Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

通过 GRE 隧道接口配置第 2 层以太网服务

带 MPC 的 MX 系列上基于 GRE 隧道接口的第 2 层服务

从 Junos OS 15.1 版开始,您可以通过 GRE 接口配置第 2 层以太网服务(gr-fpc/pic/port 要使用 GRE 封装)。

从 19.1R1 版开始,Junos OS 通过 GRE 接口(使用 GRE 封装)支持 IPv6 流量的第 2 层以太网服务。

对和show vpls mac-table命令的show bridge mac-table输出进行了增强,可显示 GRE 逻辑接口上获知的 MAC 地址,以及 MAC 地址学习属性的状态,以及 MAC 地址和 MAC 标志字段中的状态。此外,还会将L2 Routing InstanceL3 Routing Instance字段添加到命令的输出中show interfaces gr,以显示与 GRE 接口关联的路由实例的名称。

要使第 2 层以太网数据包能够在 GRE 隧道上终止,必须在接口上gr-配置桥接域协议家族,并将接口gr-与网桥域相关联。您必须将 GRE 接口配置为面向核心的接口,并且这些接口必须是接入接口或中继接口。要配置接口上的gr-网桥域家族,请在family bridge层级添加语句[edit interfaces gr-fpc/pic/port unit logical-unit-number]。要将该gr-接口与网桥域相关联,请将语句interface gr-fpc/pic/port[edit routing-instances routing-instance-name bridge-domains bridge-domain-name]包含在层次结构级别。

通过在层次结构级别包含vlan-id (all | none | number)语句或语句[edit bridge-domains bridge-domain-name],可以将桥接域中的 GRE 接口与桥接域中的相应 VLAN ID 或 vlan-id-list [ vlan-id-numbers ] VLAN ID 列表相关联。为桥接域配置的 VLAN ID 必须与您在层级使用vlan-id (all | none | number)语句或vlan-id-list [ vlan-id-numbers ]语句[edit interfaces gr-fpc/pic/port unit logical-unit-number]为 GRE 接口配置的 VLAN ID 匹配。您还可以在与虚拟交换机实例关联的网桥域中配置 GRE 接口。GRE 密钥选项还支持通过 GRE 隧道传输的第 2 层以太网数据包。GRE 密钥匹配条件允许用户与 GRE 密钥字段进行匹配,GRE 密钥字段是 GRE 封装数据包中的可选字段。该密钥可以匹配为单个密钥值和/或一系列键值。

GRE 帧的格式以及第 2 层以太网数据包的 GRE 接口处理

GRE 帧包含外部 MAC 报头、外部 IP 报头、GRE 报头、原始第 2 层帧和帧校验和 (FCS)。

在外部 MAC 报头中,存在以下字段:

  • 外部目标 MAC 地址设置为下一跃点 MAC 地址

  • 外部源 MAC 地址设置为用作网关的 MX 系列路由器的源地址

  • 外部 VLAN 标记信息

在外部 IP 报头中,包含以下字段:

  • 外部源地址设置为 MX 系列路由器网关的源地址

  • 外部目标地址设置为远程 GRE 隧道地址

  • 外部协议类型设置为 47(封装类型为 GRE)

  • 桥接域中的 VLAN ID 配置会更新原始第 2 层报头的 VLAN ID

gr 接口支持基于 IPv4 和 IPv6 的 GRE 封装,而第 3 层支持 GRE。支持通过 GRE 进行桥接,使您能够在 gr- 接口上配置桥接域家族,并在 gr- 接口上启用集成路由和桥接 (IRB)。控制物理和逻辑接口进程的设备控制守护程序 (dcd) 支持在 GRE 接口下处理桥接域家族。内核支持 IRB 在 IRB 接口上发送和接收数据包。

数据包转发引擎支持通过 GRE 接口进行第 2 层封装和解封装。当 FPC 联机时,机箱守护程序负责创建 GRE 物理接口,并在 FPC 脱机时触发删除 GRE 接口。内核接收通过底层物理接口添加的 GRE 逻辑接口,并将 GRE 逻辑接口传播到其他客户端,包括用于在硬件中创建第 2 层基于 GRE 数据路径的数据包转发引擎。此外,它还将 GRE 逻辑接口添加到网桥域中。数据包转发引擎从内核接收进程间通信消息 (IPC),并将接口添加到转发平面中。GRE 接口的现有 MTU 大小因添加 L2 标头而增加 22 个字节(6 DMAC + 6 个 SMAC + 4 个 CVLAN + 4 SVLAN + 2 EtherType)

通过 GRE 隧道配置第 2 层以太网流量的准则

在将第 2 层数据包配置为在具有 MPC 的 MX 系列路由器上通过 GRE 隧道接口传输时,请遵循以下准则:

  • 要使集成路由和桥接 (IRB) 发挥作用,至少一个第 2 层接口必须处于启动状态并处于活动状态,并且该接口必须与一个 GRE 第 2 层逻辑接口一起作为 IRB 接口与桥接域相关联。需要此配置才能利用 IRB 来连接第 2 层的现有广播基础架构。

  • 支持平滑路由引擎切换 (GRES),并且当前不支持统一 ISSU。

  • 从 GRE 网络学习的 MAC 地址是在与 gr-fpc/pic/port.unit 逻辑接口关联的桥接域接口上学习的。MAC 地址在 GRE 逻辑接口上学习,用于转发的第 2 层令牌是与 GRE 接口关联的标记。目标 MAC 查找会生成 L2 标记,这会导致下一跃点查找。这个下一跃点用于转发数据包。

  • GRE 隧道封装和解封装下一跃点得到了增强,以支持此功能。GRE 隧道封装下一跃点用于使用传入的 L2 数据包封装外部 IP 和 GRE 报头。GRE 隧道解封装下一跃点用于解封装外部 IP 和 GRE 报头,解析内部第 2 层数据包,并将该协议设置为在数据包转发引擎中进一步处理网桥域属性的网桥。

  • 支持以下数据包流:

    • 作为第 2 层数据包流的一部分,支持从 L2 到 GRE 的 L2 单播、从 GRE 到 L2 的 L2 单播、第 2 层广播、未知单播和从 L2 到 GRE 的组播 (L2 BUM),以及从 GRE 到 L2 的 L2 BUM。

    • 作为第 3 层数据包流的一部分,支持从 L2 到 GRE 的 L3 单播、从 GRE 到 L2 的 L3 单播、从 L2 到 GRE 的 L3 组播、从 GRE 到 L2 的 L3 组播,以及从互联网到 GRE 和 L2 的 L3 组播。

  • 不支持 L2 控制协议。

  • 在 GRE 解封装端,转发平面处理和解封装发往隧道 IP 的数据包,并处理内部 L2 数据包。为新学习的 MAC 条目的控制平面处理而生成 MAC 学习的数据包。但是,这些条目会限制 MAC 学习。

  • 802.1x 身份验证可用于验证各个端点,并保护它们免受未授权访问。

  • 由于能够在 GRE 隧道接口上配置桥接域家族,因此支持的最大 GRE 接口数量取决于分配的最大隧道设备数,每个隧道设备可托管多达 4000 个逻辑接口。支持的最大逻辑隧道接口数不会因支持第 2 层 GRE 隧道而更改。例如,在 MX960 路由器上的 4x10 MIC 中,可以创建 8000 个隧道逻辑接口。

  • 隧道被固定到特定的数据包转发引擎实例上。

  • 命令输出中显示了 GRE 第 2 层隧道的 show interfaces gr-fpc/pic/port 统计信息。

  • GRE 接口的桥接系列仅支持中继和访问模式配置;不支持子接口样式配置。

  • 您可以启用与传统第 2 层网络连接。当前不支持连接到 VPLS 网络。支持具有 GRE 接口的桥接域中的 IRB。

  • 支持虚拟交换机实例。

  • 支持在 GRE 隧道启动和传输路由器上配置 GRE 密钥并使用它来执行散列负载平衡。

通过 GRE 隧道配置第 2 层以太网流量的示例场景

您可以通过 GRE 接口配置第 2 层以太网服务(gr-fpc/pic/port 要使用 GRE 封装)。本主题包含以下部分,说明通过 GRE 隧道接口支持第 2 层数据包的示例网络部署:

GRE Tunnels with an MX Series Router as the Gateway in Layer 3

您可以将 MX 系列路由器配置为网关,其中包含配置为一端连接到传统交换机和另一端的第 3 层网络的 GRE 隧道。第 3 层网络又可以与 LAN 上的多个服务器链接,其中 GRE 隧道从 WAN 终止。

GRE Tunnels With an MX Series Router as the Gateway and Aggregator

您可以将 MX 系列路由器配置为配置了 GRE 隧道并指定了聚合的网关。该网关可以连接到网络的一端的传统交换机,聚合器可以作为 QFX 系列设备连接到架顶式 (ToR) 交换机,用于处理具有负载平衡的 GRE 隧道数据包。ToR 交换机可通过第 3 层 GRE 隧道连接到数据中心的多台服务器。

GRE Tunnels with MX Series Gateways for Enterprise and Data Center Servers

您可以将 MX 系列路由器配置为配置了 GRE 隧道的网关。通过互联网,GRE 隧道将多个网关(即 MX 路由器)连接到企业中的服务器,其中 GRE 隧道从一端的 WAN 终止,另一端连接到数据中心的服务器。

通过 GRE 隧道实现的第 2 层以太网支持以下配置方案:

  • 在具有 VPLS 环境的 GRE 上的第 2 层以太网中,MX 系列路由器支持第 2 层基于 GRE 隧道(无 MPLS 层),并将这些隧道终止到 VPLS 或路由 VLAN 接口 (RVI) 到 L3VPN 中。隧道可以透明地穿过电缆调制解调器终端系统 (CMTS) 和电缆调制解调器 CM 基础架构,一直传输至用作网关的 MX 系列路由器。每个 GRE 隧道都通过 VLAN 接口、VPLS 实例或 IRB 接口终止。

  • 在没有 VPLS 环境的情况下通过 GRE 实现的第 2 层以太网中,不涉及这些协议的条件需要第 2 层 VPN 封装。某些数据中心用户直接在 LAN 上的服务器上终止 GRE 隧道的另一端,而 MX 系列路由器则充当 WAN 和 LAN 之间的网关路由器。这种类型的隧道终端使用户能够在数据中心内构建叠加网络,而无需在底层交换机上配置最终用户 VLAN、IP 地址和其他网络参数。这样的设置简化了数据中心网络的设计和调配。

注意:

ACX2200 路由器不支持 2 层基于 GRE。

在桥接域中通过 GRE 逻辑接口配置第 2 层服务

您可以通过 GRE 接口配置第 2 层以太网服务(gr-fpc/pic/port 要使用 GRE 封装)。

要配置 GRE 隧道接口,将其关联到虚拟交换机实例内的网桥域中,并指定为隧道服务流量保留的带宽量:

  1. 配置 GRE 隧道接口并指定要为每个数据包转发引擎上的隧道流量保留的带宽量。
  2. 配置接口及其 VLAN ID。
  3. 创建带有网桥域的虚拟交换机实例,并将 GRE 逻辑接口相关联。

    为桥接域配置的 VLAN ID 必须与您在层级使用 vlan-id (all | none | number) 语句或 vlan-id-list [ vlan-id-numbers ] 语句 [edit interfaces gr-fpc/pic/port unit logical-unit-number] 为 GRE 接口配置的 VLAN ID 匹配。

示例:在桥接域中通过 GRE 逻辑接口配置第 2 层服务

此示例说明了如何在桥接域中配置 GRE 逻辑接口。您还可以配置与网桥域关联的虚拟交换机实例,并在网桥域中包含 GRE 接口。借助此配置,您可以指定将在 GRE 隧道上终止的第 2 层以太网数据包。在具有 VPLS 环境的 GRE 上的第 2 层以太网中,MX 系列路由器支持第 2 层基于 GRE 隧道(无 MPLS 层),并将这些隧道终止到 VPLS 或路由 VLAN 接口 (RVI) 到 L3VPN 中。隧道可以透明地穿过电缆调制解调器终端系统 (CMTS) 和电缆调制解调器 CM 基础架构,一直传输至用作网关的 MX 系列路由器。每个 GRE 隧道都通过 VLAN 接口、VPLS 实例或 IRB 接口终止。

要求

此示例使用以下硬件和软件组件:

  • MX 系列路由器

  • 在带 MPC 的 MX 系列路由器上运行的 Junos OS 15.1R1 或更高版本。

概述

GRE 将数据包封装到 IP 数据包中,并将其重定向到中间主机,然后对它们进行解封装并路由到其最终目标。由于到中间主机的路由显示为一个跃点,因此瞻博网络 EX 系列以太网交换机可以像相互之间有虚拟的点对点连接一样运行。GRE 隧道允许 RIP 和 OSPF 等路由协议通过互联网将数据包从一台交换机转发到另一台交换机。此外,GRE 隧道可以封装组播数据流,以便通过互联网传输。

以太网帧具有网络的所有必要功能,例如全局唯一的源和目标地址、错误控制等。•以太网帧可以承载任何类型的数据包。第 2 层的网络是协议无关的(独立于第 3 层协议)。如果能以以太网帧的形式完成从源到目标的端到端信息传输,那么以太网可以在网络上实现更多的优势。第 2 层的网络可以成为 IP 网络的一个强大的辅助功能,但它通常不能替代 IP 网络。

考虑一个示例网络拓扑,其中 GRE 隧道接口的带宽设置为每秒 10 千兆位,用于每个数据包转发引擎上的隧道流量。GRE 接口 gr-0/1/10.0,其源地址为 192.0.2.2,目标地址为 192.0.2.1。此外,还配置了两个千兆以太网接口,即 ge-0/1/2.0 和 ge-0/1/6.0。定义了虚拟交换机实例 VS1,并将桥接域 bd0 与 VS1 关联。网桥域的 VLAN ID 为 10。GRE 接口配置为中继接口,并与桥接域 bd0 相关联。通过此类设置,可以在包含网桥域的虚拟交换机实例中通过 GRE 隧道接口终止第 2 层以太网服务。

配置

要配置 GRE 隧道接口,请将其关联到虚拟交换机实例内的桥接域中,并指定为隧道服务流量保留的带宽量。

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中:

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要为网桥域中的第 2 层服务配置 GRE 逻辑隧道接口:

  1. 配置 GRE 隧道接口并指定要为每个数据包转发引擎上的隧道流量保留的带宽量。

  2. 配置接口及其 VLAN ID。

  3. 在虚拟交换机实例中配置网桥域,并将 GRE 接口与它关联。

结果

显示配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证在 GRE 接口上学习的 MAC 地址

目的

显示 GRE 逻辑接口上学习的 MAC 地址。

行动

在操作模式下,使用 show bridge mac-table 命令

意义

输出显示通过 GRE 逻辑隧道学习的 MAC 地址。

验证 MAC 地址学习状态

目的

在 MAC 地址和 MAC 标志字段中显示 MAC 地址学习属性的状态。

行动

在操作模式下,输入 show vpls mac-table 命令。

意义

输出在 MAC 地址和 MAC 标志字段中显示 MAC 地址学习属性的状态。输出显示与 GRE 接口关联的路由实例的名称。

示例:在具有 IPv6 传输的桥接域中通过 GRE 逻辑接口配置第 2 层服务

此示例说明了如何在桥接域中配置 GRE 逻辑接口。您还可以配置与网桥域关联的虚拟交换机实例,并在网桥域中包含 GRE 接口。借助此配置,您可以指定将在 GRE 隧道上终止的第 2 层以太网数据包。在具有 VPLS 环境的 GRE 上的第 2 层以太网中,MX 系列路由器支持第 2 层基于 GRE 隧道(无 MPLS 层),并将这些隧道终止到 VPLS 或路由 VLAN 接口 (RVI) 到 L3VPN 中。隧道可以透明地穿过电缆调制解调器终端系统 (CMTS) 和电缆调制解调器 CM 基础架构,一直传输至用作网关的 MX 系列路由器。每个 GRE 隧道都通过 VLAN 接口、VPLS 实例或 IRB 接口终止。

要求

此示例使用以下硬件和软件组件:

  • 两台 MX 系列路由器

  • 在带 MPC 的 MX 系列路由器上运行的 Junos OS 19.R1 或更高版本。

概述

GRE 封装的 IPv6 数据包将被重定向到中间主机,其中 GRE 标头解封装并路由到 IPv6 目标。

考虑包含两台设备的示例网络拓扑。在设备 1 上,GRE 隧道接口的带宽设置为每个数据包转发引擎上的隧道流量每秒 1 千兆位。GRE 接口 gr-0/0/10.0,源地址为 2001:DB8:2:1,目标地址为 2001:DB8:3:1。同时配置了两个接口,即 ae0 和 xe-0/0/19。定义了虚拟交换机实例 VS1,并将桥接域 bd1 与 VS1 关联。网桥域的 VLAN ID 为 20。GRE 接口配置为中继接口,并与桥接域 bd1 相关联。通过此类设置,可以在包含网桥域的虚拟交换机实例中通过 GRE 隧道接口终止第 2 层以太网服务。

在设备 2 上,GRE 隧道接口的带宽设置为每秒 1 千兆位,用于每个数据包转发引擎上的隧道流量。GRE 接口 gr-0/0/10.0,源地址为 2001:DB8:21:1,目标地址为 2001:DB8:31:1。同时配置了两个接口,即 ae0 和 xe-0/0/1。定义了虚拟交换机实例 VS1,并将桥接域 bd1 与 VS1 关联。网桥域的 VLAN ID 为 20。GRE 接口配置为接入接口,并与桥接域 bd1 相关联。

配置

要配置 GRE 隧道接口,请将其关联到虚拟交换机实例内的桥接域中,并指定为隧道服务流量保留的带宽量。

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中:

对于设备 1:

对于设备 2:

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要通过 IPv6 为设备 1 和设备 2 的桥接域中的第 2 层服务配置 GRE 逻辑隧道接口:

  1. 配置 GRE 隧道接口并指定设备 1 的每个数据包转发引擎上的隧道流量保留的带宽量。

  2. 配置接口及其 VLAN ID。

  3. 在虚拟交换机实例中配置网桥域,并将 GRE 接口与它关联。

  4. 配置 GRE 隧道接口并指定要为设备 2 的每个数据包转发引擎上的隧道流量保留的带宽量。

  5. 配置接口及其 VLAN ID。

  6. 在虚拟交换机实例中配置网桥域,并将 GRE 接口与它关联。

结果

显示设备 1 上的配置结果:

显示设备 2 上的配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证在 GRE 接口上学习的 MAC 地址

目的

显示 GRE 逻辑接口上学习的 MAC 地址。

行动

在操作模式下,使用 show bridge mac-table 命令

意义

输出显示通过 GRE 逻辑隧道学习的 MAC 地址。