R-A 为分公司网关,R-B为总部网关,分公司与总部通过公网建立通信,含组播通信。现需求对分公司与总部之间相互访问的流量进行安全保护,但是组播数据无法直接应用IPSec,故只能建立基于虚拟隧道接口方式的GRE over IPSec,对隧道接口下的流量进行保护。
分析:由于GRE VPN中是不能为在隧道中传输的数据提供加密保护的;而IPSec技术可以弥补GRE的不足。故本例采用GRE和IPSec技术的结合GER over IPSec隧道技术配置。
配置步骤如下:
一、在分公司和总部网关配置物理接口IP,并配置到达对端公网静态路由,并创建GRE Tunnel接口配置相关参数。
【R-A】
[Huawei]sysname R-A
[R-A-GigabitEthernet0/0/1]ip address 202.210.151.1 24
[R-A-GigabitEthernet0/0/2]ip address 10.1.1.1 24
[R-A]ip route-static 202.210.152.0 24 202.210.151.2 //配置到达对端的静态路由
[R-A]interface Tunnel 0/0/0 //配置隧道接口
[R-A-Tunnel0/0/0]ip address 20.1.1.1 24 //配置隧道接口IP
[R-A-Tunnel0/0/0]tunnel-protocol gre //配置隧道协议为GRE
[R-A-Tunnel0/0/0]source 202.210.151.1 //指定隧道源地址
[R-A-Tunnel0/0/0]destination 202.210.152.1 //指定隧道目的地地址
【Internet】
[Huawei]sysname Internet //模拟公网接口
[Internet-GigabitEthernet0/0/1]ip address 202.210.151.2 24
[Internet-GigabitEthernet0/0/2]ip address 202.210.152.2 24
【R-B】
[R-B-GigabitEthernet0/0/1]ip address 202.210.152.1 24
[R-B-GigabitEthernet0/0/2]ip address 10.1.2.1 24
[R-B]interface Tunnel 0/0/0
[R-B-Tunnel0