华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 02第2章 GRE协议故障处理Word文档格式.docx

华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 02第2章 GRE协议故障处理Word文档格式.docx

《华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 02第2章 GRE协议故障处理Word文档格式.docx》由会员分享，可在线阅读，更多相关《华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 02第2章 GRE协议故障处理Word文档格式.docx（19页珍藏版）》请在冰豆网上搜索。

本节介绍如下的内容：

●GRE协议概述

●报文封装及解封装

●GRE协议的应用

2.1.1GRE协议概述

通用路由封装GRE（GenericRoutingEncapsulation）是对某些网络层协议（如IPv6）的报文进行封装，使这些被封装的报文能够在另一网络层协议（如IPv4）中传输。

GRE可以作为VPN的第三层隧道协议，在协议层之间采用隧道（Tunnel）技术。

Tunnel是一个虚拟的点对点的连接，可以看成仅支持点对点连接的虚拟接口。

这个虚拟接口提供了一条通路，在两端对数据进行封装及解封装，接着在此通路上传输。

2.1.2报文封装及解封装

1.基本概念

净荷（Payload）是指系统收到的需要封装和路由的数据报。

净荷首先被加上GRE头，即封装为GRE报文；

再被封装在IP报文中，这样此报文就可以在IP层传输了。

封装好的Tunnel报文格式如图2-1所示。

图2-1封装好的Tunnel报文格式

2.报文的传输

报文在Tunnel中传输包括加封装和解封装两个过程。

下面以图2-2的网络为例说明这两个过程。

图2-1网络通过GRE隧道互连

（2）加封装过程

RouterA在连接Group1的接口收到IP数据报后，首先交由IP协议处理。

IP协议根据IP报头中的目的地址域来确定如何路由此数据报。

如果发现此报文的目的地址要经过网号为1f的网络（Tunnel的虚拟网号），则将此报文发给网号为1f的Tunnel接口。

GREtunnel接口收到此报文后进行GRE封装。

封装完成后由IP模块来处理此数据报。

IP模块为此数据报封装IP报文头后，根据报文目的地址和路由表将其交由相应的网络接口处理。

（3）解封装过程

解封装过程和加封装过程相反。

RouterB从GREtunnel接口收到IP报文，检查目的地址。

如果路由器发现目的地就是本路由器时，去掉此报文的IP报头；

接着，根据IP头中的协议字段可判断其为GRE报文，于是将报文交给GRE协议模块处理。

GRE协议模块完成相应的处理后，去掉GRE报头，根据协议字段交由IP协议模块处理。

IP协议模块将此数据报进行处理。

2.1.3GRE协议的应用

GRE主要可用于实现：

●多协议的本地网通过单一协议的骨干网传输；

●将不连续的子网连接起来，扩大步跳数受限协议的网络的工作范围；

●组建VPN；

●与IPSec结合使用，弥补IPSec不能保护组播数据的缺陷；

●提供两种比较弱的安全机制——校验和验证与识别关键字KEY验证。

2.2GRE故障处理

●典型组网环境

●配置注意事项

●故障诊断流程

●故障处理步骤

2.2.1典型组网环境

图2-1GRE的典型组网图

如图2-3所示，Quidway1与Quidway2之间建立一个GREtunnel。

且Quidway1与Quidway3直连，Quidway2与Quidway3直连。

2.2.2配置注意事项

说明：

当在分布式设备上创建Tunnel接口时，建议Tunnel接口的槽位号与所设置的源端接口所在槽位号保持一致。

即，使用发出GRE报文的实际接口的槽位号，这样可以提高转发效率

配置项

子项

注意事项

Tunnel两端的封装模式

tunnel-protocol

Tunnel两端的封装模式必须相同。

Tunnel的源地址

source

Tunnel的源地址是发出GRE报文的实际物理接口IP地址。

隧道的源地址可以指定为：

●源接口

●源接口的IP地址。

●另一tunnel接口的接口名和IP地址。

Tunnel的目的地址

destination

Tunnel的目的地址是接收GRE报文的实际物理接口IP地址。

目的地址必须指定为目的端的IP地址

Tunnel的源地址与目的地址唯一标识了一条隧道。

这些配置在Tunnel两端必须配置，且两端地址互为源地址和目的地址。

Tunnel接口的IP地址

ipaddress

为使隧道支持动态路由协议，需要配置Tunnel接口的IP地址或配置IP地址借用。

Tunnel接口的IP地址可以不是公网地址。

隧道两端的IP地址应该位于同一网段。

经过Tunnel转发的路由

配置静态路由或配置动态路由

在隧道两端的路由器上都必须存在经过Tunnel转发的路由，这样，进行了GRE封装的报文才能正确转发。

可以通过在Tunnel的两端都配置静态路由或配置动态路由来实现。

配置静态路由时，需要注意：

目的地址不是Tunnel的目的端物理接口地址，而是未进行GRE封装的报文的目的地址，下一跳是对端Tunnel接口的地址。

配置动态路由协议时，在Tunnel接口和与私网相连的路由器接口上都要使能该动态路由协议。

为保证能够选到正确的路由，在配置动态路由协议时，应注意避免去往Tunnel目的端物理地址的路由下一跳被选为Tunnel接口。

下面以图2-3为例，说明配置GRE时需要注意的事项。

（1）Quidway1上配置Tunnel接口

#配置POS1/0/0的IP地址。

[Ouidway1]interfacepos1/0/0

[Ouidway1-Pos1/0/0]ipaddress100.1.1.1255.255.255.0

#配置TunnelIP地址。

[Quidway1]interfacetunnel1/0/0

[Quidway1]ipaddress30.1.1.1255.255.255.0

#配置Tunnel源地址。

●指定为源端口IP地址

[Quidway1-Tunnel1/0/0]source100.1.1.1

●或指定为源端口

[Quidway1-Tunnel1/0/0]sourcepos1/0/0

#配置Tunnel目的地址。

[Quidway1-Tunnel1/0/0]destination100.2.1.2

（2）Quidway2上配置Tunnel接口

[Ouidway2]interfacepos1/0/0

[Ouidway2-Pos1/0/0]ipaddress100.1.1.1255.255.255.0

#配置TunnelIP地址，和Quidway1上的TunnelIP地址属于同一网段。

[Quidway1]ipaddress30.1.1.2255.255.255.0

[Quidway1-Tunnel1/0/0]source100.2.1.2

[Quidway1-Tunnel1/0/0]destination100.1.1.1

（3）配置路由使Quidway1和Quidway2能互通

#Quidway1上配置到Quidway2所需的路由，这里用静态路由。

[Quidway1]iproute-static100.2.1.0255.255.255.0100.1.1.2

#Quidway2上配置到Quidway1所需的路由，这里用静态路由。

[Quidway2]iproute-static100.1.1.0255.255.255.0100.2.1.1

（4）配置经过Tunnel转发的运营商网络路由或用户网络路由

●配置经过Tunnel转发的运营商网络路由。

[Quidway1]iproute-static30.1.1.0255.255.255.0tunnel1/0/0

[Quidway2]iproute-static30.1.1.0255.255.255.0tunnel1/0/0

●或配置经过Tunnel转发的用户网络路由。

[Quidway1]iproute-static10.2.1.0255.255.255.0tunnel1/0/0

[Quidway2]iproute-static10.1.1.0255.255.255.0tunnel1/0/0

2.2.3故障诊断流程

故障诊断流程如图2-4所示。

图2-1GRE故障诊断流程图

2.2.4故障处理步骤

概要的故障处理步骤如下：

步骤

操作

1

检查两端tunnel的封装模式是否一致

2

检查两端tunnel的配置是否完整、一致

（1）tunnel的IP地址；

（2）tunnel的源地址；

（3）tunnel的目的地址；

（4）两端是否互为源地址和目的地址。

3

检查tunnel源和目的地址之间是否存在路由

4

检查两端tunnel接口的IP地址是否在同一个网段，如果不在同一个网段，tunnel间是否存在可达路由

详细的故障处理步骤如下：

1.检查两端tunnel的封装模式是否一致

可以在该tunnel的接口视图下执行displaythisinterface命令来检查两端tunnel的封装模式是否一致。

通过tunnel接口的显示信息，可以查看两端的tunnel的封装模式。

显示结果举例如下：

[Quidway-Tunnel1/0/0]displaythisinterface

Tunnel1/0/0currentstate:

UP

Lineprotocolcurrentstate:

Description:

HUAWEI,QuidwaySeries,Tunnel1/0/0Interface,RoutePort

TheMaximumTransmitUnitis1500bytes

InternetAddressis30.1.1.2/24

EncapsulationisTUNNEL,loopbacknotset

Tunnelsource100.1.1.1（Serial1/0/0）,destination100.1.1.2

Tunnelprotocol/transportGRE/IP,keydisabled

Checksummingofpacketsdisabled

QoSmax-bandwidth:

64Kbps

Outputqueue:

（Urgentqueue:

Size/Length/Discards）0/50/0

（Protocolqueue:

Size/Length/Discards）0/1000/0

（FIFOqueuing:

Size/Length/Discards）0/75/0

5minutesinputrate0bytes/sec,0packets/sec

5minutesoutputrate0bytes/sec,0packets/sec

0packetsinput,0bytes

0inputerror

0packetsoutput,0bytes

0outputerror

目前，tunnel支持三种封装模式，即：

GRE（默认封装模式）、ipv6-ipv4以及MPLS。

从显示的信息中的粗体部分可以看出，当前的tunnel封装模式为GRE。

如果两端的封装模式相同，则说明问题不在此步骤。

2.检查两端tunnel的配置是否完整、一致

确定tunnel两端封装模式一致后，检查两端的tunnel是否配置了tunnel的IP地址、源地址和目的地址，重点检查两端的tunnel是否互为源和目的地址。

因为Tunnel的源地址与目的地址唯一标识了一条隧道；

如果不是互为源和目的地址，那么就不能共同建立一条隧道。

可以在tunnel接口视图下执行displaythis来检查两端tunnel的配置状态。

例如，在图2-3中，对隧道正确的配置如下：

Quidway1的tunnel配置状态为：

[Quidway1-Tunnel1/0/0]displaythis

#

interfaceTunnel1/0/0

ipaddress30.1.1.1255.255.255.0

source100.1.1.1

destination100.2.1.2

return

Quidway2的配置状态为：

[Quidway2-Tunnel1/0/0]displaythis

ipaddress30.1.1.2255.255.255.0

source100.2.1.2

destination100.1.1.1

上述的tunnel接口配置信息中，如果两端互为源和目的地址，但在tunnel接口视图下执行displaythisinterface命令，发现tunnel链路状态“Lineprotocolcurrentstate”仍然是“down”，则继续按如下步骤检查。

3.检查tunnel源和目的地址之间是否存在路由

确定两端tunnel接口的配置无误后，tunnel的链路状态仍然是Down，此时要检查tunnel的源地址所在的接口和目的地址所在的接口之间是否可达：

●如果两个接口不是直连的，检查这两个接口之间是否存在到对方的路由。

●如果将tunnel建立在直连的两个接口间，就不会存在路由的问题。

查看当前路由器路由的命令是displayfib。

仍以图2-3中的Quidway1和Quidway2为例，执行displayfib以后，Quidway1上的显示如下：

FIBTable:

TotalnumberofRoutes:

10

Destination/MaskNexthopFlagTimeStampInterfaceToken

127.0.0.1/32127.0.0.1HUt[0]InLoop00x0

127.0.0.0/8127.0.0.1Ut[0]InLoop00x0

100.1.1.1/32127.0.0.1HUt[0]InLoop00x0

100.1.1.0/24100.1.1.1Ut[0]Pos1/0/00x0

10.1.1.2/32127.0.0.1HUt[0]InLoop00x0

10.1.1.0/2410.1.1.2Ut[0]Pos2/0/00x0

30.1.1.1/32127.0.0.1HUt[0]InLoop00x0

30.1.1.0/2430.1.1.1Ut[0]Tun1/0/00x0

Quidway2上的显示为：

100.2.1.2/32127.0.0.1HUt[0]InLoop00x0

100.2.1.0/24100.2.1.2Ut[0]Pos1/0/00x0

10.2.1.2/32127.0.0.1HUt[0]InLoop00x0

10.2.1.0/2410.2.1.2Ut[0]Pos2/0/00x0

30.1.1.2/32127.0.0.1HUt[0]InLoop00x0

30.1.1.0/2430.1.1.2Ut[0]Tun1/0/00x0

从上述的路由表中可以看出，Quidway1没有到Qudiway2网段100.2.1.0的路由，Quidway2也没有到Qudiway1网段100.1.1.0的路由；

所以，两端tunnel接口的状态为Down，两端不能ping通。

需要在Quidway1和Quidway2上配置静态路由或动态路由协议，使Quidway1有从100.1.1.0到100.2.1.0网段的路由，Quidway2有从100.2.1.0到100.1.1.0的路由。

配置路由后再查看FIB表，发现增加了一条到达100.2.1.0的路由。

此时Quidway1上的tunnel接口状态变成Up，但pingQuidway2的物理接口地址10.2.1.2，不能ping通，Quidway2上tunnel的状态还是Down。

这是因为，虽然Quidway1有从100.1.1.0到100.2.1.0的路由；

但Quidway2上没有从100.2.1.0到100.1.1.0网段的路由。

所以，需要在Qudiway2上配置动态路由协议或静态路由。

对于ping报文，路由的指定是双向的，为了Qudiway1与Quidway2之间能ping通，需要配置Qudiway1到Qudiway2的路由，以及Quidway2到Quidway1的路由。

如果只配置单向路由，报文到达对端后找不到回来的路径，不能ping通。

4.检查两端tunnel接口的IP地址是否在同一个网段，如果不在同一个网段，tunnel间是否存在可达路由

经过上述几个步骤的处理以后，两端tunnel的状态都为Up，物理接口也可以ping通，可是tunnel接口还是ping不通。

此时需要检查两端tunnel接口的IP地址是否在同一网段；

如果不在同一网段，则需要配置到对端tunnel接口的IP地址的路由。

在tunnel接口视图下执行displaythis命令查看两端tunnel的IP地址。

Quidway1显示如下：

Qudiway2显示如下：

ipaddress30.1.2.2255.255.255.0

从以上显示信息可以看出，两端tunnel的IP地址都是24位，但不在同一个网段：

一个是30.1.1.1，一个是30.1.2.2。

所以，需要检查两端是否配置到了到达对端tunnel的IP地址的路由，即分别在两端执行displayfib命令。

Quidway2显示如下：

30.1.2.2/32127.0.0.1HUt[0]InLoop00x0

30.1.2.0/2430.1.1.2Ut[0]Tun1/0/00x0

从上述信息中可以看出，两端没有配置到达对端tunnel接口IP地址的路由。

所以，需要在两端增加到达对端tunnel的路由：

在Quidway1上配置静态路由iproute-static30.1.2.024tunnel1/0/0；

在Quidway2上配置静态路由：

iproute-static30.1.1.024tunnel1/0/0。

此时在Quidway1和Quidway2上ping对端的tunnel，可以收到对端的回应报文。

这样就建立了一个正确的tunnel隧道。

如果至此还无法排除GRE隧道故障，请联系华为的技术支持工程师。

2.3FAQ

（1）问：

为什么配置隧道时提示“Sametunnelexist”，即意味着隧道配置失败？

答：

引起此问题的原因是已经用该源和目的地址配置了一条隧道。

对于封装同种协议的不同Tunnel接口，不能配置完全相同的源地址和目的地址。

因为Tunnel的源端地址与目的端地址唯一标识了一条隧道。

所以，需要检查是否已经利用该源和目的地址建立了