Konfigurieren der GRE-Keepalive-Zeit
Generic-Routing-Encapsulation (GRE)-Tunnelschnittstellen verfügen nicht über einen integrierten Mechanismus zur Erkennung, wenn ein Tunnel ausgefallen ist. Keepalive-Meldungen helfen den GRE-Tunnelschnittstellen zu erkennen, wenn ein Tunnel ausgefallen ist. In den folgenden Themen wird die Funktionsweise und Konfiguration der GRE-Keepalive-Zeit erläutert.
Grundlegendes zur GRE-Keepalive-Zeit
Generic-Routing-Encapsulation (GRE)-Tunnelschnittstellen verfügen nicht über einen integrierten Mechanismus zur Erkennung, wenn ein Tunnel ausgefallen ist. Sie können Keepalive-Nachrichten aktivieren, die als Erkennungsmechanismus dienen.
Keepalive-Zeiten sind nur für die ATM-over-ADSL-Schnittstelle konfigurierbar, die auf SRX300, SRX320, SRX340, SRX345, SRX380 und SRX550HM ab Junos OS Version 15.1X49-D10 nicht mehr unterstützt wird. Keepalive-Zeiten sind für andere Schnittstellen standardmäßig aktiviert.
Keepalives können auf der physischen oder auf der logischen Schnittstelle konfiguriert werden. Wenn sie auf der physischen Schnittstelle konfiguriert sind, werden Keepalives an alle logischen Schnittstellen gesendet, die Teil der physischen Schnittstelle sind. Wenn sie auf einer einzelnen logischen Schnittstelle konfiguriert sind, werden Keepalives nur an diese logische Schnittstelle gesendet. Zusätzlich zur Konfiguration eines Keepalive müssen Sie die Haltezeit konfigurieren.
Sie können die Keepalives auf einer GRE-Tunnelschnittstelle (Generic Routing Encapsulation) konfigurieren, indem Sie sowohl die Anweisung keepalive-time als auch die hold-time Anweisung auf Hierarchieebene [edit protocols oam gre-tunnel interface interface-name] einschließen.
Für den ordnungsgemäßen Betrieb von Keepalives auf einer GRE-Schnittstelle müssen Sie die family inet Anweisung auch auf Hierarchieebene [edit interfaces interface-name unit unit] einschließen. Wenn Sie diese Anweisung nicht angeben, wird die Schnittstelle als inaktiv markiert.
Siehe auch
Konfigurieren der GRE-Keepalive-Zeit
Keepalive-Zeiten sind nur für die ATM-over-ADSL-Schnittstelle konfigurierbar, die auf SRX300, SRX320, SRX340, SRX345, SRX380 und SRX550HM ab Junos OS Version 15.1X49-D10 nicht mehr unterstützt wird.
- Konfigurieren von Keepalive-Zeit und Haltezeit für eine GRE-Tunnelschnittstelle
- GRE-Keepalive-Time-Konfiguration anzeigen
- Anzeigen von Keepalive-Zeitinformationen auf einer GRE-Tunnelschnittstelle
Konfigurieren von Keepalive-Zeit und Haltezeit für eine GRE-Tunnelschnittstelle
Sie können die Keepalives auf einer GRE-Tunnelschnittstelle (Generic Routing Encapsulation) konfigurieren, indem Sie sowohl die Anweisung keepalive-time als auch die hold-time Anweisung auf Hierarchieebene [edit protocols oam gre-tunnel interface interface-name] einschließen.
Für den ordnungsgemäßen Betrieb von Keepalives auf einer GRE-Schnittstelle müssen Sie die family inet Anweisung auch auf Hierarchieebene [edit interfaces interface-name unit unit] einschließen. Wenn Sie diese Anweisung nicht angeben, wird die Schnittstelle als inaktiv markiert.
So konfigurieren Sie eine GRE-Tunnelschnittstelle:
So konfigurieren Sie die Keepalive-Zeit für eine GRE-Tunnelschnittstelle:
Konfigurieren Sie das OAM-Protokoll (Operation, Administration and Maintenance) auf Hierarchieebene
[edit protocols]für die GRE-Tunnelschnittstelle.[edit] user@host# edit protocols oam
Konfigurieren Sie die GRE-Tunnelschnittstellenoption für das OAM-Protokoll.
[edit protocols oam] user@host# edit gre-tunnel interface interface-name
Konfigurieren Sie die Keepalive-Zeit von 1 bis 50 Sekunden für die GRE-Tunnelschnittstelle.
[edit protocols oam gre-tunnel interface interface-name] user@host# set keepalive-time seconds
Konfigurieren Sie die Haltezeit von 5 bis 250 Sekunden. Beachten Sie, dass die Haltezeit mindestens doppelt so lang sein muss wie die Keepalive-Zeit.
[edit protocols oam gre-tunnel interface interface-name] user@host# set hold-time seconds
GRE-Keepalive-Time-Konfiguration anzeigen
Zweck
Zeigen Sie den konfigurierten Keepalive-Zeitwert als 10 und den Haltezeitwert als 30 auf einer GRE-Tunnelschnittstelle an (z. B. gr-1/1/10.1):
Aktion
Um die konfigurierten Werte auf der GRE-Tunnelschnittstelle anzuzeigen, führen Sie den show oam gre-tunnel Befehl auf der [edit protocols] Hierarchieebene aus:
[edit protocols]
user@host# show oam gre-tunnel
interface gr-1/1/10.1 {
keepalive-time 10;
hold-time 30;
}
Anzeigen von Keepalive-Zeitinformationen auf einer GRE-Tunnelschnittstelle
Zweck
Zeigen Sie die aktuellen Statusinformationen einer GRE-Tunnelschnittstelle an, wenn Keepalive-Zeit und Haltezeitparameter darauf konfiguriert sind und wann die Haltezeit abläuft.
Aktion
Um die aktuellen Statusinformationen auf einer GRE-Tunnelschnittstelle (z. B. gr-3/3/0.3) zu überprüfen, führen Sie die Befehle und show interfaces gr-3/3/0.3 extensive operational show interfaces gr-3/3/0.3 terse aus.
Schnittstellen anzeigen gr-3/3/0.3 kurz und bündig
user@host> show interfaces gr-3/3/0.3 terse
Interface Admin Link Proto Local Remote
gr-3/3/0.3 up up inet 200.1.3.1/24
mpls
Schnittstellen anzeigen GR-3/3/0.3 umfangreich
user@host> show interfaces gr-3/3/0.3 extensive
Logical interface gr-3/3/0.3 (Index 73) (SNMP ifIndex 594) (Generation 900)
Flags: Point-To-Point SNMP-Traps 0x4000 IP-Header 10.1.19.11:10.1.19.12:47:df:64:0000000000000000 Encapsulation: GRE-NULL
Gre keepalives configured: On, Gre keepalives adjacency state: down
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Traffic statistics:
Input bytes : 15629992
Output bytes : 15912273
Input packets: 243813
Output packets: 179476
Local statistics:
Input bytes : 15322586
Output bytes : 15621359
Input packets: 238890
Output packets: 174767
Transit statistics:
Input bytes : 307406 0 bps
Output bytes : 290914 0 bps
Input packets: 4923 0 pps
Output packets: 4709 0 pps
Protocol inet, MTU: 1476, Generation: 1564, Route table: 0
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Destination: 200.1.3/24, Local: 200.1.3.1, Broadcast: 200.1.3.255, Generation: 1366
Protocol mpls, MTU: 1464, Maximum labels: 3, Generation: 1565, Route table: 0
Nach Ablauf der Haltezeit:
Der GRE-Tunnel bleibt bestehen, obwohl die Schnittstelle keinen Datenverkehr senden oder empfangen kann.
Der
LinkStatus wird seinUpund derGre keepalives adjacency statewird seinDown.
Bedeutung
Die aktuellen Statusinformationen einer GRE-Tunnelschnittstelle mit den Parametern Keepalive-Zeit und Haltezeit werden wie erwartet angezeigt, wenn die Haltezeit abläuft.
Beispiel: GRE-Konfiguration
Generic-Routing-Encapsulation (GRE) ist ein IP-Verkapselungsprotokoll, das für den Transport von Paketen über ein Netzwerk verwendet wird. Informationen werden über einen GRE-Tunnel von einem Netzwerk zum anderen gesendet. GRE kapselt eine Nutzlast als GRE-Paket ein. Dieses GRE-Paket ist in einem äußeren Protokoll (Delivery Protocol) eingekapselt. GRE-Tunnelendpunkte leiten Nutzlasten an GRE-Tunnel weiter, um Pakete an das Ziel weiterzuleiten. Nach Erreichen des Endpunkts wird die GRE-Kapselung entfernt und die Nutzlast an ihren endgültigen Bestimmungsort übertragen. Die Hauptanwendung von GRE besteht darin, Nicht-IP-Pakete durch ein IP-Netzwerk zu übertragen. GRE wird jedoch auch verwendet, um IP-Pakete durch eine IP-Cloud zu übertragen.
Anforderungen
-
Konfigurieren Sie eine GRE-Schnittstelle (gr-). Die gr-Schnittstelle enthält eine lokale Adresse und eine Zieladresse. Es wird angezeigt, sobald es konfiguriert ist. Sie können sogar eine IP-Adresse auf der gr-Schnittstelle konfigurieren.
-
Konfigurieren Sie eine Route, um das Zielsubnetz zu erreichen (End-to-End-Konnektivität). Sie können entweder eine statische Route über die gr-Schnittstelle konfigurieren oder ein Interior Gateway Protocol (IGP) wie OSPF verwenden.
Überblick
GRE-Tunnel sind so konzipiert, dass sie vollständig zustandslos sind, was bedeutet, dass jeder Tunnelendpunkt keine Informationen über den Status oder die Verfügbarkeit des Remotetunnelendpunkts speichert. Normalerweise wird eine GRE-Tunnelschnittstelle aktiviert, sobald sie konfiguriert wird, und sie bleibt so lange aktiv, wie eine gültige Tunnelquelladresse oder -schnittstelle verfügbar ist.
Konfiguration
Standardmäßig ist die lokale Subnetzschnittstelle ge-0/0/0 mit der IPv4-Adresse 10.10.11.1/24. Das Zielsubnetz ist 10.10.10.0/24 mit der IPv4-Schnittstelle des Tunnelendpunkts als 10.10.10.1/24.
Die GRE-Konfiguration zeigt die Standardkonfiguration zwischen den Tunnelschnittstellen auf Firewalls der SRX-Serie an.
Konfigurieren einer Route zum Erreichen der Zielteilmenge
Schritt-für-Schritt-Anleitung
Sie können entweder eine statische Route über die gr-Schnittstelle oder über IGP konfigurieren.
-
Konfigurieren Sie die lokale Subnetzschnittstelle ge-0/0/0-Schnittstelle.
[edit interfaces] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.10.11.1/24 -
Konfigurieren Sie die Schnittstelle ge-0/0/1.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.12.1/24 -
Konfigurieren Sie die gr-tunnel-Endpunkte, und geben Sie die Quelladresse, die Zieladresse und die Familie als inet für die Tunnelendpunkte an.
[edit interfaces] user@host# set interfaces gr-0/0/0 unit 0 tunnel source 10.1.12.1 destination 10.1.23.1 user@host# set interfaces gr-0/0/0 unit 0 family inet address 192.168.1.1/24 -
Die konfigurierten Schnittstellen sind an eine Sicherheitszone auf Hierarchieebene
[edit security]gebunden. Verwenden Sie denshow zonesBefehl, um die Zonen anzuzeigen. Konfigurieren Sie die Zonen wie folgt:[edit security zones security-zones trust]] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces gr-0/0/0.0 user@host# set zones zone names protocols all[edit security zones security-zones untrust]] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all -
Zeigen Sie die konfigurierten Schnittstellen auf Hierarchieebene
[edit interfaces]mit demshowBefehl an.[edit interfaces] user@host# set routing options static route 10.10.10.0/24 next hop gr-0/0/0.0 -
Falls Sie keine statische Route definieren möchten, kann OSPF zwischen gr-0/0/0-Schnittstellen auf beiden Seiten und dem internen Subnetz als passiver Nachbar konfiguriert werden, um alle internen Routen zu empfangen. Konfigurieren Sie OSPF auf Hierarchieebene
[edit protocols]und zeigen Sie es mit demshowBefehl an.[edit protocols] user@host# set protocols ospf area 0.0.0.0 interface gr-0/0/0.0
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration auf den Geräten, indem Sie den show Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
GRE-Konfiguration mit der statischen Route:
[edit interfaces]
root@SRX-1# show
ge-0/0/0 {
unit 0 {
family inet {
address 10.10.11.1/24;
}
}
}
gr-0/0/0 {
unit 0 {
tunnel {
source 10.1.12.1;
destination 10.1.23.1;
}
family inet {
address 192.168.1.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.12.1/24;
}
}
}
[edit security]
root@SRX-1# show
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
gr-0/0/0.0;
}
}
}
root@SRX-1# show routing-options
static {
route 10.10.10.0/24 next-hop gr-0/0/0.0;
}
GRE-Konfiguration mit OSPF, das zwischen den Schnittstellen gr-0/0/0 auf beiden Seiten und dem internen Subnetz als passivem Nachbarn konfiguriert ist:
[edit protocols]
root@SRX-1# show
ospf {
area 0.0.0.0 {
interface gr-0/0/0.0;
interface ge-0/0/0.0 {
passive;
}
}
}
Verifizierung
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Konfiguration von GRE auf der Firewall der SRX-Serie erfolgreich war:
- Verifikation der GRE-Schnittstellen
- Verifizierung der Route
- Verifizierung des Datenverkehrs durch den GRE-Tunnel
Verifikation der GRE-Schnittstellen
Zweck
Vergewissern Sie sich, dass die GRE-Schnittstellen aktiviert sind.
Aktion
Führen Sie den show interfaces Befehl auf der [edit interfaces] Hierarchieebene aus:
show interfaces gr-0/0/0 terse [edit interfaces] Interface Admin Link Proto Local Remote gr-0/0/0 up up gr-0/0/0.0 up up inet 192.168.1.1/24
Verifizierung der Route
Zweck
Stellen Sie sicher, dass die Route für das Zielnetzwerk über die GRE-Tunnelschnittstelle erreichbar ist.
Aktion
Führen Sie den show route forwarding-table matching 10.10.10.0/24 Befehl auf der [edit interfaces] Hierarchieebene aus:
[edit interfaces] user@router# run show route forwarding-table matching 10.10.10.0/24 Routing table: default.inet Internet: .... Destination Type RtRef Next hop Type Index NhRef Netif 10.10.10.0/24 user 0 ucst 595 2 gr-0/0/0.0
Verifizierung des Datenverkehrs durch den GRE-Tunnel
Zweck
Senden Sie den Datenverkehr an das Zielsubnetz, und überprüfen Sie, wann die GRE-Schnittstelle aktiviert ist.
Aktion
Führen Sie den show interfaces gr-0/0/0 extensive Betriebsbefehl aus. Überprüfen Sie auch, ob die Pakete über die gr-Schnittstelle ausgehen.
user@host> show interfaces gr-0/0/0 extensive Physical interface: gr-0/0/0, Enabled, Physical link is Up Interface index: 134, SNMP ifIndex: 40, Generation: 17 Type: GRE, Link-level type: GRE, MTU: Unlimited, Speed: 800mbps Hold-times : Up 0 ms, Down 0 ms Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Statistics last cleared: 2005-08-05 21:39:41 UTC (00:00:47 ago) Traffic statistics: Input bytes : 8400 0 bps Output bytes : 8400 0 bps Input packets: 100 0 pps Output packets: 100 0 pps Logical interface gr-0/0/0.0 (Index 72) (SNMP ifIndex 28) (Generation 17) Flags: Point-To-Point SNMP-Traps 16384 IP-Header 10.1.12.1:10.1.23.1:47:df:64:0000000000000000 Encapsulation: GRE-NULL Traffic statistics: Input bytes : 8400 Output bytes : 8400 Input packets: 100 Output packets: 100 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 8400 0 bps Output bytes : 8400 0 bps Input packets: 100 0 pps Output packets: 100 0 pps Protocol inet, MTU: 1476, Generation: 25, Route table: 0 Flags: None Addresses, Flags: Is-Primary Destination: Unspecified, Local: 192.168.0.1, Broadcast: Unspecified, Generation: 30
Beispiel: Konfigurieren von GRE-over-IPsec-Tunneln
Anforderungen
Überblick
GRE-Tunnel bieten minimale Sicherheit, während ein IPsec-Tunnel mehr Sicherheit in Bezug auf Vertraulichkeit, Datenauthentifizierung und Integritätsgarantie bietet. Außerdem kann IPsec Multicast-Pakete nicht direkt unterstützen. Wenn jedoch zuerst ein eingekapselter GRE-Tunnel verwendet wird, kann ein IPsec-Tunnel verwendet werden, um dem Multicastpaket Sicherheit zu bieten. In einem GRE-over-IPsec-Tunnel kann der gesamte Routing-Datenverkehr (IP und Nicht-IP) durch ihn geleitet werden. Wenn das ursprüngliche Paket (IP/Nicht-IP) GRE-gekapselt ist, verfügt es über einen IP-Header, der vom GRE-Tunnel definiert wird, normalerweise die IP-Adressen der Tunnelschnittstelle. Das IPsec-Protokoll kann das IP-Paket verstehen. Daher wird das GRE-Paket eingekapselt, um es zu GRE über IPsec zu machen.
Die grundlegenden Schritte zum Konfigurieren von GRE über IPsec lauten wie folgt:
Konfigurieren Sie den routenbasierten IPsec-Tunnel.
Konfigurieren Sie den GRE-Tunnel.
Konfigurieren Sie eine statische Route mit dem Ziel als Remote-Subnetz über die gr-Schnittstelle.
Konfigurieren Sie die statische Route für den GRE-Endpunkt mit der st0-Schnittstelle als nächsten Hop.
Konfiguration
In diesem Beispiel hat die Standardkonfiguration die lokale Subnetzschnittstelle als ge-0/0/0 und die IPv4-Adresse als 10.10.11.1/24. Das Zielsubnetz ist 10.10.10.0/24. Die Tunnelendpunkte der gr-0/0/0-Schnittstelle sind auf beiden Seiten Loopbackadressen, wobei die lokale Loopback-IPv4-Adresse 172.20.1.1 und die Remote-Loopback-IPv4-Adresse 172.20.1.2 lautet. Die Schnittstellen gr-0/0/0, st0 und lo0 sind an eine Sicherheitszone gebunden und Richtlinien werden entsprechend erstellt.
Konfigurieren einer GRE-Schnittstelle über einen IPsec-Tunnel
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die GRE auf der
[set interfaces interface-name unit unit-number]Hierarchieebene, wobei der Schnittstellenname ge-0/0/0 lautet und die Familie als inet festgelegt ist.[edit interfaces] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.10.11.1/24
Konfigurieren Sie die gr-tunnel-Endpunkte, und geben Sie die Quelladresse, die Zieladresse und die Familie als inet für die Tunnelendpunkte an.
[edit interfaces] user@host# set interfaces gr-0/0/0 unit 0 tunnel source 172.20.1.1 destination 172.20.1.2 user@host# set interfaces gr-0/0/0 unit 0 family inet 192.168.1.1/24
Konfigurieren Sie auf ähnliche Weise die lo0- und st0-Schnittstellen mit der Familie inet.
[edit interfaces] user@host# set interfaces lo0 unit 0 family inet address 172.20.1.1/32
[edit interfaces] user@host# set interfaces st0 unit 0 family inet
Konfitieren Sie die GRE-Schnittstellen mit Sicherheitszonen. Verwenden Sie den
show zonesBefehl, um die Zonen anzuzeigen, in denen die konfigurierten Tunnelschnittstellen lo0 und st0 angezeigt werden.[edit security zones security-zones trust]] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces gr-0/0/0.0 user@host# set zones zone names protocols all user@host# set interfaces lo0.0 user@host# set interfaces st0.0
[edit security zones security-zones untrust]] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces gr-0/0/0.0.1 user@host# set interfaces lo0.0 user@host# set interfaces st0.0
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Schnittstellenkonfiguration, indem Sie den show Befehl eingeben. Die konfigurierten Schnittstellen sind an eine Sicherheitszone auf Hierarchieebene [edit security] gebunden. Verwenden Sie den show zones Befehl, um die Zonen anzuzeigen, in denen die konfigurierten Schnittstellen (gr-, st0.0 und lo0) angezeigt werden. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Parameter für die Konfiguration der GRE-Schnittstellen:
user@host> show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.10.11.1/24;
}
}
}
gr-0/0/0 {
unit 0 {
tunnel {
source 172.20.1.1;
destination 172.20.1.2;
}
family inet {
address 192.168.1.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 172.20.1.1/32;
}
}
}
st0 {
unit 0 {
family inet;
}
}
[edit]
root@Juniper# show
routing-options {
static {
route 10.10.10.0/24 next-hop gr-0/0/0.0;
route 172.20.1.2/32 next-hop st0.0;
}
}
Parameter für die Konfiguration der GRE-Schnittstellen mit Sicherheitszonen:
[edit security]
root@Juniper# show
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
gr-0/0/0.0;
lo0.0;
st0.0;
}
}
}
Beispiel: Konfigurieren eines GRE-Tunnels, wenn sich das Tunnelziel in einer Routing-Instanz befindet
Anforderungen
Überblick
Sie können einen GRE-Tunnel konfigurieren, wenn sich das Tunnelziel in einer Standard-Routing-Instanz oder einer Nicht-Standard-Routing-Instanz befindet. Für die Konfiguration eines GRE-Tunnels müssen die Tunnelquelle und die Tunnelzieladressen definiert werden. Wenn sich das Tunnelziel in einer Routinginstanz befindet und mehr als eine Routinginstanz vorhanden ist, müssen Sie die richtige Routinginstanz sowie die Routing-Tabelle angeben, die zum Erreichen der konfigurierten Tunnelzieladresse verwendet werden soll.
Die Zieladresse des Tunnels wird standardmäßig über die Standard-Routing-Tabelle "inet.0" als erreichbar angesehen.
Konfiguration
In diesem Beispiel können Sie einen GRE-Tunnel zwischen den gr-Schnittstellen auf Firewalls der SRX-Serie mit zwei Instanzen konfigurieren. Die Instanzen liegen vor, wenn sich das Tunnelziel in einer Standardroutinginstanz und das Tunnelziel in einer nicht standardmäßigen Routinginstanz befindet.
- Konfigurieren eines GRE-Tunnels, wenn sich das Tunnelziel in einer Standardrouting-Instanz befindet
- Konfigurieren eines GRE-Tunnels, wenn sich das Tunnelziel in einer nicht standardmäßigen Routing-Instanz befindet
- Befund
Konfigurieren eines GRE-Tunnels, wenn sich das Tunnelziel in einer Standardrouting-Instanz befindet
In diesem Beispiel wird die Standardroutinginstanz verwendet, um das Tunnelziel zu erreichen. Aus diesem Grund wird standardmäßig die Routing-Tabelle inet.0 verwendet.
Schritt-für-Schritt-Anleitung
Geben Sie die Quell- und Zieladresse des Tunnels an.
[edit interfaces] user@host# set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.1 destination 10.10.1.2 user@host# set interfaces gr-0/0/0 unit 0 family inet 192.168.100.1/30;
Konfigurieren Sie die Schnittstelle ge- und lo0 mit der Familie inet.
[edit interfaces] user@host# set interfaces ge-0/0/0 unit 0 family inet address 172.30.73.56/24 user@host# set interfaces lo0 unit 0 family inet address 172.16.0.1/32
-
Konfigurieren Sie die GRE-Tunnelschnittstelle für Routingoptionen, wie im Thema GRE-Konfiguration beschrieben.
Konfigurieren eines GRE-Tunnels, wenn sich das Tunnelziel in einer nicht standardmäßigen Routing-Instanz befindet
Stellen Sie für eine nicht standardmäßige Routing-Instanz sicher, dass Sie die Schnittstelle gr-0/0/0 bereits konfiguriert haben.
Schritt-für-Schritt-Anleitung
Konfigurieren Sie den GRE-Tunnel mit der Schnittstelle gr-0/00 und der Familie als inet.
[edit interfaces] user@host# set interfaces gr-0/00 unit 0 family inet address
Geben Sie die Quell- und Zieladresse des Tunnels an.
[edit interfaces] user@host# set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.1 tunnel destination 10.10.1.2 family inet 192.168.100.1/30;
Konfigurieren Sie die Schnittstelle ge- und lo0 mit der Familie inet.
[edit interfaces] user@host# set interfaces ge-0/0/0 unit 0 family inet address 172.30.73.56/24 user@host# set interfaces lo0 unit 0 family inet address 172.16.0.1/32
Konfigurieren Sie die Routing-Instanzen, die für die Tunnelschnittstelle verwendet werden.
[edit routing-instances] user@host# set routing-instances test instance-type virtual-router user@host# set routing-instances test routing-options static route 10.10.1.2/32 next-hop 172.30.73.57 user@host# set routing-instances test interface ge-0/0/0.0
Konfigurieren Sie die Routing-Instanz für GRE-Tunnelschnittstellen.
[edit interfaces] user@host# set interfaces gr-0/0/0 unit 0 tunnel routing-instance destination test
Fügen Sie die statische Route für das Tunnelziel hinzu.
[edit interfaces] user@host# set routing-options static route 10.10.1.2/32 next-table test.inet.0
Anmerkung:Wenn sich die Firewall der SRX-Serie im Paketmodus befindet, müssen Sie keine statische Route konfigurieren, um das Tunnelziel von inet.0 aus erreichbar zu machen. Sie müssen jedoch weiterhin die richtige Routing-Instanz unter der Schnittstelle gr-0/0/0 angeben.
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration auf den Geräten, indem Sie den show Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Wenn sich das Tunnelziel in einer Standard-Routing-Instanz befindet:
interfaces {
gr-0/0/0 {
unit 0 {
tunnel {
source 172.16.0.1;
destination 10.10.1.2;
}
family inet {
address 192.168.100.1/30;
}
}
}
ge-0/0/0 {
unit 0 {
family inet {
address 172.30.73.56/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 172.16.0.1/32;
}
}
}
...
}
routing-options {
static {
route 10.10.1.2/32 next-hop 172.30.73.57; # Tunnel destination is reachable from default routing-instance
...
}
}
routing-instances {
test {
instance-type virtual-router;
interface gr-0/0/0.0;
routing-options {
...
}
}
}
Wenn sich das Tunnelziel in einer nicht standardmäßigen Routing-Instanz befindet:
interfaces {
gr-0/0/0 {
unit 0 {
tunnel {
source 172.16.0.1;
destination 10.10.1.2;
routing-instance {
destination test; # Routing-instance to reach tunnel destination
}
}
family inet {
address 192.168.100.1/30;
}
}
}
ge-0/0/0 {
unit 0 {
family inet {
address 172.30.73.56/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 172.16.0.1/32;
}
}
}
...
}
routing-options {
static {
route 10.10.1.2/32 next-table test.inet.0; # Tunnel destination is reachable via test.inet.0
...
}
}
routing-instances {
test {
instance-type virtual-router;
interface ge-0/0/0;
routing-options {
static {
route 10.10.1.2/32 next-hop 172.30.73.57; # Tunnel destination is reachable from non-default routing-instance
...
}
}
}
}
Verifizierung
- Verifizierung der statischen Routennutzung
- Überprüfung der statischen Route, die in der Standardinstanz verwendet wird
Verifizierung der statischen Routennutzung
Zweck
Stellen Sie sicher, dass die statische Route verwendet wird.
Aktion
Führen Sie den show route forwarding table Befehl aus.
user@host> show route forwarding-table table test
No Title
Routing table: test.inet
Internet:
Enabled protocols: Bridging,
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 rjct 597 1
0.0.0.0/32 perm 0 dscd 590 1
10.10.1.2/32 user 1 172.30.73.57 hold 598 4 ge-0/0/0.0
172.16.0.1.10.10.1.2.47/72
dest 0 locl 617 1
172.30.73.0/24 intf 0 rslv 588 1 ge-0/0/0.0
172.30.73.0/32 dest 0 172.30.73.0 recv 586 1 ge-0/0/0.0
172.30.73.56/32 intf 0 172.30.73.56 locl 587 2
172.30.73.56/32 dest 0 172.30.73.56 locl 587 2
172.30.73.57/32 dest 0 172.30.73.57 hold 598 4 ge-0/0/0.0
172.30.73.255/32 dest 0 172.30.73.255 bcst 585 1 ge-0/0/0.0
224.0.0.0/4 perm 0 mdsc 596 1
224.0.0.1/32 perm 0 224.0.0.1 mcst 600 1
255.255.255.255/32 perm 0 bcst 601 1
Überprüfung der statischen Route, die in der Standardinstanz verwendet wird
Zweck
Stellen Sie sicher, dass die statische Route für die Standardinstanz verwendet wird.
Aktion
Führen Sie den show route forwarding table Befehl aus.
user@host> show route forwarding-table matching 10.10.1.2 Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif 10.10.1.2/32 user 0 rtbl 604 3