H3C-GRE VPN通过静态路由实现两个远程私网互联实验

已于 2024-07-14 12:12:36 修改
阅读量877 收藏 9
点赞数 30
分类专栏: H3C-VPN技术 文章标签: 网络 运维 网络安全 网络协议
于 2024-02-01 21:29:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64191441/article/details/135981899
版权

一、实验组网介绍

        如图所示,两个私网用户PCA和PCB需要利用GRE VPN技术跨越各自网关RTA和RTB之间的静态IGP路由公网网络,实现安全互访需求。同时,利用GRE VPN识别关键字验证功能和keep alive检测功能进一步确保数据通信的安全性和可靠性。

二、配置思路

        根据组网需求可知该实验的配置思路如下:

  1. 配置各设备接口IP地址和主机IP地址以及网关;
  2. RTA、SWA和RTB使用静态路由实现公网互通;
  3. 在RTA和RTB上创建GRE隧道,并配置tunnel隧道接口参数(tunnel接口IP地址、源地址和目的地址等);
  4. 在RTA和RTB上配置去往各自私网的路由,下一跳地址指向tunnel接口,将私网路由通过tunnel接口封装GRE,最终实现,使两个私网通过GRE隧道实现安全互访。
  5. 在GRE VPN隧道两端设备RTA和RTB设备开启识别关键字验证功能;
  6. 在RTA和RTB设备GRE隧道开启keepalive检测功能,并在SWA设备接口模拟公网网络故障,检测keepalive功能是否配置成功。

三、配置过程

1、配置IP地址

        IP地址配如图所示,此处不再赘余。

2、配置静态路由实现公网IP互通

        在GRE VPN实现中,公网路由可达是前提。公网IP路由可达,除了使用静态路由实现公网IP互通外,还可以使用动态路由协议。此处公网使用静态路由实现IP路由可达。具体配置如下:

 (1)RTA 设备配置

       [RTA]ip route-static 2.2.2.0 24 1.1.1.2

(2) RTB 设备配置

        [RTB]ip route-static 1.1.1.0 24 2.2.2.2

(3)检查公网连通性

        在RTB设备上ping RTA设备,测试公网连通性,可以看到此时RTB能够与RTA通信,证明公网互通成功实现。

3、在RTA和RTB上创建GRE隧道,并配置tunnel隧道接口参数(tunnel接口IP地址、源地址和目的地址等)

         需要注意:Tunnel的源端地址与目的端地址唯一标识了一个隧道。在Tunnel两端必须都配置源IP地址,并指定对方的目端IP地址。另外,一个GRE隧道两端的Tunnel接口IP地址并不一定必须属于同一网段,若采用不同网段也可以。原因是:配置GRE的tunnel接口的IP地址时,因为Tunnel接口运行的链路层协议为PPP,而在串行链路中,两端的IP地址是可以在不同IP网段的,所以虚拟点对点连接的GRE隧道两端的Tunnel接口的IP地址可以不在同一IP网段,也可实现路由畅通的。但通常是把它们的IP地址配置在同一IP网段。此外,tunnel接口IP地址不能与同设备的其他接口的IP地址在同一个IP网段,通常用私网IP地址。

       在一些有关tunnel口是否可采用不同网段情况中,一般在使用静态路由将流量引导到GRE隧道的场景中,隧道两端的Tunnel接口IP地址可以不在同一个网段,而在动态路由场景中并不推荐将tunnel口两端IP地址配置在非同一网段,但是经过在模拟器实际测试在动态路由场景中tunnel接口的IP地址配置不一致,也可实现GRE 的封装,完成通信

         此实验将GRE隧道两端tunnel口IP地址均处于同一网段下。       

         在RTA和RTB上分别创建GRE封装类型的Tunnel接口tunnel 0,其tunnel口参数分别为:IP地址(192.168.3.1/24和192.168.3.2/24)、源端地址(1.1.1.1 2.2.2.2)和目的端地址(2.2.2.2 1.1.1.1)(此时的源目地址指的是发出和接收GRE报文的实际物理接口地址)。具体配置如下:     

#RTA设备配置

[RTA]int Tunnel 0 mode gre

[RTA-Tunnel0]ip add 192.168.3.1 24

[RTA-Tunnel0]source 1.1.1.1

[RTA-Tunnel0]destination 2.2.2.1

#RTB设备配置

[RTB]int Tunnel 0 mode gre

[RTB-Tunnel0]ip add 192.168.3.2 24

[RTB-Tunnel0]source 2.2.2.1

[RTB-Tunnel0]destination 1.1.1.1

4、在RTA和RTB设备上配置去往各自私网的路由,下一跳地址指向tunnel 0隧道。

       创建了GRE隧道之后,在源端设备和目的端设备上都必须存在经过Tunnel转发数据包的路由(下一跳指向tunnel隧道),这样GRE封装后的报文才能正确转发。可以配置静态路由,也可以配置动态路由。此实验使用静态路由。

        在远端RTA设备和RTB设备上配置到达对方私网的静态路由,下一跳指向各自设备配置的 GRE tunnel 0隧道接口,将私网数据包交由GRE隧道转发处理。

#RTA设备配置

[RTA]ip route-static 192.168.2.0 24 Tunnel 0

#RTB设备配置

[RTB]ip route-static 192.168.1.0 24 Tunnel 0

5、测试GRE隧道运行状况

        当在两端配置了隧道接口并创建了到达目的私网的路由(下一跳指向隧道),GRE VPN隧道便配置成功,就可以实现PCA和PCB通过GRE VPN隧道实现两个地域的私网用户路由互通。检验过程如下:

       检验一:使用ping命令验证PCA与PCB之间的连通性,如下所示,可以看到此时PCA和PCB可以实现通信。

        检验二:紧接着查看RTA与RTB的路由表,可以看到公网、私网路由均存在于路由表中,其中去往对方私网的路由下一跳为tunnel0隧道接口。如下所示:

        #RTA设备路由表

        #RTB设备路由表

        检验三:查看RTA和RTB的隧道接口状态,可见其使用GRE封装,状态均为UP。如下所示:

        #RTA设备GRE隧道状态检查截图

        #RTB设备GRE隧道状态检查截图

        检验四:在SWC的G1/0/2接口抓包,可以看到PCA与PCB之间的数据包经过了GRE隧道封装,并且封装后的数据包在通过公网时源地址为1.1.1.1,目的地址为2.2.2.1。如下所示:

        至此GRE VPN实验完成,接下来进一步配置GRE VPN的验证和keep alive功能。

6、GRE VPN识别关键字验证功能配置

        GRE不支持数据加密功能,但支持验证功能,为了安全性可以通过在隧道两端使用识别关键字方式进行验证,只有Tunnel两端设置的识别关键字完全一致时才能通过验证,否则将丢弃报文。关键字的取值范围为“0~4294967295”之间的整数

        需要注意:GRE识别关键字验证功能在GRE隧道两端都必须配置,并且两端关键字必须相同,否则数据包会被丢弃,导致无法通信。

        GRE VPN识别关键字验证功能配置过程如下。

(1)RTA设备配置

[RTA]int Tunnel 0

[RTA-Tunnel0]gre key 1234

(2)RTB设备配置

[RTB]int Tunnel 0

[RTB-Tunnel0]gre key 1234

        当在GRE隧道两端配置了正确且相同的识别关键字功能后,当数据包经过GRE隧道处理转发时,便会进行触发关键字验证。

7、GRE keep alive功能配置

        由于GRE协议并不具备检测链路状态的功能,GRE也是一种无状态的隧道,即隧道的任何一端都不会维护它与对端的连接状态。默认情况下,系统根据隧道源物理接口状态设置Tunnel接口状态。此时如果远端端口不可达,隧道并不能及时关闭该Tunnel连接,这样会造成源端会不断的向对端转发数据,而对端却因Tunnel不通而丢弃所有报文,由此就会形成数据发送的空洞。

        这时就可以借助GRE的Keepalive检测功能来解决。Keepalive检测功能通过周期性向对端发送 Keepalive 报文(一种类似于动态路由协议中很小的 hello 报文)检测隧道的连通状态(检测隧道链路是否处于Keepalive状态,即检测隧道对端是否可达)。如果对端不可达,隧道连接就会立即关闭,避免因对端不可达造成的数据丢失,进而形成数据空洞,保证数据传输的可靠性。

        需要注意:

        keepalive功能在隧道两端设备配置静态路由时,作用较大,而若是两端使用了动态路由协议,则作用较小。因为动态路由协议自身可以动态发现并适应网络的变化,Keepalive功能不再是必需的。

        GRE VPN keepalive功能验证过程如下:

        步骤一:在SWA设备的VLANIF2接口执行shutdown命令模拟公网发生故障。

[SWA]int vlan 2

[SWA-Vlan-interface2]shutdown

        步骤二:在RTA设备上检查隧道接口的状态。可以看到此时虽然公网SWA设备发生故障,导致公网IP路由不可达,但是RTA自身的GRE隧道接口仍旧处于up状态。这是因为在RTA上,隧道源地址所属接口正常,Tunnel0接口的状态也会保持up。并且由于使用的是静态路由,则RTA上的路由表也不会发生任何变化,隧道目的地址所需的路由仍然存在。如下所示:

        步骤三:在SWA设备VLANIF2接口执行“undo shutdown”恢复接口故障状态(配置省略),然后在RTA和RTB设备上隧道接口使能“keepalive”功能,如下所示。

        #RTA设备使能keepalive功能

[RTA]int Tunnel 0

[RTA-Tunnel0]keepalive

        #RTB设备使能keepalive功能

[RTB]int Tunnel 0

[RTB-Tunnel0]keepalive

        步骤四:在隧道两端使能了keepalive功能之后,再在SWA的VLANIF2接口执行shutdown命令,模拟网络故障(配置省略)。等待片刻,再次在RTA设备查看隧道接口状态。如下所示,此时RTA设备Tunnel0 接口状态变为DOWN,原因是RTA未能从对端收到 keepalive 消息。        

        启动了Keepalive功能后,路由器会从Tunnel接口周期性发送Keepalive报文。默认情况下,一旦路由器连续3次收不到对方响应的Keepalive报文,即认为隧道不可用,随即将Tunnel接口的状态置为Down

        步骤五:在SWA设备在SWA设备VLANIF2接口执行“undo shutdown”恢复接口故障状态(配置省略),稍等片刻,RTA设备Tunnel0 接口状态变为up,并且PCA和PCB可以正常通信。如下所示:

        自此,GRE VPN实验结束。

谢顶~小工
关注
  • 30
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
H3C-HW速成版视频.zip
01-12
1.H3C-HW 静态由的多种应用.mp4 2.H3C-HW-RIP.mp4 3.H3C-HW-OSPF.mp4 4.H3C-HW-OSPFv3&RIPNG.mp4 5.H3C-HW-由过滤.mp4 6.H3C-HW-PBR.mp4 7.H3C-HW ACL应用.mp4 8.H3C-HW-NAT.mp4 9.H3C-HW-PAPCHAP.mp4 10.H3C-HW...
【华三】GRE VPN 实验配置
2301_77161465的博客
02-05 2098
VPN :(Virtual Private Network),即“虚拟专用络”。它是一种通过公用络(通常是互联)建立安全加密连接的技术,可以在不安全的公共络上建立起加密通道,将络数据加密传输,从而实现数据传输的加密、安全和隐保护而GRE(Generic Routing Encapsulation),即通用由封装协议。提供了将一种协议的报文封装在另一种协议报文中的机制,是一种三层隧道封装技术,使报文可以通过GRE隧道透明的传输,解决异种络的传输问题。
配置GRE VPN实验(H3C)
kerio123的博客
04-04 1540
通用由封装(GRE)是一种三层VPN封装技术,用于将使用一个由协议的数据包封装在另一协议的数据包中。GRE隧道是在广域上建立直接的点对点连接,简化单独络之间的连接,适用于各种络层协议。本案例以最基础的GRE隧道配置案例来学习如何配置一条GRE隧道。本实验旨在掌握GRE隧道的基础配置。然而,GRE协议存在一个严重缺陷:缺乏安全加密机制。因此,通常会将IPSec技术与GRE相结合,先建立GRE隧道对报文进行GRE封装,随后再建立IPSec隧道对报文实施加密,由此确保报文在传输过程中的完整性和保密性。
HW-MPLS VPN-HoVPN技术实验
weixin_64191441的博客
01-21 1021
HoVPN技术原理:在HoVPN络中将单个PE设备根据络的层次进行划分,划分为不同层次的多个PE(分别为SPE和UPE),多个UPE与SPE之间构成分层式PE共同完成传统上一个PE的功能。通过此种分层VPN技术设法减轻络层次化划分中UPE设备的性能压力解决 BGP/MPLS VPN络扁平化的问题。如图所示,在省市络规划中,SPE 作为省级的 PE 设备,需要接入市级的 MPLS VPN 络。UPE 作为下层市级络的 PE设备,最终接入VPN 客户。
HW-MPLS VPN-OSPF伪连接实验
weixin_64191441的博客
01-13 825
通常情况下,BGP对等体之间通过BGP扩展团体属性在MPLS VPN骨干上承载由信息。另一端PE上运行的OSPF可利用这些信息来生成PE到CE的Type 3 LSA,这些由是区域间由(Inter_Area route)。 若在CE1和CE2之间增加一条后门(Backdoor)链,并且直接运行OSPF交互由。通过后门链学习到的由类型为区域内由(Intra_Area route)。 由于区域内由优于区域间由,故后门链会被优选,若想实现后门链作为备份链,可采用sham link实现
思科GRE的Tunnel隧道接口down处理案例
Yinsan的小玩意
09-14 9368
篇幅无多余废话,多为代码演示,建议耐心阅读。 这里使用的是cicso的模拟器进行演示,代码理解请根据实际用户的模拟器的进行阅读。 前部分篇幅为基础的拓扑搭建,本篇文章所讲的处理案例请点击这里跳转。 首先完成拓扑上的由链的配置,使得链上的两台PC机能够互相PING通对方(连接PC机的接口配置不再演示)。 这里声明为什么不用最简单的两台直连实验?因为两台直连由只要完成链互通就能直接搭建隧道,不会出现该案例讲的原因。 接口IP地址 静态由配置命令参考: R0(config-if)#i.
H3C经典实验合集.zip
06-30
H3C 综合实验BGP综合实验 H3C 综合实验GRE+IPSEC(ike) H3C 综合实验OSPF综合实验 H3C 综合实验VRRP+DHCP+RSTP综合实验 H3C 综合实验由综合实验(BGP+OSPF+RIP+PPPOE+L2TP+GRE+IPSEC)
H3C络学院系列教程《IPv6技术》.rar
08-04
《IPv6技术》是H3C络学院推出的一套深入探讨IPv6协议的教程,旨在帮助学员全面理解和掌握下一代互联协议的关键技术。本教程详细阐述了IPv6的基础知识、地址结构、由技术、配置方法以及在实际络环境中的应用...
H3C由器两种ipsec-gre配置总结.pdf
10-30
H3C由器两种ipsec-gre配置总结.pdf
GRE理论+H3C模拟器配置实验
m0_62621003的博客
03-16 1315
为了使点对点的GRE隧道像普通链一样工作,由器引入了一种称为Tunnel接口的逻辑接口。两个由器上分别建立一个Tunnel接口,两个Tunnel接口之间建立点对点的虚拟连接,就形成了一条跨越公的隧道。对于隧道和VPN操作的处理机制,例如如何建立隧道,如何维护隧道,如何拆除隧道,如何保证数据的安全性,当出现数据错误或意外发生时如何处理等等,GRE本身并没有做出任何规范。Tunnel接口Keepalive功能允许由器探测并感知隧道的实际工作情况,并随之修改Tunnel接口的状态。
H3C_GRE隧道基础配置案例
zsisle的博客
09-03 8438
通用由封装(GRE)是一种三层VPN封装技术,用于将使用一个由协议的数据包封装在另一协议的数据包中。GRE隧道是在广域上建立直接的点对点连接,简化单独络之间的连接,适用于各种络层协议。本案例以最基础的GRE隧道配置案例来学习如何配置一条GRE隧道。
GRE配置详解和由黑洞及检测机制
qq_45309500的博客
04-01 1135
GRE配置详解和由黑洞及检测机制 基本由配置先省略,直接上GRE配置: 合肥: int tunnel 0/0/1 //创建隧道 ip add 192.168.13.1 24 //给隧道口ip地址,没有地址怎么传输? tunnel-pro gre //隧道的模式 so 12.0.0.1 //牌照的源ip dest 23.0.0.3 //牌照的目的ip 在公上跑,地址是会被丢弃的,所以需要公地址的牌照 隧道建立好之后还有一个问题,怎么把数据包送到隧道上呢? 有两种方法,针对不同的络类型
H3C GRE实验
h320758724的博客
05-17 2725
实验拓扑 H3C GRE实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24段,则其 IP 地址为192.168.1.3/24,以此类推 实验需求 按照图示配置 IP 地址 在 R1 和 R3 上配置默认由使公区域互通 在 R
Linux络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 338
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
jjjxxxhhh123的博客
07-27 954
例子: 假设在校园络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在络中无限制地传输,形成络风暴,导致整个络瘫痪。PIM-SM通过仅在需要时在络中传输组播数据包,减少络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响径选择。综上所述,这些络技术和配置在大学校园络中起到关键作用,确保络运行高效、安全和可靠,同时满足用户的多样化需求。
第三周:络应用(上)
Vincent_Zhang233的博客
07-26 232
一、络应用(层)内容概述我们已经知道,Internet的体系结构是符合TCP/IP协议栈的,而“应用层”就在这个协议的最上层。
络安全在2024好入行吗?
最新发布
2401_84466225的博客
07-29 360
024年的今天,慎重进入安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
uniapp使用WebSocket uniapp使用WebSocket Uniapp整合WebSocket uniapp使用 websocket
半只
07-29 112
代码中的示例只在 H5、APP环境下成功运行,小程序环境下如果无效,需要使用预编译 - 条件性的编译,适配 小程序环境#ifdef H5:针对 Web H5页面。:针对原生应用(Android 和 iOS)。:针对微信小程序。:针对支付宝小程序。:针对百度小程序。:针对字节跳动小程序。:针对 QQ 小程序。:针对快手小程序。:针对京东小程序。
大学计算机专业主要课程及概要介绍
07-26 1376
计算机专业还包含丰富的实践教学环节,如工程训练、计算机应用基础训练、认识实习、生产实习、毕业实习、教学实验、社会实践、课程设计和毕业设计等。这些环节旨在通过实际操作和项目经验,提升学生的动手能力和解决实际问题的能力。综上所述,大学计算机专业课程设置全面且深入,旨在培养学生在计算机科学与技术领域的综合能力和创新精神。通过系统的学习和实践,学生将能够掌握计算机科学的基本理论和技术,为未来的职业发展打下坚实的基础。大学计算机专业是一门涵盖广泛领域的学科,旨在培养学生在计算机科学与技术方面的理论知识与实践能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值