Windows Server 2016 中的 GRE 隧道
Windows Server 2016 为 RAS 网关提供通用路由封装 (GRE) 隧道功能的更新。
GRE 是一种轻型隧道协议,可以在 Internet 协议网间上的虚拟点对点链路内封装各种网络层协议。 Microsoft GRE 实现可以封装 IPv4 和 IPv6。
GRE 隧道在许多情况下很有用,因为:
它们是轻量级的,符合 RFC 2890 标准,因此可与各种供应商设备互操作
你可以使用边界网关协议 (BGP) 进行动态路由
你可以配置 GRE 多租户 RAS 网关,使之可以与软件定义网络 (SDN) 配合使用
可以使用 System Center Virtual Machine Manager 来管理基于 GRE 的 RAS 网关
在配置为 GRE RAS 网关的 6 核虚拟机上,可实现高达 2.0 Gbps 的吞吐量
单个网关支持多种连接模式
基于 GRE 的隧道可在租户虚拟网络与外部网络之间实现连接。 因为 GRE 协议是轻型的,并且大多数网络设备上提供 GRE 支持,所以它成为用于无需数据加密的隧道的理想选择。
站点到站点 (S2S) 隧道中的 GRE 支持可解决租户虚拟网络与使用多租户网关的租户外部网络之间的转发问题,如本主题后面所述。
GRE 隧道功能旨在满足以下要求:
托管服务提供商必须能够在不修改物理交换机配置的情况下创建用于转发的虚拟网络。
托管服务提供商必须能够在不修改其基础设施内物理交换机的配置的情况下向其面向外部的网络添加子网。 GRE 隧道功能为托管服务提供商启用或增强几个关键方案,使用 Microsoft 技术在其服务产品中实现软件定义网络。
下面是一些示例方案:
关键方案
以下是 GRE 隧道功能解决的关键方案。
从租户虚拟网络访问租户物理网络
此方案支持通过一种可缩放的方式来提供从租户虚拟网络到位于托管服务提供商场所的租户物理网络的访问。 GRE 隧道终结点在多租户网关上建立,另一个 GRE 隧道终结点在物理网络上的第三方设备上建立。 第 3 层流量在虚拟网络中的虚拟机与物理网络上的第三方设备之间路由。
高速连接
此方案支持通过一种可缩放的方式来提供从租户本地网络到托管服务提供商网络中的虚拟网络的高速连接。 租户通过多协议标签交换 (MPLS) 连接到服务提供商网络,在 MPLS 中的托管服务提供商的边缘路由器和通往租户虚拟网络的多租户网关之间建立了 GRE 隧道。
与基于 VLAN 的隔离集成
此方案允许将基于 VLAN 的隔离与 Hyper-V 网络虚拟化集成。 托管服务提供商网络上的物理网络包含一个使用基于 VLAN 的隔离的负载均衡器。 多租户网关在物理网络上的负载均衡器和虚拟网络上的多租户网关之间建立 GRE 隧道。
可以在源和目标之间建立多个隧道,并将 GRE 密钥用于区分隧道。
访问共享资源
使用此方案,你可以访问位于托管服务提供商网络上的物理网络上的共享资源。
你可能有一个共享服务位于物理网络上的服务器上,该物理网络位于你想要与多个租户虚拟网络共享的托管服务提供商网络中。
具有非重叠子网的租户网络通过 GRE 隧道访问公共网络。 单个租户网关在 GRE 隧道之间路由,从而将数据包路由到相应的租户网络。
在此方案中,可以将单租户网关替换为第三方硬件设备。
第三方设备到租户的服务
此方案可用于将第三方设备(例如硬件负载均衡器)集成到租户虚拟网络通信流中。 例如,源自企业站点的流量通过 S2S 隧道传递到多租户网关。 流量通过 GRE 隧道路由到负载均衡器。 负载均衡器将流量路由到企业的虚拟网络上的多个虚拟机。 对于虚拟网络中的 IP 地址可能重叠的另一个租户,也会发生同样的情况。 网络流量通过 VLAN 在负载均衡器上进行隔离,适用于支持 VLAN 的所有第 3 层设备。
配置和部署
GRE 隧道作为 S2S 接口中的附加协议公开。 它的实现方式与以下网络博客所述的 IPSec S2S 隧道类似:使用 Windows Server 2012 R2 的多租户站点到站点 (S2S) VPN 网关
有关部署网关(包括 GRE 隧道网关)的示例,请参阅以下主题:
详细信息
若要详细了解如何部署 S2S 网关,请参阅以下主题: