route-autoinstall.

Пример настройки

Шаг	Настройка маршрутизатора «А»	Настройка маршрутизатора «Б»	Описание
1	set interfaces vti vti1 address 10.0.0.1/30	set interfaces vti vti1 address 10.0.0.2/30	Назначает IP-адрес интерфейсу VTI
2	set interfaces vti vti1 description HEAD	set interfaces vti vti1 description OFFICE	Добавляет описание для интерфейса VTI
3	set interfaces vti vti1 mtu 1436	set interfaces vti vti1 mtu 1436	Устанавливает максимальный размер передаваемого пакета на интерфейсе VTI

Список команд

Режим «Конфигурирование»

interfaces vti <interface> address <address>

Описание:

Назначает IP-адрес интерфейсу VTI.

Синтаксис:

• set interfaces vti <interface> address <address>

• delete interfaces vti <interface> address <address>

• show interfaces vti <interface> address

Аргументы:

• <interface> – имя интерфейса VTI;

• <address> – IP-адрес, который администратор вручную назначает интерфейсу VTI. Может быть указан несколько раз как адрес IPv4 или адрес IPv6.

Режим: «Конфигурирование».

---

interfaces vti <interface> description <description>

Описание:

Добавляет описание для интерфейса VTI.

Синтаксис:

• set interfaces vti <interface> description <description>

• delete interfaces vti <interface> description <description>

• show interfaces vti description <interface>

Аргументы:

• <interface> – имя интерфейса VTI;

• <description> – описание для интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> disable

Описание:

Выключает интерфейс VTI. Интерфейсу будет присвоен статус A/D (выключен администратором).

Синтаксис:

• set interfaces vti <interface> disable

• delete interfaces vti <interface> disable

• show interfaces vti <interface>

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip adjust-mss [<mss> | <clamp-mss-to-pmtu>]

Описание:

Устанавливает на интерфейсе VTI конкретное значение для максимального размера сегмента при передаче пакетов по протоколу TCP или рассчитывает значение автоматически, динамически подстраиваясь под допустимый максимальный размер передаваемого пакета на маршруте.

Конкретным значением администратор ПО Факел задает порог и ограничивает отправку пакетов, размер которых будет превышать заданное значение.

Максимальный размер сегмента — это опциональное поле в заголовке TCP-пакета с установленным флагом SYN. Если автоматическое обнаружение максимального размера передаваемого пакета на маршруте работает некорректно, установите конкретный размер сегмента вручную.

Синтаксис:

• set interfaces vti <interface> ip adjust-mss <mss | clamp-mss-to-pmtu>

• delete interfaces vti <interface> ip adjust-mss <mss | clamp-mss-to-pmtu>

• show interfaces vti <interface> ip adjust-mss

Аргументы:

• <mss> — конкретное значение для максимального размера сегмента на протоколе TCP. Диапазон значений: от 536 до 65535;

• <clamp-mss-to-pmtu> — максимальный размер сегмента будет задан автоматически.

Режим: «Конфигурирование».

Подсказка

Максимальный размер сегмента = максимальный размер передаваемого пакета - 20 (заголовок протокола IP) - 20 (заголовок протокола TCP) = 1452 байта при максимальном размере передаваемого пакета в 1492 байт.

---

interfaces vti <interface> ip arp-cache-timeout <sec>

Описание:

Задает временной интервал между записями в ARP-кэш на интерфейсе VTI. ARP-кэш хранит информацию о связях между IP- и MAC-адресами. Кэш продолжит хранить данные, если от протокола верхнего уровня будет получен соответствующий сигнал. Если сигнал получен не будет, данные будут стерты.

Синтаксис:

• set interfaces vti <interface> ip arp-cache-timeout <sec>

• delete interfaces vti <interface> ip arp-cache-timeout <sec>

• show interfaces vti <interface> ip arp-cache-timeout

Аргументы:

• <interface> – имя интерфейса VTI;

• <sec> — интервал между записью данных в ARP-кэш. Формат: секунды. Диапазон значений: от 1 до 86400. Значение по умолчанию: 30 секунд.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip disable-arp-filter

Описание:

Выключает фильтрацию по протоколу ARP на интерфейсе VTI. ПО Факел сможет отвечать на ARP-запросы IP-адресами с других интерфейсов. Это позволит контролировать, какие интерфейсы будут отвечать на ARP-запросы. Применяется в сложных сетевых конфигурациях, где необходимо строго разделять трафик между интерфейсами.

Если фильтрация через протокол ARP включена (по умолчанию), то на одной подсети смогут существовать несколько сетевых интерфейсов. При этом конкретный интерфейс ответит на ARP-запрос тогда, когда ядро системы примет решение маршрутизировать пакеты через этот интерфейс. Это позволяет настраивать на уровне ядра, какой сетевой интерфейс будет отвечать на ARP-запрос. Однако для этого необходимо использовать маршрутизацию от источника.

Синтаксис:

• set interfaces vti <interface> ip disable-arp-filter

• delete interfaces vti <interface> ip disable-arp-filter

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip disable-forwarding

Описание:

Выключает переадресацию пакетов по протоколу IPv4 с интерфейса VTI на любой другой интерфейс. После выполнения команды интерфейс VTI перейдет в режим хоста.

Синтаксис:

• set interfaces vti <interface> ip disable-forwarding

• delete interfaces vti <interface> ip disable-forwarding

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip enable-arp-accept

Описание:

Создает новые записи в ARP-таблице интерфейса VTI для gratuitous ARP-кадров, если им не присвоены соответствующие IP-адреса.

Автоматически обновляет ARP-таблицу при появлении gratuitous ARP-кадров типа «запрос», «ответ».

Если ARP-таблица уже содержит IP-адрес, соответствующий gratuitous ARP-кадру, то таблица все равно будет обновлена, даже если команда не была выполнена.

Синтаксис:

• set interfaces vti <interface> ip enable-arp-accept

• delete interfaces vti <interface> ip enable-arp-accept

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip enable-arp-announce

Описание:

Ограничивает на интерфейсе VTI анонсирование локального IP-адреса источника при отправке IP-пакетов через ARP-запрос. ПО Факел будет использовать в исходящих ARP-запросах только те IP-адреса источника, которые соответствуют локальным IP-адресам в подсети цели.

При генерации ARP-запроса интерфейс VTI проверяет все целевые подсети. По умолчанию ПО Факел при отправке ARP-запросов использует любой локальный IP-адрес, настроенный на любом интерфейсе.

Синтаксис:

• set interfaces vti <interface> ip enable-arp-announce

• delete interfaces vti <interface> ip enable-arp-announce

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip enable-arp-ignore

Описание:

Указывает интерфейсу VTI отвечать на ARP-запросы только в том случае, если целевой IP-адрес — локальный адрес на принимающем интерфейсе, который получил ARP-запрос.

По умолчанию интерфейс VTI отвечает на ARP-запросы даже в том случае, если целевой IP-адрес — локальный IP-адрес назначения на любом интерфейсе. Независимо от того, какой интерфейс получил запрос.

Синтаксис:

• set interfaces vti <interface> ip enable-arp-ignore

• delete interfaces vti <interface> ip enable-arp-ignore

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip enable-directed-broadcast

Описание:

Включает направленную широковещательную переадресацию на интерфейсе VTI. Если IP-адрес интерфейса получит пакет через широковещательную рассылку, то маршрутизатор Факел переадресует его на подсеть назначения.

Более подробная информация содержится в документах RFC 1812 и 2644.

Синтаксис:

• set interfaces vti <interface> ip enable-directed-broadcast

• delete interfaces vti <interface> ip enable-directed-broadcast

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip enable-proxy-arp

Описание:

Включает прокси-сервер на интерфейсе VTI для маршрутизации ARP-запросов. Интерфейс VTI сможет отвечать со своих MAC-адресов на ARP-запросы со стороны IP-адресов назначения, если IP-адреса назначения будут находиться на других интерфейсах маршрутизатора. В дальнейшем ПО Факел будет перенаправлять пакеты на IP-адреса назначения через прокси-сервер.

Синтаксис:

• set interfaces vti <interface> ip enable-proxy-arp

• delete interfaces vti <interface> ip enable-proxy-arp

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip proxy-arp-pvlan

Описание:

Создает на интерфейсе VTI частную сеть VLAN и включает на ней прокси-сервер для маршрутизации ARP-запросов. Устройства на разных портах смогут отвечать на ARP-запросы вышестоящего маршрутизатора и получат возможность обмениваться данными. Фактически интерфейс выступает в роли коммутатора, когда отдельные порты не могут общаться друг с другом напрямую, но могут поддерживать связь через вышестоящий маршрутизатор посредством маршрутизации ARP-запросов через прокси-сервер.

Синтаксис:

• set interfaces vti <interface> ip proxy-arp-pvlan

• delete interfaces vti <interface> ip proxy-arp-pvlan

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ip source-validation [<strict> | <loose> | <disable>]

Описание:

Включает на интерфейсе VTI различные режимы проверки источника запроса по обратному пути.

Синтаксис:

• set interfaces vti <interface> ip source-validation [<strict> | <loose> | <disable>]

• delete interfaces vti <interface> ip source-validation [<strict> | <loose> | <disable>]

• show interfaces vti <interface> ip

Аргументы:

• <interface> – имя интерфейса VTI;

• <strict> — строгий режим. Применяется для предотвращения подмены IP-адреса при DDos-атаках. Каждый входящий пакет проверяется по таблице FIB. Если IP-адрес источника не соответствует записи в таблице FIB, пакет не пройдет проверку и будет отброшен. В этом режиме некоторые полезные пакеты могут быть отклонены, если сеть имеет сложную конфигурацию;

• <loose> — нестрогий режим. Применяется в случае ассиметричной маршрутизации или другой сложной конфигурации сети. Каждый входящий пакет проверяется по таблице FIB. Если IP-адрес источника недоступен ни через какой интерфейс, то пакет не пройдет проверку и будет отброшен;

• <disable> — проверка источника по обратному пути выключена.

Режим: «Конфигурирование».

---

interfaces vti <interface> ipv6 address autoconf

Описание:

Включает на интерфейсе VTI механизм получения IPv6-адреса другими устройствами через автоматическую настройку адресов без сохранения состояния (SLAAC). Хост-устройства с поддержкой протокола IPv6 cмогут автоматически производить свою настройку при подключении к сети IPv6. Для этого они обмениваются сообщениями ICMPv6 по протоколу обнаружения соседей.

При первичном подключении хост-устройство отправляет многоадресную рассылку с запросом параметров у маршрутизатора. Роутер отвечает на запрос и высылает объявление, которое содержит параметры конфигурации сетевого уровня. Узнав эти параметры, хост-устройство сможет подключиться к маршрутизатору.

Более подробная информация содержится в документе RFC 4862.

Синтаксис:

• set interfaces vti <interface> ipv6 address autoconf

• delete interfaces vti <interface> ipv6 address autoconf

• show interfaces vti <interface> ipv6 address

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ipv6 address eui64 <prefix>

Описание:

Запускает преобразование EUI-64 на интерфейсе VTI. После этого хост-устройство сгенерирует себе уникальный 64-битный IPv6-адрес на основе своего MAC-адреса.

Более подробная информация содержится в документе RFC 4291.

Синтаксис:

• set interfaces vti <interface> ipv6 address eui64 <prefix>

• delete interfaces vti <interface> ipv6 address eui64 <prefix>

• show interfaces vti <interface> ipv6 address eui64

Аргументы:

• <interface> – имя интерфейса VTI;

• <prefix> – префикс IPv6-адреса. Будет добавлен к основной части IPv6-адреса при запуске преобразования EUI-64.

Режим: «Конфигурирование».

---

interfaces vti <interface> ipv6 address no-default-link-local

Описание:

Запрещает назначать IPv6-адрес интерфейсу VTI для связи между локальными устройствами.

Синтаксис:

• set interfaces vti <interface> ipv6 address no-default-link-local

• delete interfaces vti <interface> ipv6 address no-default-link-local

• show interfaces vti <interface> ipv6 address

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ipv6 adjust-mss [<mss> | <clamp-mss-to-pmtu>]

Описание:

Устанавливает на интерфейсе VTI конкретное значение для максимального размера сегмента при передаче IPv6-пакетов по протоколу TCP или рассчитывает значение автоматически, динамически подстраиваясь под допустимый максимальный размер передаваемого пакета на маршруте.

Конкретным значением администратор ПО Факел задает порог и ограничивает отправку пакетов, размер которых будет превышать заданное значение.

Максимальный размер сегмента — это опциональное поле в заголовке TCP-пакета с установленным флагом SYN. Если автоматическое обнаружение максимального размера передаваемого пакета на маршруте работает некорректно, установите конкретный размер сегмента вручную.

Синтаксис:

• set interfaces vti <interface> ipv6 adjust-mss <mss | clamp-mss-to-pmtu>

• delete interfaces vti <interface> ipv6 adjust-mss <mss | clamp-mss-to-pmtu>

• show interfaces vti <interface> ipv6 adjust-mss

Аргументы:

• <interface> – имя интерфейса VTI;

• <mss> — конкретное значение для максимального размера сегмента на протоколе TCP. Диапазон значений: от 536 до 65535;

• <clamp-mss-to-pmtu> — максимальный размер сегмента будет задан автоматически.

Режим: «Конфигурирование».

Подсказка

Максимальный размера сегмента = максимальный размер передаваемого пакета - 20 (заголовок протокола IP) - 20 (заголовок протокола TCP) = 1452 байта при максимальном размере передаваемого пакета в 1492 байт.

---

interfaces vti <interface> ipv6 base-reachable-time <sec>

Описание:

Задает временной интервал, в течение которого интерфейс VTI будет пытаться установить связь с хостом на другом конце туннеля. Если в течение указанного интервала связь установлена не будет, то интерфейс VTI отметит туннель нерабочим.

Синтаксис:

• set interfaces vti <interface> ipv6 base-reachable-time <sec>

• delete interfaces vti <interface> ipv6 base-reachable-time <sec>

• show interfaces vti <interface> ipv6 base-reachable-time

Аргументы:

• <interface> – имя интерфейса VTI;

• <sec> — интервал в течение которого интерфейс VTI будет пытаться установить связь с хостом на другом конце соединения VTI. Формат: секунды. Диапазон значений: от 1 до 86400. Значение по умолчанию: 30 секунд.

Режим: «Конфигурирование».

---

interfaces vti <interface> ipv6 disable-forwarding

Описание:

Выключает переадресацию пакетов по протоколу IPv6 с интерфейса VTI на любой другой интерфейс. После выполнения команды интерфейс VTI перейдет в режим хоста.

Синтаксис:

• set interfaces vti <interface> ipv6 disable-forwarding

• delete interfaces vti <interface> ipv6 disable-forwarding

• show interfaces vti <interface> ipv6

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Конфигурирование».

---

interfaces vti <interface> ipv6 dup-addr-detect-transmits <n>

Описание:

Задает, сколько сообщений типа «опрос соседа» интерфейс VTI отправит по сети для обнаружения дубликатов IPv6-адресов.

Синтаксис:

• set interfaces vti <interface> ipv6 dup-addr-detect-transmits <n>

• delete interfaces vti <interface> ipv6 dup-addr-detect-transmits <n>

• show interfaces vti <interface> ipv6 dup-addr-detect-transmits

Аргументы:

• <interface> – имя интерфейса VTI;

• <n> – количество сообщений типа «опрос соседа», рассылаемых по сети.

Режим: «Конфигурирование».

---

interfaces vti <interface> ipv6 source-validation [<strict> | <loose> | <disable>]

Описание:

Включает на интерфейсе VTI различные режимы проверки источника запроса по обратному пути.

Более подробная информация содержится в документе RFC 3704.

Синтаксис:

• set interfaces vti <interface> ipv6 source-validation [<strict> | <loose> | <disable>]

• delete interfaces vti <interface> ipv6 source-validation [<strict> | <loose> | <disable>]

• show interfaces vti <interface> ipv6 source-validation

Аргументы:

• <interface> – имя интерфейса VTI;

• <strict> — строгий режим. Применяется для предотвращениуя подмены IPv6-адреса при DDos-атаках. Каждый входящий пакет проверяется по таблице FIB. Если IPv6-адрес источника не соответствует записи в таблице FIB, пакет не пройдет проверку и будет отброшен. В этом режиме некоторые полезные пакеты могут быть отклонены, если сеть имеет сложную конфигурацию;

• <loose> — нестрогий режим. Применяется в случае ассиметричной маршрутизации или другой сложной конфигурации сети. Каждый входящий пакет проверяется по таблице FIB. Если IPv6-адрес источника недоступен ни через какой интерфейс, то пакет не пройдет проверку и будет отброшен;

• <disable> — проверка источника по обратному пути выключена.

Режим: «Конфигурирование».

---

interfaces vti <interface> mirror egress <monitor-interface>

Описание:

Дублирует исходящий трафик с порта интерфейса VTI на порт SPAN-интерфейса.

Синтаксис:

• set interfaces vti <interface> ipv6 mirror egress <monitor-interface>

• delete interfaces vti <interface> ipv6 mirror egress <monitor-interface>

• show interfaces vti <interface> ipv6 mirror egress

Аргументы:

• <interface> – имя интерфейса VTI;

• <monitor-interface> – имя SPAN-интерфейса.

Режим: «Конфигурирование».

---

interfaces vti <interface> mirror ingress <monitor-interface>

Описание:

Дублирует входящий трафик с порта интерфейса VTI на порт SPAN-интерфейса.

Синтаксис:

• set interfaces vti <interface> mirror ingress <monitor-interface>

• delete interfaces vti <interface> mirror ingress <monitor-interface>

• show interfaces vti <interface> mirror ingress

Аргументы:

• <interface> – имя интерфейса VTI;

• <monitor-interface> – имя SPAN-интерфейса.

Режим: «Конфигурирование».

---

interfaces vti <interface> mtu <mtu>

Описание:

Устанавливает максимальный размер передаваемого пакета на интерфейсе VTI.

Синтаксис:

• set interfaces vti <interface> mtu <mtu>

• delete interfaces vti <interface> mtu <mtu>

• show interfaces vti <interface> mtu

Аргументы:

• <interface> – имя интерфейса VTI;

• <mtu> — максимальный размер передаваемого пакета. Формат: байты.

Режим: «Конфигурирование».

---

interfaces vti <interface> redirect <destination>

Описание:

Перенаправляет трафик на другой интерфейс маршрутизатора Факел.

Синтаксис:

• set interfaces vti <interface> redirect <destination>

• delete interfaces vti <interface> redirect <destination>

• show interfaces vti <interface> redirect

Аргументы:

• <interface> – имя интерфейса VTI;

• <destination> — имя интерфейса, на который будет перенаправлен трафик.

Режим: «Конфигурирование».

---

interfaces vti <interface> ipv6 vrf <vrf>

Описание:

Размещает интерфейс VTI на указанном VRF-экземпляре.

Синтаксис:

• set interfaces vti <interface> vrf <vrf>

• delete interfaces vti <interface> vrf <vrf>

• show interfaces vti <interface> vrf

Аргументы:

• <interface> – имя интерфейса VTI;

• <vrf> – имя VRF-экземпляра.

Режим: «Конфигурирование».

---

Режим «Администрирование»

show interfaces vti detail

Описание:

Отображает подробную информацию о всех интерфейсах VTI.

Синтаксис:

• show interfaces vti detail

Режим: «Администрирование».

Уровень привилегий: «Администратор».

---

show interfaces vti <interface> brief

Описание:

Отображает краткую информацию о выбранном интерфейсе VTI.

Синтаксис:

show interfaces vti <interface> brief

Аргументы:

• <interface> – имя интерфейса VTI.

Режим: «Администрирование».

Уровень привилегий: «Администратор».