网络运维|静态路由的GRE隧道应用
2020-06-14 16:09 作者:艾锑无限 浏览量:
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,在这里介绍下L2TPvpn使用实例, 网络安全运维,从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维修信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
应用静态路由的GRE隧道
内网设备要传输的某些数据公网设备不支持时,可配置GRE隧道来传输。当内网设备较少,且IP地址固定时可以在设备上配置静态路由,指定用户端发送的报文由隧道传输。组网需求
如图10-56所示,网络A和网络B通过USG_A和USG_B连接到Internet。网络环境描述如下:
· USG_A和USG_B路由可达。
· USG_A和USG_B之间使用三层隧道协议GRE,实现网络A和网络B互联。
· PC1和PC2上分别指定USG_A、USG_B为自己的缺省网关。USG_A与PC1之间、USG_B与PC2之间使用静态路由。
图 配置GRE使用静态路由组网图
配置思路
对于USG_A和USG_B,配置思路相同。如下:1. 完成接口基本配置。
2. 分别创建GRE隧道接口,并配置GRE隧道接口的IP地址、源地址和目的地址。
3. 开启本地策略和转发策略。
4. 配置静态路由,将出接口指定为Tunnel接口,将流量引入到隧道中。
操作步骤
· 配置USG_A。1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中,单击GE0/0/1对应的。
c. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全区域:trust
§ IP地址:10.1.1.1
§ 子网掩码:255.255.255.0
其他配置项采用缺省值。
d. 单击“应用”。
e. 在“接口列表”中,单击GE0/0/2对应的。
f. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全区域:untrust
§ IP地址:200.1.1.1
§ 子网掩码:255.255.255.0
其他配置项采用缺省值。
g. 单击“应用”。
2. 配置GRE隧道接口。
说明:GRE隧道接口可以加入到任意一个安全区域。当GRE隧道接口和源端接口(源端地址所属的接口)不在同一安全区域中时,需要配置域间包过滤,使两个安全区域能够互相访问。
a. 选择“VPN > GRE > GRE”。
b. 在“GRE接口列表”中,单击“新建”。
c. 配置GRE隧道接口参数。
3. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a. 配置Local安全区域和Untrust安全区域之间的安全策略。
. 选择“防火墙 > 安全策略 > 本地策略”。
i. 在“本地策略”中单击“新建”。配置如下参数:
§ 源安全区域:untrust
§ 源地址:200.10.1.0/24
§ 动作:permit
ii. 单击“应用”。
a. 配置Trust安全区域和Untrust安全区域之间的安全策略。
i. 选择“防火墙 > 安全策略 > 转发策略”。
ii. 在“转发策略列表”中单击“新建”。配置如下参数。
§ 源安全区域:trust
§ 目的安全区域:untrust
§ 源地址:10.1.1.0/24
§ 目的地址:192.168.1.0/24
§ 动作:permit
iii. 单击“应用”。
iv. 重新在“转发策略列表”中单击“新建”。配置如下参数。
§ 源安全区域:untrust
§ 目的安全区域:trust
§ 源地址:192.168.1.0/24
§ 目的地址:10.1.1.0/24
§ 动作:permit
v. 单击“应用”。
1. 配置USG_A到网络B的静态路由,出接口为GRE隧道接口。
a. 选择“路由 > 静态 > 静态路由”。
b. 在“静态路由列表”中,单击“新建”。
c. 在“新建静态路由”界面中,配置如下:
§ 目的地址:192.168.1.0
§ 掩码:255.255.255.0
§ 出接口:Tunnel
其他配置项采用缺省值。
a. 单击“应用”。
· 配置USG_B。
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中,单击GE0/0/1对应的
。c. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全区域:trust
§ IP地址:192.168.1.1
§ 子网掩码:255.255.255.0
其他配置项采用缺省值。
d. 单击“应用”。
e. 在“接口列表”中,单击GE0/0/2对应的。
f. 在“修改GigabitEthernet”界面中,配置如下:
§ 安全区域:untrust
§ IP地址:200.10.1.1
§ 子网掩码:255.255.255.0
其他配置项采用缺省值。
g. 单击“应用”。
2. 配置GRE隧道接口。
说明:
GRE隧道接口可以加入到任意一个安全区域。当GRE隧道接口和源端接口(源端地址所属的接口)不在同一安全区域中时,需要配置域间包过滤,使两个安全区域能够互相访问。
a. 选择“VPN > GRE > GRE”。
b. 在“GRE接口列表”中,单击“新建”。
c. 配置GRE隧道接口参数。
3. 对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。
a. 配置Local安全区域和Untrust安全区域之间的安全策略。
. 选择“防火墙 > 安全策略 > 本地策略”。
i. 在“本地策略”中单击“新建”。配置如下参数:
§ 源安全区域:untrust
§ 源地址:200.1.1.0/24
§ 动作:permit
ii. 单击“应用”。
a. 配置Trust安全区域和Untrust安全区域之间的安全策略。
i. 选择“防火墙 > 安全策略 > 转发策略”。
ii. 在“转发策略列表”中单击“新建”。配置如下参数。
§ 源安全区域:trust
§ 目的安全区域:untrust
§ 源地址:192.168.1.0/24
§ 目的地址:10.1.1.0/24
§ 动作:permit
iii. 单击“应用”。
iv. 重新在“转发策略列表”中单击“新建”。配置如下参数。
§ 源安全区域:untrust
§ 目的安全区域:trust
§ 源地址:10.1.1.0/24
§ 目的地址:192.168.1.0/24
§ 动作:permit
v. 单击“应用”。
1. 配置USG_B到网络A的静态路由,出接口为GRE隧道接口。
a. 选择“路由 > 静态 > 静态路由”。
b. 在“静态路由列表”中,单击“新建”。
c. 在“新建静态路由”界面中,配置如下:
§ 目的地址:10.1.1.0
§ 掩码:255.255.255.0
§ 接口:Tunnel
其他配置项采用缺省值。
a. 单击“应用”。
结果验证
1. 配置完成后,从PC1 ping PC2,发现可以ping通。
2. 分别在USG_A和USG_B上查看GRE隧道的建立情况。以USG_A为例。
选择“VPN > GRE > 监控”,查看到有通过GRE隧道加封转和解封装的报文数,说明GRE隧道建立成功。如图10-59所示。
图10-59 查看USG_A的GRE隧道信息
相关文章
IT电脑维护外包
关闭