GRE-Tunneling in Windows Server 2016

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Windows Server 2016 bietet Updates der GRE-Tunnelfunktion (Generic Routing Encapsulation) für das RAS-Gateway.

GRE ist ein einfaches Tunneling-Protokoll, das eine Vielzahl von Protokollen der Vermittlungsschicht in virtuellen Point-to-Point-Links über ein IP-Internetwork kapseln kann. Die Microsoft GRE-Implementierung kann IPv4 und IPv6 kapseln.

GRE-Tunnel sind in vielen Szenarien aus folgenden Gründen nützlich:

• Sie sind einfach und konform mit RFC 2890, sodass sie mit Geräten verschiedener Anbieter kompatibel sind

• Sie können das Border Gateway Protocol (BGP) für dynamisches Routing verwenden

• Sie können GRE-mehrinstanzenfähige RAS-Gateways für die Verwendung mit Software Defined Networking (SDN) konfigurieren

• Sie können System Center Virtual Machine Manager verwenden, um GRE-basierte RAS-Gateways zu verwalten

• Sie können einen Durchsatz von bis zu 2,0 GBit/s auf einem virtuellen Computer mit 6 Kernen erreichen, der als GRE RAS-Gateway konfiguriert ist

• Ein einzelnes Gateway unterstützt mehrere Verbindungsmodi

GRE-basierte Tunnel ermöglichen Verbindungen zwischen virtuellen Mandantennetzwerken und externen Netzwerken. Da es sich beim GRE-Protokoll um ein Lightweight-Protokoll handelt und die meisten Netzwerkgeräte GRE-Unterstützung bieten, ist es perfekt für das Tunneling geeignet, wenn die Verschlüsselung von Daten nicht erforderlich ist.

Bei S2S-Tunneln (Standort-zu-Standort) kann durch GRE-Unterstützung das Problem der Weiterleitung zwischen virtuellen Mandanten-Netzwerken und externen Mandanten-Netzwerken über ein mehrinstanzenfähiges Gateway gelöst werden, wie weiter unten in diesem Thema beschrieben.

Das GRE-Tunnelfeature wurde entwickelt, um die folgenden Anforderungen zu erfüllen:

• Ein Hostinganbieter muss virtuelle Netzwerke für die Weiterleitung erstellen können, ohne die physische Switch-Konfiguration zu ändern.

• Ein Hostinganbieter muss seinen extern zugänglichen Netzwerken Subnetze hinzufügen können, ohne die physische Switch-Konfiguration in seiner Infrastruktur zu ändern. Das GRE-Tunnelfeature ermöglicht oder verbessert mehrere Schlüsselszenarien für Hosting-Dienstanbieter, die Microsoft-Technologien verwenden, um Software Defined Networking in ihren Dienstangeboten zu implementieren.

Im Folgenden sind einige Beispielszenarien aufgeführt:

• Zugriff von virtuellen Mandanten-Netzwerken auf physische Mandanten-Netzwerke

• Hochgeschwindigkeitsverbindungen

• Integration in VLAN-basierte Isolation

• Zugriff auf freigegebene Ressourcen

• Dienste von Drittanbietergeräten für Mandanten

Wichtige Szenarien

Im Folgenden sind Schlüsselszenarien aufgeführt, die das GRE-Tunnelfeature adressieren.

Zugriff von virtuellen Mandanten-Netzwerken auf physische Mandanten-Netzwerke

Dieses Szenario ermöglicht eine skalierbare Möglichkeit zum Bereitstellen des Zugriffs von virtuellen Mandanten-Netzwerken auf physische Mandanten-Netzwerke, die sich auf dem lokalen Standort des Hosting-Dienstanbieters befinden. Ein GRE-Tunnelendpunkt wird auf dem mehrinstanzenfähigen Gateway eingerichtet, der andere GRE-Tunnelendpunkt wird auf einem Drittanbietergerät im physischen Netzwerk eingerichtet. Layer-3-Datenverkehr wird zwischen den virtuellen Computern im virtuellen Netzwerk und dem Drittanbietergerät im physischen Netzwerk weitergeleitet.

Hochgeschwindigkeitsverbindungen

Dieses Szenario ermöglicht eine skalierbare Möglichkeit, Hochgeschwindigkeitsverbindungen zwischen dem lokalen Netzwerk des Mandanten und dem virtuellen Netzwerk im Netzwerk des Hosting-Dienstanbieters bereitzustellen. Ein Mandant stellt über MPLS (Multiprotocol Label Switching) eine Verbindung zum Netzwerk des Dienstanbieters her, wobei ein GRE-Tunnel zwischen dem Edge-Router des Hosting-Dienstanbieters und dem mandantenfähigen Gateway zum virtuellen Mandanten-Netzwerk eingerichtet wird.

Integration in VLAN-basierte Isolation

In diesem Szenario können Sie VLAN-basierte Isolation in Hyper-V-Netzwerkvirtualisierung integrieren. Ein physisches Netzwerk im Hostinganbieter-Netzwerk enthält einen Lastenausgleich mit VLAN-basierter Isolation. Ein mehrinstanzenfähiges Gateway richtet GRE-Tunnel zwischen dem Lastenausgleich im physischen Netzwerk und dem mehrinstanzenfähigen Gateway im virtuellen Netzwerk ein.

Zwischen Quelle und Ziel können mehrere Tunnel eingerichtet werden, und der GRE-Schlüssel wird verwendet, um zwischen den Tunneln zu unterscheiden.

Zugriff auf freigegebene Ressourcen

In diesem Szenario können Sie auf freigegebene Ressourcen in einem physischen Netzwerk zugreifen, das sich im Netzwerk des Hostinganbieters befindet.

Möglicherweise verfügen Sie über einen freigegebenen Dienst auf einem Server in einem physischen Netzwerk im Hostinganbieter-Netzwerk, das Sie für mehrere virtuelle Mandanten-Netzwerke freigeben möchten.

Die Mandanten-Netzwerke mit nicht überlappenden Subnetzen greifen über einen GRE-Tunnel auf das gemeinsame Netzwerk zu. Ein einzelnes Mandanten-Gateway leitet zwischen den GRE-Tunneln weiter, wodurch Pakete an die entsprechenden Mandanten-Netzwerke weitergeleitet werden.

In diesem Szenario kann das Gateway mit einem einzelnen Mandanten durch Hardwaregeräte von Drittanbietern ersetzt werden.

Dienste von Drittanbietergeräten für Mandanten

Dieses Szenario kann verwendet werden, um Drittanbietergeräte (z. B. Hardwaregeräte zum Lastenausgleich) in den Datenverkehrsfluss des virtuellen Mandantennetzwerks zu integrieren. Beispielsweise wird Datenverkehr, der von einem Unternehmensstandort stammt, über einen S2S-Tunnel an das mehrinstanzenfähige Gateway geleitet. Der Datenverkehr wird über einen GRE-Tunnel an den Lastenausgleich weitergeleitet. Der Lastenausgleich leitet Datenverkehr an mehrere virtuelle Computer im virtuellen Netzwerk des Unternehmens weiter. Dasselbe geschieht bei einem anderen Mandanten mit potenziell überlappenden IP-Adressen in den virtuellen Netzwerken. Der Netzwerkdatenverkehr wird auf dem Lastenausgleich mithilfe von VLANs isoliert und gilt für alle Layer-3-Geräte, die VLANs unterstützen.

Konfiguration und Bereitstellung

Ein GRE-Tunnel wird als zusätzliches Protokoll innerhalb einer S2S-Schnittstelle verfügbar gemacht. Er wird auf ähnliche Weise wie ein IPSec S2S-Tunnel implementiert, der im folgenden Netzwerkblog beschrieben wird: Mehrinstanzenfähige S2S-VPN Gateway (Site-to-Site) mit Windows Server 2012 R2

Im folgenden Thema finden Sie ein Beispiel für die Bereitstellung von Gateways, einschließlich GRE-Tunnel-Gateways:

Bereitstellen einer Software-Defined Networking-Infrastruktur mithilfe von Skripts

Weitere Informationen

Weitere Informationen zum Bereitstellen von S2S-Gateways finden Sie in folgenden Themen:

• RAS-Gateway

• Border Gateway Protocol (BGP)

• Neu! Bereitstellungshandbuch für das mehrinstanzenfähige RAS-Gateway von Windows Server 2012 R2

• Bereitstellen des Border Gateway Protocol (BGP) mit dem mehrinstanzenfähigen RAS-Gateway