Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren eines Firewall-Filters zur Decapsulate von GRE- oder IPIP-Datenverkehr

Generic Routing Encapsulation (GRE) und IP over IP (IPIP) bieten einen privaten, sicheren Pfad für den Transport von Paketen durch ein Netzwerk, indem sie die Pakete verkapseln (oder tunneln). Das Tunneling wird durch Tunnelendpunkte durchgeführt, die den Datenverkehr verkapseln oder entkapseln.

Sie können einen Firewall-Filter verwenden, um den Tunneldatenverkehr auf dem Switch zu entkapseln. Diese Funktion bietet erhebliche Vorteile in Bezug auf Skalierbarkeit, Leistung und Flexibilität, da Sie keine Tunnelschnittstelle für die Entkapselung erstellen müssen. Beispielsweise können Sie viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewall-Begriff beenden.

Anmerkung:

Die EX4600-, QFX5100- und OCX-Switches unterstützen bis zu 512 GRE-Tunnel, einschließlich Tunnel, die mit einem Firewall-Filter erstellt wurden. Das heißt, Sie können insgesamt 512 GRE-Tunnel erstellen, unabhängig davon, welche Methode Sie verwenden.

Konfigurieren eines Filters zur De-Kapselung von GRE-Datenverkehr

So konfigurieren Sie einen Firewall-Filter zur Entkapselung von GRE-Datenverkehr:

  1. Erstellen Sie einen IPv4-Firewall-Filter und geben Sie (optional) eine Quelladresse für den Tunnel an:

    Sie müssen einen IPv4-Filter erstellen, indem Sie verwenden family inet , da der äußere Header eines GRE-Pakets IPv4 sein muss. Wenn Sie eine Quelladresse angeben, sollte es sich um eine Adresse auf einem Gerät handelt, die den Datenverkehr in GRE-Pakete verkapselt.

    Anmerkung:

    Um viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewall-Begriff zu beenden, konfigurieren Sie keine Quelladresse. In diesem Fall entkapselt der Filter alle GRE-Pakete, die von der Schnittstelle empfangen werden, auf die Sie den Filter anwenden.

  2. Geben Sie eine Zieladresse für den Tunnel an:

    Dies sollte eine Adresse an einer Schnittstelle des Switch sein, an der der Tunnel oder die Tunnel beendet und die GRE-Pakete entkapselt werden sollen. Sie sollten diese Adresse auch auf allen Tunnel-Quellroutern, mit denen Sie Tunnel auf dem Switch bilden möchten, als Tunnelendpunkt konfigurieren.

  3. Geben Sie an, dass der Filter übereinstimmen und GRE-Datenverkehr akzeptieren soll:
  4. Geben Sie an, dass der Filter GRE-Datenverkehr entkapseln soll:

    Basierend auf der konfiguration, die Sie bisher durchgeführt haben, leitet der Switch die entkapselten Pakete weiter, indem er den inneren Header mit der Standardroutingtabelle vergleicht (inet0). Wenn der Switch eine virtuelle Routing-Instanz zur Weiterleitung der entkapselten Pakete verwenden soll, führen Sie die folgenden Schritte aus:

  5. Geben Sie den Namen der virtuellen Routing-Instanz an:
  6. Geben Sie an, dass es sich bei der virtuellen Routing-Instanz um einen virtuellen Router handelt:
  7. Geben Sie die Schnittstellen an, die zum virtuellen Router gehören:

Konfigurieren eines Filters zur Entkapselung des IPIP-Datenverkehrs

So konfigurieren Sie einen Firewall-Filter zur Entkapselung des IPIP-Datenverkehrs::

  1. Erstellen Sie einen IPv4-Firewall-Filter und geben Sie (optional) eine Quelladresse für den Tunnel an:

    Sie müssen einen IPv4-Filter erstellen, da family inet der äußere Header eines IPIP-Pakets IPv4 sein muss. Wenn Sie eine Quelladresse angeben, sollte es sich um eine Adresse auf einem Gerät handelt, die den Datenverkehr in IPIP-Pakete verkapselt.

    Anmerkung:

    Um viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewall-Begriff zu beenden, konfigurieren Sie keine Quelladresse. In diesem Fall entkapselt der Filter alle IPIP-Pakete, die von der Schnittstelle empfangen werden, auf die Sie den Filter anwenden.

  2. Geben Sie eine Zieladresse für den Tunnel an:

    Dies sollte eine Adresse an einer Schnittstelle des Switch sein, an der der Tunnel oder die Tunnel beendet und die IPIP-Pakete entkapselt werden sollen. Sie sollten diese Adresse auch auf allen Tunnel-Quellroutern, mit denen Sie Tunnel auf dem Switch bilden möchten, als Tunnelendpunkt konfigurieren.

  3. Geben Sie an, dass der Filter übereinstimmen und IPIP-Datenverkehr akzeptieren soll:
  4. Geben Sie an, dass der Filter den IPIP-Datenverkehr entkapseln soll:

    Basierend auf der konfiguration, die Sie bisher durchgeführt haben, leitet der Switch die entkapselten Pakete weiter, indem er den inneren Header mit der Standardroutingtabelle vergleicht (inet0). Wenn der Switch eine virtuelle Routing-Instanz zur Weiterleitung der entkapselten Pakete verwenden soll, führen Sie die folgenden Schritte aus:

  5. Geben Sie den Namen der virtuellen Routing-Instanz an:
  6. Geben Sie an, dass es sich bei der virtuellen Routing-Instanz um einen virtuellen Router handelt:
  7. Geben Sie die Schnittstellen an, die zum virtuellen Router gehören:

Anwenden des Filters auf eine Schnittstelle

Nachdem Sie den Firewall-Filter erstellt haben, müssen Sie ihn auch auf eine Schnittstelle anwenden, die GRE - oder IPIP-Datenverkehr empfängt. Achten Sie darauf, dass sie in der Eingaberichtung angewendet wird. Geben Sie zum Beispiel

Da der äußere Header eines GRE - oder IPIP-Pakets IPv4 sein muss, müssen Sie den Filter auf eine IPv4-Schnittstelle anwenden und angeben family inet.