×××技术—gre(虚拟专用网络)
 
实验器材:
一台防火墙(h3c),一台路由器做防火墙用(Router),一台路由器,两台pc机
 
 
GRE介绍:
GRE(Generic Routing Encapsulation)通用路由封装:是对某些网络层协议(如IP和IPX)的报文进行封装,使这些被封装的报文能够在另一网络层协议(如IP)中传输。GRE可以作为第三层隧道协议,在协议层之间采用隧道(Tunnel)技术。Tunnel是一个虚拟的点对点的连接,可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路,使封装的数据报能够在这个通路上传输,并在一个Tunnel的两端分别对数据报进行封装及解封装。
 

 
 
 
 
 
配置防火墙1:
[H3C]inter eth0/1
[H3C-Ethernet0/1]ip address 192.168.1.254 24
[H3C-Ethernet0/1]inter eth0/0
[H3C-Ethernet0/0]ip address 61.30.130.1 24
[H3C-Ethernet0/0]quit
[H3C]firewal zone trust
[H3C-zone-trust]add interface eth0/1(加入区域)(一般情况下,防火墙默认端口e0/0加入trust区域)
[H3C-zone-trust]quit
[H3C]fire zone untrust
[H3C-zone-untrust]add interface eth0/0 (加入区域)
[H3C]fire zone untrust
[H3C-zone-untrust]add inter tunnel 10
[H3C]ip route 0.0.0.0 0 61.130.130.2(做静态路由)
开始在防火墙1上加隧道:
[H3C]inter Tunnel 10
[H3C-Tunnel10]ip address 192.168.3.1 24(ip地址)
[H3C-Tunnel10]tunnel-protocol gre(采用gre)
[H3C-Tunnel10]source 61.130.130.1(定义源地址)
[H3C-Tunnel10]dest 
[H3C-Tunnel10]destination 61.130.131.1(定义目的地址)
[H3C]ip route-static 192.168.2.0 24 192.168.3.2(做路由)
 
配置R2:
[r1]inter e0
[r1-Ethernet0]ip address 61.130.130.2 24
[r1-Ethernet0]inter e1
[r1-Ethernet1]ip address 61.130.131.2 24
配置防火墙2:
[Router]inter e1
[Router-Ethernet1]ip address 61.130.131.1 24
[Router-Ethernet1]
%01:48:37: Line protocol ip on the interface Ethernet1 is UP
[Router-Ethernet1]inter e0                  
[Router-Ethernet0]ip address 192.168.2.254 24
[Router]inter tunnel 20
[Router-Tunnel20]ip address 192.168.3.2 24
[Router-Tunnel20]source 61.130.131.1
[Router-Tunnel20]destination 61.130.130.1
[Router-Tunnel20]quit
[Router]
[Router]
[Router]ip route 0.0.0.0 0 61.130.131.2
[Router]
%01:55:32: Line protocol ip on the interface Tunnel20 is UP
[Router]ip route 192.168.1.0 24 192.168.3.1
[Router]
 
查看防火墙2路由表:
[Router]dis ip rout
Routing Tables:
 Destination/Mask Proto    Pref     Metric     Nexthop    Interface
        0.0.0.0/0   Static   60         0     61.130.131.2 Ethernet1          
   61.130.131.0/24 Direct    0         0     61.130.131.1 Ethernet1          
   61.130.131.1/32 Direct    0         0        127.0.0.1 LoopBack0          
      127.0.0.0/8   Direct    0         0        127.0.0.1 LoopBack0          
      127.0.0.1/32 Direct    0         0        127.0.0.1 LoopBack0           
    192.168.1.0/24 Static   60         0      192.168.3.1 Tunnel20           
    192.168.3.0/24 Direct    0         0      192.168.3.2 Tunnel20           
192.168.3.2/32 Direct     0         0        127.0.0.1 LoopBack0       
防火墙1上查看路由信息:
[H3C]dis ip rout
 Routing Table: public net
Destination/Mask    Protocol Pre Cost        Nexthop         Interface
0.0.0.0/0           STATIC   60   0           61.130.130.2    Ethernet0/0
61.130.130.0/24     DIRECT   0    0           61.130.130.1    Ethernet0/0
61.130.130.1/32     DIRECT   0    0           127.0.0.1       InLoopBack0
127.0.0.0/8         DIRECT   0    0           127.0.0.1       InLoopBack0
127.0.0.1/32        DIRECT   0    0           127.0.0.1       InLoopBack0
192.168.2.0/24      STATIC   60   0           192.168.3.2     Tunnel10
192.168.3.0/24      DIRECT   0    0           192.168.3.1     Tunnel10
192.168.3.1/32      DIRECT   0    0           127.0.0.1       InLoopBack0
 
可以看出各个网段的路由都有。
 
用本地主机192.168.2.100 ping 与防火墙相连的192.168.1.100主机:
 
C:\Users\Administrator>ping 192.168.1.100
 
正在 Ping 192.168.1.100 具有 32 字节的数据:
来自 192.168.1.100 的回复: 字节=32 时间=8ms TTL=62
来自 192.168.1.100 的回复: 字节=32 时间=3ms TTL=62
来自 192.168.1.100 的回复: 字节=32 时间=3ms TTL=62
来自 192.168.1.100 的回复: 字节=32 时间=2ms TTL=62
 
192.168.1.100 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 2ms,最长 = 8ms,平均 = 4ms
 
C:\Users\Administrator>
可以通。