组网需求
如下所示,FW1和FW2通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,通过在两台FW之间建立GRE隧道实现两个私有IP网络互联。
数据规划
设备 |
数据 |
描述 |
FW2 |
接口配置 |
接口号:GigabitEthernet 1/0/0 IP地址:12.12.12.1/24 安全区域:Untrust |
接口号:GigabitEthernet 1/0/1 IP地址:172.16.1.1/24 安全区域:Trust |
||
GRE配置 |
接口名称:Tunnel IP地址:192.168.12.1/24 源地址:12.12.12.1/24 目的地址:21.21.21.2/24 隧道识别关键字:123456 |
|
FW2 |
接口配置 |
接口号:GigabitEthernet 1/0/0 IP地址:21.21.21.1/24 安全区域:Untrust |
接口号:GigabitEthernet 1/0/1 IP地址:172.16.2.2/24 安全区域:Trust |
||
GRE配置 |
接口名称:Tunnel IP地址:192.168.12.2/24 源地址:21.21.21.2/24 目的地址:12.12.12.1/24 隧道识别关键字:123456 |
|
Internet |
接口配置 |
接口号:GigabitEthernet 0/0/0 IP地址:12.12.12.2/24 |
接口号:GigabitEthernet 0/0/1 IP地址:21.21.21.1/24 |
配置思路
- 在FW_A和FW_B上分别创建一个Tunnel接口。
在Tunnel接口中指定隧道的源IP地址和目的IP等封装参数。 - 配置静态路由,将出接口指定为本设备的Tunnel接口。
该路由的作用是将需要经过GRE隧道传输的流量引入到GRE隧道中。 - 配置安全策略,允许GRE隧道的建立和流量的转发。
操作步骤
1.配置接口的IP地址,并将接口加入安全区域
FW1
防火墙首次登录需要修改密码,登录默认用户名密码admin/Admin@123。
#进入系统视图 <USG6000V1>system-view #修改设备名称 [USG6000V1]sysname FW1 #进入接口GE0/0/0视图 [FW1]interface GigabitEthernet 1/0/0 #为接口GE1/0/0配置IP地址为12.12.12.1,子网掩码为255.255.255.0 [FW1-GigabitEthernet1/0/0]ip address 12.12.12.1 24 #从接口视图返回到系统视图 [FW1-GigabitEthernet1/0/0]quit [FW1]interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1]ip address 172.16.1.1 24 [FW1-GigabitEthernet1/0/1]quit #创建编号为1的Tunnel接口,并进入该Tunnel接口视图 [FW1]interface Tunnel 1 [FW1-Tunnel1]ip address 192.168.12.1 24 [FW1-Tunnel1]quit #进入Trust安全区域视图 [FW1]firewall zone trust #将接口GigabitEthernet1/0/0加入到Trust安全区域 [FW1-zone-trust]add interface GigabitEthernet 1/0/1 #从安全区域视图返回到系统视图 [FW1-zone-trust]quit [FW1]firewall zone untrust [FW1-zone-untrust]add interface GigabitEthernet 1/0/0 [FW1-zone-untrust]quit [FW1]firewall zone dmz [FW1-zone-dmz]add interface Tunnel 1 [FW1-zone-dmz]quit
FW2
<USG6000V1>system-view [USG6000V1]sysname FW2 [FW1]interface GigabitEthernet 1/0/0 [FW1-GigabitEthernet1/0/0]ip address 172.16.2.2 24 [FW1-GigabitEthernet1/0/0]quit [FW1]interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1]ip address 21.21.21.2 24 [FW1-GigabitEthernet1/0/1]quit [FW1]interface Tunnel 1 [FW1-Tunnel1]ip address 192.168.12.2 24 [FW1-Tunnel1]quit [FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet 1/0/0 [FW1-zone-trust]quit [FW1]firewall zone untrust [FW1-zone-untrust]add interface GigabitEthernet 1/0/1 [FW1-zone-untrust]quit [FW1]firewall zone dmz [FW1-zone-dmz]add interface Tunnel 1 [FW1-zone-dmz]quit
Internet
<Huawei>sys [Huawei]sys Internet [Internet]int GigabitEthernet 0/0/0 [Internet-GigabitEthernet0/0/0]ip address 12.12.12.2 24 [Internet-GigabitEthernet0/0/0]quit [Internet]int GigabitEthernet 0/0/1 [Internet-GigabitEthernet0/0/1]ip address 21.21.21.1 24 [Internet-GigabitEthernet0/0/1]quit
PC1
PC2
2.配置路由
FW1
#配置FW1到FW2网络互通 [FW1]ip route-static 21.21.21.0 24 12.12.12.2 #将需要经过GRE隧道传输的流量引入到GRE隧道中 [FW1]ip route-static 172.16.2.0 24 Tunnel 1
FW2
[FW1]ip route-static 12.12.12.0 24 21.21.21.1 [FW1]ip route-static 172.16.1.0 24 Tunnel 1
3.配置Tunnel接口的封装参数
封装协议、源地址/接口、目的地址、认证
FW1
[FW1]interface Tunnel 1 #配置Tunnel接口为GRE隧道模式 [FW1-Tunnel1]tunnel-protocol gre #配置Tunnel接口的源地址或源接口 [FW1-Tunnel1]source GigabitEthernet1/0/0 #配置Tunnel 1接口的目的端地址为21.21.21.2 [FW1-Tunnel1]destination 21.21.21.2 #设置隧道的识别关键字 [FW1-Tunnel1]gre key cipher 123456 [FW1-Tunnel1]quit
FW2
[FW2]interface Tunnel1 [FW2-Tunnel1] tunnel-protocol gre [FW2-Tunnel1] source 21.21.21.2 [FW2-Tunnel1] destination 12.12.12.1 [FW2-Tunnel1] gre key cipher 123456 [FW2-Tunnel1]quit
4.配置域间安全策略
PC到FW(Trust到DMZ)、FW到FW(Local到Untrust)
注意:由于安全策略具有方向性,所需要需要配置双向的安全策略。可以使用FW1和FW2中方法进行配置。
FW1
[FW1]security-policy #配置允许封装前的报文通过域间安全策略 [FW1-policy-security]rule name 1 [FW1-policy-security-rule-1]source-zone trust [FW1-policy-security-rule-1]destination-zone dmz [FW1-policy-security-rule-1]action permit [FW1-policy-security-rule-1]quit [FW1-policy-security]rule name 2 [FW1-policy-security-rule-1]source-zone dmz [FW1-policy-security-rule-1]destination-zone trust [FW1-policy-security-rule-1]action permit [FW1-policy-security-rule-1]quit #配置允许封装后的GRE报文通过域间安全策略 [FW1-policy-security]rule name 3 [FW1-policy-security-rule-2]source-zone local [FW1-policy-security-rule-2]destination-zone untrust [FW1-policy-security-rule-2]action permit [FW1-policy-security-rule-2]quit [FW1-policy-security]rule name 4 [FW1-policy-security-rule-2]source-zone untrust [FW1-policy-security-rule-2]destination-zone local [FW1-policy-security-rule-2]action permit [FW1-policy-security-rule-2]quit
FW2
[FW2]security-policy [FW2-policy-security]rule name 1 [FW2-policy-security-rule-1]source-zone trust dmz [FW2-policy-security-rule-1]destination-zone dmz trust [FW2-policy-security-rule-1]action permit [FW2-policy-security-rule-1]quit [FW2-policy-security] rule name 2 [FW2-policy-security-rule-2]source-zone local untrust [FW2-policy-security-rule-2]destination-zone untrust local [FW2-policy-security-rule-2]action permit [FW2-policy-security-rule-2]quit
5.验证配置结果
在FW1使用display ip routing-table命令查看路由表。可以看到目的地址为172.16.2.0/24,出接口为Tunnel1的路由。
FW1
[FW1]display ip routing-table 2026-05-13 07:45:14.310 Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 10 Routes : 10 Destination/Mask Proto Pre Cost Flags NextHop Interface 12.12.12.0/24 Direct 0 0 D 12.12.12.1 GigabitEthernet1/0/0 12.12.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet1/0/0 21.21.21.0/24 Static 60 0 RD 12.12.12.2 GigabitEthernet1/0/0 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.1.0/24 Direct 0 0 D 172.16.1.1 GigabitEthernet1/0/1 172.16.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet1/0/1 172.16.2.0/24 Static 60 0 D 192.168.12.1 Tunnel1 192.168.12.0/24 Direct 0 0 D 192.168.12.1 Tunnel1 192.168.12.1/32 Direct 0 0 D 127.0.0.1 Tunnel1
网络1中的PC1与网络2中的PC2能够相互ping通
PC1
#第一次ping测试时,前1~2个报文丢失,正是因为在等ARP解析完成。 PC>ping 172.16.2.10 Ping 172.16.2.10: 32 data bytes, Press Ctrl_C to break Request timeout! From 172.16.2.10: bytes=32 seq=2 ttl=126 time=16 ms From 172.16.2.10: bytes=32 seq=3 ttl=126 time=16 ms From 172.16.2.10: bytes=32 seq=4 ttl=126 time=31 ms From 172.16.2.10: bytes=32 seq=5 ttl=126 time=15 ms --- 172.16.2.10 ping statistics --- 5 packet(s) transmitted 4 packet(s) received 20.00% packet loss round-trip min/avg/max = 0/19/31 ms
如下图所示,Wireshark捕获到了GRE报文,Key值为0x00001c24。这说明原始的ICMP报文(内层 IP:源172.16.1.10 -> 目的172.16.2.10)被作为载荷,封装在了新的隧道IP报文中(外层 IP:源12.12.12.1 -> 目的21.21.21.2),通过隧道传输给对端。
