当前位置: 首页 > news >正文

HCIE学习之路:配置基于静态路由的GRE隧道

news 2025/10/8 16:40:40

组网需求

如图所示,FW_A和FW_B通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,通过在两台FW之间建立GRE隧道实现两个私有IP网络互联。

img

数据规划

项目 数据配置信息 描述
FW_A 接口配置 接口号:GigabitEthernet 0/0/1 IP地址:1.1.1.1/24 安全区域:Untrust
FW_A 接口配置 接口号:GigabitEthernet 0/0/2 IP地址:10.1.1.1/24 安全区域:Trust
FW_A GRE配置 接口名称:Tunnel IP地址:172.16.2.1/24 源地址:1.1.1.1/24
目的地址:5.5.5.5/24 隧道识别关键字:123456
FW_B 接口配置 接口号:GigabitEthernet 0/0/1 IP地址:5.5.5.5/24 安全区域:Untrust
FW_B 接口配置 接口号:GigabitEthernet 0/0/2 IP地址:10.1.2.1/24 安全区域:Trust
FW_B GRE配置 接口名称:TunnelIP 地址:172.16.2.2/24 源地址:5.5.5.5/24
目的地址:1.1.1.1/24 隧道识别关键字:123456

配置思路

  1. 在FW_A和FW_B上分别创建一个Tunnel接口。在Tunnel接口中指定隧道的源IP地址和目的IP等封装参数。
  2. 配置静态路由,将出接口指定为本设备的Tunnel接口。该路由的作用是将需要经过GRE隧道传输的流量引入到GRE隧道中。
  3. 配置安全策略,允许GRE隧道的建立和流量的转发。

操作步骤

配置FW_A。

1.配置接口的IP地址,并将接口加入安全区域。

<sysname> system-view
[sysname] sysname FW_A
[FW_A] interface GigabitEthernet 0/0/1
[FW_A-GigabitEthernet0/0/1] ip address 1.1.1.1 24
[FW_A-GigabitEthernet0/0/1] quit
[FW_A] interface GigabitEthernet 0/0/2
[FW_A-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[FW_A-GigabitEthernet0/0/2] quit
[FW_A] interface Tunnel 1
[FW_A-Tunnel1] ip address 172.16.2.1 24
[FW_A-Tunnel1] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 0/0/1
[FW_A-zone-untrust] quit
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 0/0/2
[FW_A-zone-trust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface tunnel 1
[FW_A-zone-dmz] quit

2.配置路由,将需要经过GRE隧道传输的流量引入到GRE隧道中。

[FW_A] ip route-static 10.1.2.0 24 Tunnel1

3.配置Tunnel接口的封装参数。

[FW_A] interface Tunnel 1
[FW_A-Tunnel1] tunnel-protocol gre
[FW_A-Tunnel1] source 1.1.1.1
[FW_A-Tunnel1] destination 5.5.5.5
[FW_A-Tunnel1] gre key cipher 123456
[FW_A-Tunnel1] quit

4.配置域间安全策略。配置Trust域和DMZ的域间安全策略,允许封装前的报文通过域间安全策略。

[FW_A] security-policy
[FW_A-policy-security] rule name policy1
[FW_A-policy-security-rule-policy1] source-zone trust dmz
[FW_A-policy-security-rule-policy1] destination-zone dmz trust
[FW_A-policy-security-rule-policy1] action permit
[FW_A-policy-security-rule-policy1] quit

配置Local和Untrust的域间安全策略,允许封装后的GRE报文通过域间安全策略。

[FW_A-policy-security] rule name policy2
[FW_A-policy-security-rule-policy2] source-zone local untrust
[FW_A-policy-security-rule-policy2] destination-zone untrust local
[FW_A-policy-security-rule-policy2] service gre
[FW_A-policy-security-rule-policy2] action permit
[FW_A-policy-security-rule-policy2] quit

配置FW_B。(按照FW_A配置类推就可以)

1.配置接口的IP地址,并将接口加入安全区域。

<sysname> system-view
[sysname] sysname FW_B
[FW_B] interface GigabitEthernet 0/0/1
[FW_B-GigabitEthernet0/0/1] ip address 5.5.5.5 24
[FW_B-GigabitEthernet0/0/1] quit
[FW_B] interface GigabitEthernet 0/0/2
[FW_B-GigabitEthernet0/0/2] ip address 10.1.2.1 24
[FW_B-GigabitEthernet0/0/2] quit
[FW_B] interface Tunnel 1
[FW_B-Tunnel1] ip address 172.16.2.2 24
[FW_B-Tunnel1] quit
[FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface GigabitEthernet 0/0/1
[FW_B-zone-untrust] quit
[FW_B] firewall zone trust
[FW_B-zone-trust] add interface GigabitEthernet 0/0/2
[FW_B-zone-trust] quit
[FW_B] firewall zone dmz
[FW_B-zone-dmz] add interface tunnel 1
[FW_B-zone-dmz] quit
2.配置路由,将需要经过GRE隧道传输的流量引入到GRE隧道中。
[FW_B] ip route-static 10.1.1.0 24 Tunnel1

3.配置Tunnel接口的封装参数。

[FW_B] interface Tunnel 1
[FW_B-Tunnel1] tunnel-protocol gre
[FW_B-Tunnel1] source 5.5.5.5
[FW_B-Tunnel1] destination 1.1.1.1
[FW_B-Tunnel1] gre key cipher 123456
[FW_B-Tunnel1] quit

4.配置域间安全策略。配置Trust域和DMZ的域间安全策略,允许封装前的报文通过域间安全策略。

[FW_B] security-policy
[FW_B-policy-security] rule name policy1
[FW_B-policy-security-rule-policy1] source-zone trust dmz
[FW_B-policy-security-rule-policy1] destination-zone dmz trust
[FW_B-policy-security-rule-policy1] action permit
[FW_B-policy-security-rule-policy1] quit

配置Local和Untrust的域间安全策略,允许封装后的GRE报文通过域间安全策略。

[FW_B-policy-security] rule name policy2
[FW_B-policy-security-rule-policy2] source-zone local untrust
[FW_B-policy-security-rule-policy2] destination-zone untrust local
[FW_B-policy-security-rule-policy2] service gre
[FW_B-policy-security-rule-policy2] action permit
[FW_B-policy-security-rule-policy2] quit

结果验证

  1. 网络1中的PC与网络2中的PC能够相互ping通。
  2. 在FW_A使用display ip routing-table命令查看路由表。可以看到目的地址为10.1.2.0/24,出接口为Tunnel1的路由。

有需要的同学可以在ensp尝试一下。

http://www.sczhlp.com/news/379/

相关文章:

  • 2025年PLM合规性管理,6大策略,确保项目合法合规!
  • 国内最值钱 IT 公司排行
  • Fastmcp 案例二(SSE)
  • 编译安装 pg_stat_statements
  • Anaconda历史版本
  • 输入未知数目的数据
  • 常见的结构光编解码算法
  • 七月
  • 【UNR #3】配对树 题解
  • 基于Java+Springboot+Vue开发的美容院-美甲店预约管理系统源码+运行步骤
  • 基于YOLOv8的狗狗品种(多达60种常见犬类)品种鉴别识别项目|完整源码数据集+PyQt5界面+完整训练流程+开箱即用!
  • 公钥和私钥的部分作用
  • 从0开始构建技术
  • Solon 集成 LiteFlow:轻量级工作流引擎的极简实践指南
  • 街道【概念】
  • 解决 EXSI 意外断电后虚拟机无法启动,提示对象类型需要托管的 I/O - 清风
  • P3412 仓鼠找sugar II 题解
  • 中国科学院院士夏培肃|学术成长历程的关键事件、重要节点、师承关系
  • 【深度解析】文件安全传输网关解决方案,安全合规哪家强?
  • 非常棒的unity插件——体素世界
  • 开源新旗舰 GLM-4.5:不想刷榜,只想干活儿
  • Nodejs安装笔记
  • 「中望CAD机械版2025最新版下载+浮动许可激活教程」
  • 2025最新文件摆渡系统评测:这5大功能让跨网传输更高效
  • Fastmcp 案例三(DeepChat调式 ,结合案例二)
  • webdriver中的三种等待
  • Python 操作 PDF 文档:主流库选型指南 - E
  • claudecode使用mcp
  • 服务器数据同步:安全高效方案看这里!
  • 微软云(Windows Azure)计算平台的结构及分析