Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置防火墙过滤器以解封装 GRE 或 IPIP 流量

通用路由封装 (GRE) 和 IP over IP (IPIP) 都 提供了一个 专用、安全的路径,用于通过封装(或隧道传输)数据包,用于通过网络传输数据包。隧道由封装或解封装流量的隧道端点执行。

您可以使用防火墙过滤器对交换机上的隧道流量进行解封装。此功能在可扩展性、性能和灵活性方面具有显著优势,因为您无需创建隧道接口即可执行解封装。例如,您可以使用一个防火墙术语终止来自多个源 IP 地址的多个隧道。

注:

EX4600、QFX5100 和 OCX 交换机支持多达 512 个 GRE 隧道,包括使用防火墙过滤器创建的隧道。也就是说,无论使用哪种方法,您总共可以创建 512 个 GRE 隧道。

配置过滤器以解封装 GRE 流量

要配置防火墙过滤器以解封装 GRE 流量,请执行以下操作:

  1. 创建 IPv4 防火墙过滤器并(可选)指定隧道的源地址:

    您必须使用 创建 family inet IPv4 筛选器,因为 GRE 数据包的外部标头必须是 IPv4。如果指定源地址,则该地址应该是设备上将流量封装到 GRE 数据包中的地址。

    注:

    要使用一个防火墙术语从多个源 IP 地址终止多个隧道,请不要配置源地址。在这种情况下,过滤器将解封装您应用过滤器的接口接收的任何 GRE 数据包。

  2. 指定隧道的目标地址:

    这应该是交换机接口 上的地址,您希望在其上终止一个或多个隧道并解封装 GRE 数据包。您还应将此地址配置为交换机上 要与之形成隧道的所有隧道源路由器上的隧道端点。

  3. 指定过滤器应匹配并接受 GRE 流量:
  4. 指定过滤器应解封装 GRE 流量:

    根据您目前执行的配置,交换机会将内部报头与默认路由表 ()inet0 进行比较,转发已解封装的数据包。如果希望交换机使用虚拟路由实例转发解封装的数据包,请执行以下步骤:

  5. 指定虚拟路由实例的名称:
  6. 将虚拟路由实例指定为虚拟路由器:
  7. 指定属于虚拟路由器的接口:

配置过滤器以解封装 IPIP 流量

要配置防火墙过滤器以解封装 IPIP 流量,请执行以下操作:

  1. 创建 IPv4 防火墙过滤器并(可选)指定隧道的源地址:

    必须使用 创建 family inet IPv4 筛选器,因为 IPIP 数据包的外部标头必须是 IPv4。如果指定源地址,则该地址应该是设备上将流量封装到 IPIP 数据包中的地址。

    注:

    要使用一个防火墙术语从多个源 IP 地址终止多个隧道,请不要配置源地址。在这种情况下,过滤器将解封装您应用过滤器的接口接收的任何 IPIP 数据包。

  2. 指定隧道的目标地址:

    这应该是交换机接口 上的地址,您希望在其上终止一个或多个隧道以及要解封装的 IPIP 数据包。您还应将此地址配置为交换机上 要与之形成隧道的所有隧道源路由器上的隧道端点。

  3. 指定过滤器应匹配并接受 IPIP 流量:
  4. 指定过滤器应解封装 IPIP 流量:

    根据您目前执行的配置,交换机会将内部报头与默认路由表 ()inet0 进行比较,转发已解封装的数据包。如果希望交换机使用虚拟路由实例转发解封装的数据包,请执行以下步骤:

  5. 指定虚拟路由实例的名称:
  6. 将虚拟路由实例指定为虚拟路由器:
  7. 指定属于虚拟路由器的接口:

将过滤器应用于接口

创建防火墙过滤器后,还必须将其应用于将接收 GRE 或 IPIP 流量的接口。请务必在输入方向上应用它。例如,输入

由于 GRE 或 IPIP 数据包的外部标头必须是 IPv4,因此您必须将过滤器应用于 IPv4 接口并指定 family inet