Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Generische Routing-Kapselung (GRE)

Generic Routing Encapsulation (GRE) ist eine virtuelle Punkt-zu-Punkt-Verbindung, die den Datenverkehr in einem Tunnel kapselt. In den folgenden Themen werden das Tunneling von GRE, der Kapselungs- und Entkapselungsprozess, die Konfiguration von GREs und die Überprüfung der Funktionsweise von GREs erläutert.

Grundlegendes zur generischen Routingkapselung

Generic Routing Encapsulation (GRE) bietet einen privaten Pfad für den Transport von Paketen durch ein ansonsten öffentliches Netzwerk, indem die Pakete gekapselt (oder getunnelt) werden.

In diesem Thema wird Folgendes beschrieben:

Überblick über GRE

GRE kapselt Datenpakete und leitet sie an ein Gerät weiter, das sie entkapselt und an ihr endgültiges Ziel weiterleitet. Dadurch können die Quell- und Ziel-Switches so funktionieren, als hätten sie eine virtuelle Punkt-zu-Punkt-Verbindung miteinander (da der von GRE angewendete äußere Header für das gekapselte Nutzlastpaket transparent ist). Beispielsweise ermöglichen GRE-Tunnel Routing-Protokollen wie RIP und OSPF, Datenpakete über das Internet von einem Switch zu einem anderen Switch weiterzuleiten. Darüber hinaus können GRE-Tunnel Multicast-Datenströme für die Übertragung über das Internet kapseln.

GRE wird in RFC 2784 beschrieben (veraltet frühere RFCs 1701 und 1702). Die Switches unterstützen RFC 2784, jedoch nicht vollständig. (Eine Liste der Einschränkungen finden Sie unter Konfigurationseinschränkungen.)

Als Tunnelquell-Router kapselt der Switch ein Nutzlastpaket für den Transport durch den Tunnel zu einem Zielnetzwerk. Das Nutzlastpaket wird zuerst in ein GRE-Paket gekapselt, und dann wird das GRE-Paket in ein Übermittlungsprotokoll gekapselt. Der Switch, der die Rolle eines Tunnel-Remote-Routers übernimmt, extrahiert das getunnelte Paket und leitet es an sein Ziel weiter. Beachten Sie, dass Sie einen Firewallbegriff verwenden können, um viele GRE-Tunnel auf einem QFX5100 Switch zu beenden.

GRE-Tunneling

Daten werden vom System über Routen, die in der Routing-Tabelle festgelegt sind, an den GRE-Endpunkt weitergeleitet. (Diese Routen können statisch konfiguriert oder dynamisch durch Routing-Protokolle wie RIP oder OSPF erlernt werden.) Wenn ein Datenpaket vom GRE-Endpunkt empfangen wird, wird es entkapselt und erneut an seine Zieladresse geroutet.

GRE-Tunnel sind zustandslos, d. h., der Endpunkt des Tunnels enthält keine Informationen über den Status oder die Verfügbarkeit des Remotetunnelendpunkts. Daher kann der Switch, der als Tunnelquell-Router fungiert, den Status der GRE-Tunnelschnittstelle nicht in "Down" ändern, wenn der Remote-Endpunkt nicht erreichbar ist.

Ausführliche Informationen zum GRE-Tunneling finden Sie unter:

Kapselung und Entkapselung am Switch

Kapselung: Ein Switch, der als Tunnelquell-Router fungiert, kapselt GRE-Pakete wie folgt und leitet sie weiter:

  1. Wenn ein Switch ein Datenpaket (Nutzlast) empfängt, das getunnelt werden soll, sendet er das Paket an die Tunnelschnittstelle.

  2. Die Tunnelschnittstelle kapselt die Daten in einem GRE-Paket und fügt einen äußeren IP-Header hinzu.

  3. Die Weiterleitung des IP-Pakets erfolgt auf Basis der Zieladresse im äußeren IP-Header.

Entkapselung: Ein Switch, der als Tunnel-Remote-Router fungiert, verarbeitet GRE-Pakete wie folgt:

  1. Wenn der Ziel-Switch das IP-Paket von der Tunnelschnittstelle empfängt, werden der äußere IP-Header und der GRE-Header entfernt.

  2. Das Paket wird basierend auf dem inneren IP-Header geroutet.

Anzahl der Quell- und Zieltunnel, die auf einem Switch zulässig sind

Switches der QFX5100- und OCX-Serie unterstützen bis zu 512 GRE-Tunnel, einschließlich Tunneln, die mit einem Firewall-Filter erstellt wurden. Das heißt, Sie können insgesamt 512 GRE-Tunnel erstellen, unabhängig davon, welche Methode Sie verwenden.

EX-Switches unterstützen bis zu 500 GRE-Tunnel zwischen Switches, die IPv4- oder IPv6-Nutzlastpakete über GRE übertragen. Wenn zusätzlich zu IPv4 und IPv6 ein Passenger Protocol verwendet wird, können Sie bis zu 333 GRE-Tunnel zwischen den Switches konfigurieren.

Für einen EX-Switch können maximal 20 Tunnelquell-IP-Adressen konfiguriert werden, und jede Tunnel-Quell-IP kann mit bis zu 20 Ziel-IP-Adressen auf einem zweiten Switch konfiguriert werden. Dadurch können die beiden verbundenen Switches maximal 400 GRE-Tunnel haben. Wenn der erste Switch auch mit einem dritten Switch verbunden ist, beträgt die mögliche maximale Anzahl von Tunneln 500.

Class of Service für GRE-Tunnel

Wenn es in einem Netzwerk zu Überlastungen und Verzögerungen kommt, können einige Pakete verworfen werden. Junos OS Class of Service (CoS) unterteilt den Datenverkehr in Klassen, auf die Sie bei Überlastung verschiedene Stufen des Durchsatzes und des Paketverlusts anwenden und so Regeln für Paketverluste festlegen können. Weitere Informationen zu CoS finden Sie unter Übersicht über Junos OS CoS für Switches der EX-Serie.

Die folgenden CoS-Komponenten sind auf einem Switch verfügbar, der als GRE-Tunnel-Quell-Router oder GRE-Tunnel-Remote-Router betrieben wird:

  • An der GRE-Tunnelquelle: Auf einem Switch, der als Tunnelquell-Router fungiert, können Sie CoS-Klassifizierer auf einen Eingangsport oder auf einen GRE-Port anwenden, mit den folgenden Ergebnissen zur Unterstützung von CoS-Komponenten für getunnelte Pakete:

    • Nur Scheduler: Basierend auf der CoS-Klassifizierung am Eingangsport können Sie CoS-Scheduler auf einem GRE-Port des Switches anwenden, um Ausgabewarteschlangen zu definieren und die Übertragung von Paketen durch den Tunnel nach der GRE-Kapselung zu steuern. Sie können jedoch keine CoS-Rewrite-Regeln auf diese Pakete anwenden.

    • Scheduler und Rewrite-Regeln: Abhängig von der CoS-Klassifizierung am GRE-Port können Sie sowohl Scheduler als auch Rewrite-Regeln auf die gekapselten Pakete anwenden, die über den Tunnel übertragen werden.

    Hinweis:

    BA-Klassifizierer können nicht auf gr- Schnittstellen konfiguriert werden. Sie müssen den Datenverkehr auf gr- Schnittstellen mithilfe von Firewallfiltern (Mehrfeldklassifizierer) klassifizieren.

  • Am GRE-Tunnelendpunkt: Wenn es sich bei dem Switch um einen Tunnel-Remote-Router handelt, können Sie CoS-Klassifizierer auf den GRE-Port und die Scheduler anwenden und Regeln auf den Ausgangsport umschreiben, um die Übertragung eines entkapselten GRE-Pakets vom Ausgangsport zu steuern.

Anwenden von Firewall-Filtern auf GRE-Datenverkehr

Firewall-Filter stellen Regeln bereit, die definieren, ob Pakete, die eine Schnittstelle auf einem Switch durchqueren, zugelassen, verweigert oder weitergeleitet werden sollen. (Weitere Informationen finden Sie unter Übersicht über Firewall-Filter für Switches der EX-Serie.) Aufgrund der von GRE durchgeführten Kapselung und Entkapselung sind Sie eingeschränkt, wo Sie einen Firewallfilter anwenden können, um getunnelte Pakete zu filtern, und welcher Header betroffen ist. Tabelle 1 zeigt diese Einschränkungen.

Tabelle 1: Anwendungspunkte für Firewall-Filter für getunnelte Pakete

Endpunkt-Typ

 Eingangsschnittstelle Ausgangsschnittstelle

Quelle (kapselnd)

Innere Kopfzeile

Äußere Kopfzeile

Remote (Entkapselung)

Pakete auf der Eingangsschnittstelle können nicht gefiltert werden

Innere Kopfzeile

Verwenden eines Firewall-Filters zum Entkapseln des GRE-Datenverkehrs auf Switches der Serien QFX5100, QFX10000 und OCX

Sie können auch einen Firewall-Filter verwenden, um den GRE-Datenverkehr auf Switches zu entkapseln. Diese Funktion bietet erhebliche Vorteile in Bezug auf Skalierbarkeit, Leistung und Flexibilität, da Sie keine Tunnelschnittstelle erstellen müssen, um die Entkapselung durchzuführen. Sie können z. B. viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewall-Begriff beenden. Informationen zum Konfigurieren eines Firewallfilters für diesen Zweck finden Sie unter Konfigurieren eines Firewallfilters zum Entkapseln von GRE-Datenverkehr .

Konfigurationseinschränkungen

In Tabelle 2 sind Features aufgeführt, die von GRE nicht unterstützt werden.

Tabelle 2: Funktionen, die von GRE nicht unterstützt werden
EX-Switches QFX-Switches

MPLS über GRE-Tunnel

MPLS über GRE-Tunnel

GRE-Keepalives

GRE-Keepalives

GRE-Schlüssel, Fragmentierung von Nutzlastpaketen und Sequenznummern für fragmentierte Pakete

GRE-Schlüssel, Fragmentierung von Nutzlastpaketen und Sequenznummern für fragmentierte Pakete

Dynamische BGP-Tunnel

Dynamische BGP-Tunnel

Äußere IP-Adresse muss IPv4 sein

Äußere IP-Adresse muss IPv4 sein

Virtuelle Routing-Instanzen

Wenn Sie GRE-Tunneling auf Switches der Serien QFX10002, QFX10008 und QFX5K mit dem zugrunde liegenden ECMP-Next-Hop anstelle eines Unicast-Next-Hops konfigurieren, schlägt die GRE-Tunnelkapselung fehl und der Netzwerkverkehr wird verworfen

Bidirectional Forwarding Detection (BFD)-Protokoll über GRE Distributed Mode

OSPF-Einschränkung: Durch die Aktivierung von OSPF auf einer GRE-Schnittstelle werden zwei Routen zu gleichen Kosten zum Ziel erstellt: eine über das Ethernet-Netzwerk oder die Uplink-Schnittstelle und die andere über die Tunnelschnittstelle. Wenn Daten über die Tunnelschnittstelle geleitet werden, schlägt der Tunnel möglicherweise fehl. Um die Schnittstelle betriebsbereit zu halten, empfehlen wir, eine statische Route zu verwenden, OSPF auf der Tunnelschnittstelle zu deaktivieren oder den Peer so zu konfigurieren, dass das Tunnelziel nicht über die Tunnelschnittstelle angekündigt wird.

Switches der QFX-Serie unterstützen nicht die Konfiguration der GRE-Schnittstelle und der zugrunde liegenden Tunnelquellschnittstelle in zwei verschiedenen Routing-Instanzen. Wenn Sie diese Konfiguration versuchen, führt dies zu einem Commit-Fehler.

Siehe auch

Konfigurieren von generischem Routing-Kapselungstunneling

Generic Routing Encapsulation (GRE) bietet einen privaten Pfad für den Transport von Paketen durch ein ansonsten öffentliches Netzwerk, indem die Pakete gekapselt (oder getunnelt) werden. GRE-Tunneling wird über Tunnelendpunkte erreicht, die den Datenverkehr kapseln oder entkapseln.

Sie können auch einen Firewall-Filter verwenden, um den GRE-Datenverkehr auf Switches der QFX5100- und OCX-Serie zu entkapseln. Diese Funktion bietet erhebliche Vorteile in Bezug auf Skalierbarkeit, Leistung und Flexibilität, da Sie keine Tunnelschnittstelle erstellen müssen, um die Entkapselung durchzuführen. Sie können z. B. viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewall-Begriff beenden. Weitere Informationen zu dieser Funktion finden Sie unter Konfigurieren eines Firewallfilters zum Entkapseln des GRE-Datenverkehrs.

So konfigurieren Sie einen GRE-Tunnel-Port auf einem Switch:

  1. Bestimmen Sie den Netzwerk- oder Uplink-Port Ihres Switches, der in einen GRE-Tunnel-Port konvertiert werden soll.

  2. Konfigurieren Sie den Port als Tunnelport für GRE-Tunneldienste:

Hinweis:

Für QFX10000 wird standardmäßig die Schnittstelle gr-0/0/0 erstellt. Außerdem müssen Sie die set fpc slot pic pic-number tunnel-port port-number tunnel-servicesAnweisung nicht konfigurieren.

In diesem Thema wird Folgendes beschrieben:

Konfigurieren eines GRE-Tunnels

So konfigurieren Sie eine GRE-Tunnelschnittstelle:

  1. Erstellen Sie eine GRE-Schnittstelle mit einer Einheitsnummer und einer Adresse:
    Hinweis:

    Der Basisname der Schnittstelle muss .gr-0/0/0

    Hierbei handelt es sich um eine Pseudoschnittstelle, und die von Ihnen angegebene Adresse kann eine beliebige IP-Adresse sein. Die Routing-Tabelle muss als ausgehende Schnittstelle für alle Pakete angegeben gr-0/0/0.x werden, die getunnelt werden.

    Wenn Sie eine GRE-Schnittstelle auf einem QFX5100-Switch konfigurieren, der Mitglied eines Virtual Chassis ist, und später die Virtual Chassis-Mitgliedsnummer des Switches ändern, ändert sich der Name der GRE-Schnittstelle in keiner Weise (da es sich um eine Pseudoschnittstelle handelt). Wenn Sie z. B. die Mitgliedsnummer von auf 5ändern, ändert sich der Name der GRE-Schnittstelle nicht von gr-0/0/0.x 0 .gr-5/0/0.x

  2. Geben Sie die Tunnelquelladresse für die logische Schnittstelle an:
  3. Geben Sie die Zieladresse an:

    Die Zieladresse muss über statisches oder dynamisches Routing erreichbar sein. Wenn Sie statisches Routing verwenden, müssen Sie die MAC-Zieladresse abrufen (z. B. mit ping), bevor der Benutzerdatenverkehr durch den Tunnel weitergeleitet werden kann.

Hinweis:

Wenn Sie auf QFX10002- und QFX10008-Switches GRE-Tunneling mit dem zugrunde liegenden ECMP-Next-Hop anstelle von Unicast-Next-Hop konfigurieren, schlägt die GRE-Tunnelkapselung fehl und der Netzwerkdatenverkehr wird verworfen.
Hinweis:

Indirekte ausgehende Next-Hops werden derzeit in der GRE-Implementierung für QFX10000-Switches nicht unterstützt.

Siehe auch

Überprüfen, ob generisches Routing-Encapsulation-Tunneling ordnungsgemäß funktioniert

Zweck

Stellen Sie sicher, dass die GRE-Schnittstelle (Generic Routing Encapsulation) getunnelten Datenverkehr sendet.

Aktion

Zeigen Sie Statusinformationen über die angegebene GRE-Schnittstelle an, indem Sie den Befehl show interfaces .

Bedeutung

Die Ausgabe gibt an, dass die GRE-Schnittstelle gr-0/0/0 aktiv ist. Die Ausgabe zeigt den Namen der physischen Schnittstelle und die Datenverkehrsstatistiken für diese Schnittstelle an--- die Anzahl und die Rate, mit der Eingabe- und Ausgabebytes und -pakete auf der physischen Schnittstelle empfangen und übertragen werden.