Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置防火墙过滤器以反封装 GRE 信息流

通用路由封装(GRE)提供私有、安全路径,通过网络封装(或通道)数据包来传输数据包。GRE 隧道由封装或反封装信息流的通道端点执行。

您可以使用防火墙过滤器来取消封装交换机上的 GRE 流量。此功能在可扩展性、性能和灵活性方面提供了显著的优势,因为您无需创建通道接口即可执行反封装。例如,您可以使用一个防火墙术语终止多个源 IP 地址的许多隧道。

注:

EX4600、QFX5100 和 OCX 交换机支持多达 512 GRE 隧道,包括使用防火墙过滤器创建的隧道。也就是说,无论使用哪种方法,都可以创建总 512 GRE 隧道。

配置过滤器以反封装 GRE 信息流

要配置防火墙过滤器以消除 GRE 流量的封装:

  1. 创建 IPv4 防火墙过滤器和(可选)指定通道的源地址:

    您必须使用family inet来创建 ipv4 过滤器,因为 GRE 数据包的外部报头必须为 IPv4。如果指定源地址,则它应该是将信息流封装到 GRE 数据包的设备上的地址。

    注:

    要使用一个防火墙术语终止多个源 IP 地址的多个隧道,请不要配置源地址。在这种情况下,过滤器将对您应用过滤器的接口所接收的任何 GRE 数据包进行反封装。

  2. 指定隧道的目标地址:

    这应该是要终止通道或隧道的交换机接口上的地址,以及要解除封装的 GRE 数据包。您还应将此地址配置为所有隧道源路由器上的隧道终结点,您希望使用交换机形成隧道。

  3. 指定过滤器应匹配并接受 GRE 流量:
  4. 指定过滤器应取消封装 GRE 信息流:

    根据到目前为止执行的配置,交换机通过将内部报头与默认路由表(inet0)进行比较来转发已封装的数据包。如果您希望交换机使用虚拟路由实例来转发已压缩的数据包,请执行以下步骤:

  5. 指定虚拟路由实例的名称:
  6. 指定虚拟路由实例是虚拟路由器:
  7. 指定属于虚拟路由器的接口:

将过滤器应用于接口

创建防火墙过滤器之后,还必须将其应用于将接收 GRE 流量的接口。确保在输入方向上应用它。例如,输入

由于 GRE 数据包的外部标头必须为 IPv4,因此必须将过滤器应用于 IPv4 接口并指定family inet