隧道服务概述

通过在传输协议内封装任意数据包，隧道可通过其他公共网络提供专用、安全的路径。隧道连接不连续子网并启用加密接口、虚拟专用网络 （VPN） 和 MPLS。如果路由器中安装了隧道 物理接口卡 （PIC），则可以配置单播、组播和逻辑隧道。

有关平台和 Junos 版本支持的详细信息，请参阅 功能浏览器。

您可以为 VPN 配置两种类型的隧道：一种用于方便路由表查找，另一种用于方便 VPN 路由和转发实例 （VRF） 表查找。

有关加密接口的信息，请参阅 配置加密接口。有关 VPN 的信息，请参阅 适用于路由设备的 Junos OS VPN 库。有关 MPLS 的信息，请参阅 《MPLS 应用程序用户指南》。

在 SRX 系列防火墙上，通用路由封装 （GRE） 和 IP-IP 隧道分别使用内部接口 gr-0/0/0 和 ip-0/0/0。Junos OS 在系统启动时创建这些接口;它们不与物理接口关联。

瞻博网络 Junos OS 支持下表所示的隧道类型。

表 1：隧道接口类型

接口	描述
gr-0/0/0	可配置的通用路由封装 （GRE） 接口。GRE 允许将一种路由协议封装在另一种路由协议上。 在路由器中，数据包被路由到此内部接口，在该接口中，数据包首先用 GRE 数据包封装，然后用另一个协议数据包重新封装以完成 GRE。GRE 接口仅是内部接口，不与物理接口关联。您必须为其配置接口才能执行 GRE。
gre	内部生成的 GRE 接口。此接口由 Junos OS 生成，用于处理 GRE。您无法配置此接口。
ip-0/0/0	可配置的 IP-over-IP 封装（也称为 IP 隧道）接口。IP 隧道允许将一个 IP 数据包封装在另一个 IP 数据包上。 数据包被路由到内部接口，在该接口上用 IP 数据包封装，然后转发到封装数据包的目标地址。IP-IP 接口仅是内部接口，不与物理接口关联。您必须为其配置接口才能执行 IP 隧道。
ipip	内部生成的 IP-over-IP 接口。此接口由 Junos OS 生成，用于处理 IP-over-IP 封装。它不是一个可配置的接口。
lt-0/0/0	lt路由器上的接口支持逻辑系统配置，即能够将单个物理路由器划分为多个逻辑设备，这些设备执行独立的路由任务。 在 SRX 系列防火墙上， lt 接口是用于逻辑系统互连的可配置逻辑隧道接口。请参阅 安全设备的 Junos OS 逻辑系统配置指南。
mt-0/0/0	内部生成的组播隧道接口。组播隧道过滤所有单播数据包;如果传入数据包不是发往 224/8- 或更大的前缀，则数据包将被丢弃，计数器将递增。 在路由器中，数据包被路由到此内部接口进行组播过滤。组播隧道接口只是内部接口，不与物理接口关联。如果路由器有隧道服务 PIC，则 Junos OS 会自动为您配置的每个虚拟专用网 （VPN） 配置一个组播隧道接口 （mt-）。无需配置组播隧道接口。但是，您可以在接口上 mt- 配置属性，例如 multicast-only 语句。
mtun	内部生成的组播隧道接口。此接口由 Junos OS 生成，用于处理组播隧道服务。它不是一个可配置的接口。
pd-0/0/0	可配置的协议无关组播 （PIM） 解封装接口。在 PIM 稀疏模式下，第一跃点路由器封装发往汇聚点路由器的数据包。数据包用单播标头封装，并通过单播隧道转发到会合点。然后，汇聚点对数据包进行解封，并通过其组播树进行传输。 在路由器中，数据包被路由到此内部接口进行解封装。PIM 解封装接口仅是内部接口，不与物理接口关联。您必须为其配置接口才能执行 PIM 解封装。 注意： 在 SRX 系列防火墙上，此接口类型为 ppd0。
pe-0/0/0	可配置的 PIM 封装接口。在 PIM 稀疏模式下，第一跃点路由器封装发往汇聚点路由器的数据包。数据包用单播标头封装，并通过单播隧道转发到会合点。然后，汇聚点对数据包进行解封，并通过其组播树进行传输。 在路由器中，数据包被路由到此内部接口进行封装。PIM 封装接口只是内部接口，不与物理接口关联。您必须为其配置接口才能执行 PIM 封装。 注意： 在 SRX 系列防火墙上，此接口类型为 ppe0。
pimd	内部生成的 PIM 解封装接口。此接口由 Junos OS 生成，用于处理 PIM 解封装。它不是一个可配置的接口。
pime	内部生成的 PIM 封装接口。此接口由 Junos OS 生成，用于处理 PIM 封装。它不是一个可配置的接口。
vt-0/0/0	可配置的虚拟环路隧道接口。支持基于 MPLS 标签的 VRF 表查找。SRX 系列防火墙不支持此接口类型。 要配置虚拟环路隧道以便于基于 MPLS 标签查找 VRF 表，请指定虚拟环路隧道接口名称，并将其与属于特定路由表的路由实例相关联。数据包通过虚拟环路隧道回传，以查找路由。

从 Junos OS 15.1 版开始，您可以通过 GRE 接口配置第 2 层以太网服务（gr-fpc/pic/port以使用 GRE 封装）。要使第 2 层以太网数据包能够在 GRE 隧道上终止，必须在接口上gr-配置桥接域协议族，并将接口与桥接域相关联gr-。您必须将 GRE 接口配置为面向核心的接口，并且它们必须是接入接口或中继接口。要在接口上gr-配置桥接域族，请在[edit interfaces gr-fpc/pic/port unit logical-unit-number]层次结构级别包含family bridge语句。要将gr-接口与桥接域进行关联，请在[edit routing-instances routing-instance-name bridge-domains bridge-domain-name]层次结构级别包含语interface gr-fpc/pic/port句。您可以通过在[edit bridge-domains bridge-domain-name]层次结构级别添加vlan-id (all | none | number)语句或vlan-id-list [ vlan-id-numbers ]语句，将桥接域中的 GRE 接口与桥接域中的相应 VLAN ID 或 VLAN ID 列表相关联。为网桥域配置的 VLAN ID 必须与您使用语vlan-id (all | none | number)句或vlan-id-list [ vlan-id-numbers ]层次[edit interfaces gr-fpc/pic/port unit logical-unit-number]结构级别的语句为 GRE 接口配置的 VLAN ID 匹配。您还可以在与虚拟交换机实例关联的桥接域中配置 GRE 接口。GRE 密钥选项还支持通过 GRE 隧道的第 2 层以太网数据包。gre-key 匹配条件允许用户匹配 GRE 密钥字段，该字段是 GRE 封装数据包中的可选字段。密钥可以匹配为单个键值和/或一系列键值。

注意：

从 Junos OS 16.1 版开始，支持通过 GRE 接口将第 2 层端口镜像到远程收集器。

• MPC7E-MRATE 数据包转发引擎映射和隧道带宽
• MPC7E-10G 数据包转发引擎映射和隧道带宽
• MX2K-MPC8E 数据包转发引擎映射和隧道带宽
• MX2K-MPC9E 数据包转发引擎映射和隧道带宽
• MPC10E-10C的数据包转发引擎映射和隧道带宽
• MPC10E-15C的数据包转发引擎映射和隧道带宽
• MX2K-MPC11E 数据包转发引擎映射和隧道带宽
• MX10K-LC9600 数据包转发引擎映射和隧道带宽

通过非 MPLS 网络传输的 VPN 需要 GRE 隧道。此隧道可以是静态隧道，也可以是动态隧道。在两个 PE 路由器之间手动配置一个静态隧道。使用 BGP 路由解析配置动态隧道。

当路由器收到通过没有 MPLS 路径的 BGP 下一跃点解析的 VPN 路由时，可以动态创建 GRE 隧道，从而允许将 VPN 流量转发到该路由。仅支持 GRE IPv4 隧道。

要在两个 PE 路由器之间配置动态隧道，请添加 dynamic-tunnels 以下语句：

您可以在以下层级配置此语句：

• [edit routing-options]

• [edit routing-instances routing-instance-name routing-options]

• [edit logical-systems logical-system-name routing-options]

• [edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]