Encapsulation de routage générique (GRE)
L’encapsulation de routage générique (GRE) est une liaison virtuelle point à point qui encapsule le trafic de données dans un tunnel. Les rubriques ci-dessous traitent de la tunnelisation des GRE, des processus d’encapsulation et de décapsulation, de la configuration des GRE et de la vérification du fonctionnement des GRE.
Comprendre l’encapsulation de routage générique
L’encapsulation de routage générique (GRE) fournit un chemin privé pour le transport des paquets à travers un réseau public en encapsulant (ou tunnelisant) les paquets.
Cette rubrique décrit :
- Vue d’ensemble de GRE
- Tunnels GRE
- Utilisation d’un filtre de pare-feu pour désencapsuler le trafic GRE sur les commutateurs QFX5100, QFX10000 et OCX Series
- Limites de la configuration
Vue d’ensemble de GRE
GRE encapsule les paquets de données et les redirige vers un équipement qui les désencapsule et les achemine jusqu’à leur destination finale. Cela permet aux commutateurs source et de destination de fonctionner comme s’ils avaient une connexion point à point virtuelle l’un avec l’autre (car l’en-tête externe appliqué par GRE est transparent pour le paquet de charge utile encapsulé). Par exemple, les tunnels GRE permettent aux protocoles de routage tels que RIP et OSPF de transférer des paquets de données d’un commutateur à un autre commutateur sur Internet. De plus, les tunnels GRE peuvent encapsuler des flux de données multicast pour les transmettre sur Internet.
GRE est décrit dans la RFC 2784 (obsolètes RFC antérieures 1701 et 1702). Les commutateurs prennent en charge la norme RFC 2784, mais pas complètement. (Pour obtenir la liste des limitations, reportez-vous à la section Limitations de configuration.)
En tant que routeur source de tunnel, le commutateur encapsule un paquet de charge utile pour le transport à travers le tunnel vers un réseau de destination. Le paquet de charge utile est d’abord encapsulé dans un paquet GRE, puis le paquet GRE est encapsulé dans un protocole de livraison. Le commutateur jouant le rôle de routeur distant de tunnel extrait le paquet tunnelisé et le transmet à sa destination. Notez que vous pouvez utiliser un terme de pare-feu pour arrêter de nombreux tunnels GRE sur un commutateur QFX5100.
Tunnels GRE
Les données sont acheminées par le système vers le point de terminaison GRE via les routes établies dans la table de routage. (Ces routes peuvent être configurées de manière statique ou apprises dynamiquement par des protocoles de routage tels que RIP ou OSPF.) Lorsqu’un paquet de données est reçu par le point de terminaison GRE, il est désencapsulé et réacheminé vers son adresse de destination.
Les tunnels GRE sont sans état, c’est-à-dire que le point de terminaison du tunnel ne contient aucune information sur l’état ou la disponibilité du point de terminaison du tunnel distant. Par conséquent, le commutateur fonctionnant comme un routeur source de tunnel ne peut pas changer l’état de l’interface de tunnel GRE en mode inactif si le point de terminaison distant est inaccessible.
Pour plus d’informations sur les tunnels GRE, consultez :
- Encapsulation et désencapsulation sur le commutateur
- Nombre de tunnels source et de destination autorisés sur un commutateur
- Classe de service sur les tunnels GRE
- Application de filtres de pare-feu au trafic GRE
Encapsulation et désencapsulation sur le commutateur
Encapsulation : un commutateur fonctionnant comme un routeur source de tunnel encapsule et transfère les paquets GRE comme suit :
Lorsqu’un commutateur reçoit un paquet de données (charge utile) à tunneliser, il envoie le paquet à l’interface du tunnel.
L’interface de tunnel encapsule les données dans un paquet GRE et ajoute un en-tête IP externe.
Le paquet IP est transféré sur la base de l’adresse de destination dans l’en-tête IP externe.
Dé-encapsulation : un commutateur fonctionnant comme un routeur à distance de tunnel gère les paquets GRE comme suit :
Lorsque le commutateur de destination reçoit le paquet IP de l’interface de tunnel, l’en-tête IP externe et l’en-tête GRE sont supprimés.
Le paquet est acheminé en fonction de l’en-tête IP interne.
Nombre de tunnels source et de destination autorisés sur un commutateur
Les commutateurs QFX5100 et OCX Series prennent en charge jusqu’à 512 tunnels GRE, y compris les tunnels créés avec un filtre de pare-feu. C’est-à-dire que vous pouvez créer un total de 512 tunnels GRE, quelle que soit la méthode que vous utilisez.
Les commutateurs EX prennent en charge jusqu’à 500 tunnels GRE entre des commutateurs transmettant des paquets de charge utile IPv4 ou IPv6 via GRE. Si vous utilisez un protocole passager en plus d’IPv4 et d’IPv6, vous pouvez configurer jusqu’à 333 tunnels GRE entre les commutateurs.
Un commutateur EX peut avoir un maximum de 20 adresses IP source de tunnel configurées, et chaque IP source de tunnel peut être configurée avec jusqu’à 20 adresses IP de destination sur un deuxième commutateur. Par conséquent, les deux commutateurs connectés peuvent avoir un maximum de 400 tunnels GRE. Si le premier commutateur est également connecté à un troisième commutateur, le nombre maximal possible de tunnels est de 500.
Classe de service sur les tunnels GRE
Lorsqu’un réseau connaît des congestions et des retards, certains paquets peuvent être abandonnés. La classe de service (CoS) de Junos OS divise le trafic en classes auxquelles vous pouvez appliquer différents niveaux de débit et de perte de paquets en cas de congestion et ainsi définir des règles pour la perte de paquets. Pour plus d’informations sur CoS, reportez-vous à la présentation de CoS pour commutateurs EX Series sous Junos OS.
Les composants CoS suivants sont disponibles sur un commutateur fonctionnant en tant que routeur source de tunnel GRE ou routeur distant de tunnel GRE :
-
À la source du tunnel GRE : sur un commutateur fonctionnant comme un routeur de source de tunnel, vous pouvez appliquer des classificateurs CoS sur un port d’entrée ou sur un port GRE, avec les résultats suivants concernant la prise en charge des composants CoS sur les paquets tunnelisés :
-
Planificateurs uniquement : en fonction de la classification CoS sur le port d’entrée, vous pouvez appliquer des ordonnanceurs CoS sur un port GRE du commutateur pour définir des files d’attente de sortie et contrôler la transmission des paquets via le tunnel après l’encapsulation GRE. Toutefois, vous ne pouvez pas appliquer de règles de réécriture CoS à ces paquets.
-
Planificateurs et règles de réécriture : en fonction de la classification CoS sur le port GRE, vous pouvez appliquer à la fois des planificateurs et des règles de réécriture aux paquets encapsulés transmis via le tunnel.
Note:Vous ne pouvez pas configurer les classificateurs BA sur
gr-
les interfaces. Vous devez classer le trafic surgr-
les interfaces à l’aide de filtres de pare-feu (classificateurs multichamps). -
Au point de terminaison du tunnel GRE : lorsque le commutateur est un routeur distant de tunnel, vous pouvez appliquer des classificateurs CoS sur le port et les planificateurs GRE, et réécrire des règles sur le port de sortie pour contrôler la transmission d’un paquet GRE désencapsulé à partir du port de sortie.
Application de filtres de pare-feu au trafic GRE
Les filtres de pare-feu fournissent des règles qui définissent s’il faut autoriser, refuser ou transférer les paquets qui transitent par une interface sur un commutateur. (Pour plus de détails, voir Présentation des filtres de pare-feu pour commutateurs EX Series.) En raison de l’encapsulation et de la désencapsulation effectuées par GRE, vous êtes limité quant à l’endroit où vous pouvez appliquer un filtre de pare-feu pour filtrer les paquets tunnelisés et quel en-tête sera affecté. Le tableau 1 identifie ces contraintes.
Type de point de terminaison |
Interface d’entrée | Interface de sortie |
Source (encapsulation) |
En-tête interne |
en-tête externe |
À distance (désencapsulation) |
Impossible de filtrer les paquets sur l’interface entrante |
En-tête interne |
Utilisation d’un filtre de pare-feu pour désencapsuler le trafic GRE sur les commutateurs QFX5100, QFX10000 et OCX Series
Vous pouvez également utiliser un filtre de pare-feu pour désencapsuler le trafic GRE sur les commutateurs. Cette fonctionnalité offre des avantages significatifs en termes d'évolutivité, de performances et de flexibilité, car vous n'avez pas besoin de créer une interface de tunnel pour effectuer la désencapsulation. Par exemple, vous pouvez terminer plusieurs tunnels à partir de plusieurs adresses IP sources avec un seul terme de pare-feu. Reportez-vous à la section Configuration d’un filtre de pare-feu pour décapsuler le trafic GRE pour plus d’informations sur la configuration d’un filtre de pare-feu à cette fin.
Limites de la configuration
Le Tableau 2 répertorie les fonctionnalités qui ne sont pas prises en charge par GRE.
Commutateurs EX | Commutateurs QFX |
MPLS sur tunnels GRE |
MPLS sur tunnels GRE |
Keepalives GRE |
Keepalives GRE |
Clés GRE, fragmentation des paquets de la charge utile et numéros de séquence pour les paquets fragmentés |
Clés GRE, fragmentation des paquets de la charge utile et numéros de séquence pour les paquets fragmentés |
Tunnels dynamiques BGP |
Tunnels dynamiques BGP |
L’adresse IP externe doit être IPv4 |
L’adresse IP externe doit être IPv4 |
Instances de routage virtuel |
Sur les commutateurs QFX10002 , QFX10008 et QFX5K Series, Si vous configurez un tunneling GRE avec le next-hop ECMP sous-jacent au lieu d’un next-hop Unicast, l’encapsulation du tunnel GRE échoue et le trafic réseau est interrompu |
Protocole BFD (Bidirectional Forwarding Detection) sur le mode distribué GRE |
|
Limitation OSPF : l’activation d’OSPF sur une interface GRE crée deux itinéraires à coût égal vers la destination : l’un via le réseau Ethernet ou l’interface de liaison montante et l’autre via l’interface de tunnel. Si les données sont acheminées via l’interface du tunnel, celui-ci risque d’échouer. Pour que l’interface reste opérationnelle, nous vous recommandons d’utiliser une route statique, de désactiver OSPF sur l’interface du tunnel ou de configurer l’homologue pour qu’il n’annonce pas la destination du tunnel sur l’interface du tunnel. |
|
|
Les commutateurs QFX Series ne prennent pas en charge la configuration de l’interface GRE et de l’interface source du tunnel sous-jacent dans deux instances de routage différentes. Si vous essayez cette configuration, cela entraînera une erreur de validation. |
Voir aussi
Configuration de la tunnelisation d’encapsulation de routage générique
L’encapsulation de routage générique (GRE) fournit un chemin privé pour le transport des paquets à travers un réseau public en encapsulant (ou tunnelisant) les paquets. Le tunneling GRE s’effectue via des points de terminaison de tunnel qui encapsulent ou désencapsulent le trafic.
Vous pouvez également utiliser un filtre de pare-feu pour désencapsuler le trafic GRE sur les commutateurs QFX5100 et OCX Series. Cette fonctionnalité offre des avantages significatifs en termes d'évolutivité, de performances et de flexibilité, car vous n'avez pas besoin de créer une interface de tunnel pour effectuer la désencapsulation. Par exemple, vous pouvez terminer plusieurs tunnels à partir de plusieurs adresses IP sources avec un seul terme de pare-feu. Pour plus d’informations sur cette fonctionnalité, reportez-vous à la section Configuration d’un filtre de pare-feu pour décapsuler le trafic GRE.
Pour configurer un port de tunnel GRE sur un commutateur :
-
Déterminez le port réseau ou le port de liaison montante de votre commutateur à convertir en port tunnel GRE.
-
Configurez le port en tant que port de tunnel pour les services de tunnel GRE :
[edit chassis]user@switch# set fpc slot pic pic-number tunnel-port port-number tunnel-services
Pour QFX10000, l’interface gr-0/0/0 est créée par défaut. De plus, vous n’avez pas besoin de configurer l’instruction set fpc slot pic pic-number tunnel-port port-number tunnel-services
.
Cette rubrique décrit :
Configuration d’un tunnel GRE
Pour configurer une interface de tunnel GRE :
Sur les commutateurs QFX10002 et QFX10008, Si vous configurez le tunneling GRE avec le next-hop ECMP sous-jacent au lieu du next-hop Unicast, l’encapsulation du tunnel GRE échoue et le trafic réseau est abandonné.
Les sauts suivants de sortie indirecte ne sont actuellement pas pris en charge dans l’implémentation GRE pour les commutateurs QFX10000.
Vérification du bon fonctionnement de la tunnelisation d’encapsulation de routage générique
But
Vérifiez que l’interface d’encapsulation de routage générique (GRE) envoie du trafic tunnelisé.
Action
Affichez les informations d’état de l’interface GRE spécifiée à l’aide de la commande show interfaces
.
user@switch> show interfaces gr-0/0/0.0 Physical interface: gr-0/0/0, Enabled, Physical link is Up Interface index: 132, SNMP ifIndex: 26 Type: GRE, Link-level type: GRE, MTU: Unlimited, Speed: 800mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface gr-0/0/0.0 (Index 68) (SNMP ifIndex 47) Flags: Point-To-Point SNMP-Traps 16384 IP-Header 10.1.1.2:10.1.1.1:47:df:64:0000000000000000 Encapsulation: GRE-NULL Input packets : 0 Output packets: 0 Protocol inet, MTU: 1476 Flags: None Addresses, Flags: Is-Primary Local: 10.0.0.0
Sens
La sortie indique que l’interface GRE gr-0/0/0 est active. La sortie affiche le nom de l’interface physique et les statistiques de trafic de cette interface--- le nombre et la vitesse à laquelle les octets et les paquets d’entrée et de sortie sont reçus et transmis sur l’interface physique.