linux网络设备的作用,Linux与网络设备 GRE配置经验总结

最新推荐文章于 2023-03-07 19:28:39 发布
最新推荐文章于 2023-03-07 19:28:39 发布
阅读量190 收藏
点赞数
文章标签: linux网络设备的作用

d06490241d40246316fab4f1d5f0c2ce.png

本文转载自微信公众号「新钛云服」,作者侯明明。转载本文请联系新钛云服公众号。

GRE 介绍及应用场景

GRE(General Routing Encapsulation),即通用路由封装,是一种三层技术。它的最大作用是可以对某些网络层协议的报文进行封装,如对路由协议、语音、视频等组播报文或IPv6报文进行封装。同时,也能够与 IPSec 结合,解决 GRE 的安全问题。

本文主要介绍 Linux 与 网络设备(华为防火墙、华为路由器、Juniper SRX防火墙)对接 GRE 的配置方法。

GRE 报文

如下图所示,GRE 是按照 TCPIP 协议栈进行逐层封装,新的 IP 头会封装在原有的 IP 头中,然后运送出去,封装操作是通过 Tunnel 接口完成的,GRE 协议经过 Tunnel 口时,会将接口的封装协议设置为 GRE 协议。

c13ceae14df74b03cfb8a14d531a0e4a.png

GRE 的配置场景

CentOS 7.6 与 华为防火墙建立 GRE 隧道

拓扑图

9b42df68ec06547445293b1a812ac134.png

实现目标

CentOS 与 华为防火墙建立 GRE 隧道;

华为防火墙背后的内网网段 192.168.1.0/24 通过 GRE 隧道从 CentOS 到 Internet;

CentOS 配置端口映射,将 192.168.1.10 的 8080 端口映射到 CentOS 的公网地址 200.1.1.1 的 8080 端口。

配置

CentOS

配置接口与路由

[root@CentOS ~]# vim /etc/sysconfig/network-scripts/ifcfg-tun0

DEVICE=tun0

BOOTPROTO=none

ONBOOT=yes

DEVICETYPE=tunnel

TYPE=GRE

PEER_INNER_IPADDR=172.16.1.2

PEER_OUTER_IPADDR=100.1.1.1

MY_INNER_IPADDR=172.16.1.1

MY_OUTER_IPADDR=200.1.1.1

[root@CentOS ~]# vim /etc/sysconfig/network-scripts/route-tun0

192.168.1.0/24 via 172.16.1.2

[root@CentOS ~]# ifup tun0

Iptables 配置

# 安装 iptables 管理服务

[root@CentOS ~]# yum install iptables-services

# 在 INPUT 方向要放行对端的公网地址

[root@CentOS ~]# iptables -I INPUT -s 100.1.1.1/32 -j ACCEPT

# 配置源地址转换

[root@CentOS ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 200.1.1.1

# 端口映射

[root@CentOS ~]# iptables -t nat -A PREROUTING -d 200.1.1.1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.1.10:8080

# 保存 iptables

[root@CentOS ~]# service iptables save

开启 ipv4 转发

[root@CentOS ~]# echo"net.ipv4.ip_forward = 1">> /etc/sysctl.conf

[root@CentOS ~]# sysctl -p

华为防火墙

本次以华为 USG6300E 系列防火墙为例:

配置接口,并添加到安全区域

interface Tunnel0

ip address 172.16.1.2 255.255.255.0

tunnel-protocol gre

source 100.1.1.1

destination 200.1.1.1

# 将接口添加到安全区域内

[USG6300E] firewall zone tunnel

firewall zone nametunnel

setpriority 75

addinterface Tunnel0

配置安全策略

在实际的实施中,可以将策略收紧一些,根据需求限制源和目的地址。

如果条件允许的话,可以先将默认安全策略设置为 permit,待调通之后,再修改安全策略:

security-policy

rulenametunnel_out

source-zone trust

destination-zone tunnel

actionpermit

rulenametunnel_in

source-zone tunnel

destination-zone trust

actionpermit

# 放行 tunnel 到 untrust 的流量

rulenametunnel_untrust

source-zone tunnel

destination-zone untrust

actionpermit

配置策略路由

[USG6300E]policy-based-route

#

policy-based-route

rulenamePBR

source-zone trust

source-address 192.168.1.0 mask 255.255.255.0

actionpbr egress-interface Tunnel0

配置 No-NAT

设置去往隧道的流量不使用源地址转换:

[USG6300E-policy-nat]dis th

nat-policy

rulenameSNAT

source-zone tunnel

destination-zone untrust

source-address 192.168.1.0 mask 255.255.255.0

actionno-nat

验证

主要有如下几个测试方法:

在 CentOS 或 防火墙 ping 对端的隧道地址;

使用 192.168.1.0/24 网段内的设备 traceroute 公网地址,查看经过的路径以确认是否经过隧道转发。

Ubuntu 18 与 华为路由器建立 GRE 隧道

拓扑图

43f684d16d610c9ab81e4d635e0a79c7.png

实现目标

Ubuntu 18 与华为路由器建立 GRE 隧道;

华为防火墙背后的内网网段 192.168.1.0/24 通过 GRE 隧道从 CentOS 到 Internet;

Ubuntu 配置端口映射,将 192.168.1.10 的 8080 端口映射到 CentOS 的公网地址 200.1.1.1 的 8080 端口。

配置

Ubuntu

netplan 配置

root@ubunt18demo:~# vim /etc/netplan/00-installer-config.yaml

network:

ethernets:

ens3:

addresses:

- 200.1.1.1/24

gateway4: 200.1.1.254

nameservers:

addresses:

- 114.114.114.114

tunnels:

tun0:

mode: gre

local: 200.1.1.1

remote: 100.1.1.1

addresses: [ 172.16.1.1/24 ]

routes:

- to: 192.168.1.0/24

via: 172.16.1.2

# 可以先执行 netplan try 验证一下,如果没有断掉的话可以按 ENTER 确认配置

# 如果和主机 SSH 中断,可以等待 120S 会自动恢复

root@ubunt18demo:~# netplay try

iptables 设置

Ufw 是 Ubuntu 的防火墙配置工具,底层还是调用 iptables 处理的:

# 启用 ufw

ufw enable

# 放行 SSH

ufw allow ssh

# 放行 GRE 对端进入的流量

ufw allow from100.1.1.1/32

# 配置 nat 映射

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 200.1.1.1

iptables -t nat -A PREROUTING -d 200.1.1.1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.1.10:8080

# 将 ufw 设置为开机自启动

systemctl enable ufw

开启 ipv4 转发:

echo"net.ipv4.ip_forward = 1">> /etc/sysctl.conf

sysctl -p

华为路由器

以 AR1200 系列路由器为例:

配置接口

interface Tunnel0/0/1

ip address 172.16.1.2 255.255.255.0

tunnel-protocol gre

source 100.1.1.1

destination 200.1.1.1

配置策略路由

# 配置 ACL

[AR1200] acl number 3000

[AR1200-acl-adv-3000] rule10 permit ip destination 192.168.1.0 0.0.0.255

# 配置流分类

[AR1200] traffic classifier togretunnel

[AR1200-classifier-togretunnel] if-match acl 3000

# 配置流行为

[AR1200] traffic behavior togretunnel

[AR1200-behavior-togretunnel] redirect ip-nexthop 172.16.1.1

# 配置流策略

[AR1200] traffic policy togretunnel

[AR1200-trafficpolicy-vlan10] classifier togretunnel behavior togretunnel

# 在内网口调用流策略

[AR1200] interface gigabitethernet 1/0/1

[AR1200-GigabitEthernet3/0/0] traffic-policy togretunnel inbound

验证

验证方法同 CentOS 与 华为防火墙建立 GRE 隧道一致。

Juniper SRX 防火墙的 GRE 配置

SRX 防火墙的出接口如果使用了 route-instances,那么配置 tunnel 口时,一定要注意增加 route-instance destination,如下所示:

setinterfaces gr-0/0/0 unit 0 tunnel source 100.1.1.1

setinterfaces gr-0/0/0 unit 0 tunnel destination 200.1.1.1

setinterfaces gr-0/0/0 unit 0 tunnel routing-instance destination EXAMPLE-INSTANCE

setinterfaces gr-0/0/0 unit 0 family inet address 172.16.1.2/24

另外策略路由在 SRX 中称为 FBF,还有 No-NAT的配置示例如下:

# 配置 firewall filter,匹配需要进入隧道的流量

setfirewall filterto-GreTunnel term 1fromsource-address 192.168.1.0/24

setfirewall filterto-GreTunnel term 1thenrouting-instance EXAMPLE-INSTANCE

setfirewall filterto-GreTunnel term 3thenaccept

setrouting-options rib-groupsglobalimport-rib EXAMPLE-INSTANCE.inet.0

# 配置去往 Gre Tunnel 的路由

setrouting-instances EXAMPLE-INSTANCE instance-type forwarding

setrouting-instances EXAMPLE-INSTANCE routing-options interface-routes rib-groupinetglobal

setrouting-instances EXAMPLE-INSTANCE routing-optionsstaticroute 0.0.0.0/0next-hop 172.16.1.1

# 在内网口调用 firewall filter

setinterfaces reth2 unit 0 family inet filter inputto-GreTunnel

# 去往隧道口的流量不做 SNAT

setsecurity nat sourcerule-setGre-snatfromzone Trust

setsecurity nat sourcerule-setGre-snattozone EXAMPLE-INSTANCE

setsecurity nat sourcerule-setGre-snatruleto-cn2-no-nat match source-address 192.168.1.0/24

setsecurity nat sourcerule-setGre-snatruleto-cn2-no-nat match destination-address 0.0.0.0/0

setsecurity nat sourcerule-setGre-snatruleto-cn2-no-natthensource-natoff

CentOS 的策略路由

如果有使用 Linux 作为中转的场景,也就是说华为防火墙和 Linux 建立 GRE 隧道,Linux 又和其他设备建立,由 Linux 做中转流量,这种场景下,可以在 Linux 配置策略路由,如下所示:

# 临时配置,重启后会消失,可以作为调试使用

ip ruleaddfrom192.168.1.0/24table100 pref 10

ip route add0.0.0.0/0 via 200.1.1.254table100

# 将配置持久化

vim /etc/sysconfig/network-scripts/rule-eth0

from192.168.1.0/24table100 pref 10

vim /etc/sysconfig/network-scripts/route-eth0

defaultvia 172.16.1.1 dev tun0

# 验证命令

ip ruleshow

ip route show table100

总结

GRE虽然配置还比较简单, 在实际项目中会经常用到。 Linux 通常需要系统工程师配置,而网络设备通常由网络工程师配置,如果对接有问题,则需要沟通协调,就比较浪费时间。如果一个工程师能够完成两种设备的配置,并进行排错,那么效率将会提高很多。

【编辑推荐】

【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0

Clark Liew
关注
未来互联网技术发展编年史,从阿帕网到完全可编程网络
烟云的计算
03-22 2783
后来,受 Ethane 项目的启发,Martin Casado 和他的导师 Nick McKeown 教授发现,如果将 Ethane 的设计更简化,将传统网络设备的数据转发(Data Plane)和路由控制(Control Plane)两个功能模块相分离,并通过集中式的 Controller 以标准化的接口对各种网络设备进行管理和配置,那么这将为网络资源的设计、管理和使用提供更多的可能性,从而更容易推动网络的革新与发展。这样可以管理更大的网络,提供更强劲的性能,还能增强系统的安全性和可靠性。
Linux学习入门级教程:Linux基本命令操作
Xiadaoanquan123的博客
12-17 463
本人从事IT行业已有十多年,有着丰富的实战经验,总结了大量的学习方法,更是积累了很多的学习资料,很高兴能在这里跟大家交流学习,希望能在这里跟大家共同进步和成长! 更多学习资料添加扣扣资源群:661308959 本节所讲内容: 2.1 Linux终端介绍 Shell提示符 Bash Shell基本语法 2.2 基本命令操作 2.3 系统时间管理 2.4 帮助命令使用 2.5 开关机命令及7个启动级别 2.6 实战:设置服务器来电后自动开机 2.7 ...
linux网络设备理解
viewsky11的专栏
11-15 2465
网络层次linux网络设备驱动与字符设备和块设备有很大的不同。 1. 字符设备和块设备对应/dev下的一个设备文件。而网络设备不存在这样的设备文件。网络设备使用套接字socket访问,虽然也使用read,write系统调用,但这些调用只作用于软件对象。 2. 块设备只响应来自内核的请求,而网络驱动程序异步接收来自外部世界的数据包,并向内核请求发送到内核。linux内核中网络子系统的设计基于设备无
linux设备管理的基本功能,Linux下设备的基本管理
weixin_34450092的博客
05-07 351
1、系统中磁盘的管理node1.本地存储设备的识别shellfdisk -l ## 真实存在的设备(带*为启动分区) vimcat /proc/partition ## 系统识别的设备 bashblkid ## 系统可以使用的设备 appdf ## 系统正在挂载的设备 ide2.设备的挂载和卸载(设备的管理要用超级...
Linux系统的网络配置详解
Mr_fengzi的博客
10-29 2202
网络就是一种辅助双方或者多方能够连接在一起的工具。 使用网络的目的: 1. 联通多方然后进形通信用的,即把数据从一方传递给另外一方 2. 用网络能够把多方链接在一起,然后可以进行数据传递 一台主机如果可以连接公网,比如访问www.baidu.com那么这台主机必然会有ipaddress(ip地址)、netmask(子网掩码)、GATEWAY(网关)、dns(域名系统)。 ...
Linux的第一步配网(centos7)
weixin_63133794的博客
03-23 1666
linux中有三个网络连接模式分别是Bridged(桥接模式)、NAT模式(网络地址转换模式)和Host-only(仅主机模式) 我们首先来说说这三者之间的差异: 桥接模式:类似于把物理主机虚拟机拟为一个交换机,桥接设置的虚拟机和物理主机插在这个交换机接口上进行通信与上网(注:上网时虚拟机与主机的ip需要在同一个网段,且DNS相同) NAT模式(网络地址转换模式):虚拟主机借助虚拟NAT设备和虚拟DHCP服务器,使得虚拟主机可以联网,虚拟机和物理机共有一个IP地址 Host-only(仅主机):
深入理解 GRE tunnel
starean的专栏
11-12 5225
我以前写过一篇介绍 tunnel 的文章,只是做了大体的介绍。里面多数 tunnel 是很容易理解的,因为它们多是一对一的,换句话说,是直接从一端到另一端。比如 IPv6 over IPv4 的 tunnel,也就是 SIT,它的原理如下图所示: 显然,除了端点的 host A 和 host B之外,中间经过的任何设备都是看不到里面的 IPv6 的头,对于它们来说,经过 sit 发出的包
Linux网络设备 GRE配置经验总结
NewTyun的博客
11-19 2627
GRE 介绍及应用场景GRE(General Routing Encapsulation),即通用路由封装,是一种三层 VPN 技术。它的最大作用是可以对某些网络层协议的报文进行封装,如...
腾讯阿里工程师所热衷的DPDK到底是个什么东西?
linuxguitu的博客
11-13 1232
高性能网络技术 随着云计算产业的异军突起,网络技术的不断创新,越来越多的网络设备基础架构逐步向基于通用处理器平台的架构方向融合,从传统的物理网络到虚拟网络,从扁平化的网络结构到基于 SDN 分层的网络结构,无不体现出这种创新与融合。 这在使得网络变得更加可控制和成本更低的同时,也能够支持大规模用户或应用程序的性能需求,以及海量数据的处理。究其原因,其实是高性能网络编程技术随着网络架构的演进不断突破的一种必然结果。 C10K 到 C10M 问题的演进 如今,关注的更多是 C10M 问题(即单机 ...
计算机网络(非常全,建议收藏)
最新发布
qq_25934055的博客
03-07 5547
基础学习
Linux gre tunnel 端口,linux cent os 6.4 建立GRE tunnel
weixin_30219613的博客
05-01 321
加载GRE模块modprobeip_gre创建Tunnel名为officeiptunneladdofficemodegreremote111.206.164.122local111.206.0.88ttl255iplinksetofficeup为tunnel增加IP地址ip加载GRE模块modprobe ip_gre创建Tunnel 名为officeip tunnel addoffice mod...
iproute2学习笔记
刘超的通俗云计算
05-31 6971
一、替代arp, ifconfig, route等命令 显示网卡和IP地址 root@openstack:~# ip link list  1: lo: mtu 65536 qdisc noqueue state UNKNOWN      link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00  2: eth0: mtu 1
ip rule 命令
zhang6928的专栏
02-09 1673
linux 高级路由即基于策略的路由比传统路由在功能上更强大,使用也更灵活,它不仅能够根据目的地址来转发路径而且也能够根据报文大小、应用或ip源地址来选择路由转发路径从而让系统管理员能轻松做到: 1、 管制某台计算机的带宽。 2、 管制通向某台计算机的带宽 3、 帮助你公平地共享带宽 4、 保护你的网络不受DOS的攻击 5、 保护你的Internet不受到你的客户的攻击 6、 把多台服
Linux网络配置 -- 各种配置文件及其作用
xuweigaoqin的专栏
01-03 1881
一. Linux平台下各种网络相关配置文件(RedHat Linux为例) ----------------------------------------------------------------------------------------------------------------------------------- 1. 文件/etc/hosts (1) 文件格式
LInux系统的网络配置
moxiliushui的博客
07-31 4万+
1.什么是IP ADDRESS internet protocol ADDRESS ##网络进程地址 ipv4 internet protocol version 4 1.2x32位 ip是由32个01组成 11111110.11111110.11111110.11111110 = 254.254.254.254 2.子网掩码 用来划分网络区域 子网掩码非0的位对应的ip上的数...
Linux-配置网络的四种方法
热门推荐
xin1889的博客
04-23 14万+
设定网络的几种方法:一、ifconfig命令用法:    ifconfig [DEVICE]                                          ##查看网络信息              ifconfig DEVICE IP netmask NETMASK        ##设置ip地址临时生效,重启服务后失效。2、nm-connection-editor图形界面网...
Vmware虚拟机三种网络模式详解
dif90304的博客
04-08 2万+
原文来自http://note.youdao.com/share/web/file.html?id=236896997b6ffbaa8e0d92eacd13abbf&type=note 我怕链接会失效,故转载此篇文章 由于linux目前很热门,越来越多的人在学习linux,但是买一台服务放家里来学习,实在是很浪费。那么如何解决这个问题?虚拟机软件是很好的选择...
Linux网络设备 gre 配置经验总结
纯牛奶x的博客
09-05 1958
GRE 介绍及应用场景 GRE(General Routing Encapsulation) 翻译过来是通用路由封装,是一种三层 VPN 技术,可以对某些网络层协议的报文进行封装,GRE的最大作用是对路由协议、语音、视频等组播报文或IPv6报文进行封装,另外 GRE 也可以与 IPSec 结合,来解决安全问题。 本文主要介绍 Linux网络设备(华为防火墙、华为路由器、Juniper SRX防火墙)对接 GRE 的配置方法 GRE 报文 如下图所示,GRE 是按照 TCPIP 协议栈进行逐层封装,新的
IP Tunnel one-to-many用法
bigsheng2的博客
02-04 1266
Linux IP Tunnel有IPIP、Gre、Sit,使用虚拟网络中常用的overlay技术,一般需要直接配置local 和 remote address,但是在一些SDN的虚拟网络中常常会存在大量的对端,这就需要配置很多Tunnel口。管理起来比较麻烦。 解决这个问题的一个办法,就是在配置IP Tunnel时,不指定remote address,而是在指向Tunnel口的路由中通过Nexthop指定remote address。这种tunnel在linux 内核代码的注解中叫NBMA Tunnel。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值