华三F100系列防火墙 、华为USG6300系列防火 GRE 隧道配置

GRE概述:

通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输。

简单来说就是,将原数据包进行封装,添加上GRE包头及公网包头,使原报文的 源IP地址及目的IP地址变为公网IP地址,使其能够被运营商的公网路由识别并进行传输。属于VPN 技术的一种,可对不同协议的报文进行完全透明的封装,不改变原报文的任何结构与数据。经常用于路由协议(如OSPF,RIP,BGP等)传输、模拟专线直连等场景。

GRE封装过程:

1、 Router A 连接Group 1 的接口收到X 协议报文后,首先交由X 协议处理
2、X 协议检查报文头中的目的地址域来确定如何路由此包
3、 若报文的目的地址要经过Tunnel 才能到达,则设备将此报文发给相应的Tunnel 接口
4、 Tunnel 口收到此报文后进行GRE 封装,在封装IP 报文头后,设备根据此IP 包的目的地址及路由表对报文进行转发,从相应的网络接口发送出去。
 
华三F100系列防火墙配置命令:
-----创建隧道接口

interface Tunnel1 mode gre        ---创建隧道接口1,模式为GRE
description to-jz  ---备注信息
ip address 192.168.1.1 255.255.255.252    ---配置接口IP地址,一般为30为掩码,确定两个固定的IP地址。配置IP后,会激活接口的三层属性。
source *.*.*.*    ---GRE源地址(一般为本地公网出接口IP地址)
destination *.*.*.*   ---GRE目的地址(一般为对端公网出接口IP地址)

-----加入安全域

security-zone name Trust    ----进入需要加入的安全域

import interface Tunnel1    ----将隧道接口加入安全域

华为USG6300系列防火墙配置命令:

------创建隧道接口

interface Tunnel1    
description tosmx     ----备注
ip address 192.168.1.2 255.255.255.252
tunnel-protocol gre     ----接口模式设置为GRE
source *.*.*.*
destination *.*.*.*
service-manage ping permit    ----开放ping

-----加入安全域

firewall zone trust    ----进入需要加入的安全域

add interface Tunnel1      ----将隧道接口加入安全域

至此,GRE隧道的配置完成,可互ping对端的 GRE隧道IP地址进行测试。

------------------------------------------------------------------------------------------------------

路由添加

GRE配置完成后,相当于在两个设备之间,拉起了一条传输专线。想要进行通信,还需把相关数据引入这条专线,就需要配置路由了,这里可以使用动态路由(OSPF,RIP,BGP等),也可使用静态路由。

静态路由的配置:

ip route-static 10.0.0.0 8 Tunnel 1

由于GRE隧道是一种类似P2P线路的模式,出接口对端一定会对应一个唯一的下一跳地址,因此配置路由只需指定出接口即可,下一跳可配可不配,不会对传输造成影响。

上一篇:18年第一弹射 和网络有关; 艾曲塞嗯诶系列篇 san


下一篇:Mysql-如何正确的使用索引以及索引的原理