了解跨 IPv4 网络的基于过滤器的隧道
了解跨 IPv4 网络的基于过滤器的隧道
通用路由封装 (GRE) 最简单的形式是将任何网络层协议封装到任何其他网络层协议之上,以连接它们之间缺少本机路由路径的脱节网络。它是一种无连接和无状态的第 3 层封装协议,不提供可靠性、流量控制或排序机制。
GRE 隧道使用标准 防火墙过滤器 操作启动。如果隧道目标是可路由的,则流量流经隧道。对于 MX 系列路由器,逻辑系统也支持此功能。
对于 MX 系列 5G 通用路由平台,使用防火墙过滤器配置 GRE 隧道时,无需在隧道服务物理接口卡 (PIC) 或 MPC3E 模块化端口集中器 (MPC) 上创建隧道接口。相反,模块化接口卡 (MIC) 或 MPC 上的 PFE 处理 GRE 有效负载封装和解封装,并为相关接口提供隧道服务。因此,可以将一对 MX 系列路由器安装为提供商边缘 (PE) 路由器,以提供与两个不相交网络上的客户边缘 (CE) 路由器的连接。
对于 PTX 系列路由器,必须将网络服务设置为 , 基于过滤器的 GRE 隧道才能正常工作。enhanced-mode 有关 PTX 上基于过滤器的隧道的详细信息,请参见 。tunnel-end-point
入口 PE 路由器上的入口防火墙过滤器
在入口 PE 路由器上,您可以配置指定单向 GRE 隧道的隧道定义。对于具有 MIC 或 MPC 入口 逻辑接口的 MX 系列路由器,您可以连接封装防火墙过滤器。防火墙过滤器操作引用隧道定义并启动匹配数据包的封装。封装过程将 IPv4 报头和 GRE 报头附加到有效负载数据包,然后将生成的 GRE 报头转发到过滤器指定的隧道。
出口 PE 路由器上的入口防火墙过滤器
在出口 PE 路由器上,将解封装防火墙过滤器连接到作为路由器播发地址的所有 MIC 或 MPC 逻辑接口的输入。防火墙过滤器启动 GRE 协议数据包的解封装。解封装会移除内部 GRE 标头,然后将原始有效负载数据包转发到其在目标客户网络上的原始目标。如果操作指定了可选路由实例,则将使用该辅助表而不是主表执行路由查找。
跨 IPv4 网络的基于过滤器的隧道的特征
跨 IPv4 网络的基于过滤器的隧道是单向的。它们仅传输传输数据包,不需要隧道接口。
单向隧道
要使用基于过滤器的 GRE 隧道,请首先在每个隧道端点的入口处( 入口 PE 路由器和出口 PE 路由器)附加标准防火墙过滤器。在入口 PE 路由器的输入处,应用封装防火墙过滤器。在出口 PE 路由器的输入处,应用解封装防火墙过滤器。
双向隧道
对于双向 GRE 隧道,您可以使用同一对 PE 路由器,但必须配置反向的第二个隧道。
传输流量有效负载
基于过滤器的 GRE IPv4 隧道只能传输单播或组播传输流量有效负载。过滤器启动的封装和解封装操作在以太网逻辑接口和聚合以太网接口的 PFE 上执行。与使用隧道接口的 GRE 隧道相比,此设计可以更有效地使用 PFE 带宽。不能在基于防火墙的隧道之上配置路由协议会话。
PFE 使用本地存储的转发表(路由引擎 (RE) 信息的本地副本)在输入接口和输出接口之间转发数据包,从而在 转发平面 中运行,以处理数据包。
另一方面,RE 在控制平面中运行,以处理系统管理、用户对路由器的访问以及路由协议、路由器接口控制和某些机箱组件 控制 的进程。Junos OS 架构将这些平面的功能分开,以实现平台支持的灵活性和平台性能的可扩展性。入口控制数据包被定向到控制平面,其中 PFE 的 GRE 封装和解封装过程不可用。
尽管您可以将防火墙过滤器应用于环路地址,但路由器环路接口不支持 GRE 封装和解封装防火墙过滤器操作。
适用于多个 GRE 隧道的紧凑型配置
防火墙过滤器支持各种匹配标准,并且能够终止与单个防火墙过滤器定义中指定的标准的多个 GRE 隧道。通过创建多个隧道(每个隧道都有自己的一组匹配条件),您可以创建不会干扰客户 GRE 数据包或彼此干扰的隧道,并在解封装后将数据包重新注入到单独的路由表。
使用防火墙过滤器建立隧道和使用隧道接口建立隧道
使用隧道接口的隧道支持路由器控制流量和传输流量以及加密。使用防火墙过滤器的隧道则不会。但是,使用防火墙过滤器建立隧道确实在性能和扩展方面提供了优势。
转发性能
与使用隧道接口的 GRE 隧道相比,跨 IPv4 网络的基于过滤器的隧道可以更有效地使用 PFE 带宽。封装、解封装和路由查找是数据包标头处理活动,对于基于防火墙过滤器的隧道,这些活动在 PFE 上执行。因此,封装器永远不需要将有效负载数据包发送到单独的隧道接口(该接口可能驻留在与接收有效负载数据包的接口不同的插槽中的 PIC 上)。