HW-GRE VPN通过静态路由实现两个远程IPv4子网互联实验

一、GRE通过静态路由实现两个远程IPv4子网互联实验

      1、组网概述

         如图所示，RouterA 和 RouterC是两分支机构的外网网关，PC1和PC2上运行IPv4协议，分别代表两分支机构私网。现需要通过在Internet上建立GRE隧道，采用静态路由方式实现这两个远程的IPv4私网互通。

        2、基本配置思路

        通过需求可以得知需要通过在Internet上建立GRE隧道实现两个异地的远程IPv4子网互通，并且此时要求隧道两端所连接的子网网关设备连接Internet的接口上通过分配静态公网IP地址进行实现。

        故要实现PC1和 PC2通过公网互通，需要在 RouterA 和 RouterC之间建立直连链路，部署GRE隧道，然后通过静态路由指定到达对端的报文通过Tunnel接口转发，PC1和PC2就可以互相通信了。基本的配置思路如下。

        （1）公网配置OSPF路由协议实现公网间路由互通。

        （2）在 RouterA 和 RouterC上分别创建Tunnel 接口，配置IP地址和GRE封装协议，创建GRE隧道。同时指定源IP地址和目的地址

        （3）在 RouterA和 RouterC上分别采用静态路由配置方式配置经过 Tunnel 接口转发的路由。最终使PC1和 PC2所代表的子网之间的流量通过GRE隧道传输，实现两子网互通。

        3、配置过程

         步骤一：配置IP地址以及在各设备创建loopback0虚拟接口并配置虚拟IP地址

          IP地址配置如图所示，此处不在赘余。

        步骤二：配置公网侧的OSPF路由

        在 RouterA、RouterB 和 RouterC上连接公网Internet的接口运行OSPF路由实现公网路由互通，其中OSPF进程1，区域0，路由器ID为各设备loopback0接口IP地址。配置如下所示：

        （1）RouterA配置OSPF

[Router_A]ospf 1 router-id 1.1.1.1

[Router_A-ospf-1]area 0

[Router_A-ospf-1-area-0.0.0.0]net 1.1.1.1 0.0.0.0

[Router_A-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255

[Router_A-ospf-1-area-0.0.0.0]

（2）RouterB配置OSPF

[Router_B]ospf 1 ro 2.2.2.2

[Router_B-ospf-1]area 0

[Router_B-ospf-1-area-0.0.0.0]net 2.2.2.2 0.0.0.0

[Router_B-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255

[Router_B-ospf-1-area-0.0.0.0]net 30.1.1.0 0.0.0.255

[Router_B-ospf-1-area-0.0.0.0]

（3）RouterC配置OSPF

 [Router_C]ospf 1 ro 3.3.3.3

[Router_C-ospf-1]area 0

[Router_C-ospf-1-area-0.0.0.0]net 3.3.3.3 0.0.0.0

[Router_C-ospf-1-area-0.0.0.0]net 30.1.1.0 0.0.0.255

[Router_C-ospf-1-area-0.0.0.0]

（4）检查OSPF路由

        完成上述 配置之后使用命令查看OSPF路由（以RouterA设备为例），可以看到此时RouterA设备的OSPF路由表中存在RouterC设备的loopback0接口IP地址，公网OSPF路由配置成功。

        接下来进一步验证公网联通性。在RouterA设备上使用ping命令测试与RouterC设备的loopback0接口连通性，可以看到此时可以互通，证明公网互通，OSPF路由部署成功。

        步骤三：配置GRE VPN

        GRE的配置中必须要进行的配置总体来说就是如下参数配置：

1.         1：配置GRE Tunnel 接口

        主要配置有：Tunnel 接口IP地址、封装协议类型（此处必须为GRE）、绑定的源IP地址或源接口和绑定对端的IP地址等。

1.         2：配置以Tunnel 接口作为出接口的路由配置（可以是静态路由也可以是动态路由）。

        （1）在routerA和routerB设备分别创建GRE tunnel0/0/1隧道接口并配置tunnel接口IP地址

        配置GRE 的tunnel接口的IP地址时，因为Tunnel接口运行的链路层协议为PPP，而在串行链路中，两端的IP地址是可以在不同IP网段的，所以虚拟点对点连接的GRE隧道两端的Tunnel接口的IP地址可以不在同一IP网段，也可实现路由畅通的。但通常是把它们的IP地址配置在同一IP网段。此外，tunnel接口IP地址不能与同设备的其他接口的IP地址在同一个IP网段，通常用私网IP地址。

        为了方便，此处GRE tunnel两端的IP地址同处于10.2.1.024网段。具体配置如下：

        #RouterA设备配置

[Router_A]int Tunnel 0/0/1

[Router_A-Tunnel0/0/1]ip add 10.3.1.1 24

        #RouterC设备配置

[Router_C]int Tunnel 0/0/1

[Router_C-Tunnel0/0/1]ip add 10.3.1.2 24

        （2）配置GRE tunnel隧道的封装协议类型

        此处是使用GRE隧道进行公网传输，故此时封装协议类型为GRE。需要注意：只有指定tunnel接口的协议封装类型才能指定源地址或源接口，以及目的地址。在RouterA和RouterC设备配置GRE封装协议命令如下：

        #RouterA设备配置

[Router_A-Tunnel0/0/1]tunnel-protocol gre

        #RouterC设备配置

[Router_C-Tunnel0/0/1]tunnel-protocol gre

        （3）指定GRE tunnel接口的源地址和目的地址

        注意：此处除了指定GRE tunnel接口的源IP地址外，还可以通过Tunnel接口的源接口实现，但需要注意此时源接口不能指定为自身GRE隧道的Tunnel接口，但可以指定为其他隧道的Tunnel接口作为本GRE隧道的源接口。

        此外，在指定GRE tunnel隧道的源地址和目的地址时，必须先配置该隧道接口的封装协议类型。

        #RouterA设备配置

[Router_A-Tunnel0/0/1]source 20.1.1.1 //指定隧道源IP地址，为本地设备的GE0/0/0接口的IP地址，也是本端隧道发送报文中的源IP地址

[Router_A-Tunnel0/0/1]destination 30.1.1.2 //指定隧道目的IP地址，为 RouterC的GE0/0/1 接口的IP地址，也是本端隧道发送报文中的目的IP地址。

        #RouterB设备配置

        同理可配置：

[Router_C-Tunnel0/0/1]source 30.1.1.2

[Router_C-Tunnel0/0/1]destination 20.1.1.1

        （4）检查GRE tunnel接口配置

        完成上述配置之后，GREtunnel接口状态便会进入up状态，并且两端的tunnel接口可以连通，证明直连的GRE tunnel隧道建立成功。以routerC示例如下：

（5）配置GRE Tunnel接口的路由

        在 Tunnel 接口上配置路由的目的其实就是为了定义需要由 Tunnel 接口转发的私同网数据流。可以采用静态或动态路由配置方式。在配置Tunnel接口路由时的一些注意事项：

        上图PC2应为10.2.1.1/24

        当使用静态路由时此路由目的地址是未进行GRE封装的报文的目的地端原始目的IP地址（对端的私网地址），出接口是本端Tunnel 接口（如：routerA设备配置的静态路由目的地址为PC2的私网地址，出接口为tunnel1隧道接口）。而无需指定下一跳IP地址（因为Tunnel接口的链路层协议缺省为PPP类型，所以在所配置的静态路由中仅指定以本端的 Tunnel接口作为出接口，可以不指定下一跳IP地址）；

        当使用动态路由时在Tunnel接口和与本端私网相连的入接口上都要使用相同动态路由协议（如：routerC的tunnel2接口要与私网的G0/0/0接口使用同一个路由协议）；

        此处使用静态路由进行实现。在隧道两端的 RouterA 和 RouterC上配置静态路由，以定义需要通过GRE隧道传输的数据流。，在RouterA设备上配置静态条目，目的地址为PC2所在网段10.2.1.0/24，指定tunnel0/0/1(tunnel1)接口为出接口；而在routerB设备配置静态条目目的IP地址为PC1所在网段10.1.1.0/24，出接口为tunnel0/0/1(tunnel2)。

        具体配置如下：

        #RouterA设备配置

[Router_A]ip route-static 10.2.1.0 24 Tunnel 0/0/1

        #RouterC设备配置

[Router_C]ip route-static 10.1.1.0 24 Tunnel 0/0/1

        步骤四：配置结果验证

        配置完成后，在RouterA 和 RouterC上执行display ip routing-table命令，可以看到去往对端用户侧网段的静态路由出接口为本端Tunnel 接口。以RouterA为示例输出如下：

        接下来测试两个私网的连通性，在PC1设备上使用ping命令测试其与PC2的连通性。

        可以看到此时PC1和PC2可以正常通信。

        最后，在RouterA设备上的G0/0/1接口抓包，可以看到此接口经过的数据包是经过GRE进行封装过的，至此GRE VPN部署完成。

（本实验的原型来源于华为技术认证《华为VPN学习指南》一书。附：华为VPN学习指南_百度百科 (baidu.com)）