Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Konfigurieren eines Firewallfilters zum Entkapseln von GRE- oder IPIP-Datenverkehr

Generic Routing Encapsulation (GRE) und IP over IP (IPIP) bieten beide einen privaten, sicheren Pfad für den Transport von Paketen durch ein Netzwerk, indem die Pakete gekapselt (oder getunnelt) werden. Das Tunneling wird von Tunnelendpunkten durchgeführt, die den Datenverkehr kapseln oder entkapseln.

Sie können einen Firewall-Filter verwenden, um den Tunnelverkehr auf dem Switch zu entkapseln. Diese Funktion bietet erhebliche Vorteile in Bezug auf Skalierbarkeit, Leistung und Flexibilität, da Sie keine Tunnelschnittstelle erstellen müssen, um die Entkapselung durchzuführen. Sie können z. B. viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewall-Begriff beenden.

HINWEIS:

Die EX4600-, QFX5100- und OCX-Switches unterstützen bis zu 512 GRE-Tunnel, einschließlich Tunneln, die mit einem Firewall-Filter erstellt wurden. Das heißt, Sie können insgesamt 512 GRE-Tunnel erstellen, unabhängig davon, welche Methode Sie verwenden.

Konfigurieren eines Filters zum Entkapseln von GRE-Datenverkehr

So konfigurieren Sie einen Firewallfilter zum Entkapseln des GRE-Datenverkehrs:

  1. Erstellen Sie einen IPv4-Firewallfilter und geben Sie (optional) eine Quelladresse für den Tunnel an:

    Sie müssen einen IPv4-Filter erstellen, indem Sie verwenden , da der äußere Header eines GRE-Pakets IPv4 sein muss.family inet Wenn Sie eine Queladresse angeben, sollte es sich um eine Adresse auf einem Gerät handeln, das den Datenverkehr in GRE-Pakete kapselt.

    HINWEIS:

    Wenn Sie viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewallbegriff beenden möchten, konfigurieren Sie keine Quelladress. In diesem Fall entkapselt der Filter alle GRE-Pakete, die von der Schnittstelle empfangen werden, auf die Sie den Filter anwenden.

  2. Geben Sie eine Zieladresse für den Tunnel an:

    Dabei sollte es sich um eine Adresse auf einer Schnittstelle des Switches handeln, auf der der Tunnel oder die Tunnel beendet und die GRE-Pakete entkapselt werden sollen. Sie sollten diese Adresse auch als Tunnelendpunkt auf allen Tunnelquellroutern konfigurieren, mit denen Sie Tunnel auf dem Switch bilden möchten.

  3. Geben Sie an, dass der Filter mit GRE-Datenverkehr übereinstimmen und diesen akzeptieren soll:
  4. Geben Sie an, dass der Filter die Entkapselung des GRE-Datenverkehrs aufheben soll:

    Basierend auf der Konfiguration, die Sie bisher durchgeführt haben, leitet der Switch die entkapselten Pakete weiter, indem er den inneren Header mit der Standard-Routing-Tabelle vergleicht ().inet0 Wenn Sie möchten, dass der Switch eine virtuelle Routing-Instanz verwendet, um die entkapselten Pakete weiterzuleiten, führen Sie die folgenden Schritte aus:

  5. Geben Sie den Namen der virtuellen Routinginstanz an:
  6. Geben Sie an, dass es sich bei der virtuellen Routinginstanz um einen virtuellen Router handelt:
  7. Geben Sie die Schnittstellen an, die zum virtuellen Router gehören:

Konfigurieren eines Filters zum Entkapseln des IPIP-Datenverkehrs

So konfigurieren Sie einen Firewallfilter zum Entkapseln des IPIP-Datenverkehrs:

  1. Erstellen Sie einen IPv4-Firewallfilter und geben Sie (optional) eine Quelladresse für den Tunnel an:

    Sie müssen einen IPv4-Filter erstellen, indem Sie verwenden , da der äußere Header eines IPIP-Pakets IPv4 sein muss.family inet Wenn Sie eine Quelladresse angeben, sollte es sich um eine Adresse auf einem Gerät handeln, das den Datenverkehr in IPIP-Pakete kapselt.

    HINWEIS:

    Wenn Sie viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewallbegriff beenden möchten, konfigurieren Sie keine Quelladress. In diesem Fall entkapselt der Filter alle IPIP-Pakete, die von der Schnittstelle empfangen werden, auf die Sie den Filter anwenden.

  2. Geben Sie eine Zieladresse für den Tunnel an:

    Dabei sollte es sich um eine Adresse auf einer Schnittstelle des Switches handeln, auf der der Tunnel oder die Tunnel beendet und die IPIP-Pakete entkapselt werden sollen. Sie sollten diese Adresse auch als Tunnelendpunkt auf allen Tunnelquellroutern konfigurieren, mit denen Sie Tunnel auf dem Switch bilden möchten.

  3. Geben Sie an, dass der Filter mit IPIP-Datenverkehr übereinstimmen und diesen akzeptieren soll:
  4. Geben Sie an, dass der Filter die Entkapselung des IPIP-Datenverkehrs aufheben soll:

    Basierend auf der Konfiguration, die Sie bisher durchgeführt haben, leitet der Switch die entkapselten Pakete weiter, indem er den inneren Header mit der Standard-Routing-Tabelle vergleicht ().inet0 Wenn Sie möchten, dass der Switch eine virtuelle Routing-Instanz verwendet, um die entkapselten Pakete weiterzuleiten, führen Sie die folgenden Schritte aus:

  5. Geben Sie den Namen der virtuellen Routinginstanz an:
  6. Geben Sie an, dass es sich bei der virtuellen Routinginstanz um einen virtuellen Router handelt:
  7. Geben Sie die Schnittstellen an, die zum virtuellen Router gehören:

Anwenden des Filters auf eine Schnittstelle

Nachdem Sie den Firewallfilter erstellt haben, müssen Sie ihn auch auf eine Schnittstelle anwenden, die GRE- oder IPIP-Datenverkehr empfängt. Stellen Sie sicher, dass Sie es in Eingaberichtung anwenden. Geben Sie z. B. Folgendes ein:

Da der äußere Header eines GRE - oder IPIP-Pakets IPv4 sein muss, müssen Sie den Filter auf eine IPv4-Schnittstelle anwenden und angeben.family inet

Verwandte Themen