本帮助主要介绍以下内容:
GRE(Generic Routing Encapsulation,通用路由封装)协议用来对任意一种网络层协议(如IPv6)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络(如IPv4)中传输。封装前后数据报文的网络层协议可以相同,也可以不同。封装后的数据报文在网络中传输的路径,称为GRE隧道。GRE隧道是一个虚拟的点到点的连接,其两端的设备分别对数据报文进行封装及解封装。
GRE封装后的报文包括如下几个部分:
净荷数据(Payload packet):需要封装和传输的数据报文。净荷数据的协议类型,称为乘客协议(Passenger Protocol)。乘客协议可以是任意的网络层协议。
GRE头(GRE header):采用GRE协议对净荷数据进行封装所添加的报文头,包括封装层数、版本、乘客协议类型、校验和信息、Key信息等内容。添加GRE头后的报文称为GRE报文。对净荷数据进行封装的GRE协议,称为封装协议(Encapsulation Protocol)。
传输协议的报文头(Delivery header):在GRE报文上添加的报文头,以便传输协议对GRE报文进行转发处理。传输协议(Delivery Protocol或者Transport Protocol)是指负责转发GRE报文的网络层协议。设备支持IPv4和IPv6两种传输协议:当传输协议为IPv4时,GRE隧道称为GRE over IPv4隧道;当传输协议为IPv6时,GRE隧道称为GRE over IPv6隧道。
IPv4/IPv6协议报文通过GRE隧道进行传输的过程:
GRE隧道源端设备收到IPv4/IPv6协议报文后,将该报文发给相应的Tunnel接口。
GRE隧道模式的Tunnel接口收到此报文后,先在报文前封装上GRE头,再封装上传输协议头。传输协议头中的源地址为隧道的源端地址,目的地址为隧道的目的端地址。
隧道源端设备将封装后的IPv4/IPv6协议报文通过GRE隧道的实际物理接口转发出去。
封装后的IPv4/IPv6协议报文通过GRE隧道到达隧道的目的端设备后,由于报文的目的地是本设备,故将此报文交给GRE协议进行解封装处理。
GRE协议先剥离掉此报文的传输协议头,再对报文进行GRE Key验证、校验和验证、报文序列号检查等处理,处理通过后再剥离掉报文的GRE头,将报文交给相应的载荷协议进行后续的转发处理。
Keepalive功能用来对GRE隧道状态进行监控。若本端设备在按照用户设置的发送周期和最大发送次数向对端设备发送Keepalive报文后仍然没有收到对端的回应,则把本端Tunnel接口的状态置为down。如果Tunnel接口为down状态时,收到对端回复的Keepalive确认报文,则Tunnel接口的状态将转换为up,否则保持down状态。无论是否开启Keepalive功能,隧道一端收到Keepalive报文,必须向对端发送应答报文。
GRE支持GRE Key验证、校验和验证两种安全机制。
发送方在发送的报文中携带其本地配置的GRE Key。接收方收到报文后,将报文中的GRE Key与接收方本地配置的GRE Key进行比较,如果一致则对报文进行进一步处理,否则丢弃该报文。
通过GRE校验和验证可以检查报文的完整性。
发送方根据GRE头及Payload信息计算校验和,并将包含校验和信息的报文发送给对端。接收方对接收到的报文计算校验和,并与报文中的校验和比较,如果一致则对报文进行进一步处理,否则丢弃该报文。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
隧道的接口地址可以指定为IPv4地址或者IPv6地址。若净荷数据协议类型为IPv4,则隧道接口地址应配置为IPv4地址;若净荷数据协议类型为IPv6,则隧道接口地址应配置为IPv6地址。
隧道两端必须都配置隧道的源端地址和目的端地址,且本端配置的源端地址(目的端地址)应该与对端配置的目的端地址(源端地址)相同。
如果封装前报文的目的地址与Tunnel接口的地址不在同一个网段,则必须配置通过Tunnel接口到达报文目的地址的路由,以便需要进行封装的报文能正常转发。用户可以配置静态路由,指定到达报文目的地址的路由出接口为本端Tunnel接口;也可以配置动态路由,在Tunnel接口、与私网相连的接口上分别使能动态路由协议,由动态路由协议来建立通过Tunnel接口转发的路由表项。
在Tunnel接口上配置的隧道目的端地址不能与Tunnel接口的地址在同一网段。
Keepalive功能不要求两端同时开启,用户可以根据需要在任意一端开启Keepalive功能。
若开启GRE key功能,则隧道两端必须设置相同的GRE key,或者都不设置GRE key。
隧道两端可以根据各自的实际应用需要决定是否要开启GRE报文校验和功能。如果本端开启了GRE报文校验和功能,则会在发送的报文中携带校验和信息,由对端来对报文进行校验和验证。对端是否对收到的报文进行校验和验证,取决于报文中是否携带校验和信息,与对端的配置无关。
单击“网络 > VPN > GRE”。
在“GRE”页面,单击<新建>按钮,进入“新建GRE隧道接口”页面,具体配置内容如下:
表-1 GRE配置
参数 | 说明 |
传输协议 | 传输协议支持IPv4和IPv6 |
接口编号 | GRE隧道接口编号 |
加入安全域 | 配置接口所属的安全域 |
描述 | 接口的描述信息 |
接口IPv4地址 | GRE隧道接口的IPv4地址 |
接口IPv6地址 | GRE隧道接口的IPv6地址 |
隧道源端地址 | 如果选择指定IP地址,则该地址将作为封装后隧道报文的源地址;如果设置的是隧道的源接口,则该接口的地址将作为封装后隧道报文的源地址 |
隧道目的端地址 | GRE隧道的目的端地址 |
VRF | 指定隧道目的端地址所属的VRF后,设备将查找指定VRF的路由表转发隧道封装后的报文 |
开启Keepalive功能 | 开启本功能后,设备会定期发送探测报文探测GRE隧道是否正常 |
发送周期 | Keepalive报文发送周期,即多长时间发送一次探测报文 |
最大传送次数 | Keepalive报文的最大传送次数,即报文发送一定的次数,且未收到返回报文时,设备将判断GRE隧道已断开 |
GRE key | GRE key主要用于检查报文的合法性 |
开启报文校验和功能 | 开启报文校验和功能,可以有效检查报文的完整性 |
封装后隧道报文的ToS | ToS值用于标识IP报文的服务类型,配置本功能后,同一个GRE隧道中转发的报文将具有相同的ToS值 |
封装后隧道报文的TTL | 如果两台设备之间的跳数超过配置的TTL值,它们将无法通信 |
封装后隧道报文不允许分片 | 配置本功能后,不允许对隧道报文进行分片,可以避免引入分片延时 |
单击“确定”按钮,完成配置。