- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
14-GRE配置
本章节下载: 14-GRE配置 (336.37 KB)
目 录
GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。封装后的数据报文在网络中传输的路径,称为GRE隧道。GRE隧道是一个虚拟的点到点的连接,其两端的设备分别对数据报进行封装及解封装。
图1-1 GRE封装后的报文格式
如图1-1所示,GRE封装后的报文包括如下几个部分:
· 净荷数据(Payload packet):需要封装和传输的数据报文。净荷数据的协议类型,称为乘客协议(Passenger Protocol)。
· GRE头(GRE header):系统收到净荷数据后,在净荷数据上添加GRE头,使其成为GRE报文。对净荷数据进行封装的GRE协议,称为封装协议(Encapsulation Protocol)。
· 传输协议的报文头(Delivery header):负责转发封装后报文的网络协议,称为传输协议(Delivery Protocol或者Transport Protocol)。在GRE报文上需要增加传输协议的报文头,以便传输协议对封装后的报文进行转发处理。
图1-2 GRE封装报文举例
IPv6报文通过GRE隧道穿越IPv4网络时,报文格式如图1-2所示。其中,乘客协议为IPv6,封装协议为GRE,传输协议为IPv4。
设备支持的GRE隧道模式为GRE over IPv4(传输协议为IPv4,乘客协议为任意网络层协议)。
图1-3 X协议网络通过GRE隧道互连
下面以图1-3的网络为例说明X协议的报文穿越IP网络在GRE隧道中传输的过程:
· Device A连接Group 1的接口收到X协议报文后,首先交由X协议处理;
· X协议检查报文头中的目的地址域来确定如何路由此包;
· 若报文的目的地址要经过Tunnel才能到达,则设备将此报文发给相应的Tunnel接口;
· Tunnel接口收到此报文后进行GRE封装,再封装IP报文头后,设备根据此IP包的目的地址及路由表对报文进行转发,从相应的网络接口发送出去。
解封装过程和加封装的过程相反。
· Device B从Tunnel接口收到IP报文,检查目的地址;
· 如果目的地是本路由器,且IP报文头中的协议号为47(表示封装的报文为GRE报文),则Device B剥掉此报文的IP报头,交给GRE协议处理(进行检验密钥、检查校验和及报文的序列号等);
· GRE协议完成相应的处理后,剥掉GRE报头,再交由X协议对此数据报进行后续的转发处理。
GRE收发双方的加封装、解封装处理,以及由于封装造成的数据量增加,会导致使用GRE后设备的数据转发效率有一定程度的下降。
GRE主要应用于以下几种环境:
图1-4中,Group 1和Group 2是运行Novell IPX协议的本地网,Team 1和Team 2是运行IP协议的本地网。通过在Device A和Device B之间采用GRE协议封装的隧道,Group 1和Group 2、Team 1和Team 2可以互不影响地进行通信。
两台终端之间的跳数超过15,它们将无法通信。通过在网络中使用隧道可以隐藏一部分跳数,从而扩大网络的工作范围。
图1-6 Tunnel连接不连续子网
运行Novell IPX协议的两个子网Group 1和Group 2分别在不同的城市,通过使用隧道可以实现跨越广域网的VPN。
图1-7 GRE-IPsec隧道应用
GRE可以和IPsec结合使用,即对于路由协议、语音、视频等数据先进行GRE封装,再对封装后的报文进行IPsec的加密处理,以提高数据在隧道中传输的安全性。
与GRE相关的协议规范有:
· RFC 1701:Generic Routing Encapsulation (GRE)
· RFC 1702:Generic Routing Encapsulation over IPv4 networks
· RFC 2784:Generic Routing Encapsulation (GRE)
设备上存在已经配置IP地址、能够进行正常通讯的接口(如VLAN接口,GigabitEthernet接口,Loopback接口等),该接口将作为Tunnel接口的源接口。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建一个Tunnel接口,并进入该Tunnel接口视图 |
interface tunnel interface-number |
必选 缺省情况下,设备上无Tunnel接口 |
|
设置Tunnel接口的IPv4地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,Tunnel接口上没有设置IPv4地址 |
|
配置隧道模式为GRE over IPv4 |
tunnel-protocol gre |
可选 缺省情况下,采用GRE over IPv4隧道模式 在隧道的两端应配置相同的隧道模式,否则可能造成报文传输失败 |
|
设置Tunnel接口的源端地址或接口 |
source { ip-address | interface-type interface-number } |
必选 缺省情况下,Tunnel接口上没有设置源端地址和接口 |
|
设置Tunnel接口的目的端地址 |
destination ip-address |
必选 缺省情况下,Tunnel接口上没有设置目的端地址 |
|
配置通过Tunnel转发报文的路由 |
配置的详细情况请参见“三层技术-IP路由配置指导”中的“静态路由”或其他路由协议配置 |
可选 在源端路由器和目的端路由器上都必须存在经过Tunnel转发的路由,这样需要进行GRE封装的报文才能正确转发。可以选择配置静态路由,也可以选择配置动态路由。在Tunnel的两端都要进行此项配置 |
|
设置隧道接口的IPv6 MTU值 |
ipv6 mtu mtu-size |
可选 缺省情况下,GRE隧道接口上发送IPv6报文的MTU为1476字节 |
|
退回系统视图 |
quit |
- |
|
配置丢弃含有IPv4兼容IPv6地址的IPv6报文 |
tunnel discard ipv4-compatible-packet |
可选 缺省情况下,不会丢弃含有IPv4兼容IPv6地址的IPv6报文 |
· interface tunnel、tunnel-protocol、source和destination命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“隧道”。
· ipv6 mtu命令仅对隧道接口上发送的IPv6报文生效,有关该命令的详细介绍请参见“三层技术-IP业务命令参考”中的“隧道”。
· Tunnel接口的详细介绍,及Tunnel接口下的更多配置命令,请参见“三层技术-IP业务配置指导”中的“隧道”。
· Tunnel的源端地址与目的端地址唯一标识了一个通道。这些配置在Tunnel两端必须配置,且两端地址互为源地址和目的地址。
· 两个或两个以上使用同种封装协议的Tunnel接口不能配置完全相同的源地址和目的地址。
· 配置Tunnel接口的源端地址时,若采用配置源接口形式,则Tunnel的源地址取的是源接口的主IP地址。
· 配置通过Tunnel转发的路由时,可以手工配置一条静态路由,目的地址是未进行GRE封装的报文的目的地址,下一跳是对端Tunnel接口的地址。也可以在Tunnel接口上和与私网相连的路由器接口上分别使能动态路由协议,由动态路由协议来建立通过Tunnel转发的路由表项。
· 在隧道接口配置的静态路由的目的地址不能与隧道接口的地址在同一网段中。
在完成上述配置后,在任意视图下执行display命令可以显示配置后GRE的运行情况,通过查看显示信息验证配置的效果。
表1-2 GRE的显示和维护
|
操作 |
命令 |
|
显示指定Tunnel接口的相关信息 |
display interface tunnel [ number ] [ | { begin | exclude | include } regular-expression ] |
|
显示Tunnel接口的IPv6相关信息 |
display ipv6 interface tunnel [ number ] [ brief ] [ | { begin | exclude | include } regular-expression ] |
display interface tunnel和display ipv6 interface tunnel命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“隧道”。
缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使这些接口处于UP状态。
交换机Switch A和交换机Swich B之间通过Internet相连。运行IP协议的私有网络的两个子网Group 1和Group 2,通过在两台交换机之间使用GRE建立隧道实现互联。
图1-8 GRE over IPv4应用组网图
在开始下面的配置之前,需确保Switch A和Switch B之间路由可达。
(1) 配置交换机Switch A
# 配置接口GigabitEthernet 3/0/1。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] port GigabitEthernet 3/0/1
[SwitchA-vlan100] quit
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ip address 10.1.1.1 255.255.255.0
[SwitchA-Vlan-interface100] quit
# 配置接口GigabitEthernet 3/0/2(隧道的实际物理接口)。
[SwitchA] vlan 101
[SwitchA-vlan101] port GigabitEthernet 3/0/2
[SwitchA-vlan101] quit
[SwitchA] interface vlan-interface 101
[SwitchA-Vlan-interface101] ip address 1.1.1.1 255.255.255.0
[SwitchA-Vlan-interface101] quit
# 创建Tunnel1接口。
[SwitchA] interface tunnel 1
# 配置Tunnel1接口的IP地址。
[SwitchA-Tunnel1] ip address 10.1.2.1 255.255.255.0
# 配置Tunnel封装模式为GRE over IPv4隧道模式。
[SwitchA-Tunnel1] tunnel-protocol gre
# 配置Tunnel1接口的源地址(GigabitEthernet 3/0/2所属VLAN接口的IP地址)。
[SwitchA-Tunnel1] source vlan-interface 101
# 配置Tunnel1接口的目的地址(Switch B的GigabitEthernet 3/0/2所属VLAN接口的IP地址)。
[SwitchA-Tunnel1] destination 2.2.2.2
[SwitchA-Tunnel1] quit
# 配置从Switch A经过Tunnel1接口到Group 2的静态路由。
[SwitchA] ip route-static 10.1.3.0 255.255.255.0 tunnel 1
(2) 配置交换机Switch B
# 配置接口GigabitEthernet 3/0/1。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] port GigabitEthernet 3/0/1
[SwitchB-vlan100] quit
[SwitchB] interface vlan-interface 100
[SwitchB-Vlan-interface100] ip address 10.1.3.1 255.255.255.0
[SwitchB-Vlan-interface100] quit
# 配置接口GigabitEthernet 3/0/2(隧道的实际物理接口)。
[SwitchB] vlan 101
[SwitchB-vlan101] port GigabitEthernet 3/0/2
[SwitchB-vlan101] quit
[SwitchB] interface vlan-interface 101
[SwitchB-Vlan-interface101] ip address 2.2.2.2 255.255.255.0
[SwitchB-Vlan-interface101] quit
# 创建Tunnel1接口。
[SwitchB] interface tunnel 1
# 配置Tunnel1接口的IP地址。
[SwitchB-Tunnel1] ip address 10.1.2.2 255.255.255.0
# 配置Tunnel封装模式为GRE over IPv4隧道模式。
[SwitchB-Tunnel1] tunnel-protocol gre
# 配置Tunnel1接口的源地址(GigabitEthernet 3/0/2所属VLAN接口的IP地址)。
[SwitchB-Tunnel1] source vlan-interface 101
# 配置Tunnel1接口的目的地址(Switch A的GigabitEthernet 3/0/2所属VLAN接口的IP地址)。
[SwitchB-Tunnel1] destination 1.1.1.1
[SwitchB-Tunnel1] quit
# 配置从Switch B经过Tunnel1接口到Group 1的静态路由。
[SwitchB] ip route-static 10.1.1.0 255.255.255.0 Tunnel 1
交换机Switch A和交换机Swich B之间通过Internet相连。运行IP协议的私有网络的两个子网Group 1和Group 2,通过在两台交换机之间使用GRE建立隧道实现互联。
图1-9 GRE over IPv4应用组网图
在开始下面的配置之前,需确保Switch A和Switch B之间路由可达。
(1) 配置交换机Switch A
# 配置接口GigabitEthernet 3/0/1。
<SwitchA> system-view
[SwitchA] ipv6
[SwitchA] vlan 100
[SwitchA-vlan100] port GigabitEthernet 3/0/1
[SwitchA-vlan100] quit
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ipv6 address 3001::1 64
[SwitchA-Vlan-interface100] quit
# 配置接口GigabitEthernet 3/0/2(隧道的实际物理接口)。
[SwitchA] vlan 101
[SwitchA-vlan101] port GigabitEthernet 3/0/2
[SwitchA-vlan101] quit
[SwitchA] interface vlan-interface 101
[SwitchA-Vlan-interface101] ip address 1.1.1.1 255.255.255.0
[SwitchA-Vlan-interface101] quit
# 创建Tunnel 1接口。
[SwitchA] interface tunnel 1
# 配置Tunnel 1接口的IPv6地址。
[SwitchA-Tunnel1] ipv6 address 2001::1 64
# 配置Tunnel封装模式。
[SwitchA-Tunnel1] tunnel-protocol gre
# 配置Tunnel 1接口的源地址(GigabitEthernet 3/0/2所属VLAN接口的IP地址)。
[SwitchA-Tunnel1] source 1.1.1.1
# 配置Tunnel1接口的目的地址(Switch B的GigabitEthernet 3/0/2所属VLAN接口的IP地址)。
[SwitchA-Tunnel1] destination 1.1.1.2
[SwitchA-Tunnel1] quit
# 配置从Switch A经过Tunnel 1接口到Group 2的静态路由。
[SwitchA] ipv6 route-static 3002:: 64 tunnel 1
(2) 配置交换机Switch B
# 配置接口GigabitEthernet 3/0/1。
<SwitchB> system-view
[SwitchB] ipv6
[SwitchB] vlan 100
[SwitchB-vlan100] port GigabitEthernet 3/0/1
[SwitchB-vlan100] quit
[SwitchB] interface vlan-interface 100
[SwitchB-Vlan-interface100] ipv6 address 3002::1 64
[SwitchB-Vlan-interface100] quit
# 配置接口GigabitEthernet 3/0/2(隧道的实际物理接口)。
[SwitchB] vlan 101
[SwitchB-vlan101] port GigabitEthernet 3/0/2
[SwitchB-vlan101] quit
[SwitchB] interface vlan-interface 101
[SwitchB-Vlan-interface101] ip address 1.1.1.2 255.255.255.0
[SwitchB-Vlan-interface101] quit
# 创建Tunnel1接口。
[SwitchB] interface tunnel 1
# 配置Tunnel1接口的IPv6地址。
[SwitchB-Tunnel1] ipv6 address 2001::2 64
# 配置Tunnel封装模式。
[SwitchB-Tunnel1] tunnel-protocol gre
# 配置Tunnel 1接口的源地址(GigabitEthernet 3/0/2所属VLAN接口的IP地址)。
[SwitchB-Tunnel1] source 1.1.1.2
# 配置Tunnel 1接口的目的地址(Switch A的GigabitEthernet 3/0/2所属VLAN接口的IP地址)。
[SwitchB-Tunnel1] destination 1.1.1.1
[SwitchB-Tunnel1] quit
# 配置从Switch B经过Tunnel 1接口到Group 1的静态路由。
[SwitchB] ipv6 route-static 3001:: 64 Tunnel 1
GRE的配置相对比较简单,但要注意配置的一致性,大部分的错误都可以通过使用调试命令debugging gre和debugging tunnel定位。这里仅就一种错误进行分析,如图1-10所示。
图1-10 GRE排错示例
故障之一:Tunnel两端接口配置正确且Tunnel两端可以ping通,但Host A和Host B之间却无法ping通。
故障排除:可以按照如下步骤进行。
· 在任意视图下,在Switch A和Switch C分别执行display ip routing-table命令,观察在Switch A是否有经过Tunnel0接口到10.2.0.0/16的路由;在Switch C是否有经过Tunnel0接口到10.1.0.0/16的路由。
· 如果在上一步的输出中发现缺少相应的静态路由,在系统视图下使用ip route-static命令添加。以Switch A为例,配置如下:
[SwitchA] ip route-static 10.2.0.0 255.255.0.0 tunnel 0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
