Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:使用基于过滤器的隧道跨 IPv4 传输 IPv6 流量

此示例说明如何配置单向通用路由封装 (GRE) 隧道,以便通过 IPv4 传输网络传输 IPv6 单播传输流量。为了向两个不相交的 IPv6 网络提供网络连接,为两个 MX 系列 5G 通用路由平台配置了可以发起和识别 IPv4 和 IPv6 数据包的接口。此配置不需要在隧道服务物理接口卡 (PIC) 或 MPC3E 模块化端口集中器 (MPC) 上创建隧道接口。而是将防火墙过滤器连接到两个 MX 系列路由器中的模块化接口卡 (MIC) 或 MPC 上托管的以太网逻辑接口。

注:

仅当网络服务设置为 时,PTX 系列路由器才支持基于过滤器的 GRE 隧道。enhanced-mode 有关更多详细信息,请参阅enhanced-mode

要求

此示例使用以下瞻博网络硬件和 Junos OS 软件:

  • 传输网络 — 运行 Junos OS 12.3R2 或更高版本的 IPv4 网络。

  • PE 路由器 — 作为提供商边缘 (PE) 路由器安装的两个 MX80 路由器,将 IPv4 网络连接到两个需要从一个网络到另一个网络的逻辑路径的不相交的 IPv6 网络。

  • 封装接口 — 在封装器(入口 PE 路由器)上,一个在内置 10 千兆以太网 MIC 上配置的以太网逻辑接口。

  • 解封装接口 — 在解封装器(出口 PE 路由器)上,在内置 10 千兆以太网 MIC 的三个端口上配置的以太网逻辑接口。

在开始配置此示例之前:

  1. 在每个 PE 路由器上,使用操作模式命令确定 哪些路由器线卡支持基于过滤器的 GRE IPv4 隧道,然后使用配置语句配置 封装和解封装接口。show chassis fpc pic-statusinterfaces

    • 在封装器 PE1 上,在支持的线卡上配置 一个封装接口 。

    • 在 PE2(解封装器)上,在支持的线卡上配置 三个解封装接口 。

  2. 检查网络中是否启用了 IPv4 路由协议,以支持从封装器到解封装器的路由路径。

    通过手动将静态路由添加到路由表或者配置静态或动态路由共享协议来配置路由信息。有关更多信息,请参阅 《传输和互联网协议用户指南》。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/system-basics/system-management-ip.html

  3. 在 PE1 上,对 PE2 IPv4 环路地址 执行 ping 操作 ,以验证解封装器是否可从封装器访问。ping

  4. 在 PE2 上,对 CE2 路由器 IPv6 环路地址 执行 ping 操作 ,以验证是否可以从解封装器访问目标客户边缘路由器。ping

    从 PE2 到 CE2 的 IPv6 路由路径可由手动添加到路由表中的静态路由或静态或动态路由共享协议提供。

    • 默认情况下,PE2 根据从主路由表导入的接口路由(直接路由)转发数据包。

    • 作为一个选项,解封装过滤器可以指定数据包转发引擎使用备用路由表将有效负载数据包转发到目标客户网络。在本例的可选配置任务中,您可以通过在路由实例 中安装从 PE2 到 C1 的静态路由来指定备用路由表。blue 配置路由信息库 (RIB) 组 以指定与 共享 的 路由信息,然后将 PE2 接口与 存储在默认路由和路由实例中的路由相关联。blue_groupinet6.0blue.inet6.0

概述

在此示例中,您将配置从路由器 PE1 到路由器 PE2 的基于单向过滤器的 GRE IPv4 隧道,提供从 IPv6 网络 C1 到 IPv6 网络 C2 的逻辑路径。

注:

要启用基于过滤器的 双向 GRE 隧道,必须配置相反方向的第二个隧道。

作为此示例中的可选任务,您可以创建一个 RIB 组,该组指定共享多个路由表的路由信息(包括从对等方获知的路由、将协议策略应用于学习的路由而产生的本地路由以及向对等方播发的路由)。

拓扑

图 1 显示了使用基于过滤器的隧道从 PE1 到 PE2 且不需要隧道接口的情况下,通过 IPv4 传输网络从网络 C1 传输到网络 C2 的 IPv6 流量的路径。

图 1: IPv4 网络中从 PE1 到 PE2 的基于过滤器的隧道IPv4 网络中从 PE1 到 PE2 的基于过滤器的隧道

总结了路由器 PE1 作为封装器的配置。 总结了路由器 PE2 作为解封装器的配置。表 1表 2

表 1: PE1 上的封装器组件

组件

CLI 名称

Description

 

 

 

 

封装器

设备名称:IPv4 环回:IPv6 环回:

PE110.255.1.12001:db8::1

作为入口 PE 路由器安装的 MX80 路由器。PE1 将 IPv4 网络与客户边缘路由器 CE1 连接在 IPv6 源网络 C1 中。

封装接口

接口名称:IPv4 地址:IPv6 地址:

xe-0/0/0.010.0.1.10/30::10.34.1.10/120

面向客户的逻辑接口托管在 10 千兆以太网 MIC 上。CE1 发送此接口 IPv6 流量,该流量源自最终用户主机,并发往 IPv6 目标网络 C2 上的应用程序或主机。

封装过滤器

过滤器名称:

gre_encap_1

IPv6 防火墙过滤器,其操作会导致数据包转发引擎使用指定的隧道特征封装匹配的数据包。封装包括添加 GRE 报头、添加 IPv4 数据包报头,然后通过 GRE IPv4 隧道转发生成的 GRE 报头。

隧道源接口

接口名称:IPv4 地址:

xe-0/0/2.010.0.1.12

隧道的面向核心的出口接口。

GRE 隧道模板

隧道名称:

tunnel_1

使用 IPv4 () 支持的隧道协议,定义从路由器 PE1 () 到路由器 PE2() 的 GRE IPv4 隧道。10.255.1.110.255.2.2gre
表 2: PE2 上的解封装器组件

组件

CLI 名称

Description

 

 

 

解封器

设备名称:IPv4 环回:IPv6 环回:

PE210.255.2.22001:fc3::2

作为出口 PE 路由器安装的 MX80 路由器,用于接收从入口路由器 PE1 通过 GRE IPv4 隧道转发的 GRE 数据包。

解封装接口

接口名称:IPv4 地址:

接口名称:IPv4 地址:

接口名称:IPv4 地址:

xe-0/0/0.010.0.2.24/30

xe-0/0/1.010.0.2.21/30

xe-0/0/2.010.0.2.22/30

托管在 10 千兆以太网 MIC 上的面向核心的入口逻辑接口。接口从 PE1 接收通过 GRE IPv4 隧道路由的 GRE 数据包。

解封装过滤器

过滤器名称:

gre_decap_1

将操作应用于 GRE 数据包的 IPv4 防火墙过滤器。decapsulate 过滤器操作会导致数据包转发引擎解封装匹配的数据包。

解封装包括移除外部 GRE 报头,然后通过在默认路由表上执行目标查找,将内部 IPv6 有效负载数据包转发到其在目标 IPv6 网络上的原始目标。

隧道出口接口

接口名称:IPv4 地址:IPv6 地址:

xe-0/0/3.010.0.2.23/30::20.34.2.23/120

面向客户的接口,路由器通过该接口将解封装的 IPv6 数据包转发到目标 IPv6 网络 C2。

配置

要使用基于过滤器的隧道从 PE1 到 PE2,在不配置隧道接口的情况下,通过 IPv4 传输网络将 IPv6 数据包从 CE1 传输到 CE2,请执行以下操作:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI 中。[edit]

配置 PE1 以封装 IPv6 数据包

配置 PE2 以解封装 GRE 数据包

选:使用备用路由表配置 PE2

配置 PE1 以封装 IPv6 数据包

分步过程

要将路由器 PE1 配置为封装从 CE1 传入的 IPv6 数据包,请执行以下操作:

  1. 配置路由器环路地址。

  2. 配置封装接口 IPv4 和 IPv6 地址,并将封装过滤器连接到 IPv6 输入。

  3. 配置隧道面向核心的出口接口。

  4. 定义使数据包转发引擎封装所有数据包的 IPv6 防火墙过滤器。

    注:

    防火墙过滤器操作是终止过滤器操作。encapsulate 过滤器终止操作会停止对特定数据包的防火墙过滤器的所有评估。路由器执行指定的操作,并且不检查其他术语。

  5. 定义名为 tunnel_1 的 GRE IPv4 隧道模板,该模板指定一个隧道源接口和三个隧道目标接口的主机 IP 地址。

    注:

    如果使用 GRE 选项 唯一标识每个隧道,则可以从 10.0.1.10(PE1 上的隧道源接口)到 10.0.2.20 – 10.0.2.22(PE2 上的解封装接口)之间隧道传输多个不同的流量。key number

  6. 如果完成设备配置,请提交配置。

成果

在配置模式下,输入 show firewallshow interfaces 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

路由器 PE1

确认封装器上的防火墙过滤器和隧道模板。

路由器 PE1

确认封装器上的接口。

配置 PE2 以解封装 GRE 数据包

分步过程

要将路由器 PE2 配置为解封装从 IPv4 隧道传入的 GRE 数据包,请执行以下操作:

  1. 配置路由器环路地址。

  2. 配置解封装接口。

  3. 将面向客户的出口接口配置为 CE2。

  4. 将入口解封装防火墙过滤器应用于所有转发的数据包。

  5. 定义 IPv4 过滤器 。gre_decap_1

    定义一个 IPv4 过滤器,用于解封装和转发所有 GRE 数据包。

  6. 配置术语 以匹配通过路由器 PE1 上定义的隧道 传输的数据包。t1tunnel_1 隧道将数据包从路由器 PE1(配置了 IPv4 环路地址 10.255.1.1)发送到路由器 PE2(配置了 IPv4 环路地址 10.255.2.2)。

  7. 配置术语 以对匹配的数据包进行计数和解封装。t1

    如果解封装过滤器操作 引用 路由实例,请确保已配置路由实例,并且 RIB 组 定义将备用路由共享到主表中。decapsulateblueblue_group

  8. 如果完成设备配置,请提交配置。

成果

在配置模式下,输入 、 和 命令确认您的配置。show firewallshow forwarding-optionsshow interfaces 如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

路由器 PE2

确认解封装器上的防火墙过滤器。

注:

如果解封装过滤器操作 引用 路由实例,请确保已配置路由实例,并且 RIB 组 定义将备用路由共享到主表中。decapsulateblueblue_group

路由器 PE2

确认解封装器上的转发选项(用于将解封装防火墙过滤器连接到所有输入转发的数据包)。

路由器 PE2

确认解封装器上的接口。

选:使用备用路由表配置 PE2

分步过程

要使用备用路由表配置路由器 PE2:

  1. 配置路由实例 ,并将静态路由添加到 CE2。blue

    Junos OS 软件使用在实例中获知的路由信息生成路由表 。blue.inet6.0

  2. 使路由保留在路由和转发表中,即使路由变为非活动状态也是如此。这允许静态路由在下一跃点不可用时保留在表中。

  3. 通过显式创建默认路由表来创建 RIB 组。

  4. 定义 RIB 组 。blue_group

    在语句中 ,首先指定主路由表。import-rib

  5. 将路由器接口与 RIB 组指定的路由信息相关联。

  6. 如果完成设备配置,请提交配置。

成果

在配置模式下,输入 、 和 命令确认您的配置。show firewallshow routing-instancesshow routing-options 如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

路由器 PE2

如果您在路由器 PE2 上配置了备用路由表,请确认路由实例配置。

路由器 PE2

如果您在路由器 PE2 上配置了备用路由表,请确认 RIB 组和直接路由配置。

验证

确认配置工作正常。

验证路由信息

目的

验证直接路由是否包含备用路由表信息。

操作

要执行验证,请执行以下操作:

  1. (可选)要验证 PE2 上的路由实例,请使用操作模式命令显示该路由实例的主表和路由数。blueshow route instance

  2. (可选)要查看与 PE2 上的路由实例 关联的路由表,请使用 操作模式命令blueshow route table

  3. (可选)要验证路由实例蓝色中的备用路由是否已导入到 PE2 转发表,请使用 操作模式命令显示路由器转发表和路由实例转发表的内容。show route forwarding-table

验证 PE1 上的封装

目的

验证 PE1 上的封装接口。

操作

要执行验证,请执行以下操作:

  1. 使用操作模式命令验证封装防火墙过滤器是否已连接到封装接口的入口。show interfaces filters

  2. 使用 操作模式命令验证封装接口是否正在接收数据包。show interfaces

  3. 使用操作模式命令验证入口乘客协议流量是否触发了封装过滤器。show firewall filter

意义

如果封装过滤器连接到封装接口,并且封装接口接收乘客协议流量,并且防火墙过滤器统计信息显示入口乘客协议流量正在封装,则 GRE 数据包将通过隧道转发。

验证 PE2 上的解封装

目的

验证 PE2 上的解封装接口。

操作

要执行验证,请执行以下操作:

  1. 在 PE1 上,使用操作模式命令验证 PE2 是否可访问。ping

  2. 在 PE2 上,使用操作模式命令验证 解封装防火墙过滤器是否已连接到解封装接口的入口。show interfaces filter

  3. 在 PE2 上,使用操作模式命令验证 解封装接口是否正在接收数据包。show interfaces

    根据路由的配置方式以及哪些链路已打开,哪些链路处于关闭状态,尽管隧道运行正常,但某些解封装接口可能无法接收数据包。

  4. 在 PE2 上,使用操作模式命令验证 入口 GRE 流量是否触发了解封装过滤器。show firewall filter

意义

验证确认封装器的以下操作状态和活动:

  • PE2 可从 PE1 访问。

  • 解封装过滤器连接到所有解封装接口的输入端。

  • 解封装器按预期在解封装接口上接收流量。

  • 在解封装接口接收的 GRE 数据包会触发解封装防火墙过滤器操作。

相关主题