一、组网需求
如图所示,FW1和FW2通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,内部部署了OSPF动态路由。通过在两台FW之间建立GRE隧道实现两个私有IP网络跨越Internet交互OSPF路由信息。
二、配置思路
(1)在防火墙FW1和FW2上面配置tunnel接口,封装相关信息;
(2)在FW1和FW2上面配置OSPF协议,宣告私网网段以及tunnel接口网段,通过tunnel接口建立邻居关系;
(3)在FW1和FW2上面创建安全策略,放行相关流量通过。
(4)防火墙1和2连接AR1的网络提前打通。
三、具体配置步骤
1、配置FW1接口的IP地址,并将其加入到安全域中
(2)配置FW2的接口地址并将其加入到安全域中
(3)在FW1上面配置OSPF并进行tunnel接口的封装
(4)在FW2上面配置OSPF并封装tunnel接口
(5)在FW1上面配置安全策略
(6)在FW2上面配置安全策略
(7)验证
在FW上面查看OSPF关系以及路由表信息
在PC1上面ping测试PC2的地址并抓包分析
总结:在防火墙上面配置GRE VPN最重要的点就是注意防火墙上面的安全策略需要放行相关的流量,否则隧道无法建立。