GRE概述:
通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输。
简单来说就是,将原数据包进行封装,添加上GRE包头及公网包头,使原报文的 源IP地址及目的IP地址变为公网IP地址,使其能够被运营商的公网路由识别并进行传输。属于VPN 技术的一种,可对不同协议的报文进行完全透明的封装,不改变原报文的任何结构与数据。经常用于路由协议(如OSPF,RIP,BGP等)传输、模拟专线直连等场景。
GRE封装过程:
interface Tunnel1 mode gre ---创建隧道接口1,模式为GRE
description to-jz ---备注信息
ip address 192.168.1.1 255.255.255.252 ---配置接口IP地址,一般为30为掩码,确定两个固定的IP地址。配置IP后,会激活接口的三层属性。
source *.*.*.* ---GRE源地址(一般为本地公网出接口IP地址)
destination *.*.*.* ---GRE目的地址(一般为对端公网出接口IP地址)
-----加入安全域
security-zone name Trust ----进入需要加入的安全域
import interface Tunnel1 ----将隧道接口加入安全域
华为USG6300系列防火墙配置命令:
------创建隧道接口
interface Tunnel1
description tosmx ----备注
ip address 192.168.1.2 255.255.255.252
tunnel-protocol gre ----接口模式设置为GRE
source *.*.*.*
destination *.*.*.*
service-manage ping permit ----开放ping
-----加入安全域
firewall zone trust ----进入需要加入的安全域
add interface Tunnel1 ----将隧道接口加入安全域
至此,GRE隧道的配置完成,可互ping对端的 GRE隧道IP地址进行测试。
------------------------------------------------------------------------------------------------------
路由添加
GRE配置完成后,相当于在两个设备之间,拉起了一条传输专线。想要进行通信,还需把相关数据引入这条专线,就需要配置路由了,这里可以使用动态路由(OSPF,RIP,BGP等),也可使用静态路由。
静态路由的配置:
ip route-static 10.0.0.0 8 Tunnel 1
由于GRE隧道是一种类似P2P线路的模式,出接口对端一定会对应一个唯一的下一跳地址,因此配置路由只需指定出接口即可,下一跳可配可不配,不会对传输造成影响。