任务十:部署点对点GRE隧道

目录

目的

器材

拓扑

步骤

一、基本配置

配置各PC的IP地址【省略】

1、配置路由器接口的IP地址

2、配置GRE隧道

3、配置静态路由协议

4、配置公司内网路由协议

验证

​编辑 

总结

1、GRE

​编辑

2、GRE提供两种安全机制


目的

理解GRE隧道封装格式,掌握防火墙安全策略GRE隧道配置方法。

器材

路由器(AR2220):5台

主机:4台

拓扑

任务十:部署点对点GRE隧道_第1张图片

步骤

一、基本配置

配置各PC的IP地址【省略】

1、配置路由器接口的IP地址

system-view 
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip ad 192.168.1.1 24
[R1-GigabitEthernet0/0/0]quit 
[R1]int s2/0/0
[R1-Serial2/0/0]ip ad 201.201.201.1 24
[R1-Serial2/0/0]quit 

后面的配置我比较懒,脚本如下:

system-view 
sysname R2
int g0/0/0
ip ad 192.168.2.1 24
quit 
int s2/0/0
ip ad 202.202.202.1 24
quit 


system-view 
sysname R3
int g0/0/0
ip ad 192.168.3.1 24
quit 
int s2/0/0
ip ad 203.203.203.1 24
quit 


system-view 
sysname R4
int g0/0/0
ip ad 192.168.4.1 24
quit 
int s2/0/0
ip ad 204.204.204.1 24
quit 


system-view 
sysname R5
int s1/0/0
ip ad 201.201.201.2 24
quit 
int s1/0/1
ip ad 202.202.202.2 24
quit 
int s2/0/0
ip ad 203.203.203.2 24
quit 
int s2/0/1
ip ad 204.204.204.2 24
quit 


2、配置GRE隧道

[R1]interface Tunnel 0/0/0  //定义隧道接口名称
[R1-Tunnel0/0/0]ip ad 10.0.1.1 24    //定义隧道接口私网IP地址
[R1-Tunnel0/0/0]tunnel-protocol gre   //对指定VPN隧道Tunnel出栈数据包封装GRE协议
[R1-Tunnel0/0/0]source Serial 2/0/0   //指定隧道起点。起点可以是接口名称,也可以指定具体IP地址作为隧道起点。建议采用接口作为隧道起点,避免接口IP地址变更导致隧道不可用
[R1-Tunnel0/0/0]destination 202.202.202.1	 //指定隧道终点,必须为IP地址,必须能连通
[R1-Tunnel0/0/0]quit 
[R2]interface Tunnel 0/0/0  
[R2-Tunnel0/0/0]ip ad 10.0.1.2 24     //隧道两接口IP地址必须处于同一网段,否则VPN无法连通
[R2-Tunnel0/0/0]tunnel-protocol gre   
[R2-Tunnel0/0/0]source Serial 2/0/0   
[R2-Tunnel0/0/0]destination 201.201.201.1	
[R2-Tunnel0/0/0]quit 

R3和R4脚本如下:

interface Tunnel 0/0/0  
ip ad 10.0.2.1 24   
tunnel-protocol gre   
source Serial 2/0/0   
destination 204.204.204.1	
quit 

interface Tunnel 0/0/0  
ip ad 10.0.2.2 24   
tunnel-protocol gre   
source Serial 2/0/0   
destination 203.203.203.1	
quit 

3、配置静态路由协议

[R1]ip route-static 0.0.0.0 0 s2/0/0
[R2]ip route-static 0.0.0.0 0 s2/0/0
[R3]ip route-static 0.0.0.0 0 s2/0/0
[R4]ip route-static 0.0.0.0 0 s2/0/0

 没有去往2.0网段的私网路由,无法ping通192.168.2.0网段:任务十:部署点对点GRE隧道_第2张图片

 没有去往4.0网段的私网路由,无法ping通192.168.4.0网段:

任务十:部署点对点GRE隧道_第3张图片 

4、配置公司内网路由协议

[R1]ospf 1	
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255   //R1与R2的Tunnel建立OSPF邻居,R1的OSPF路由分组信息从Tunnel0/0/0发出,经隧道传输到R2
[R1-ospf-1-area-0.0.0.0]quit 
[R1-ospf-1]quit


R2:
ospf 1	
area 0
network 192.168.2.0 0.0.0.255  
network 10.0.1.0 0.0.0.255   //R2与R1的Tunnel建立OSPF邻居
quit 
quit


[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]network 192.168.3.0
[R3-rip-1]network 10.0.0.0	
[R3-rip-1]quit


R4:
rip 1
version 2
network 192.168.4.0
network 10.0.0.0	
quit

验证

任务十:部署点对点GRE隧道_第4张图片

任务十:部署点对点GRE隧道_第5张图片 

任务十:部署点对点GRE隧道_第6张图片 

任务十:部署点对点GRE隧道_第7张图片 

总结

1、GRE

【General Routing Encapsulation,通用路由封装协议】,一种三层隧道封装技术,用于解决异构网路之间传输兼容问题。GRE可以对某些网络层协议(如IPX、AppleTalk、IPv6等)报文进行封装,使其能够在另外一种网络中(如IPv4)传输。

本质上 是一种异构网络封装协议,它将一种协议报文封装在另一种协议报文之内,以实现报文能够在异构网络中传输,转发过程包括封装和拆封两个步骤。

任务十:部署点对点GRE隧道_第8张图片

2、GRE提供两种安全机制

即校验和验证与识别关键字,可根据需求和环境决定是否使用:
校验和验证:是指对封装的报文进行端到端校验。发送方将根据GRE头部信息计算校验和,并将包含校验和的报文发送给接收方。接收方对接收到的报文计算校验和,并将收到的报文校验和比较,如果一致则对报文进一步处理,否则丢弃。

识别关键字:关键字的作用是标识隧道中的流量,属于同一流量报文使用相同关键字。在GRE报文解封装时,只有Tunnel两端设置的识别关键字完全一致才能通过验证,否则丢弃报文。识别关键字可以防止错误识别、接收来自其他路由器发来的GRE报文。
以上都属于弱安全机制,配置后会影响转发效率。如安全需求较高,建议部署IPSec以保护GRE隧道安全性。

你可能感兴趣的:(网络,安全)