03 |
您所在的位置:网站首页 › yooz二代辨真假 › 03 |
2 点到多点GRE
2.1 点到多点GRE简介
点到多点GRE隧道是一个虚拟的点到多点的连接,相对于传统的GRE隧道,点到多点GRE隧道能够提供一个中心节点到多个分支网络的虚拟连接。 2.1.1 点到多点GRE的产生背景使用传统的GRE隧道应用于如图2-1所示的企业网时,需要在企业中心节点和各个分支机构之间建立多条点到点GRE隧道。当企业分支机构众多时,配置工作量巨大;如果新增分支机构,则需要在中心节点上增加配置,增加了网络维护的负担;此外,分支机构采用ADSL等方式拨号上网时,分支机构公网地址的不确定性也增加了中心节点配置的复杂度。 点到多点GRE隧道很好地解决了上述问题,非常适用于分支机构众多的企业网络。点到多点GRE隧道组网中,需要在中心节点上配置点到多点GRE模式的隧道接口(以下简称为点到多点GRE隧道接口)、分支机构上配置传统的点到点GRE over IPv4/IPv6模式的隧道接口(以下简称为点到点GRE隧道接口),这样就可以实现在中心节点和多个分支机构之间建立点到多点GRE隧道。 图2-1 点到多点GRE隧道应用 2.1.2 点到多点GRE的优点 点到多点GRE隧道具有如下优点: · 配置简单。中心节点上只需配置点到多点GRE隧道,无需在中心节点上创建到达每个分支机构的点到点GRE隧道。 · 维护代价小。增加分支机构时,中心节点会动态学习到新增分支机构的地址,并与其建立隧道,无需手工配置。 · 分支机构接入方式灵活。中心节点动态学习隧道的目的地址,分支机构是否动态获取公网地址(如采用ADSL等拨号方式接入网络)对中心节点的配置没有影响。 · 对于分支机构使用的网关设备没有特殊要求,只要支持GRE协议,不需要特殊的协议或者私有协议来配合使用,具有较好的互通性,避免用户网络设备的重复投资。 · 支持分支机构和中心节点的GRE隧道备份,提高网络的可靠性。 2.1.3 点到多点GRE的工作原理点到多点GRE隧道的报文加解封装的过程与点到点GRE隧道相同。 通过点到多点GRE隧道转发报文时,设备根据报文的目的IP地址,在点到多点GRE隧道表项中查找对应的隧道目的IP地址,使用此地址作为GRE封装传输协议报文头的目的IP地址。 点到多点GRE隧道表项分为点到多点GRE隧道动态表项和点到多点GRE隧道静态表项,两者不能同时存在。 1. 点到多点GRE隧道动态表项如图2-2所示,配置了点到多点GRE隧道接口的设备(Device A)接收到对端设备(Device B)发送的GRE报文后,从该报文中获取传输协议报文头的源IP地址和乘客协议报文头的源IP地址,分别作为隧道的目的IP地址和报文的目的IP地址(即分支网络的私网地址),建立一条点到多点GRE隧道动态表项。 图2-2 动态建立GRE隧道表项
2. 点到多点GRE隧道静态表项 点到多点GRE隧道动态表项的建立需要由分支网络的GRE报文触发,如果没有收到分支网络的GRE报文,则无法在中心节点上建立点到多点GRE隧道动态表项,为解决此问题,用户可以配置点到多点GRE隧道静态表项,静态表项包括隧道的目的IP地址、报文的目的IP地址(即分支网络的私网地址)和分支网络所属的VPN实例。 2.1.4 点到多点GRE隧道备份点到多点GRE隧道支持在中心节点和分支网络之间建立多条GRE隧道,形成备份关系,提高网络的可靠性。根据备份节点的部署位置不同,可以分为分支机构的GRE隧道备份和中心节点的GRE隧道备份。 1. 分支机构的GRE隧道备份如图2-3所示,分支机构内部署多台网关设备,与中心节点之间分别建立点到多点GRE隧道。 图2-3 分支机构的GRE隧道备份
在分支机构的网关设备上创建GRE隧道时,可以设置GRE Key。中心节点根据分支机构发送的GRE报文创建点到多点GRE隧道动态表项,并从该GRE报文中获取GRE Key,记录在点到多点GRE隧道动态表项中。中心节点根据GRE Key来判断点到多点GRE隧道动态表项的优先级,并根据优先级最高的点到多点GRE隧道动态表项转发报文,优先级低的点到多点GRE隧道动态表项作为备份。 点到多点GRE隧道动态表项优先级的判断原则为: · 未记录GRE Key的表项优先级最高; · 记录了GRE Key的表项,Key值越小优先级越高; · 当表项GRE Key相同时,最新学到的表项优先级高。 2. 中心节点的GRE隧道备份如图2-4所示,中心节点部署了两台网关设备,网关设备均与分支机构的网关设备建立点到多点的GRE隧道,同时两台网关设备之间建立GRE over IPv4/IPv6模式的隧道。主设备上的GRE over IPv4/IPv6模式的隧道接口作为备份接口。 图2-4 中心节点的GRE隧道备份
当主设备与分支机构之间的链路出现故障时,发送给分支机构的报文在主设备上查找不到匹配的点到多点GRE隧道动态表项,主设备通过备份接口把该报文发送给备份设备(Device B),由备份设备将报文发送到分支机构。 当主设备上存在点到多点GRE隧道动态表项时,备份接口也可以参与转发隧道的选择,根据优先级决定是否采用备份接口转发报文。如果没有为备份接口配置GRE Key,则其优先级低于所有的点到多点隧道动态表项;如果为备份接口配置了GRE Key,则与点到多点隧道动态表项中记录的GRE Key比较,Key值小的优先级高。 2.2 点到多点GRE配置限制和指导本配置任务仅列出了配置点到多点GRE隧道涉及的隧道接口相关的基础配置命令(interface tunnel、source和tunnel discard ipv4-compatible-packet命令),关于隧道接口的更多配置命令的详细介绍,请参见“接口管理命令参考”中的“隧道接口命令”。 1. 点到多点GRE隧道中心节点配置限制和指导· 在同一设备上配置多个点到多点GRE隧道时,各Tunnel接口不能配置完全相同的源端地址。 · GRE隧道和点到多点GRE隧道不能配置相同的源端地址和目的端地址。 · 中心节点的点到多点GRE隧道接口上不能配置GRE Key。 · 中心节点的网关设备可以根据各个分支设备的内网网段,只建立一个隧道动态表项,从而降低中心设备的资源消耗。 2. 点到多点GRE隧道分支节点配置限制和指导· 点到多点GRE隧道组网中,分支网络之间无法建立隧道,不能通信。 · 在分支节点上,需要将GRE over IPv4/IPv6隧道的目的端地址配置为点到多点GRE隧道接口的源端地址。 · Tunnel接口上配置的隧道目的端地址不能与Tunnel接口的地址在同一网段。 · 在分支节点的网关设备上创建GRE隧道时,可以设置GRE Key,中心节点根据GRE Key来判断点到多点GRE隧道动态表项的优先级。 · 中心节点上配置基于静态表项的点到多点GRE隧道时,分支节点不能设置GRE Key。 3. 点到多点GRE隧道通用配置限制和指导· 隧道两端可以根据各自的实际应用需要决定是否要开启GRE报文校验和功能。如果本端开启了GRE报文校验和功能,则会在发送的报文中携带校验和信息,由对端来对报文进行校验和验证。对端是否对收到的报文进行校验和验证,取决于报文中是否携带校验和信息,与对端的配置无关。 · 如果封装前报文的目的地址与Tunnel接口的地址不在同一个网段,则必须配置通过Tunnel接口到达报文目的地址的路由,以便需要进行封装的报文能正常转发。用户可以配置静态路由,指定到达报文目的地址的路由出接口为本端Tunnel接口;也可以配置动态路由,在Tunnel接口、与私网相连的接口上分别使能动态路由协议,由动态路由协议来建立通过Tunnel接口转发的路由表项。 · 基于点到多点GRE隧道动态表项的GRE隧道不支持转发私网流量。 2.3 点到多点GRE隧道配置任务简介点到多点GRE隧道配置任务如下: (1) 配置点到多点GRE隧道 请根据实际组网,选择以下一项任务进行配置: ¡ 配置基于动态表项的点到多点GRE隧道 ¡ 配置基于静态表项的点到多点GRE over IPv4隧道 ¡ 配置基于静态表项的点到多点GRE over IPv6隧道 (2) 配置处理接口流量的slot 2.4 配置点到多点GRE隧道 2.4.1 配置基于动态表项的点到多点GRE隧道(1) 进入系统视图。 system-view (2) 创建模式为点到多点GRE隧道的Tunnel接口,并进入该Tunnel接口视图。 interface tunnel number mode gre-p2mp [ ipv6 ] 此模式下,传输协议和乘客协议支持IPv4和IPv6。 对端设备的隧道接口应该配置为GRE over IPv4/IPv6隧道模式。 (3) 根据乘客协议,设置Tunnel接口的IP地址。 (IPv4网络) IPv4地址的配置方法,请参见“三层技术-IP业务配置指导”中的“IP地址”。 (IPv6网络) IPv6地址的配置方法,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。 缺省情况下,Tunnel接口上未设置IP地址。 (4) 设置隧道的源端地址或源接口。 source { ipv4-address | ipv6-address | interface-type interface-number } 缺省情况下,未配置隧道的源端地址和源接口。 如果配置的是隧道的源端地址,则该地址将作为封装后隧道报文的源地址。 如果配置的是隧道的源接口,对于IPv4地址,该接口的主IP地址将作为封装后隧道报文的源IP地址;对于IPv6地址则该接口下的最小地址将作为封装后隧道报文的源IPv6地址。 (5) (可选)开启GRE报文校验和功能。 gre checksum 缺省情况下,GRE报文校验和功能处于关闭状态。 (6) (可选)配置点到多点GRE隧道的表项老化时间。 gre p2mp aging-time aging-time 缺省情况下,点到多点模式的GRE隧道的表项老化时间为5秒。 (7) (可选)配置点到多点GRE隧道Tunnel接口的备份接口。 gre p2mp backup-interface tunnel number 缺省情况下,未配置点到多点GRE隧道Tunnel接口的备份接口。 备份接口应为GRE over IPv4/IPv6模式的隧道接口,且指定的备份接口必须是已经存在的隧道接口。 (8) (可选)配置点到多点GRE隧道动态表项中分支内网IPv4地址掩码或IPv6地址的前缀。 gre p2mp branch-network-mask { mask | mask-length | ipv6 prefix-length } 缺省情况下,分支内网IPv4地址的掩码为255.255.255.255,即掩码长度为32;分支内网IPv6地址的前缀长度为128。 通过合理的规划各个分支设备的内网网段,使用此命令可以使得中心设备对应于每个分支设备只建立一个隧道动态表项,从而降低中心设备的资源消耗。 (9) 退回系统视图。 quit (10) (可选)配置丢弃含有IPv4兼容IPv6地址的IPv6报文。 tunnel discard ipv4-compatible-packet 缺省情况下,不会丢弃含有IPv4兼容IPv6地址的IPv6报文。 2.4.2 配置基于静态表项的点到多点GRE over IPv4隧道(1) 进入系统视图。 system-view (2) 创建GRE P2MP IPv4隧道模板,并进入GRE P2MP IPv4隧道模板视图。 gre p2mp-template template-name (3) 配置点到多点GRE over IPv4隧道的映射表项。 map [ vpn-instance vpn-instance-name ] branch-network-address branch-network-address { mask | mask-length } tunnel-destination tunnel-dest-address [ checksum-fill checksum-value ] 缺省情况下,未配置点到多点GRE over IPv4隧道的映射表项。 使用checksum-fill参数填充IPv4地址至checksum字段会导致GRE报文校验失败,因此,请结合实际组网要求准确使用checksum-fill参数。 (4) 退回系统视图。 quit (5) 创建模式为点到多点GRE over IPv4隧道的Tunnel接口,并进入该Tunnel接口视图。 interface tunnel number mode gre-p2mp 对端设备的隧道接口应该配置为GRE over IPv4隧道模式。 (6) 配置Tunnel接口的IPv4地址。 IPv4地址的配置方法,请参见“三层技术-IP业务配置指导”中的“IP地址” 缺省情况下,Tunnel接口上未配置IPv4地址。 (7) 配置隧道的源端地址或源接口。 source { ipv4-address | interface-type interface-number } 缺省情况下,未配置隧道的源端地址和源接口。 如果配置的是隧道的源端地址,则该地址将作为封装后隧道报文的源地址。 如果配置的是隧道的源接口,对于IPv4地址,该接口的主IP地址将作为封装后隧道报文的源IP地址。 (8) 配置点到多点GRE over IPv4隧道接口与指定的GRE P2MP IPv4隧道模板关联。 gre p2mp-template template-name 缺省情况下,未配置点到多点GRE over IPv4隧道接口与指定的GRE P2MP IPv4隧道模板关联。 指定的GRE P2MP IPv4隧道模板必须是已创建GRE P2MP IPv4隧道模板。 (9) (可选)开启GRE报文校验和功能。 gre checksum 缺省情况下,GRE报文校验和功能处于关闭状态。 (10) (可选)配置GRE P2MP IPv4隧道模板映射表项下发静态路由的优先级。 tunnel route-static [ preference preference-value ] 缺省情况下,隧道表项下发静态路由优先级为60,参数preference取值范围为1~255。 2.4.3 配置基于静态表项的点到多点GRE over IPv6隧道(1) 进入系统视图。 system-view (2) 创建GRE P2MP IPv6隧道模板,并进入GRE P2MP IPv6隧道模板视图。 gre ipv6-p2mp-template template-name (3) 配置点到多点GRE over IPv6隧道的映射表项。 map6 [ vpn-instance vpn-instance-name ] branch-network-address branch-network-address { mask | mask-length } tunnel-destination ipv6-tunnel-dest-address [ checksum-fill checksum-value ] 缺省情况下,未配置点到多点GRE over IPv6隧道的映射表项。 使用checksum-fill参数填充IPv4地址至checksum字段会导致GRE报文校验失败,因此,请结合实际组网要求准确使用checksum-fill参数。 (4) 退回系统视图。 quit (5) 创建模式为点到多点GRE over IPv6隧道的Tunnel接口,并进入该Tunnel接口视图。 interface tunnel number mode gre-p2mp ipv6 对端设备的隧道接口应该配置为GRE over IPv6隧道模式。 (6) 配置Tunnel接口的IPv6地址。 IPv6地址的配置方法,请参见“三层技术-IP业务配置指导”中的“IPv6基础” 缺省情况下,Tunnel接口上未配置IPv6地址。 (7) 配置隧道的源端地址或源接口。 source { ipv6-address | interface-type interface-number } 缺省情况下,未配置隧道的源端地址和源接口。 如果配置的是隧道的源端地址,则该地址将作为封装后隧道报文的源地址。 如果配置的是隧道的源接口,对于IPv6地址,该接口的主IP地址将作为封装后隧道报文的源IP地址。 (8) 配置点到多点GRE over IPv6隧道接口与指定的GRE P2MP IPv6隧道模板关联。 gre ipv6-p2mp-template template-name 缺省情况下,未配置点到多点GRE over IPv6隧道接口与指定的GRE P2MP IPv6隧道模板关联。 指定的GRE P2MP IPv6隧道模板必须是已创建GRE P2MP IPv6隧道模板。 (9) (可选)开启GRE报文校验和功能。 gre checksum 缺省情况下,GRE报文校验和功能处于关闭状态。 (10) (可选)配置GRE P2MP IPv6隧道模板映射表项下发静态路由的优先级。 tunnel route-static [ preference preference-value ] 缺省情况下,隧道表项下发静态路由优先级为60,参数preference取值范围为1~255。 2.4.4 配置处理接口流量的slot 1. 功能简介当要求同一个Tunnel接口的流量必须在同一个slot上进行处理时,可以在Tunnel接口下配置处理接口流量的slot。 为提高当前接口处理流量的可靠性,可以通过service命令和service standby命令为接口分别指定一个主用slot和一个备用slot进行流量处理。 接口上同时配置了主用slot和备用slot时,流量处理的机制如下: · 当主用slot不可用时,流量由备用slot处理。之后,即使主用slot恢复可用,流量也继续由备用slot处理;仅当备用slot不可用时,流量才切换到主用slot。 · 当主用slot和备用slot均不可用时,流量由接收报文的slot处理;之后,主用slot和备用slot谁先恢复可用,流量就由谁处理。 如果接口上未配置主用slot和备用slot,则业务处理在接收报文的slot上进行。 2. 配置限制和指导为避免不必要的流量切换,建议配置主用slot后,再配置备用slot。如果先配置备用slot,则流量由备用slot处理;在配置主用slot后,流量将会从备用slot切换到主用slot。 关于service和service standby配置命令的详细介绍,请参见“三层技术-IP业务配置指导”中的“隧道”。 3. 配置步骤(1) 进入系统视图。 system-view (2) 进入Tunnel接口视图。 interface tunnel number (3) 配置处理接口流量的主用slot。 service slot slot-number 缺省情况下,未配置处理接口流量的主用slot。 (4) 配置处理接口流量的备用slot。 service standby slot slot-number 缺省情况下,未配置处理接口流量的备用slot。 2.5 点到多点GRE隧道显示和维护 2.5.1 显示和清除点到多点GRE隧道接口的动态表项信息 1. 显示点到多点GRE隧道接口的动态表项信息可在任意视图下执行以下命令,显示点到多点GRE隧道接口的动态表项信息。 display gre p2mp tunnel-table interface tunnel number [ ipv4 | ipv6 ] [ slot slot-number ] 2. 清除点到多点GRE隧道接口的动态表项信息请在用户视图下执行以下命令,清除点到多点GRE隧道接口的动态表项信息。 reset gre p2mp tunnel-table interface tunnel number [ destination { dest-address | ipv6 dest-ipv6-address } tunnel-destination { tunnel-dest-address | ipv6 tunnel-dest-address } ] 2.5.2 显示和清除点到多点GRE隧道静态表项的报文统计信息 1. 显示点到多点GRE隧道静态表项的报文统计信息可在任意视图下执行以下命令,显示点到多点GRE隧道静态表项的报文统计信息。 display gre p2mp tunnel-table statistics interface tunnel number [ branch-network-address branch-network-address { mask | mask-length } [ vpn-instance vpn-instance-name ] ] 2. 清除点到多点GRE隧道静态表项的报文统计信息请在用户视图下执行以下命令,清除点到多点GRE隧道静态表项的报文统计信息。 reset gre p2mp tunnel-table statistics interface tunnel number [ vpn-instance vpn-instance-name ] [ branch-network-address branch-network-address { mask | mask-length } ] 2.6 点到多点GRE隧道典型配置举例 2.6.1 基于动态表项的点到多点GRE隧道配置举例 1. 组网需求某企业拥有一个中心网络和众多分支机构;分支机构和中心网络之间建立GRE隧道,实现隧道两侧内网主机互通;分支机构之间不会互相访问。如图2-5所示,为了简化配置,在中心节点网关设备Router A上配置点到多点GRE隧道接口,使中心节点网络可以与多个分支网络动态建立GRE隧道。在各分支节点上配置GRE over IPv4隧道接口,使分支网络可以和中心网络建立GRE隧道。 2. 组网图图2-5 基于动态表项的点到多点GRE隧道组网图 设备 接口 IP地址 设备 接口 IP地址 Router A GE0/0/1 11.1.1.1/24 Router B GE0/0/1 11.1.2.1/24 GE0/0/2 192.168.11.1/24 GE0/0/2 192.168.12.1/24 Tunnel0 192.168.22.1/24 Tunnel0 192.168.22.2/24 Router C GE0/0/1 11.1.3.1/24 Router C Tunnel0 192.168.22.3/24 GE0/0/2 192.168.13.1/24
3. 配置准备 在开始下面的配置之前,请确保设备各接口的地址都已配置完毕,并且Router A和Router B之间、Router A和Router C之间路由可达。 4. 配置步骤(1) 配置Router A # 创建Tunnel0接口,并指定隧道模式为点到多点GRE隧道。 system-view [RouterA] interface tunnel 0 mode gre-p2mp # 配置Tunnel0接口的IP地址。 [RouterA-Tunnel0] ip address 192.168.22.1 255.255.255.0 # 配置Tunnel0接口的源IP地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterA-Tunnel0] source 11.1.1.1 # 配置Tunnel0接口的分支网络地址掩码为255.255.255.0。 [RouterA-Tunnel0] gre p2mp branch-network-mask 255.255.255.0 # 配置点到多点GRE隧道动态表项的老化时间为20秒。 [RouterA-Tunnel0] gre p2mp aging-time 20 # 配置处理接口流量的主用slot。 [RouterA-Tunnel0] service slot 1 [RouterA-Tunnel0] quit # 配置经过Tunnel0接口到达分支网络的静态路由。 [RouterA] ip route-static 192.168.12.0 255.255.255.0 tunnel 0 (2) 配置Router B # 创建Tunnel0接口,并指定隧道模式为GRE over IPv4隧道。 system-view [RouterB] interface tunnel 0 mode gre # 配置Tunnel0接口的IP地址。 [RouterB-Tunnel0] ip address 192.168.22.2 255.255.255.0 # 配置Tunnel0接口的源端地址(Router B的GigabitEthernet0/0/1的IP地址)。 [RouterB-Tunnel0] source 11.1.2.1 # 配置Tunnel0接口的目的端地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterB-Tunnel0] destination 11.1.1.1 [RouterB-Tunnel0] quit # 配置经过Tunnel0接口到达中心节点的静态路由。 [RouterB] ip route-static 192.168.11.0 255.255.255.0 tunnel 0 (3) 配置其它分支节点 Router C与Router B上的配置类似。 5. 验证配置# 完成以上配置后,查看Router A上的点到多点GRE隧道动态表项。此时Router A上不存在点到多点GRE隧道动态表项。 [RouterA] display gre p2mp tunnel-table interface tunnel 0 Total number:0 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging # 在Host B上Ping Host A,可以Ping通。 # 再次查看Router A上的点到多点GRE隧道动态表项。此时,分支节点发往中心节点的报文已经触发Router A建立点到多点GRE隧道动态表项。 [RouterA] display gre p2mp tunnel-table interface tunnel 0 Total number:1 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging 192.168.12.0 255.255.255.0 11.1.2.1 5 2.6.2 基于静态表项的点到多点GRE over IPv4隧道配置举例 1. 组网需求某企业拥有一个中心网络和众多分支机构,分支机构和中心网络之间建立GRE over IPv4隧道,实现隧道两侧内网主机互通,中心网络能够主动访问分支机构,分支机构之间不会互相访问。如图2-6所示,为了简化配置,在中心节点网关设备Router A上配置点到多点GRE over IPv4隧道接口,使中心节点网络可以与多个分支网络建立GRE over IPv4隧道;在各分支节点上配置GRE over IPv4隧道接口,使分支网络可以和中心网络建立GRE over IPv4隧道;在中心节点网关设备Router A上配置静态表项使中心网络能够主动访问分支机构。 2. 组网图图2-6 基于静态表项的点到多点GRE over IPv4隧道组网图 设备 接口 IP地址 设备 接口 IP地址 Router A GE0/0/1 11.1.1.1/24 Router B GE0/0/1 11.1.2.1/24 GE0/0/2 192.168.11.1/24 GE0/0/2 192.168.12.1/24 Tunnel0 192.168.22.1/24 Tunnel0 192.168.22.2/24 Router C GE0/0/1 11.1.3.1/24 Router C Tunnel0 192.168.22.3/24 GE0/0/2 192.168.13.1/24
3. 配置准备 在开始下面的配置之前,请确保设备各接口的地址都已配置完毕,并且Router A和Router B之间、Router A和Router C之间路由可达。 4. 配置步骤(1) 配置Router A # 创建GRE P2MP IPv4隧道模板aa,并在模板aa视图下,配置一条映射表项,分支网络地址为192.168.12.2,掩码长度为32,隧道目的地址为11.1.2.1。(本举例中仅以到达分支节点网关Router B为例,配置隧道的映射表项,到达其它分支节点的隧道配置类似。) system-view [RouterA] gre p2mp-template aa [RouterA-p2mp-template-aa] map branch-network-address 192.168.12.2 32 tunnel-destination 11.1.2.1 # 创建Tunnel0接口,并指定隧道模式为点到多点GRE over IPv4隧道。 [RouterA] interface tunnel 0 mode gre-p2mp # 配置Tunnel0接口的IP地址。 [RouterA-Tunnel0] ip address 192.168.22.1 255.255.255.0 # 配置Tunnel0接口的源IP地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterA-Tunnel0] source 11.1.1.1 # 配置点到多点GRE over IPv4隧道与指定的GRE P2MP IPv4隧道模板aa关联。 [RouterA-Tunnel0] gre p2mp-template aa # 配置处理接口流量的主用slot。 [RouterA-Tunnel0] service slot 1 [RouterA-Tunnel0] quit (2) 配置Router B # 创建Tunnel0接口,并指定隧道模式为GRE over IPv4隧道。 system-view [RouterB] interface tunnel 0 mode gre # 配置Tunnel0接口的IP地址。 [RouterB-Tunnel0] ip address 192.168.22.2 255.255.255.0 # 配置Tunnel0接口的源端地址(Router B的GigabitEthernet0/0/1的IP地址)。 [RouterB-Tunnel0] source 11.1.2.1 # 配置Tunnel0接口的目的端地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterB-Tunnel0] destination 11.1.1.1 [RouterB-Tunnel0] quit # 配置经过Tunnel0接口到达中心节点的静态路由。 [RouterB] ip route-static 192.168.11.0 255.255.255.0 tunnel 0 (3) 配置其它分支节点 Router C与Router B上的配置类似。 5. 验证配置# 完成以上配置后,查看Router A上的隧道表项。此时Router A上存在静态表项。在Host A上Ping Host B,可以Ping通,并且能统计报文数。 [RouterA] display gre p2mp tunnel-table statistics interface Tunnel 0
VPN-instance name: - Map number: 1
Tunnel destination address: 11.1.2.1 Input: 5 packets, 420 bytes, 0 drops Output: 5 packets, 420 bytes, 0 drops # 在Host B上Ping Host A,可以Ping通,并且RouterA也不进行动态表项学习。 [RouterA]display gre p2mp tunnel-table interface Tunnel 0 Total number:0 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging 2.6.3 基于静态表项的点到多点GRE over IPv6隧道配置举例 1. 组网需求某企业拥有一个中心网络和众多分支机构,分支机构和中心网络之间建立GRE over IPv6隧道,实现隧道两侧内网主机互通,中心网络能够主动访问分支机构,分支机构之间不会互相访问。如图2-6所示,为了简化配置,在中心节点网关设备Router A上配置点到多点GRE over IPv6 隧道接口,使中心节点网络可以与多个分支网络建立GRE over IPv6隧道;在各分支节点上配置GRE over IPv6隧道接口,使分支网络可以和中心网络建立GRE over IPv6隧道;在中心节点网关设备Router A上配置静态表项使中心网络能够主动访问分支机构。 2. 组网图图2-7 基于静态表项的点到多点GRE over IPv6隧道组网图 设备 接口 IP地址 设备 接口 IP地址 Router A GE0/0/1 2001::1:1/64 Router B GE0/0/1 2002::1:1/64 GE0/0/2 192.168.11.1/24 GE0/0/2 192.168.12.1/24 Tunnel0 192.168.22.1/24 Tunnel0 192.168.22.2/24 Router C GE0/0/1 2003::1:1/64 Router C Tunnel0 192.168.22.3/24 GE0/0/2 192.168.13.1/24
3. 配置准备 在开始下面的配置之前,请确保设备各接口的地址都已配置完毕,并且Router A和Router B之间、Router A和Router C之间路由可达。 4. 配置步骤(1) 配置Router A # 创建GRE P2MP IPv6隧道模板test,并在模板test视图下,配置一条映射表项,分支网络地址为192.168.12.2,掩码长度为32,隧道目的地址为2002::1:1。(本举例中仅以到达分支节点网关Router B为例,配置隧道的映射表项,到达其它分支节点的隧道配置类似。) system-view [RouterA] gre ipv6-p2mp-template test [RouterA-ipv6-p2mp-template-test] map6 branch-network-address 192.168.12.2 32 tunnel-destination 2002::1:1 # 创建Tunnel0接口,并指定隧道模式为点到多点GRE over IPv6隧道。 [RouterA] interface tunnel 0 mode gre-p2mp ipv6 # 配置Tunnel0接口的IP地址。 [RouterA-Tunnel0] ip address 192.168.22.1 255.255.255.0 # 配置Tunnel0接口的源IP地址(Router A的GigabitEthernet0/0/1的IPv6地址)。 [RouterA-Tunnel0] source 2001::1:1 # 配置GRE P2MP over IPv6隧道与指定的GRE P2MP IPv6隧道模板test关联。 [RouterA-Tunnel0] gre ipv6-p2mp-template test # 配置处理接口流量的主用slot。 [RouterA-Tunnel0] service slot 1 [RouterA-Tunnel0] quit (2) 配置Router B # 创建Tunnel0接口,并指定隧道模式为GRE over IPv6隧道。 system-view [RouterB] interface tunnel 0 mode gre ipv6 # 配置Tunnel0接口的IP地址。 [RouterB-Tunnel0] ip address 192.168.22.2 255.255.255.0 # 配置Tunnel0接口的源端地址(Router B的GigabitEthernet0/0/1的IPv6地址)。 [RouterB-Tunnel0] source 2002::1:1 # 配置Tunnel0接口的目的端地址(Router A的GigabitEthernet0/0/1的IPv6地址)。 [RouterB-Tunnel0] destination 2001::1:1 [RouterB-Tunnel0] quit # 配置经过Tunnel0接口到达中心节点的静态路由。 [RouterB] ip route-static 192.168.11.0 255.255.255.0 tunnel 0 (3) 配置其它分支节点 Router C与Router B上的配置类似。 5. 验证配置# 完成以上配置后,查看Router A上的隧道表项。此时Router A上存在静态表项。在Host A上Ping Host B,可以Ping通,并且能统计报文数。 [RouterA] display gre p2mp tunnel-table statistics interface Tunnel 0 VPN-instance name: -
Tunnel destination address: 2002::1:1 Input: 5 packets, 420 bytes, 0 drops Output: 5 packets, 420 bytes, 0 drops # 在Host B上Ping Host A,可以Ping通,并且RouterA也不进行动态表项学习。 [RouterA]display gre p2mp tunnel-table interface Tunnel 0 Total number:0 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging 2.6.4 分支节点备份的点到多点GRE隧道配置举例 1. 组网需求某企业分支机构在内网出口处采用双网关进行备份,企业中心节点Router A上配置点到多点GRE隧道接口,使得Router A可以与分支机构建立两条GRE隧道:一条与分支网络网关Router B相连,另一条与分支网络的备份网关Router C相连。中心节点Router A能够根据GRE Key决定通过哪条GRE隧道向分支网络内的主机发送报文。 为了满足上述需求,需要在Router B和Router C上分别为GRE隧道配置不同的GRE Key,以便Router A根据GRE Key选择优先级高的隧道转发报文。 本例中,要求Router A优先通过与Router B连接的GRE隧道向分支网络内的主机发送报文。 2. 组网图图2-8 分支节点备份的点到多点GRE隧道组网图 设备 接口 IP地址 设备 接口 IP地址 Router A GE0/0/1 11.1.1.1/24 Router B GE0/0/1 11.1.1.2/24 GE0/0/2 172.17.17.1/24 GE0/0/2 192.168.1.2/24 Tunnel0 192.168.22.1/24 Tunnel0 192.168.22.2/24 Router C GE0/0/1 11.1.1.3/24 Router C Tunnel0 192.168.22.3/24 GE0/0/2 192.168.1.3/24
3. 配置准备 在开始下面的配置之前,请确保设备各接口的地址都已配置完毕,并且Router A、Router B和Router C之间路由可达。 4. 配置步骤(1) 配置Router A # 创建Tunnel0接口,并指定隧道模式为点到多点GRE隧道。 system-view [RouterA] interface tunnel 0 mode gre-p2mp # 配置Tunnel0接口的IP地址。 [RouterA-Tunnel0] ip address 192.168.22.1 255.255.255.0 #配置Tunnel0接口的点到多点GRE隧道动态表项中分支内网IP地址的掩码。 [RouterA-Tunnel0] gre p2mp branch-network-mask 255.255.255.0 # 配置点到多点GRE隧道动态表项的老化时间为20秒。 [RouterA-Tunnel0] gre p2mp aging-time 20 # 配置Tunnel0接口的源端地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterA-Tunnel0] source 11.1.1.1 # 配置处理接口流量的主用slot。 [RouterA-Tunnel0] service slot 1 [RouterA-Tunnel0] quit # 配置经过Tunnel0接口到达分支网络的静态路由。 [RouterA] ip route-static 192.168.1.0 255.255.255.0 tunnel 0 (2) 配置Router B # 创建Tunnel0接口,并指定隧道模式为GRE over IPv4隧道。 system-view [RouterB] interface tunnel 0 mode gre # 配置Tunnel0接口的IP地址。 [RouterB-Tunnel0] ip address 192.168.22.2 255.255.255.0 # 配置Tunnel0接口的源端地址(Router B的GigabitEthernet0/0/1的IP地址)。 [RouterB-Tunnel0] source 11.1.1.2 # 配置Tunnel0接口的目的端地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterB-Tunnel0] destination 11.1.1.1 # 配置Tunnel0接口的密钥为1。 [RouterB-Tunnel0] gre key 1 [RouterB-Tunnel0] quit # 配置经过Tunnel0接口到中心网络的静态路由。 [RouterB] ip route-static 172.17.17.0 255.255.255.0 tunnel 0 (3) 配置Router C # 创建Tunnel0接口,并指定隧道模式为GRE over IPv4隧道。 system-view [RouterC] interface tunnel 0 mode gre # 配置Tunnel0接口的IP地址。 [RouterC-Tunnel0] ip address 192.168.22.3 255.255.255.0 # 配置Tunnel0接口的源端地址(Router C的GigabitEthernet0/0/1的IP地址)。 [RouterC-Tunnel0] source 11.1.1.3 # 配置Tunnel0接口的目的端地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterC-Tunnel0] destination 11.1.1.1 # 配置Tunnel0接口的密钥为2。 [RouterC-Tunnel0] gre key 2 [RouterC-Tunnel0] quit # 配置经过Tunnel0接口到中心网络的静态路由。 [RouterC] ip route-static 172.17.17.0 255.255.255.0 tunnel 0 5. 验证配置# 在Host B上配置Router C为默认网关。在Host B上Ping Host A,可以Ping通。查看Router A上的点到多点GRE隧道动态表项。 [RouterA] display gre p2mp tunnel-table interface tunnel 0 Total number:1 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging 192.168.1.0 255.255.255.0 11.1.1.3 2 20 # 在Host B上配置Router B为默认网关。在Host B上Ping Host A,可以Ping通。查看Router A上的点到多点GRE隧道动态表项。 [RouterA] display gre p2mp tunnel-table interface tunnel 0 Total number:2 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging 192.168.1.0 255.255.255.0 11.1.1.3 2 20 192.168.1.0 255.255.255.0 11.1.1.2 1 20 以上显示信息表示Router A上存在两条到达分支网络的点到多点GRE隧道动态表项,Router A优先选择GRE Key值小的点到多点GRE隧道动态表项,即通过Router B转发报文。 # 使Router A到Router B的隧道中断。 [RouterB] interface tunnel 0 [RouterB-Tunnel0] shutdown # 将Host B的默认网关配置为Router C。Router B对应的点到多点GRE隧道动态表项老化后,在Host B上Ping Host A,仍然可以Ping通。查看Router A上的点到多点GRE隧道动态表项。 [RouterA] display gre p2mp tunnel-table interface tunnel 0 Total number:1 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging 192.168.1.0 255.255.255.0 11.1.1.3 2 10 以上显示信息表示Router A和Router B之间的链路出现故障后,Router A上只存在通过Router C将报文发送到分支网络的点到多点GRE隧道动态表项。 2.6.5 中心节点备份的点到多点GRE隧道配置举例 1. 组网需求某企业中心机构在内网出口处采用双网关进行备份,企业分支节点Router C上创建两条GRE隧道,一条与中心节点网关Router A相连,另一条与中心节点的备份网关Router B相连。正常情况下,报文通过Router A和Router C之间的隧道转发;当Router A和Router C之间的链路出现故障时,报文通过Router B和Router C之间的隧道转发。 为了满足上述需求,需要在Router A和Router B上分别创建连接分支网络的点到多点GRE隧道,并在Router A和Router B之间创建一条GRE over IPv4隧道。Router A上该GRE over IPv4隧道接口作为点到多点GRE隧道接口的备份接口,当Router A找不到分支网络对应的点到多点GRE隧道动态表项时,将报文发给Router B,由Router B负责将报文转发给分支网络。 为了避免出现环路,在Router B上不要将连接Router A的隧道接口Tunnel1配置为点到多点GRE隧道接口的备份接口。 2. 组网图 图2-9 中心节点备份的点到多点GRE隧道组网图 设备 接口 IP地址 设备 接口 IP地址 Router A GE0/0/1 11.1.1.1/24 Router B GE0/0/1 11.1.1.2/24 GE0/0/2 10.1.1.1/24 GE0/0/2 10.1.1.2/24 GE0/0/3 192.168.11.1/24 GE0/0/3 192.168.11.2/24 Tunnel0 172.168.1.1/24 Tunnel0 172.168.2.2/24 Tunnel1 192.168.22.1/24 Tunnel1 192.168.22.2/24 Router C GE0/0/1 11.1.1.3/24 Router C Tunnel0 172.168.1.3/24 GE0/0/2 192.168.12.1/24 Tunnel1 172.168.2.3/24 3. 配置准备 在开始下面的配置之前,请确保设备各接口的地址都已配置完毕,并且Router A、Router B和Router C之间路由可达。 4. 配置步骤(1) 配置Router A # 创建Tunnel1接口,并指定隧道模式为GRE over IPv4隧道。 system-view [RouterA] interface tunnel 1 mode gre # 配置Tunnel1接口的IP地址。 [RouterA-Tunnel1] ip address 192.168.22.1 255.255.255.0 # 配置Tunnel1接口的源端地址(Router A的GigabitEthernet0/0/2的IP地址)。 [RouterA-Tunnel1] source 10.1.1.1 # 配置Tunnel1接口的目的端地址(Router B的GigabitEthernet0/0/2的IP地址)。 [RouterA-Tunnel1] destination 10.1.1.2 [RouterA-Tunnel1] quit # 创建Tunnel0接口,并指定隧道模式为点到多点GRE隧道。 [RouterA] interface tunnel 0 mode gre-p2mp # 配置Tunnel0接口的IP地址。 [RouterA-Tunnel0] ip address 172.168.1.1 255.255.255.0 # 配置Tunnel0接口的源端地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterA-Tunnel0] source 11.1.1.1 # 配置Tunnel0接口的点到多点GRE隧道动态表项中分支内网IP地址的掩码。 [RouterA-Tunnel0] gre p2mp branch-network-mask 255.255.255.0 # 配置点到多点GRE隧道动态表项的老化时间为20秒。 [RouterA-Tunnel0] gre p2mp aging-time 20 # 配置处理接口流量的主用slot。 [RouterA-Tunnel0] service slot 1 # 配置Tunnel0接口的备份接口。 [RouterA-Tunnel0] gre p2mp backup-interface tunnel 1 [RouterA-Tunnel0] quit # 配置经过Tunnel0接口到达分支网络的静态路由。 [RouterA] ip route-static 192.168.12.0 255.255.255.0 tunnel 0 (2) 配置Router B # 创建Tunnel1接口,并指定隧道模式为GRE over IPv4隧道。 system-view [RouterB] interface tunnel 1 mode gre # 配置Tunnel1接口的IP地址。 [RouterB-Tunnel1] ip address 192.168.22.2 255.255.255.0 # 配置Tunnel1接口的源端地址(Router B的GigabitEthernet0/0/2的IP地址)。 [RouterB-Tunnel1] source 10.1.1.2 # 配置Tunnel1接口的目的端地址(Router A的GigabitEthernet0/0/2的IP地址)。 [RouterB-Tunnel1] destination 10.1.1.1 [RouterB-Tunnel1] quit # 创建Tunnel0接口,并指定隧道模式为点到多点GRE隧道。 [RouterB] interface tunnel 0 mode gre-p2mp # 配置Tunnel0接口的IP地址。 [RouterB-Tunnel0] ip address 172.168.2.2 255.255.255.0 # 配置Tunnel0接口的源端地址(Router B的GigabitEthernet0/0/1的IP地址)。 [RouterB-Tunnel0] source 11.1.1.2 # 配置Tunnel0接口的点到多点GRE隧道动态表项中分支内网IP地址的掩码。 [RouterB-Tunnel0] gre p2mp branch-network-mask 255.255.255.0 # 配置点到多点GRE隧道动态表项的老化时间为20秒。 [RouterB-Tunnel0] gre p2mp aging-time 20 # 配置处理接口流量的主用slot。 [RouterB-Tunnel0] service slot 1 [RouterB-Tunnel0] quit # 配置经过Tunnel0接口到达分支网络的静态路由。 [RouterB] ip route-static 192.168.12.0 255.255.255.0 tunnel 0 (3) 配置Router C #创建Tunnel0接口,并指定隧道模式为GRE over IPv4隧道。 system-view [RouterC] interface tunnel 0 mode gre # 配置Tunnel0接口的IP地址。 [RouterC-Tunnel0] ip address 172.168.1.3 255.255.255.0 # 配置Tunnel0接口的源端地址(Router C的GigabitEthernet0/0/1的IP地址)。 [RouterC-Tunnel0] source 11.1.1.3 # 配置Tunnel0接口的目的端地址(Router A的GigabitEthernet0/0/1的IP地址)。 [RouterC-Tunnel0] destination 11.1.1.1 [RouterC-Tunnel0] quit # 配置经过Tunnel0接口到达中心网络的静态路由,优先级为1。 [RouterC] ip route-static 192.168.11.0 255.255.255.0 tunnel 0 preference 1 # 创建Tunnel1接口,并指定隧道模式为GRE over IPv4隧道。 [RouterC] interface tunnel 1 mode gre # 配置Tunnel1接口的IP地址。 [RouterC-Tunnel1] ip address 172.168.2.3 255.255.255.0 # 配置Tunnel1接口的源端地址(Router C的GigabitEthernet0/0/1的IP地址)。 [RouterC-Tunnel1] source 11.1.1.3 # 配置Tunnel1接口的目的端地址(Router B的GigabitEthernet0/0/1的IP地址)。 [RouterC-Tunnel1] destination 11.1.1.2 [RouterC-Tunnel1] quit # 配置经过Tunnel1接口到达中心网络的静态路由,优先级为10。该路由的优先级低于Tunnel0接口对应静态路由的优先级,以保证Router C优先选择Router A和Router C之间的隧道转发报文。 [RouterC] ip route-static 192.168.11.0 255.255.255.0 tunnel 1 preference 10 Router A和Router C之间的链路出现故障时,Router C必须能够感知到该故障,并将转发报文的路径切换到Router B和Router C之间的链路上,否则Router B无法学习到点到多点GRE隧道动态表项。 如果Router A和Router C之间直连,则在Router C上配置静态路由即可保证Router C能够感知链路故障;如果Router A和Router C之间非直连,则需要采用以下两种方式之一使得Router C能够感知链路故障: · 在Router A、Router B和Router C上配置动态路由协议。 · 在Router C上配置静态路由与Track项关联,通过Track项监测静态路由是否有效。Track项的详细介绍,请参见“可靠性配置指导”中的“Track”。 5. 验证配置 # 完成以上配置后,在Host C上Ping Host A,可以Ping通。查看Router A和Router B 上的点到多点GRE隧道动态表项。 [RouterA] display gre p2mp tunnel-table interface tunnel 0 Total number:1 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging 192.168.12.0 255.255.255.0 11.1.1.3 10 以上显示信息表示Router A上存在到达分支网络的点到多点GRE隧道动态表项,发往分支网络的报文通过Router A转发。 # 使Router A到Router C的隧道中断。 [RouterC] interface tunnel 0 [RouterC-Tunnel0] shutdown # 经过点到多点GRE隧道动态表项老化时间(20秒)后,查看Router A上的点到多点GRE隧道动态表项。 [RouterA] display gre p2mp tunnel-table interface tunnel 0 Total number:0 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging # 在Host C上Ping Host A。查看Router B上的点到多点GRE隧道动态表项。 [RouterB] display gre p2mp tunnel-table interface tunnel 0 Total number:1 Dest Addr Mask/Prefix Len Tunnel Dest Addr Gre Key Aging 192.168.12.0 255.255.255.0 11.1.1.3 10 此后,在Host A上Ping Host C,可以Ping通。 以上验证过程表示Router A和Router C之间的链路出现故障后,Router A上的点到多点GRE隧道动态表项在老化时间到达后被删除,Router A通过备份接口将发往分支网络的报文转发给Router B,由Router B将报文发送到分支网络。
|
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |