组网需求
如下所示,FW1和FW2通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,内部部署了OSPF动态路由。通过在两台FW之间建立GRE隧道实现两个私有IP网络跨越Internet交互OSPF路由信息。
配置思路
- 在FW1和FW1上分别创建一个Tunnel接口。
在Tunnel接口中指定隧道的源IP地址和目的IP等封装参数。 - 配置OSPF动态路由。
启用一个OSPF进程,指定运行OSPF协议的接口。在本例中,网络1中的私网网段172.16.1.0/24和Tunnel地址所在的网段192.168.12.0/24需要通过GRE隧道发布给网络2,隧道两端Tunnel接口通过GRE隧道建立起邻接关系。
- 配置安全策略,允许GRE隧道的建立和流量的转发。
操作步骤
1.配置接口的IP地址,并将接口加入安全区域
FW1
防火墙首次登录需要修改密码,登录默认用户名密码admin/Admin@123。
#进入系统视图 <USG6000V1>system-view #修改设备名称 [USG6000V1]sysname FW1 #进入接口GE0/0/0视图 [FW1]interface GigabitEthernet 1/0/0 #为接口GE1/0/0配置IP地址为12.12.12.1,子网掩码为255.255.255.0 [FW1-GigabitEthernet1/0/0]ip address 12.12.12.1 24 #从接口视图返回到系统视图 [FW1-GigabitEthernet1/0/0]quit [FW1]interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1]ip address 172.16.1.1 24 [FW1-GigabitEthernet1/0/1]quit #创建编号为1的Tunnel接口,并进入该Tunnel接口视图 [FW1]interface Tunnel 1 [FW1-Tunnel1]ip address 192.168.12.1 24 [FW1-Tunnel1]quit #进入Trust安全区域视图 [FW1]firewall zone trust #将接口GigabitEthernet1/0/0加入到Trust安全区域 [FW1-zone-trust]add interface GigabitEthernet 1/0/1 #从安全区域视图返回到系统视图 [FW1-zone-trust]quit [FW1]firewall zone untrust [FW1-zone-untrust]add interface GigabitEthernet 1/0/0 [FW1-zone-untrust]quit [FW1]firewall zone dmz [FW1-zone-dmz]add interface Tunnel 1 [FW1-zone-dmz]quit
FW2
<USG6000V1>system-view [USG6000V1]sysname FW2 [FW1]interface GigabitEthernet 1/0/0 [FW1-GigabitEthernet1/0/0]ip address 172.16.2.2 24 [FW1-GigabitEthernet1/0/0]quit [FW1]interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1]ip address 21.21.21.2 24 [FW1-GigabitEthernet1/0/1]quit [FW1]interface Tunnel 1 [FW1-Tunnel1]ip address 192.168.12.2 24 [FW1-Tunnel1]quit [FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet 1/0/0 [FW1-zone-trust]quit [FW1]firewall zone untrust [FW1-zone-untrust]add interface GigabitEthernet 1/0/1 [FW1-zone-untrust]quit [FW1]firewall zone dmz [FW1-zone-dmz]add interface Tunnel 1 [FW1-zone-dmz]quit
Internet
<Huawei>sys [Huawei]sys Internet [Internet]int GigabitEthernet 0/0/0 [Internet-GigabitEthernet0/0/0]ip address 12.12.12.2 24 [Internet-GigabitEthernet0/0/0]quit [Internet]int GigabitEthernet 0/0/1 [Internet-GigabitEthernet0/0/1]ip address 21.21.21.1 24 [Internet-GigabitEthernet0/0/1]quit
PC1
PC2
2.配置路由
在FW1和FW2上配置静态路由使模拟Internet网络互通。
将网络1和网络2的私网网段172.16.1.0/24、172.16.2.0/24和Tunnel接口对应的网段192.168.12.0/24通过OSPF发布出去。
提示:建议在这一步操作时,在FW1或FW2的出接口上进行抓包方便后续的验证。
FW1
#配置FW1到FW2网络互通 [FW1]ip route-static 21.21.21.0 24 12.12.12.2 #启动OSPF [FW1]ospf 1 #配置172.16.1.0、192.168.12.0网段所在的区域为区域0 [FW1-ospf-1]area 0 [FW1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [FW1-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255 [FW1-ospf-1-area-0.0.0.0]quit [FW1-ospf-1]quit
FW2
[FW1]ip route-static 12.12.12.0 24 21.21.21.1 [FW2]ospf 1 [FW2-ospf-1]area 0 [FW2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [FW2-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255 [FW2-ospf-1-area-0.0.0.0]quit [FW2-ospf-1]quit
3.配置Tunnel接口的封装参数
封装协议、源地址/接口、目的地址、认证
FW1
[FW1]interface Tunnel 1 #配置Tunnel接口为GRE隧道模式 [FW1-Tunnel1]tunnel-protocol gre #配置Tunnel接口的源地址或源接口 [FW1-Tunnel1]source GigabitEthernet1/0/0 #配置Tunnel 1接口的目的端地址为21.21.21.2 [FW1-Tunnel1]destination 21.21.21.2 #设置隧道的识别关键字 [FW1-Tunnel1]gre key cipher 123456 [FW1-Tunnel1]quit
FW2
[FW2]interface Tunnel1 [FW2-Tunnel1] tunnel-protocol gre [FW2-Tunnel1] source 21.21.21.2 [FW2-Tunnel1] destination 12.12.12.1 [FW2-Tunnel1] gre key cipher 123456 [FW2-Tunnel1]quit
4.配置域间安全策略
PC到FW(Trust到DMZ)、FW到FW(Local到Untrust)
注意:由于安全策略具有方向性,所需要需要配置双向的安全策略。可以使用FW1和FW2中方法进行配置。
FW1
[FW1]security-policy #配置允许封装前的报文通过域间安全策略 [FW1-policy-security]rule name 1 [FW1-policy-security-rule-1]source-zone trust [FW1-policy-security-rule-1]destination-zone dmz [FW1-policy-security-rule-1]action permit [FW1-policy-security-rule-1]quit [FW1-policy-security]rule name 2 [FW1-policy-security-rule-1]source-zone dmz [FW1-policy-security-rule-1]destination-zone trust [FW1-policy-security-rule-1]action permit [FW1-policy-security-rule-1]quit #配置允许封装后的GRE报文通过域间安全策略 [FW1-policy-security]rule name 3 [FW1-policy-security-rule-2]source-zone local [FW1-policy-security-rule-2]destination-zone untrust [FW1-policy-security-rule-2]action permit [FW1-policy-security-rule-2]quit [FW1-policy-security]rule name 4 [FW1-policy-security-rule-2]source-zone untrust [FW1-policy-security-rule-2]destination-zone local [FW1-policy-security-rule-2]action permit [FW1-policy-security-rule-2]quit
FW2
[FW2]security-policy [FW2-policy-security]rule name 1 [FW2-policy-security-rule-1]source-zone trust dmz [FW2-policy-security-rule-1]destination-zone dmz trust [FW2-policy-security-rule-1]action permit [FW2-policy-security-rule-1]quit [FW2-policy-security] rule name 2 [FW2-policy-security-rule-2]source-zone local untrust [FW2-policy-security-rule-2]destination-zone untrust local [FW2-policy-security-rule-2]action permit [FW2-policy-security-rule-2]quit
5.验证配置结果
在FW1使用display ip routing-table命令查看路由表。可以看到目的地址为172.16.2.0/24,出接口为Tunnel1的路由。
FW1
[FW1]display ip routing-table 2026-05-15 09:50:56.920 Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 10 Routes : 10 Destination/Mask Proto Pre Cost Flags NextHop Interface 12.12.12.0/24 Direct 0 0 D 12.12.12.1 GigabitEthernet1/0/0 12.12.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet1/0/0 21.21.21.0/24 Static 60 0 RD 12.12.12.2 GigabitEthernet1/0/0 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.1.0/24 Direct 0 0 D 172.16.1.1 GigabitEthernet1/0/1 172.16.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet1/0/1 172.16.2.0/24 OSPF 10 1563 D 192.168.12.2 Tunnel1 192.168.12.0/24 Direct 0 0 D 192.168.12.1 Tunnel1 192.168.12.1/32 Direct 0 0 D 127.0.0.1 Tunnel1
如下图所示,Wireshark捕获到了GRE报文。这说明OSPF报文被作为载荷,封装在了新的隧道IP报文中,通过模拟Internet网络发送给对端来交互OSPF路由。
网络1中的PC1与网络2中的PC2能够相互ping通
PC1
PC>ping 172.16.2.10 Ping 172.16.2.10: 32 data bytes, Press Ctrl_C to break Request timeout! From 172.16.2.10: bytes=32 seq=2 ttl=126 time=16 ms From 172.16.2.10: bytes=32 seq=3 ttl=126 time=15 ms From 172.16.2.10: bytes=32 seq=4 ttl=126 time=32 ms From 172.16.2.10: bytes=32 seq=5 ttl=126 time=15 ms --- 172.16.2.10 ping statistics --- 5 packet(s) transmitted 4 packet(s) received 20.00% packet loss round-trip min/avg/max = 0/19/32 ms
如下图所示,Wireshark捕获到了GRE报文。这说明原始的ICMP报文(内层 IP:源172.16.1.10 -> 目的172.16.2.10)被作为载荷,封装在了新的隧道IP报文中(外层 IP:源12.12.12.1 -> 目的21.21.21.2),通过隧道传输给对端。
