【华三】GRE VPN 实验配置

---

前言

VPN ：（Virtual Private Network），即“虚拟专用网络”。
它是一种通过公用网络（通常是互联网）建立安全加密连接的技术，可以在不安全的公共网络上建立起加密通道，将网络数据加密传输，从而实现数据传输的加密、安全和隐私保护

而GRE（Generic Routing Encapsulation），即通用路由封装协议。
提供了将一种协议的报文封装在另一种协议报文中的机制，是一种三层隧道封装技术，使报文可以通过GRE隧道透明的传输，解决异种网络的传输问题。

要注意哦，它是可以在公网上面传输，但它是没有对数据进行加密的。

报文格式

这个就是GRE VPN的报文，本质上面就是在原有的基础上，加上公网IP，使之能在公网上传输我两个私网的数据。

---

实验需求

R1、R2、R3实现公网互通。在私网上运行OSPF路由协议，现需要PC1和PC2通过公网实现私网互通，同时需要保证私网数据传输的可靠性。
其中PC1和PC2上分别指定R1和R3为自己的网关。

配置思路

要实现PC1和PC2通过公网互通。需要在R1和R3之间使用GRE隧道直连，其中Tunnel接口和与私网相连接口上使用OSPF路由，PC1和PC2就可以互相通信了。用OSPF来使私网流量通往GRE隧道，其中的Hello包能够检测隧道链路状态。

配置GRE通过OSPF实现IPv4协议互通的思路如下：

在设备之间运行IGP协议实现设备互通，这里使用OSPF路由协议且进程110。

与PC相连的设备之间建立GRE隧道，并配置与PC相连的网段运行IGP协议，这里使用OSPF协议，使PC1和PC2之间的流量通过GRE隧道传输，实现PC1和PC2互通

---

配置

拓扑

GRE配置步骤

① 创建虚拟Tunnel接口并指定协议类型为GRE
② 设置Tunnel接口的网络地址和掩码
③ 指定Tunnel的源端IP地址
④ 指定Tunnel的目的端IP地址

R1

基础配置

[H3C]sysn R1
[R1]undo info-center enable 

[R1]int g0/0
[R1-GigabitEthernet0/0]ip address 202.101.12.1 24
[R1-GigabitEthernet0/0]qu

[R1]int g0/1
[R1-GigabitEthernet0/1]ip address 192.168.10.254 24
[R1-GigabitEthernet0/1]qu

[R1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2          ##配置默认路由指向ISP_R2运营商，实现公网可达

GRE 配置

[R1]int Tunnel 13 mode gre             ## 创建隧道接口并定义隧道类型为GRE
[R1-Tunnel13]ip address 13.13.13.1 24  ## 配置隧道的IP地址
[R1-Tunnel13]source 202.101.12.1       ## 配置隧道的源地址（封装报文头的）
[R1-Tunnel13]destination 202.101.23.3  ## 配置隧道目的地址（封装报文头的）
[R1-Tunnel13]qu

[R1]ospf 110 router-id 1.1.1.1         ## 创建OSPF 进程110 ，RID 手工指定为 1.1.1.1 
[R1-ospf-110]area 0                    ## 宣告在骨干区域中
[R1-ospf-110-area-0.0.0.0]network 192.168.10.0 0.0.0.255     ## 宣告的网段
[R1-ospf-110-area-0.0.0.0]network 13.13.13.0 0.0.0.255

ISP_R2

基础配置

[H3C]sysname ISP_R2

[ISP_R2]int g0/0
[ISP_R2-GigabitEthernet0/0]ip address 202.101.12.2 24
[ISP_R2-GigabitEthernet0/0]qu

[ISP_R2]int g0/1
[ISP_R2-GigabitEthernet0/1]ip address 202.101.23.2 24
[ISP_R2-GigabitEthernet0/1]qu

R3

基础配置

[H3C]sysn R3

[R3]int g0/0
[R3-GigabitEthernet0/0]ip address 202.101.23.3 24
[R3-GigabitEthernet0/0]qu

[R3]int g0/1
[R3-GigabitEthernet0/1]ip address 192.168.20.254 24
[R3-GigabitEthernet0/1]qu

[R3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2        ##配置默认路由指向ISP_R2运营商，实现公网可达

GRE 配置

[R3]int Tunnel 13 mode gre
[R3-Tunnel13]ip address 13.13.13.3 24
[R3-Tunnel13]source 202.101.23.3
[R3-Tunnel13]destination 202.101.12.1
[R3-Tunnel13]qu

[R3]ospf 110 router-id 3.3.3.3
[R3-ospf-110]area 0
[R3-ospf-110-area-0.0.0.0]network 13.13.13.0 0.0.0.255
[R3-ospf-110-area-0.0.0.0]network 192.168.20.0 0.0.0.255

PC

PC1

PC2

抓包检查

记住这个报文格式，到后面看我抓包的内容就能够很好地理解啦~

OSPF建立

查看邻居的建立情况

GRE隧道建立

当GRE的网段地址（13.13.13.0）能够相互通信的时候，就表明GRE的隧道是建立成功了
如下图所示

但这个时候，我总部和分部的PC是不能通信的
因为路由表上面是没有这条明细路由，而我又想让它走GRE隧道通过公网到达分部，实行私网通信。

这个时候，可以用OSPF等动态路由协议或者静态路由都可以，将本部的私网接口（e0/1）和隧道接口（tunnel 13）都通告进去，然后对面的也是一样，这样子就能够得到一条明细路由通往对方私网
去往分部的流量走GRE隧道（其实就是在报文头加上GRE封装，封装里面是公网IP作为头部），就能实现通信

配置文档

R1

sys
sysname R1

undo info-center enable 

int g0/0
ip address 202.101.12.1 24
qu

int g0/1
ip address 192.168.10.254 24
qu

ip route-static 0.0.0.0 0.0.0.0 202.101.12.2

int Tunnel 13 mode gre            
ip address 13.13.13.1 24  
source 202.101.12.1     
destination 202.101.23.3  
qu

ospf 110 router-id 1.1.1.1         
area 0                   
network 192.168.10.0 0.0.0.255    
network 13.13.13.0 0.0.0.255

ISP_R2

sys
sysn ISP_R2
int g0/0
ip address 202.101.12.2 24
qu
int g0/1
ip address 202.101.23.2 24
qu

R3

sys
sysname R3

undo info-center enable 

int g0/0
ip address 202.101.23.3 24
qu

int g0/1
ip address 192.168.20.254 24
qu

ip route-static 0.0.0.0 0.0.0.0 202.101.23.2

int Tunnel 13 mode gre
ip address 13.13.13.3 24
source 202.101.23.3
destination 202.101.12.1
qu

ospf 110 router-id 3.3.3.3
area 0
network 13.13.13.0 0.0.0.255
network 192.168.20.0 0.0.0.255