Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Generic-Routing-Encapsulation (GRE)

Generic Routing Encapsulation (GRE) ist eine virtuelle Punkt-zu-Punkt-Verbindung, die den Datenverkehr in einem Tunnel kapselt. In den folgenden Themen werden das Tunneling von GRE, der Kapselungs- und Entkapselungsprozess, die Konfiguration von GREs und die Überprüfung der Funktionsweise von GREs erläutert.

Grundlegendes zur generischen Routing-Kapselung

Generic-Routing-Encapsulation (GRE) bietet einen privaten Pfad für den Transport von Paketen durch ein ansonsten öffentliches Netzwerk durch Kapselung (oder Tunneling) der Pakete.

In diesem Thema wird Folgendes beschrieben:

GRE im Überblick

GRE kapselt Datenpakete und leitet sie an ein Gerät weiter, das sie entkapselt und an ihr endgültiges Ziel weiterleitet. Auf diese Weise können die Quell- und Ziel-Switches so arbeiten, als hätten sie eine virtuelle Punkt-zu-Punkt-Verbindung miteinander (da der äußere Header, der von GRE angewendet wird, für das eingekapselte Nutzlastpaket transparent ist). Beispielsweise ermöglichen GRE-Tunnel Routing-Protokollen wie RIP und OSPF, Datenpakete von einem Switch über das Internet an einen anderen Switch weiterzuleiten. Darüber hinaus können GRE-Tunnel Multicast-Datenströme für die Übertragung über das Internet kapseln.

GRE wird in RFC 2784 beschrieben (veraltet frühere RFCs 1701 und 1702). Die Switches unterstützen RFC 2784, aber nicht vollständig. (Eine Liste der Einschränkungen finden Sie unter Konfigurationseinschränkungen.)

Als Tunnelquell-Router kapselt der Switch ein Nutzlastpaket für den Transport durch den Tunnel zu einem Zielnetzwerk ein. Das Nutzlastpaket wird zuerst in ein GRE-Paket gekapselt, und dann wird das GRE-Paket in ein Übermittlungsprotokoll eingekapselt. Der Switch, der die Rolle eines Tunnel-Remote-Routers übernimmt, extrahiert das getunnelte Paket und leitet es an sein Ziel weiter. Beachten Sie, dass Sie einen einzigen Firewallbegriff verwenden können, um viele GRE-Tunnel auf einem QFX5100-Switch zu beenden.

GRE-Tunneling

Die Daten werden vom System über die in der Routing-Tabelle festgelegten Routen an den GRE-Endpunkt weitergeleitet. (Diese Routen können statisch konfiguriert oder durch Routing-Protokolle wie RIP oder OSPF dynamisch erlernt werden.) Wenn ein Datenpaket vom GRE-Endpunkt empfangen wird, wird es entkapselt und wieder an seine Zieladresse weitergeleitet.

GRE-Tunnel sind zustandslos, d. h., der Endpunkt des Tunnels enthält keine Informationen über den Status oder die Verfügbarkeit des Remotetunnelendpunkts. Daher kann der Switch, der als Tunnelquellrouter fungiert, den Status der GRE-Tunnelschnittstelle nicht in "Down" ändern, wenn der Remote-Endpunkt nicht erreichbar ist.

Weitere Informationen zum GRE-Tunneling finden Sie unter:

Kapselung und Entkapselung am Switch

Kapselung: Ein Switch, der als Tunnelquellrouter fungiert, kapselt GRE-Pakete wie folgt ein und leitet sie weiter:

  1. Wenn ein Switch ein Datenpaket (Nutzlast) erhält, das getunnelt werden soll, sendet er das Paket an die Tunnelschnittstelle.

  2. Die Tunnelschnittstelle kapselt die Daten in einem GRE-Paket ein und fügt einen äußeren IP-Header hinzu.

  3. Das IP-Paket wird auf Basis der Zieladresse im äußeren IP-Header weitergeleitet.

Entkapselung: Ein Switch, der als Tunnel-Remote-Router arbeitet, behandelt GRE-Pakete wie folgt:

  1. Wenn der Ziel-Switch das IP-Paket von der Tunnelschnittstelle empfängt, werden der äußere IP-Header und der GRE-Header entfernt.

  2. Das Paket wird basierend auf dem inneren IP-Header geroutet.

Anzahl der Quell- und Zieltunnel, die auf einem Switch zulässig sind

Switches der QFX5100- und OCX-Serie unterstützen bis zu 512 GRE-Tunnel, einschließlich Tunnel, die mit einem Firewall-Filter erstellt wurden. Das heißt, Sie können insgesamt 512 GRE-Tunnel erstellen, unabhängig davon, welche Methode Sie verwenden.

EX-Switches unterstützen bis zu 500 GRE-Tunnel zwischen Switches, die IPv4- oder IPv6-Nutzlastpakete über GRE übertragen. Wenn zusätzlich zu IPv4 und IPv6 ein Passagierprotokoll verwendet wird, können Sie bis zu 333 GRE-Tunnel zwischen den Switches konfigurieren.

Auf einem EX-Switch können maximal 20 Tunnel-Quell-IP-Adressen konfiguriert werden, und jede Tunnel-Quell-IP kann mit bis zu 20 Ziel-IP-Adressen auf einem zweiten Switch konfiguriert werden. Dadurch können die beiden verbundenen Switches maximal 400 GRE-Tunnel haben. Wenn der erste Switch auch mit einem dritten Switch verbunden ist, beträgt die mögliche maximale Anzahl von Tunneln 500.

Class of Service für GRE-Tunnel

Wenn es in einem Netzwerk zu Überlastungen und Verzögerungen kommt, können einige Pakete verloren gehen. Junos OS Class-of-Service (CoS) unterteilt den Datenverkehr in Klassen, auf die Sie bei Überlastung unterschiedliche Durchsatz- und Paketverluststufen anwenden und dadurch Regeln für Paketverluste festlegen können. Weitere Informationen zu CoS finden Sie unter Übersicht über Junos OS CoS für Switches der EX-Serie.

Die folgenden CoS-Komponenten sind auf einem Switch verfügbar, der als GRE-Tunnelquellrouter oder GRE-Tunnel-Remote-Router fungiert:

  • An der GRE-Tunnelquelle: Auf einem Switch, der als Tunnelquell-Router fungiert, können Sie CoS-Klassifizierer auf einen Eingangsport oder auf einen GRE-Port anwenden, mit den folgenden Ergebnissen für die CoS-Komponentenunterstützung für getunnelte Pakete:

    • Nur Scheduler: Basierend auf der CoS-Klassifizierung auf dem Eingangsport können Sie CoS-Scheduler auf einen GRE-Port des Switches anwenden, um Ausgabewarteschlangen zu definieren und die Übertragung von Paketen durch den Tunnel nach der GRE-Kapselung zu steuern. Sie können jedoch keine CoS-Rewrite-Regeln auf diese Pakete anwenden.

    • Scheduler und Rewrite-Regeln: Abhängig von der CoS-Klassifizierung am GRE-Port können Sie sowohl Scheduler als auch Rewrite-Regeln auf die durch den Tunnel übertragenen gekapselten Pakete anwenden.

    Anmerkung:

    BA-Klassifikatoren können nicht für gr- Schnittstellen konfiguriert werden. Sie müssen den Datenverkehr auf gr- Schnittstellen mithilfe von Firewall-Filtern (Multifield-Klassifikatoren) klassifizieren.

  • Am GRE-Tunnelendpunkt: Wenn es sich bei dem Switch um einen Tunnel-Remote-Router handelt, können Sie CoS-Klassifizierer auf den GRE-Port und Scheduler anwenden und Regeln auf den Ausgangsport umschreiben, um die Übertragung eines entkapselten GRE-Pakets vom Ausgangsport aus zu steuern.

Anwenden von Firewall-Filtern auf GRE-Datenverkehr

Firewall-Filter stellen Regeln bereit, die definieren, ob Pakete, die eine Schnittstelle auf einem Switch durchlaufen, zugelassen, verweigert oder weitergeleitet werden sollen. (Weitere Informationen finden Sie unter Übersicht über Firewall-Filter für Switches der EX-Serie.) Aufgrund der von GRE durchgeführten Kapselung und Entkapselung sind Sie darauf beschränkt, wo Sie einen Firewallfilter zum Filtern von getunnelten Paketen anwenden können und welcher Header betroffen ist. In Tabelle 1 sind diese Einschränkungen aufgeführt.

Tabelle 1: Anwendungspunkte des Firewall-Filters für getunnelte Pakete

Endpunkttyp

 Eingangsschnittstelle Ausgangsschnittstelle

Quelle (kapselnd)

Innerer Header

Äußerer Header

Remote (Entkapselung)

Pakete auf der Eingangsschnittstelle können nicht gefiltert werden

Innerer Header

Verwenden eines Firewall-Filters zur Aufhebung der Kapselung des GRE-Datenverkehrs auf Switches der QFX5100-, QFX10000- und OCX-Serie

Sie können auch einen Firewall-Filter verwenden, um den GRE-Datenverkehr auf Switches zu entkapseln. Diese Funktion bietet erhebliche Vorteile in Bezug auf Skalierbarkeit, Leistung und Flexibilität, da Sie keine Tunnelschnittstelle erstellen müssen, um die Entkapselung durchzuführen. Sie können z. B. viele Tunnel von mehreren Quell-IP-Adressen mit einem einzigen Firewallbegriff beenden. Weitere Informationen zum Konfigurieren eines Firewallfilters für diesen Zweck finden Sie unter Konfigurieren eines Firewallfilters zum Aufheben der Kapselung von GRE-Datenverkehr .

Konfigurationseinschränkungen

Tabelle 2 listet Funktionen auf, die von GRE nicht unterstützt werden.

Tabelle 2: Funktionen, die von GRE nicht unterstützt werden
EX-Switches QFX-Switches

MPLS über GRE-Tunnel

MPLS über GRE-Tunnel

GRE-Erinnerungsstücke

GRE-Erinnerungsstücke

GRE-Schlüssel, Nutzdatenpaketfragmentierung und Sequenznummern für fragmentierte Pakete

GRE-Schlüssel, Nutzdatenpaketfragmentierung und Sequenznummern für fragmentierte Pakete

Dynamische BGP-Tunnel

Dynamische BGP-Tunnel

Die äußere IP-Adresse muss IPv4 sein

Die äußere IP-Adresse muss IPv4 sein

Auf Switches der QFX10002-, QFX10008- und QFX5K-Serie Wenn Sie GRE-Tunneling mit dem zugrunde liegenden ECMP-Next-Hop anstelle eines Unicast-Next-Hop konfigurieren, schlägt die GRE-Tunnelkapselung fehl und der Netzwerkdatenverkehr wird unterbrochen

Bidirectional Forwarding Detection (BFD)-Protokoll über verteilten GRE-Modus

OSPF-Einschränkung: Durch die Aktivierung von OSPF auf einer GRE-Schnittstelle werden zwei Routen zu gleichen Kosten zum Ziel erstellt: eine über das Ethernet-Netzwerk oder die Uplink-Schnittstelle und die andere über die Tunnelschnittstelle. Wenn Daten über die Tunnelschnittstelle geleitet werden, kann der Tunnel fehlschlagen. Um die Schnittstelle betriebsbereit zu halten, wird empfohlen, eine statische Route zu verwenden, OSPF auf der Tunnelschnittstelle zu deaktivieren oder den Peer so zu konfigurieren, dass das Tunnelziel nicht über die Tunnelschnittstelle angekündigt wird.

Die Switches der QFX-Serie unterstützen nicht die Konfiguration der GRE-Schnittstelle und der zugrunde liegenden Tunnelquellschnittstelle in zwei verschiedenen Routing-Instanzen. Wenn Sie diese Konfiguration versuchen, führt dies zu einem Commit-Fehler.

Siehe auch

Konfigurieren von Generic-Routing-Encapsulation Tunneling

Generic-Routing-Encapsulation (GRE) bietet einen privaten Pfad für den Transport von Paketen durch ein ansonsten öffentliches Netzwerk durch Kapselung (oder Tunneling) der Pakete. GRE-Tunneling wird über Tunnelendpunkte erreicht, die den Datenverkehr kapseln oder entkapseln.

Sie können auch einen Firewall-Filter verwenden, um den GRE-Datenverkehr auf Switches der QFX5100- und OCX-Serie zu entkapseln. Diese Funktion bietet erhebliche Vorteile in Bezug auf Skalierbarkeit, Leistung und Flexibilität, da Sie keine Tunnelschnittstelle erstellen müssen, um die Entkapselung durchzuführen. Sie können z. B. viele Tunnel von mehreren Quell-IP-Adressen mit einem einzigen Firewallbegriff beenden. Weitere Informationen zu dieser Funktion finden Sie unter Konfigurieren eines Firewallfilters zum Aufheben der Kapselung des GRE-Datenverkehrs.

So konfigurieren Sie einen GRE-Tunnel-Port auf einem Switch:

  1. Bestimmen Sie den Netzwerk- oder Uplink-Port auf Ihrem Switch, der in einen GRE-Tunnel-Port umgewandelt werden soll.

  2. Konfigurieren Sie den Port als Tunnelport für GRE-Tunnelservices:

Anmerkung:

Für QFX10000 wird standardmäßig die Schnittstelle gr-0/0/0 erstellt. Außerdem müssen Sie die set fpc slot pic pic-number tunnel-port port-number tunnel-servicesAnweisung nicht konfigurieren.

In diesem Thema wird Folgendes beschrieben:

Konfigurieren eines GRE-Tunnels

So konfigurieren Sie eine GRE-Tunnelschnittstelle:

  1. Erstellen Sie eine GRE-Schnittstelle mit einer Einheitennummer und Adresse:
    Anmerkung:

    Der Basisname der Schnittstelle muss .gr-0/0/0

    Dies ist eine Pseudoschnittstelle, und die Adresse, die Sie angeben, kann eine beliebige IP-Adresse sein. In der Routing-Tabelle muss als ausgehende Schnittstelle für alle Pakete angegeben gr-0/0/0.x werden, für die Tunnel durchgeführt werden.

    Wenn Sie eine GRE-Schnittstelle auf einem QFX5100-Switch konfigurieren, der Mitglied eines Virtual Chassis ist, und später die Virtual Chassis-Mitgliedsnummer des Switches ändern, ändert sich der Name der GRE-Schnittstelle in keiner Weise (da es sich um eine Pseudoschnittstelle handelt). Wenn Sie z. B. die Mitgliedsnummer von 0 in ändern 5, ändert sich der Name der GRE-Schnittstelle nicht von gr-0/0/0.x in gr-5/0/0.x.

  2. Geben Sie die Tunnelquelladresse für die logische Schnittstelle an:
  3. Geben Sie die Zieladresse an:

    Die Zieladresse muss über statisches oder dynamisches Routing erreichbar sein. Wenn Sie statisches Routing verwenden, müssen Sie die MAC-Adresse des Ziels abrufen (z. B. mithilfe von ping), bevor der Benutzerdatenverkehr durch den Tunnel weitergeleitet werden kann.

Anmerkung:

Wenn Sie auf QFX10002- und QFX10008-Switches GRE-Tunneling mit dem zugrunde liegenden ECMP-Next-Hop anstelle von Unicast-Next-Hop konfigurieren, schlägt die GRE-Tunnelkapselung fehl und der Netzwerkdatenverkehr wird verworfen.
Anmerkung:

Indirekte ausgehende Next-Hops werden in der GRE-Implementierung für QFX10000-Switches derzeit nicht unterstützt.

Siehe auch

Überprüfen, ob das Generic-Routing-Encapsulation-Tunneling ordnungsgemäß funktioniert

Zweck

Stellen Sie sicher, dass die GRE-Schnittstelle (Generic Routing Encapsulation) getunnelten Datenverkehr sendet.

Aktion

Zeigen Sie Statusinformationen über die angegebene GRE-Schnittstelle mit dem Befehl show interfaces an.

Bedeutung

Die Ausgabe zeigt an, dass die GRE-Schnittstelle gr-0/0/0 aktiv ist. Die Ausgabe zeigt den Namen der physischen Schnittstelle und die Datenverkehrsstatistiken für diese Schnittstelle an--- die Anzahl und die Rate, mit der Eingabe- und Ausgabebytes und Pakete auf der physischen Schnittstelle empfangen und übertragen werden.