小草博客

A-A+

JUNOS下虚拟路由器的GRE的例子和用法

2015年11月27日 站长资讯 暂无评论

因为IP-VPN专线之间的BGP要通过服务商,使用起来不方便,遂想通过GRE隧道封装。

我这边使用的是juniper srx240,对端用思科路由器。

GRE协议本来是思科搞出来的,juniper的junos也不知道行不行,搜索了一下,有简短的例子,但是没有虚拟路由器的用法,研究了一下。

首先建立一个gre的虚拟接口,这个接口默认是不出现,GUI也搞不出来,用命令行,或者编辑配置。

  1. interfaces {  
  2.     gr-0/0/0 {  
  3.         unit 0 {  
  4.             tunnel {  
  5.                 source 192.168.8.1;  
  6.                 destination 192.168.8.2;  
  7.                 routing-instance {   
  8.                     destination VRRIP;  
  9.                 }  
  10.             }  
  11.             family inet;  
  12.         }  
  13.         unit 1 {  
  14.             tunnel {  
  15.                 source 192.168.2.2;  
  16.                 destination 192.168.2.1;  
  17.                 routing-instance {  
  18.                     destination VRBGP;   
  19.                 }  
  20.             }  
  21.             family inet;  
  22.         }  
  23.     }  
  24. }  

说明一下:

  1.  routing-instance {  
  2.     destination VRRIP;  
  3. }  

这个最开始是无法加的,因为虚拟路由VRRIP和VRBGP还没有建立,然后建立虚拟路由器,

  1. routing-instances {  
  2.     VRBGP {  
  3.         instance-type virtual-router;  
  4.   
  5.   
  6.         interface gr-0/0/0.1; //把做好的接口加入  
  7.         interface ge-0/0/11.0; //这个物理接口接思科路由器  
  8.         interface lo0.0; //为测试,建立环回接口  
  9.         routing-options {  
  10.             static {  
  11.                 route 2.2.2.2/32 next-hop gr-0/0/0.1;//做路由,这个路由和主的互不影响  
  12.             }  
  13.         }  
  14.     }  
  15. }  

虚拟路由器做好之后,把interface gr-0/0/0.1归属到routing-instance VRBGP

  1.  routing-instance {  
  2.     destination VRRIP;   
  3. }  

配置物理接口

  1. ge-0/0/11 {  
  2.     unit 0 {  
  3.         family inet {  
  4.             address 192.168.2.2/24;  
  5.         }  
  6.     }  
  7. }  

为了分离和主路由的流量,做VRBGP的安全ZONE BGP

  1. security {  
  2.    zones {  
  3.         security-zone BGP {  
  4.             host-inbound-traffic {  
  5.                 system-services {  
  6.                     all;   
  7.                 }  
  8.                 protocols {  
  9.                     all;  
  10.                 }  
  11.             }  
  12.             interfaces {  
  13.                 lo0.0;  
  14.                 gr-0/0/0.1; //把接口都划入该zone,  
  15.                 ge-0/0/11.0;//注意的是接口划入zone和划入虚拟路由器同步进行,不然报错  
  16.             }   
  17.         }  
  18. }  

许可安全策略

  1. security {  
  2.     policies {  
  3.         from-zone BGP to-zone BGP {  
  4.             policy bgp {  
  5.                 match {  
  6.                     source-address any-ipv4;  
  7.                     destination-address any-ipv4;  
  8.                     application any;  
  9.                 }  
  10.                 then {   
  11.                     permit;  
  12.                 }  
  13.             }  
  14.         }  
  15.     }  
  16. }  

下面是思科路由器的配置,

  1. interface Loopback0  
  2.  ip address 2.2.2.2 255.255.255.255  
  3. !  
  4. interface Tunnel0  
  5.  ip address 3.3.3.3 255.255.255.0  
  6.  tunnel source FastEthernet0/0  
  7.  tunnel destination 192.168.2.2  
  8. !  
  9. interface FastEthernet0/0  
  10.  ip address 192.168.2.1 255.255.255.0  
  11.  duplex auto  
  12.  speed auto  
  13. !  
  14. no ip http server  
  15. !  
  16. ip route 1.1.1.1 255.255.255.255 Tunnel0  

有一点要说明一下,就是Tunnel0配置了IP地址,因为srx设备的gre隧道是没有IP的,原来就打算不配IP地址,没成想,不配IP地址就不通,无论配什么都IP可以,只要有IP地址就行,当然在实用的时候,这个IP地址不能冲突。

另外就是要注意MTU的问题,调整好大小。

一般以太网ping的载荷在1472

gre之后的ping载荷为1448,这是在中继路程上都是最小以MTU1500为转送值,因为gre不加密,有效载荷就是这么多。

IP头20,GRE头4,内嵌IP头20,1500-20-4-20=1456,icmp头8,1456-8=1448

标签:

给我留言