Komponenten des filterbasierten Tunnelings in IPv4-Netzwerken
Topologie von filterbasiertem Tunneling in IPv4-Netzwerken
Filterbasiertes GRE-Tunneling (Generic Routing Encapsulation) wird auf Routern der PTX-Serie nur unterstützt, wenn Netzwerkdienste auf eingestellt sind.enhanced-mode Weitere Informationen finden Sie unter .enhanced-mode
Abbildung 1 zeigt den Pfad der Passagierprotokollpakete vom Kundennetzwerk C1, während sie über ein IPv4-Netzwerk eines Dienstanbieters zum Kundennetzwerk C2 übertragen werden.
In dieser Beispieltopologie sind C1 und C2 disjunkte Netzwerke, zwischen denen kein nativer Routingpfad besteht. Das IPv4-Transportnetzwerk wird mit einem unidirektionalen GRE-Tunnel (Generic Routing Encapsulation) von PE1 nach PE2 unter Verwendung von Firewall-Filtern und ohne Tunnelschnittstellen konfiguriert. Der GRE-Tunnel von PE1 nach PE2 stellt einen logischen Pfad von C1 nach C2 über das IPv4-Transportnetzwerk bereit.
Routing von GRE-Paketen über den Tunnel
Der Datenverkehr fließt durch den Tunnel, sofern PE2 von PE1 aus routingfähig ist. Routing-Pfade von PE1 nach PE2 können durch statische Routen bereitgestellt werden, die manuell zu Routing-Tabellen hinzugefügt werden, oder durch statische oder dynamische Protokolle für die gemeinsame Nutzung von Routen.
Routing von Passagierprotokollpaketen von PE2 nach C2
Standardmäßig leitet PE2 Pakete basierend auf Schnittstellenrouten (direkte Routen) weiter, die aus der primären Routing-Tabelle importiert wurden. Optional kann der Entkapselungsfilter festlegen, dass die Paketweiterleitungs-Engine eine alternative Routing-Tabelle verwendet, um Nutzlastpakete an das Zielkundennetzwerk weiterzuleiten. Geben Sie die alternative Routing-Tabelle in einer Routing-Instanz an, die mit Routen in C2 installiert wurde, und verwenden Sie dann eine RIB-Gruppendefinition (Routing Information Base), um die primären Routen für die alternativen Routen freizugeben. Eine RIB-Gruppe spezifiziert die Freigabe von Routing-Informationen (einschließlich von Peers gelernter Routen, lokaler Routen, die sich aus der Anwendung von Protokollrichtlinien auf die gelernten Routen ergeben, und der Routen, die Peers angekündigt werden) mehrerer Routing-Tabellen.
Terminologie auf Protokollebene der Netzwerkschicht
Beim filterbasierten Tunneling über ein IPv4-Netzwerk werden die Protokolle der Netzwerkschicht wie folgt beschrieben:
| passenger protocol | Der Protokolltyp (IPv4, IPv6 oder MPLS), der von den Netzwerken verwendet wird, die über einen GRE-Tunnel verbunden sind. Pakete, die gekapselt und über das Transportnetzwerk geroutet werden, sind Nutzlastpakete. |
| encapsulation protocol | Der Typ des Network Layer Protocol (GRE), das zum Kapseln von Passagierprotokollpaketen verwendet wird, sodass die resultierenden GRE-Pakete als Paketnutzlast über das Transportprotokollnetzwerk übertragen werden können. |
| transport protocol | Der vom Netzwerk verwendete Protokolltyp (IPv4), der Passagierprotokollpakete durch einen GRE-Tunnel leitet. Das Transportprotokoll wird auch als Übermittlungsprotokoll bezeichnet. |
Terminologie am Ingress PE-Router
Beim filterbasierten Tunneling über ein IPv4-Netzwerk wird ein ausgehender PE-Router wie folgt beschrieben:
| encapsulator | Ein PE-Router, der Pakete von einem Quellnetzwerk des Passagierprotokolls empfängt, dieser Nutzlast einen GRE-Header (Encapsulation Protocol) und einen IPv4-Header (Transport Protocol) hinzufügt und das resultierende GRE-Paket an den GRE-Tunnel weiterleitet. Dieser Eingangsknoten wird auch als Tunnelquelle bezeichnet. |
| encapsulating interface | Auf dem Encapsulator eine logische Ethernet-Schnittstelle oder eine aggregierte Ethernet-Schnittstelle, die auf einer kundenorientierten Schnittstelle konfiguriert ist, die auf einem MIC oder MPC gehostet wird. Die kapselnde Schnittstelle empfängt Passagierprotokollpakete von einem CE-Router. Weitere Informationen finden Sie unter Schnittstellen, die filterbasiertes Tunneling über IPv4-Netzwerke unterstützen.Schnittstellen, die filterbasiertes Tunneling über IPv4-Netzwerke unterstützen |
| encapsulation filter | Auf dem Encapsulator ein Firewallfilter , den Sie auf die Eingabe der Kapselungsschnittstelle anwenden. Die Kapselungsfilteraktion bewirkt, dass die Paketweiterleitungs-Engine Informationen in der angegebenen Tunnelvorlage verwendet, um übereinstimmende Pakete zu kapseln und die resultierenden GRE-Pakete weiterzuleiten. |
| tunnel source interface | Auf dem Encapsulator führen eine oder mehrere Core-seitige Ausgangsschnittstellen zum Tunnel aus. |
| tunnel template | Auf dem Encapsulator ein benanntes CLI-Konstrukt, das die Eigenschaften eines Tunnels definiert:
|
Terminologie am ausgehenden PE-Router
Beim filterbasierten Tunneling über IPv4-Netzwerke wird ein ausgehender PE-Router wie folgt beschrieben:
| de-encapsulator | Ein PE-Router, der GRE-Pakete empfängt, die über einen filterbasierten GRE-Tunnel geroutet werden, den Transportprotokoll-Header und den GRE-Header entfernt und die resultierenden Nutzdatenprotokollpakete an den CE-Router des Zielnetzwerks weiterleitet. Der De-Encapsulator-Knoten wird auch als De-Encapsulator-Tunnelendpunkt oder Tunnelziel bezeichnet. |
| de-encapsulating interfaces | Auf dem De-Encapsulator jede logische Ethernet-Schnittstelle oder aggregierte Ethernet-Schnittstelle, die auf einer Core-seitigen Eingangsschnittstelle konfiguriert ist und GRE-Pakete von einem GRE-Tunnel empfangen kann. Die zugrunde liegende physische Schnittstelle muss auf einem MIC oder MPC gehostet werden. Weitere Informationen finden Sie unter Schnittstellen, die filterbasiertes Tunneling über IPv4-Netzwerke unterstützen.Schnittstellen, die filterbasiertes Tunneling über IPv4-Netzwerke unterstützen |
| de-encapsulation filter | Auf dem De-Encapsulator ein Firewall-Filter, der die Packet Forwarding Engine veranlasst, übereinstimmende GRE-Pakete zu entkapseln und dann die ursprünglichen Passagierprotokollpakete an CE-Router des Zielnetzwerks weiterzuleiten. GRE-Pakete, die durch einen einzelnen GRE-Tunnel transportiert werden, können je nach Konfiguration des Routings am De-Encapsulator-Knoten auf einer von mehreren Eingangsschnittstellen ankommen. Daher müssen Sie den De-Encapsulation-Firewall-Filter auf die Eingabe jeder Core-zugewandten Schnittstelle anwenden, die eine angekündigte Adresse für den De-Encapsulator ist. |
GRE-Protokollformat für filterbasiertes Tunneling über IPv4-Netzwerke
Beim filterbasierten Tunneling über IPv4-Netzwerke ist die kapselnde Schnittstelle ein RFC 1701-kompatibler Sender und die entkapselnden Schnittstellen RFC 1701-konforme Empfänger. Die in diesem Feature implementierte Paketkapselungsstruktur verwendet ein GRE-Headerformat, das dem informativen RFC 1701, Generic Routing Encapsulation (GRE), Oktober 1994, und dem Standardtrack RFC 2784, Generic Routing Encapsulation (GRE), März 2000, entspricht.
Struktur der Paketkapselung
Beim filterbasierten Tunneling wird das ursprüngliche Passagierprotokollpaket in einer äußeren Hülle gekapselt. Beim filterbasierten Tunneling über IPv4-Netzwerke fügt die Shell 24 Byte oder 28 Byte Overhead hinzu, einschließlich 20 Byte IPv4-Header. zeigt die Struktur eines Passagierprotokollpakets (der GRE-Nutzlast) mit angehängtem GRE-Header und IPv4-Header.Abbildung 2
Wie in RFC 1701 angegeben, geben fünf GRE-Flag-Bits an, ob ein bestimmter GRE-Header optionale Felder (Prüfsumme, Offset, Schlüssel, Sequenznummer und Routing) enthält. Von den fünf optionalen Feldern verwendet filterbasiertes GRE IPv4-Tunneling nur das Feld Schlüssel.
GRE-Header-Format
Abbildung 3 zeigt das Format des GRE-Headers variabler Größe, der für filterbasiertes Tunneling über IPv4-Netzwerke verwendet wird, wobei Bit 0 das höchstwertige Bit und Bit 15 das niederwertigste Bit ist.
Die ersten beiden Oktette codieren GRE-Flags, wie in beschrieben.Tabelle 1
Das Feld "2-Oktett-Protokolltyp" enthält den Wert, der 0x0800, um den EtherType-Wert für das IPv4-Protokoll anzugeben.
Das 4-Oktett-Schlüsselfeld ist nur enthalten, wenn das Key Present-Bit auf 1 gesetzt ist. Das Feld Schlüssel enthält den Schlüsselwert des Tunnels, der auf dem Encapsulator definiert ist. Wenn in der GRE-Tunneldefinition ein Schlüssel angegeben ist, legt die Paketweiterleitungs-Engine für den kapselnden Endpunkt das Key Present-Bit fest und fügt den Key dem GRE-Header hinzu.
Bit-Offset und Feldname |
Übertragener Wert für filterbasiertes GRE-Tunneling |
||
|---|---|---|---|
0 |
C= Prüfsumme vorhanden |
0 |
Das Prüfsummenfeld wird nicht verwendet. |
1 |
R= Routing vorhanden |
0 |
Die Felder "Versatz" und "Arbeitsplan" werden nicht verwendet. |
2 |
K= Schlüssel vorhanden |
0 Oder 1 |
Übertragen wie bei einem schlüssellosen Tunnel oder bei einem verschlüsselten Tunnel.01 |
3 |
S= Laufende Nummer vorhanden |
0 |
Das Feld "Sequenznummer" wird nicht verwendet. |
4 |
s= Strikte Quellroute |
0 |
Nicht alle Routing-Informationen sind strikte Quellrouten. |
5 - 7 |
Recur= Informationen zur Rekursionssteuerung |
000 |
Zusätzliche Verkapselungen sind nicht zulässig. |
8 - 12 |
Flags= Flag-Bits |
00000 |
Reserviert. |
13 - 15 |
Ver= Versionsnummer |
000 |
Reserviert. |
Wenn die Packet Forwarding Engine die Kapselung für einen verschlüsselten GRE-IPv4-Tunnel durchführt, erstellt der Prozess die ersten beiden Oktette des GRE-Headers wie 0x0000. Wenn die Paketweiterleitungs-Engine die Kapselung für einen nicht verschlüsselten GRE-IPv4-Tunnel durchführt, erstellt der Prozess die ersten beiden Oktette des GRE-Headers wie 0x2000.