eNSP实验——基于静态路由的GRE隧道

已于 2024-07-24 00:48:10 修改
阅读量447 收藏 8
点赞数 5
分类专栏: eNSP 文章标签: 网络 华为 安全
于 2024-07-24 00:41:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78942293/article/details/140648340
版权

1、前置知识:

1.1 GRE

        General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。

GRE主要有以下特点:

1、机制简单,无需维持状态,对隧道两端设备的CPU负担小;

2、本身不提供数据的加密,如果需要加密,可以与IPSec结合使用;

3、不提供流量控制和QoS;

1.2 GRE在防火墙内部运行原理

        从原始报文进入GRE隧道开始,到GRE报文被FW转出,这个过程报文跨越了两个域间关系。由此可以将GRE报文所经过的安全域看成两个部分,一个是原始报文进入GRE隧道前所经过的安全域,一个是报文经过GRE封装后经过的安全域,如下图所示。假设FW_A和FW_B上GE1/0/1接口连接私网,属于Trust区域;GE1/0/2接口连接Internet,属于Untrust区域;Tunnel接口属于DMZ区域。

        PC_A发出的原始报文进入Tunnel接口这个过程中,报文经过的安全域间是Trust—>DMZ;原始报文被GRE封装后,FW_A在转发这个报文时,报文经过的安全域间是Local—>Untrust。

        在下图中,当FW_A发出的GRE报文到达FW_B时,FW_B会进行解封装。在此过程中,报文经过的安全域间是Untrust—>Local;GRE报文被解封装后,FW_B在转发原始报文时,报文经过的安全域间是DMZ—>Trust。

        由上可知,在GRE中报文所经过的安全域间与Tunnel接口所在的安全域有关联。以上图为例,介绍PC_A通过GRE隧道访问PC_B时,FW_A和FW_B上配置的安全策略如下表所示。

2、实验:

2.1 实验拓扑

2.2 实验步骤

1、进入防火墙配置各个端口ip;

2、将各个端口加入对应安全区域;

3、配置静态路由;

4、配置tunnel信息(将tunnel-protocol设置为gre),随后将该tunnel虚拟端口加入对应安全区域;

5、配置更加详细的安全策略;

2.3 实验代码

//配置端口IP
[fw1]int g1/0/0
[fw1-GigabitEthernet1/0/0]ip add	
[fw1-GigabitEthernet1/0/0]ip address 172.16.1.254 24
[fw1-GigabitEthernet1/0/0]int g1/0/1
[fw1-GigabitEthernet1/0/1]ip add	
[fw1-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[fw1-GigabitEthernet1/0/1]service-manage ping permit     //暂时开放该端口ping服务
//将各个端口加入对应安全区域
[fw1]firewall zone trust 
[fw1-zone-trust]add interface g1/0/0
[fw1]firewall zone untrust
[fw1-zone-untrust]add interface g1/0/1
[fw1]security-policy 
[fw1-policy-security]default action permit       //暂时将default关闭以防止ping不通
//配置静态路由
[fw1]ip route-static 0.0.0.0 0 1.1.1.254
[fw1]ip route-static 192.168.1.0 24 Tunnel 0
//进行tunnel信息配置
[fw1]int Tunnel 0
[fw1-Tunnel0]ip address 66.66.66.66 32
[fw1-Tunnel0]tunnel-protocol gre
[fw1-Tunnel0]source g1/0/1
[fw1-Tunnel0]destination 2.2.2.1

//将该虚拟tunnel端口加入dmz安全区域
[fw1]firewall zone dmz 
[fw1-zone-dmz]add interface Tunnel 0
//开启default策略后,配置详细的安全策略
security-policy
 rule name gre_inner
  source-zone dmz
  source-zone trust
  destination-zone dmz
  destination-zone trust
  action permit
 rule name after_gre
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service gre
  action permit

2.4 注意事项:

1、在配置tunnel0虚拟接口是,不要忘记配置“tunnel-protocol gre”这条命令;

2、在配置精细安全策略是,不要忘记配置“service gre”这条命令;

Hephesto
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GRE 隧道协议
gghhb12的博客
05-07 2002
GRE(General Routing Encapsulation ,通用路由封装)是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的报文能够在另一网络层协议(如IP)中传输。此外 GRE协议也可以作为VPN的第三层隧道协议连接两个不同的网络,为数据的传输提供一个透明的通道。
防火墙技术基础篇:基于eNSP配置GRE VPN
qq_39241682的博客
05-31 1675
GRE VPN是一种基于GRE协议的VPN技术。GRE协议是一种通用的网络封装协议,它允许将一种网络协议的数据包封装到另一种网络协议的数据包中进行传输。通过使用GRE协议,可以实现不同网络协议之间的互通,从而满足企业在不同网络环境下的通信需求。
ensp做GRE实验
08-18
ensp做GRE实验
GRE隧道实验eNSP实现)
weixin_72910567的博客
03-27 3776
GRE隧道是一种用于在不同网络层协议之间传输数据的技术,它可以实现跨越不同网络的虚拟连接。GRE隧道的优缺点如下:优点:- GRE是一个标准协议,可以与不同厂商的设备互通。- GRE支持多种乘客协议,如IP、IPX、IPv6等,可以实现多协议的本地网通过单一协议的骨干网传输。- GRE支持多播,可以用于组播VPN。- GRE能够用来创建弹性的VPN,可以扩大跳数受限协议(如RIP)的工作范围,或将一些不能连续的子网连接起来。
隧道技术GRE
zhao__b的博客
12-30 4098
隧道技术是VPN常用技术中的一种。 GRE概述 GRE:通用路由封装,全称 Generic Routing Encapsulation。它能快速、简单地跨越Internet(公网)实现私网之间连通,特别是在跨越公网组建大的网络。但GRE致命的缺点就是,他是明文传输数据。所以在部署GRE的时候,往往结合各种安全措施来保护数据,如利用Ipsec对其数加密。 通用路由封装(GRE)是一种协议,用于将使用一个路由协议的数据包封装在另一协议的数据包中。“封装”是指将一个数据包...
GRE隧道
商务合作|种草文章|产品测评
05-14 3509
实验要求 通过学习GRE隧道的原理和配置,从而掌握GRE隧道的特点和使用。 本次实验由三台路由器完成,其中R1和R3上存在环回接口,其IP地址分别为1.1.1.1和3.3.3.3并且R1和,R2和R3之间运行EIGRP路由协议,但是不将环回口加入EIGRP进程中。也就是说在R1上使用1.1.1.1去ping3.3.3.3无法通信。
华为eNSP GRE实验
11-29
总之,通过这个"华为eNSP GRE实验",你将深入理解GRE协议的工作原理,掌握如何在华为网络设备上配置GRE隧道,并学习如何使用eNSP进行网络模拟和故障排查。这是一个提升网络技能和实践经验的重要实践环节。
HCIE-Security Day20:GRE协议:实验(一)配置基于静态路由的GRE隧道
小梁的博客
03-03 2811
gre:通用路由封装,三层pn封装技术。解决跨异种网络的报文传输问题。 封装分为两步,第一步是为原始报文添加gre头,第二步是在gre头前面再加新的ip头,加上新的ip头后,就可以在新的网络上传输了。 gre的封装是通过逻辑接口tunnel完成的,这个接口是一个通用的隧道接口,所以需要设置接口的封装协议。 实验一:配置基于静态路由的GRE隧道 需求和拓扑 FW_A和FW_B通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,通过在两台FW之间建...
GRE隧道配置实验静态路由
A soul tortured by desire
08-05 2935
现在很多分公司和总公司之间建立VPN时都会采用IPSec over GRE,所以这方面知识需要进一步来学习梳理。
GRE隧道技术
06-04
GRE隧道技术原理介绍和应用介绍,赶快来下载吧
Cisco路由器配置GRE隧道详解
03-29
Cisco路由器配置GRE隧道详解,有详细的配置以及GRE的原理,请大家认真仔细的看,有不懂的朋友可以问我。
华为eNSP搭建的综合实验+实验报告
07-26
总之,华为eNSP提供的这个综合实验是一个全面学习和掌握网络协议的好机会,它不仅涵盖了基础的静态路由和动态路由协议,还涉及到更高级的隧道技术和路由协议,对于提升网络工程师的技能具有显著价值。通过这样的实验...
华为ENSP全系实验.zip
07-06
静态 vxlan 同网段不同网段实验 WLAN配置拓扑 MX7 AR2220 中小型园区分支综合配置示例 园区网络项目实战 以太网链路聚合实验 虚拟防火墙基础实验 小型组网:NAT的典型应用 小型企业组网:网络地址转换、NAT server ...
华为eNSP配置MGRE实验详解
m0_65992344的博客
01-26 1495
MGRE(Multipoint GRE)是一种基于GRE技术的多点到多点虚拟隧道协议,它可以在IP网络上创建一个虚拟的多点连接,使多个站点之间可以直接通信。
ensp配置GRE
m0_63510587的博客
12-30 2189
ensp配置GRE
华为eNSP防火墙 配置使用GRE隧道
最新发布
m0_75102488的博客
07-09 410
华为eNSP防火墙配置
ensp 交换机配置浮动静态路由
03-18
ensp交换机配置浮动静态路由的步骤如下: 1. 进入ensp交换机的命令行界面。 2. 创建静态路由:使用"ip route-static"命令创建静态路由,指定目的网络和下一跳地址。 3. 配置浮动静态路由:使用"ip route-static ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值