GRE-防火墙与路由实现

最新推荐文章于 2024-05-02 19:36:11 发布
最新推荐文章于 2024-05-02 19:36:11 发布
阅读量1.8k 收藏 6
点赞数
文章标签: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41701694/article/details/126754898
版权

介绍GRE的封装概念、GRE报文转发流程、安全策略以及GRE安全选项等内容。

GRE封装
无论哪一种封装技术,其基本的构成要素都可以分为3个部分:乘客协议、封装协议和运输协议,GRE也不例外。

•乘客协议
乘客协议是指用户在传输数据时所使用的原始网络协议。

•封装协议
封装协议的作用就是用来“包装”乘客协议对应的报文,使原始报文能够在新的网络中传输。

•运输协议
运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议。

在FW中GRE使用到的协议如图1所示。可以看出,GRE能够承载的乘客协议包括IPv4、IPv6和MPLS协议,GRE所使用的运输协议是IPv4协议。

在这里插入图片描述
在这里插入图片描述
执行命令system-view,进入系统视图。
b.执行命令interface tunnel interface-number,创建Tunnel接口,并进入Tunnel接口视图。
c.执行命令ip address ip-address { mask | mask-length },配置Tunnel接口的IP地址。

建议本端的Tunnel接口IP地址与对端的Tunnel接口IP地址在同一网段。

这里还可以执行命令ip address unnumbered interface interface-type interface-number,通过IP地址借用的方式来配置Tunnel接口的IP地址。一般情况下,Tunnel接口借用的是内网物理接口或者Loopback接口的IP地址。
执行命令tunnel-protocol gre,配置Tunnel接口为GRE隧道模式。

在配置GRE隧道相关命令前,必须首先执行此命令。

缺省情况下,Tunnel接口的隧道模式为none。
执行命令source { source-ip-address | interface-type interface-number },配置Tunnel接口的源地址或源接口。

•source-ip-address通常为隧道源接口(本端与公网连接的物理接口,例如图1中的FW_A上的GE1/0/1接口)或本端Loopback接口的IP地址。
•本端的source-ip-address需要与对端的dest-ip-address保持一致。
•interface-type interface-number通常为隧道源接口(本端与公网连接的物理接口)或本端Loopback接口号。

可选:执行命令mtu mtu-value,配置接口的MTU。
如果需要改变Tunnel接口最大传输单元,需配置此命令。
建议Tunnel接口的MTU值小于隧道源接口(本端与公网连接的物理接口)的MTU值减去封装头(GRE报文头+新IP报文头)长度。

可选:执行命令keepalive [ period period ] [ retry-times retry-times ],启用GRE的Keepalive功能。
•缺省情况下,未启用GRE的Keepalive功能。
•启用GRE的Keepalive功能后,GRE隧道的本端会周期性的向对端发送keepalive报文,以检测GRE隧道的状态。如果GRE隧道对端不可达,本端的Tunnel接口状态会被置为Down。这就避免了因对端不可达而造成的数据黑洞。
period表示本端发送keeplive报文的时间间隔。如果本端发送retry-times次keeplive报文后,对端仍没有回应,则认为对端不可达。
•GRE的Keepalive功能是单向的,对端是否支持或启用Keepalive功能不影响本端的Keepalive功能。但建议在GRE隧道两端都启用Keepalive功能

可选:执行命令tunnel gre smart-fragment enable,开启GRE报文预分片功能。
缺省情况下,GRE报文预分片功能处于关闭状态。

为了保证承载Tunnel接口的物理接口在封装GRE头后不分片,Tunnel接口的MTU值实际为Tunnel接口的MTU配置值与物理接口的MTU值减去封装头的长度进行比较后的较小值,也因此Tunnel接口实际的MTU值始终小于等于物理接口的MTU值减去封装头的长度,这样即使当GRE报文在封装头部后的长度超过物理接口的MTU值,设备也会提前将GRE报文在Tunnel接口下进行报文分片处理,即GRE报文预分片功能。因此在GRE报文预分片功能处于开启状态下,Tunnel接口的MTU值并不一定等于MTU的配置值。如果想要Tunnel接口的MTU值一直保持与MTU的配置值相等,则可以使用命令undo tunnel gre smart-fragment enable关闭GRE报文预分片功能。

执行命令firewall zone [ name ] zone-name,进入安全区域视图。
执行命令add interface tunnel tunnel-number,将Tunnel接口加入安全区域中。

执行命令display interface tunnel [ interface-number ],查看Tunnle接口的工作状态。

在这里插入图片描述

FW1:
interface Tunnel1
 ip address 192.168.1.1 255.255.255.0
 tunnel-protocol gre
 source 1.1.1.1
 destination 1.1.2.2
 FW2:
 interface Tunnel1
 ip address 192.168.1.1 255.255.255.0
 tunnel-protocol gre
 source 1.1.2.2
 destination 1.1.1.1
 
 将tunnel接口加入trust
 放开安全策略两边都一样
  rule name internet
    source-zone trust
    destination-zone untrust
    action permit
 rule name l-ut  测试ping使用的,方便两边网络可达测试
  rule name policy2
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service gre
  action permit

FW1:
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
ip route-static 10.0.10.0 255.255.255.0 Tunnel1

FW2:
ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
ip route-static 172.16.10.0 255.255.255.0 Tunnel1

在这里插入图片描述
路由更简单,都不需要设置安全策略的,设置静态/动态路由保证包可达

路由A:
interface Tunnel0/0/0
 ip address 192.168.1.1 255.255.255.0 
 tunnel-protocol gre
 source 1.1.1.2
 destination 2.2.2.2
路由B:
interface Tunnel0/0/0
 ip address 192.168.1.2 255.255.255.0 
 tunnel-protocol gre
 source 2.2.2.2
 destination 1.1.1.2

在这里插入图片描述

那么大一只
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙——GRE实验配置
m0_49864110的博客
05-24 1098
隧道为GRE是必须指定源(IPsec可以不指定--当IPSec使用安全框架时必须指定源)(可选) 配置Tunnel接口的识别关键字功能(两端都得要配置)可以以指定多个目的地址(当与动态IP建立时不用指定)(可选)开启健康检测(只用一端开启就可以)(可选)命令用来开启GRE报文预分片功能。(1)配置了tunnel接口的IP地址;(3)源和目的地址之间要有可达的路由。(4)Tunnel的源地址必须本地存在。让tunnel状态为Up的条件有3个。(2)配置了源地址和目的地址;
gre.拓扑图,以及命令,简介gre协议
01-18
里面是华为hcnp的实验题,实验拓扑图以及命令,还有gre协议的基本套路,描述不同公司在不同节点的时候,建立tunnel口,实现两端私网的全互通。还有在真实情况下,单臂路由是通过防火墙而建立的,它的子接口的封装命令与路由器是有很大的不一样的。
华为防火墙配置基于静态路由的GRE隧道.pdf
05-12
华为防火墙配置基于静态路由的GRE隧道.pdf
华为HCNA-Security培训视频教程【共35集】.rar
09-25
目录:网盘文件,永久链接 01-TCPIP协议基础 02-TCPIP协议安全及常见网络攻击方式 03-防火墙概述 04-防火墙功能特性 05-防火墙设备管理 06-防火墙基本配置 07-状态检测防火墙原理 08-防火墙安全策略的基本使用 09-多通道协议技术 10-防火墙安全策略细调 11-NAT技术简介及源NAT基本配置 12-NAT中的路由环路 13-no_pat及nat_server 14-NAT_Inbound+Nat_Server 15-域内NAT+Nat_Server 16-NAT_ALG 17-目的NAT 26-IKE介绍 27-IKE_IPSec_VhePheN配置 28-采用策略模板配置IPSec 29-GRE_over_IPSec 30-L2TP_over_IPSec 31-SSL协议简介 34-防火墙双机热备技术 35-NAT地址池与VRRP绑定、HRP_Track监测三层业务接口 36-防火墙用户管理简介 37-Windows_2008上配置radius实现防火墙telnet认证 38-上网用户本地认证、radius认证配置 39-上网用户AD认证配置 40-上网用户AD单点认证配置 42-UTM技术简介、UTM基础配置 43-入侵检测与防御配置 44-网关防病毒配置 45-URL过滤 46-应用控制
MTU和Fragment详解(IP分片)
jiechuhoudeshang的博客
05-29 953
参考网址:https://blog.csdn.net/weixin_33866037/article/details/92300693
防火墙下的GRE
xiaoyuzhou's blog
04-04 2196
防火墙下的GRE 文章目录防火墙下的GRE实验环境实验目的具体步骤结果测试与分析总结 实验环境 实验目的 防火墙下使用GRE协议封装建立隧道实现不同地域内网通信 具体步骤 1.规划网络、配置IP和配置路由 PC1 IP:192.168.1.1 掩码 24 网关:192.168.1.254 PC2 IP:192.168.2.1 掩码 24 网关:192.168.2.254 R1 <Huawei>sys [Huawei]sys R1 [R1]int g0/0/1 [R1-GigabitEth
防火墙中的GRE
m0_46626894的博客
03-29 1847
防火墙上GRE配置 文章目录防火墙上GRE配置实验环境实验思路具体步骤1.配置IP地址2.配置OSPF动态路由3.创建tunnel4.划分区域5.配置安全策略6.测试个人总结 实验环境 实验思路 配置IP地址 配置OSPF动态路由 创建tunnel 测试抓包结果 具体步骤 1.配置IP地址 PC1: IP地址:192.168.1.1 子网掩码:255.255.255.0 网关:192.168.1.254 PC2: IP地址:192.168.2.2 子网掩码:255.255.255.0 网关:
锐捷防火墙(WEB)——VPN部署场景——GRE
君逍遥o
09-26 538
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
防火墙配置gre隧道
qq_44757725的博客
12-25 525
防火墙配置gre隧道 gre隧道简介 通用路由封装(GRE: Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPV4网络中传输。简单来说就是,将原数据包进行封装,添加上GRE包头及公网包头,使原报文的 源IP地址及目的IP地址变为公网IP地址,使其能够被运营商的公网路由识别并进行传输。属于VPN 技术...
华为防火墙笔记-GRE
weixin_46622350的博客
12-05 1607
GRE(General Routing Encapsulation)即通用路由封装协议。 但凡一种网络封装技术,其基本的构成要素都可以分为三个部分:乘客协议、封装 协议、运输协议,GRE也不例外。为了便于理解封装技术,我们用邮政系统打个比方。 乘客协议 乘客协议就是我们写的信,信的语言可以是汉语、英语、法语等,具体的内容由写信人、读信人自己负责。 封装协议 封装协议可以理解为信封,可以是平信、挂号或者是EMS。不同的信封就对应于多种封装协议。 运输协议 运输协议就是信的运输方式,可以是陆运、...
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
网络工程师之路由交换hw命令手册第二部分文档
03-27
文档内容包含: ...终端访问安全、AAA 和 RADIUS、防火墙和包过滤、IPSec 和加密卡、IKE 协议的配置命令。 第 9 部分 VPN。主要介绍 VRP1.74 提供的 VPN 配置命令,包括 L2TP、 GRE 协议的配置命令。
8.5、GRE原理与配置
养龟大学生的博客
07-09 1744
8.5、GRE原理与配置 前言 IPSec VPN用于在两个端点之间提供安全的IP通信,但只能加密并传播单播数据,无法加密和传输语音、视频、动态路由协议信息等组播数据流量 通用路由封装协议GRE(Generic Routing Encapsulation)提供了将一种协议的报文封装在另一种协议报文中的机制,是一种隧道封装技术。GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全 日常生活中,需要提供视频会议、传播语音。对于组播数据流量,可以通过通用路由封装...
网络安全设备配置练习题1
难办就别办的博客
04-20 3912
一. 单选题(共272题,136) 1.(单选题, 5分)如图所示,客户端A和服务器B之间建立TCP连接,图中两处“?”报文序号应该是下列哪项? A. a+1:a B. a:a+1 C. b+1:b D. a+1:a+1 正确答案:D:a+1:a+1; 2.(单选题, 5分)如图所示为配置 NAT Server 后生成的两条 Server Map 表项,关于该图所呈现的信息,以下哪项描述是错误的?[单选题]*Type: Nat Server. ANY→1.1.1.1[19
GRE隧道KEEPALIVE
weixin_34363171的博客
02-18 4365
GRE隧道被设计为完全无状态的。这意味着每个隧道端点都没有远端的状态或可用性的信息。因此即使是隧道的远端不可达,本地隧道路由器也不会关闭GRE隧道接口。   如果没有配置GRE keepalives,只有在三种情况下GRE隧道会关闭: 1、没有到达隧道目标地址的路由; 2、充当隧道源的接口被关闭; 3、隧道的目标地址是本地隧道接口的地址。   注:GRE隧道接...
思科、华为:GRE 介绍和配置
道亦的博客
09-02 5852
一、GRE VPN(Generic Routing Encapsulation)即通用路由封装协议,是对某些网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。 GRE是VPN(Virtual Private Network)的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术。 是为了实现中间是公网,两边是公司的...
GRE详解
weixin_45093100的博客
04-04 6346
GRE详解 GRE定义: 通用路由封装协议GRE(Generic Routing Encapsulation)可以对某些网络层协议(如IPX、ATM、IPv6、AppleTalk等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IPv4)中传输。 GRE提供了将一种协议的报文封装在另一种协议报文中的机制,是一种三层隧道封装技术,使报文可以通过GRE隧道透明的传输,解决异种网络...
防火墙GRE 公网隧道综合实验
weixin_63058714的博客
12-09 625
虚拟局域网通信 GRE
更深层次理解传输层两协议【UDP | TCP】【UDP 缓冲区 | TCP 8种策略 | 三次握手四次挥手】
最新发布
菜菜成长为后端开发大佬
05-02 1225
目录再谈端口号 端口号的返回划分netstat(重要)pidof一,UDP协议UDP协议格式理解tcp/udp报文UDP的特点UDP的缓冲区怎么理解全双工,半双工呢?二,TCP协议(传输控制协议)协议格式tcp协议的实现向上,向下交付a. 序号与确认序号理解tcp协议的可靠性b. 16位窗口大小c. 6个标记位连接管理机制d. 紧急指针e. 策略1. 确认应答(ACK)机制2. 超时重传机制 3. 滑动窗口4. 流量控制5. 网络拥塞控制6. 延迟应答7. 捎带应答f. tcp机制小结g.面向字节流h.黏
华为防火墙与ubuntu20.04 GRE连接配置
04-04
1. 在华为防火墙上创建本地网关 首先需要在华为防火墙上创建一个本地网关,用于与Ubuntu20.04的GRE连接。具体操作如下: (1)在华为防火墙上进入网络-接口配置-VPN-本地网关页面。 (2)点击“添加”按钮,填写本地网关的名称、IP地址和掩码等信息,并保存。 (3)在本地网关页面中,找到刚刚创建的本地网关,点击“编辑”按钮,在“高级配置”中勾选“启用GRE”选项,并保存。 2. 在Ubuntu20.04上创建对端网关 接下来需要在Ubuntu20.04上创建一个对端网关,用于与华为防火墙的GRE连接。具体操作如下: (1)在Ubuntu20.04上打开终端,使用root用户登录。 (2)创建一个虚拟网络接口,并设置IP地址: sudo ip link add GRE0 type gretap remote <华为防火墙IP地址> local <Ubuntu20.04 IP地址> sudo ifconfig GRE0 <Ubuntu20.04 IP地址> netmask <子网掩码> 注意:将上述命令中的<华为防火墙IP地址>和<Ubuntu20.04 IP地址>替换成实际的IP地址。 (3)设置对端网关: sudo ip route add <目标网络> via <华为防火墙IP地址> dev GRE0 注意:将上述命令中的<目标网络>和<华为防火墙IP地址>替换成实际的IP地址和目标网络。 3. 验证GRE连接 完成以上配置后,就可以验证Ubuntu20.04与华为防火墙之间的GRE连接是否正常。具体操作如下: (1)在Ubuntu20.04上ping华为防火墙的GRE IP地址,如果能够ping通,则说明GRE连接正常。 (2)在Ubuntu20.04上ping目标网络的IP地址,如果能够ping通,则说明GRE连接已经建立成功。 至此,华为防火墙与Ubuntu20.04的GRE连接配置完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值