配置防火墙过滤器以解封装 GRE 或 IPIP 流量
通用路由封装 (GRE) 和 IP over IP (IPIP) 都 提供了一个 专用、安全的路径,用于通过封装(或隧道传输)数据包,用于通过网络传输数据包。隧道由封装或解封装流量的隧道端点执行。
您可以使用防火墙过滤器对交换机上的隧道流量进行解封装。此功能在可扩展性、性能和灵活性方面具有显著优势,因为您无需创建隧道接口即可执行解封装。例如,您可以使用一个防火墙术语终止来自多个源 IP 地址的多个隧道。
注:
EX4600、QFX5100 和 OCX 交换机支持多达 512 个 GRE 隧道,包括使用防火墙过滤器创建的隧道。也就是说,无论使用哪种方法,您总共可以创建 512 个 GRE 隧道。
配置过滤器以解封装 GRE 流量
要配置防火墙过滤器以解封装 GRE 流量,请执行以下操作:
配置过滤器以解封装 IPIP 流量
要配置防火墙过滤器以解封装 IPIP 流量,请执行以下操作:
将过滤器应用于接口
创建防火墙过滤器后,还必须将其应用于将接收 GRE 或 IPIP 流量的接口。请务必在输入方向上应用它。例如,输入
[edit ]
user@switch# set interfaces interface-name unit logical-unit-number family inet
filter input filter-name
由于 GRE 或 IPIP 数据包的外部标头必须是 IPv4,因此您必须将过滤器应用于 IPv4 接口并指定 family inet
。