Konfigurieren eines Firewallfilters zum Entkapseln von GRE- oder IPIP-Datenverkehr
Generic Routing Encapsulation (GRE) und IP over IP (IPIP) bieten beide einen privaten, sicheren Pfad für den Transport von Paketen durch ein Netzwerk, indem die Pakete gekapselt (oder getunnelt) werden. Das Tunneling wird von Tunnelendpunkten durchgeführt, die den Datenverkehr kapseln oder entkapseln.
Sie können einen Firewall-Filter verwenden, um den Tunnelverkehr auf dem Switch zu entkapseln. Diese Funktion bietet erhebliche Vorteile in Bezug auf Skalierbarkeit, Leistung und Flexibilität, da Sie keine Tunnelschnittstelle erstellen müssen, um die Entkapselung durchzuführen. Sie können z. B. viele Tunnel von mehreren Quell-IP-Adressen mit einem Firewall-Begriff beenden.
Die EX4600-, QFX5100- und OCX-Switches unterstützen bis zu 512 GRE-Tunnel, einschließlich Tunneln, die mit einem Firewall-Filter erstellt wurden. Das heißt, Sie können insgesamt 512 GRE-Tunnel erstellen, unabhängig davon, welche Methode Sie verwenden.
Konfigurieren eines Filters zum Entkapseln von GRE-Datenverkehr
So konfigurieren Sie einen Firewallfilter zum Entkapseln des GRE-Datenverkehrs:
Konfigurieren eines Filters zum Entkapseln des IPIP-Datenverkehrs
So konfigurieren Sie einen Firewallfilter zum Entkapseln des IPIP-Datenverkehrs:
Anwenden des Filters auf eine Schnittstelle
Nachdem Sie den Firewallfilter erstellt haben, müssen Sie ihn auch auf eine Schnittstelle anwenden, die GRE- oder IPIP-Datenverkehr empfängt. Stellen Sie sicher, dass Sie es in Eingaberichtung anwenden. Geben Sie z. B. Folgendes ein:
[edit ]
user@switch# set interfaces interface-name unit logical-unit-number family inet
filter input filter-name
Da der äußere Header eines GRE - oder IPIP-Pakets IPv4 sein muss, müssen Sie den Filter auf eine IPv4-Schnittstelle anwenden und angeben.family inet