Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Encapsulamento de roteamento genérico (GRE)

O encapsulamento de roteamento genérico (GRE) é um enlace de ponto a ponto virtual que encapsula o tráfego de dados em um túnel. Os tópicos abaixo discutem o tunelamento de GRE, o processo de encapsulamento e de des capsulação, a configuração de GREs e a verificação do trabalho das GREs.

Entender o encapsulamento de roteamento genérico

O encapsulamento de roteamento genérico (GRE) oferece um caminho privado para o transporte de pacotes por uma rede pública de outra forma, encapsulando (ou tunelando) os pacotes.

Este tópico descreve:

Visão geral do GRE

A GRE encapsula pacotes de dados e os redireciona para um dispositivo que os des encapsula e os encaminha para o destino final. Isso permite que os switches de origem e destino operem como se tivessem uma conexão virtual ponto a ponto entre si (porque o cabeçalho externo aplicado pelo GRE é transparente ao pacote de carga encapsulado). Por exemplo, os túneis GRE permitem que protocolos de roteamento, como RIP e OSPF, encaminhem pacotes de dados de um switch para outro na Internet. Além disso, os túneis GRE podem encapsular fluxos de dados multicast para transmissão pela Internet.

GRE é descrito no RFC 2784 (ultrapassa os RFCs anteriores 1701 e 1702). Os switches oferecem suporte ao RFC 2784, mas não completamente. (Para uma lista de limitações, consulte Limitações de configuração.)

Como um roteador de origem de túnel, o switch encapsula um pacote de carga para transporte através do túnel para uma rede de destino. O pacote de carga é encapsulado primeiro em um pacote GRE e, em seguida, o pacote GRE é encapsulado em um protocolo de entrega. O switch que desempenha a função de um roteador remoto de túnel extrai o pacote em túnel e encaminha o pacote ao seu destino. Observe que você pode usar um termo de firewall para encerrar muitos túneis GRE em um switch QFX5100.

Tunelamento GRE

Os dados são roteados pelo sistema até o endpoint GRE por rotas estabelecidas na tabela de rotas. (Essas rotas podem ser configuradas estaticamente ou aprendidas dinamicamente por protocolos de roteamento, como RIP ou OSPF.) Quando um pacote de dados é recebido pelo endpoint GRE, ele é des encapsulado e roteado novamente para seu endereço de destino.

Os túneis GRE são stateless- ou seja, o endpoint do túnel não contém informações sobre o estado ou a disponibilidade do endpoint remoto do túnel. Portanto, o switch que opera como um roteador de origem de túnel não pode alterar o estado da interface do túnel GRE para baixo se o endpoint remoto for inalcançável.

Para obter detalhes sobre o tunelamento GRE, veja:

Encapsulamento e des encapsulamento no switch

Encapsulamento — um switch que opera como roteador de origem de túnel encapsula e encaminha pacotes GRE da seguinte forma:

  1. Quando um switch recebe um pacote de dados (carga útil) a ser tunelado, ele envia o pacote para a interface do túnel.

  2. A interface do túnel encapsula os dados em um pacote GRE e adiciona um cabeçalho IP externo.

  3. O pacote IP é encaminhado com base no endereço de destino no cabeçalho IP externo.

Des encapsulamento — um switch que opera como um roteador remoto de túnel lida com pacotes GRE da seguinte forma:

  1. Quando o switch de destino recebe o pacote IP da interface do túnel, o cabeçalho IP externo e o cabeçalho GRE são removidos.

  2. O pacote é roteado com base no cabeçalho IP interno.

Número de túneis de origem e destino permitidos em um switch

Os switches QFX5100 e série OCX oferecem suporte a até 512 túneis GRE, incluindo túneis criados com um filtro de firewall. Ou seja, você pode criar um total de 512 túneis GRE, independentemente de qual método você usa.

Os switches EX oferecem suporte a até 500 túneis GRE entre switches que transmitem pacotes de carga IPv4 ou IPv6 por GRE. Se um protocolo de passageiros, além do IPv4 e IPv6 for usado, você pode configurar até 333 túneis GRE entre os switches.

Um switch EX pode ter um máximo de 20 endereços IP de origem de túnel configurados, e cada IP de origem de túnel pode ser configurado com até 20 endereços IP de destino em um segundo switch. Como resultado, os dois switches conectados podem ter um máximo de 400 túneis GRE. Se o primeiro switch também estiver conectado a um terceiro switch, o número máximo possível de túneis é de 500.

Classe de serviço em túneis GRE

Quando uma rede experimenta congestionamento e atraso, alguns pacotes podem ser descartados. A classe de serviço (CoS) do Junos OS divide o tráfego em classes às quais você pode aplicar diferentes níveis de taxa de transferência e perda de pacotes quando ocorre congestionamento e, assim, definir regras para perda de pacotes. Para obter detalhes sobre o CoS, consulte a visão geral do Junos OS CoS para switches da Série EX.

Os seguintes componentes de CoS estão disponíveis em um switch que funciona como um roteador de origem de túnel GRE ou roteador remoto de túnel GRE:

  • Na fonte do túnel GRE — Em um switch que opera como roteador de origem de túnel, você pode aplicar classificadores CoS em uma porta de entrada ou em uma porta GRE, com os seguintes resultados sobre o suporte de componentes CoS em pacotes em túneis:

    • Somente agendamentos — com base na classificação de CoS na porta de entrada, você pode aplicar agendadores CoS em uma porta GRE do switch para definir filas de saída e controlar a transmissão de pacotes pelo túnel após o encapsulamento gre. No entanto, você não pode aplicar regras de reescrita de CoS a esses pacotes.

    • Agendadores e regras de reescrita — Dependendo da classificação de CoS na porta GRE, você pode aplicar os agendadores e reescrever regras aos pacotes encapsulados transmitidos pelo túnel.

    Nota:

    Você não pode configurar classificadores BA em gr- interfaces. Você deve classificar o tráfego em gr- interfaces usando filtros de firewall (classificadores multifield).

  • No endpoint do túnel GRE — quando o switch é um roteador remoto de túnel, você pode aplicar classificadores de CoS na porta GRE e agendadores e reescrever regras na porta de saída para controlar a transmissão de um pacote GRE des encapsulado na porta de saída.

Aplicando filtros de firewall ao tráfego GRE

Os filtros de firewall fornecem regras que definem se permitem, negam ou encaminham pacotes que estão transitando por uma interface em um switch. (Para obter detalhes, consulte os filtros de firewall para visão geral dos switches da Série EX.) Devido ao encapsulamento e des encapsulamento realizados pela GRE, você está restringido quanto a onde você pode aplicar um filtro de firewall para filtrar pacotes em túnel e qual cabeçalho será afetado. A Tabela 1 identifica essas restrições.

Tabela 1: Pontos de aplicação de filtro de firewall para pacotes em túnel

Tipo de endpoint

Interface de ingresso Interface de saída

Fonte (encapsulamento)

cabeçalho interno

cabeçalho externo

Remoto (des encapsulamento)

Não é possível filtrar pacotes na interface de ingresso

cabeçalho interno

Usando um filtro de firewall para des encapsular o tráfego GRE em switches da Série QFX5100, QFX10000 e OCX

Você também pode usar um filtro de firewall para des encapsular o tráfego GRE nos switches. Esse recurso oferece benefícios significativos em termos de escalabilidade, desempenho e flexibilidade, porque você não precisa criar uma interface de túnel para realizar o des encapsulamento. Por exemplo, você pode encerrar muitos túneis de vários endereços IP de origem com um único termo de firewall. Consulte configurar um filtro de firewall para des encapsular o tráfego GRE para obter informações sobre como configurar um filtro de firewall para essa finalidade.

Limitações de configuração

A Tabela 2 lista recursos que não são suportados com GRE.

Tabela 2: recursos não suportados com GRE
EX Switches QFX Switches

MPLS sobre túneis GRE

MPLS sobre túneis GRE

Keepalives GRE

Keepalives GRE

Chaves GRE, fragmentação de pacotes de carga e números de sequência para pacotes fragmentados

Chaves GRE, fragmentação de pacotes de carga e números de sequência para pacotes fragmentados

Túneis dinâmicos BGP

Túneis dinâmicos BGP

O endereço IP externo deve ser IPv4

O endereço IP externo deve ser IPv4

Instâncias de roteamento virtual

Nos switches QFX10002, QFX10008 e Série QFX5K, se você configurar o tunelamento GRE com o next-hop ECMP subjacente em vez de um next-hop unicast, o encapsulamento do túnel GRE falha e o tráfego de rede é descartado

Protocolo de detecção de encaminhamento bidirecional (BFD) no modo distribuído GRE

Limitação do OSPF — habilitar o OSPF em uma interface GRE cria duas rotas de custo igual para o destino: uma pela rede Ethernet ou interface de uplink e outra pela interface do túnel. Se os dados forem roteado pela interface do túnel, o túnel pode falhar. Para manter a interface operacional, recomendamos que você use uma rota estática, desabile o OSPF na interface do túnel ou configure o peer para não anunciar o destino do túnel pela interface do túnel.

Os switches da série QFX não oferecem suporte para configurar a interface GRE e a interface de origem do túnel subjacente em duas instâncias de roteamento diferentes. Se você tentar essa configuração, ela resultará em um erro de comprometimento.

Configuração do tunelamento de encapsulamento de roteamento genérico

O encapsulamento de roteamento genérico (GRE) oferece um caminho privado para o transporte de pacotes por uma rede pública de outra forma, encapsulando (ou tunelando) os pacotes. O tunelamento GRE é realizado por meio de endpoints de túnel que encapsulam ou des encapsulam o tráfego.

Você também pode usar um filtro de firewall para des encapsular o tráfego GRE nos switches QFX5100 e série OCX. Esse recurso oferece benefícios significativos em termos de escalabilidade, desempenho e flexibilidade, porque você não precisa criar uma interface de túnel para realizar o des encapsulamento. Por exemplo, você pode encerrar muitos túneis de vários endereços IP de origem com um único termo de firewall. Para obter mais informações sobre esse recurso, consulte Configurar um filtro de firewall para des encapsular o tráfego GRE.

Para configurar uma porta de túnel GRE em um switch:

  1. Determine a porta de rede ou a porta de uplink em seu switch para converter em uma porta de túnel GRE.

  2. Configure a porta como uma porta de túnel para serviços de túnel GRE:

Nota:

Para o QFX10000, a interface gr-0/0/0 é criada por padrão. Além disso, você não precisa configurar a set fpc slot pic pic-number tunnel-port port-number tunnel-servicesdeclaração.

Este tópico descreve:

Configuração de um túnel GRE

Para configurar uma interface de túnel GRE:

  1. Crie uma interface GRE com um número de unidade e endereço:
    Nota:

    O nome base da interface deve ser gr-0/0/0.

    Esta é uma pseudo interface, e o endereço que você especifica pode ser qualquer endereço IP. A tabela de roteamento deve especificar gr-0/0/0.x como a interface de saída para quaisquer pacotes que serão tunelados.

    Se você configurar uma interface GRE em um switch QFX5100 que seja um membro de um Virtual Chassis e posteriormente alterar o número de membro do Virtual Chassis do switch, o nome da interface GRE não mudará de forma alguma (porque é uma interface pseudo). Por exemplo, se você alterar o número de membro de 0 para 5, o nome da interface GRE não mudar de gr-0/0/0.x para gr-5/0/0.x.

  2. Especifique o endereço de origem do túnel para a interface lógica:
  3. Especifique o endereço de destino:

    O endereço de destino deve ser alcançável por roteamento estático ou dinâmico. Se você usar o roteamento estático, você deve obter o endereço MAC de destino (por exemplo, usando ping) antes que o tráfego do usuário possa ser encaminhado pelo túnel.

Nota:

Nos switches QFX10002 e QFX10008, se você configurar o tunelamento GRE com o next-hop ECMP subjacente em vez do next-hop da Unicast, o encapsulamento do túnel GRE falha e o tráfego de rede é descartado.

Nota:

O next-hop de saída indireta não é suportado na implementação GRE para switches QFX10000.

Verificar se o tunelamento de encapsulamento de roteamento genérico está funcionando corretamente

Propósito

Verifique se a interface de encapsulamento de roteamento genérico (GRE) está enviando tráfego em túnel.

Ação

Exibir informações de status sobre a interface GRE especificada usando o comando show interfaces .

Significado

A saída indica que a interface GRE gr-0/0/0 está ativa. A saída exibe o nome da interface física e as estatísticas de tráfego para esta interface--- o número e a taxa em que bytes e pacotes de entrada e saída são recebidos e transmitidos na interface física.