中国专业IT外包服务

加入收藏

公司微博

IT外包价格计算器

您当前位置：主页 > 资讯动态 > IT知识库 >

网络运维|防火墙的GRE over IPSec隧道

2020-06-12 16:50 作者：艾锑无限浏览量：

网络运维|防火墙的GRE over IPSec隧道

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下GRE over IPSec隧道的使用，网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

GRE over IPSec隧道

两端设备之间传输的数据（如组播数据）无法直接用IPSec封装的时候，可先对数据进行GRE封装，再进行IPSec加密。

组网需求

如图10-29所示，网络A和网络B通过USG_A和USG_B连接到Internet。USG_A和USG_B之间建立GRE over IPSec隧道。
网络环境描述如下：

网络A属于10.1.1.0/24子网，与USG_A的GigabitEthernet 0/0/1接口连接。
网络B属于192.168.1.0/24子网，与USG_B的GigabitEthernet 0/0/1接口连接。
USG_A和USG_B相互路由可达。

图10-29 配置GRE over IPSec组网图

配置思路

对于USG_A和USG_B，配置思路相同。如下：

完成接口基本配置。
分别创建GRE隧道接口，并配置GRE隧道接口的IP地址、源地址和目的地址。
开启本地策略和转发策略。
配置静态路由，将出接口指定为GRE隧道接口，将流量引入到隧道中。
配置IPSec隧道。包括配置IPSec策略的基本信息、配置待加密的数据流和配置安全提议等。

操作步骤

配置USG_A。
1. 配置接口基本参数。
  1. 选择“网络 > 接口 > 接口”。
  2. 在“接口列表”中，单击GE0/0/1对应的。
  3. 在“修改GigabitEthernet”界面中，配置如下：
    - 安全区域：trust
    - IP地址：10.1.1.1
    - 子网掩码：255.255.255.0

其他配置项采用缺省值。

单击“应用”。
在“接口列表”中，单击GE0/0/2对应的。
在“修改GigabitEthernet”界面中，配置如下：
- 安全区域：untrust
- IP地址：200.1.1.1
- 子网掩码：255.255.255.0

其他配置项采用缺省值。

单击“应用”。
配置GRE隧道接口。

说明：
GRE隧道接口可以加入到任意一个安全区域。当GRE隧道接口和源端接口（源端地址所属的接口）不在同一安全区域中时，需要配置转发策略，使两个安全区域能够互相访问。

选择“VPN > GRE > GRE”。
在“GRE接口列表”中，单击“新建”。
配置GRE隧道接口参数，如图10-30所示。

图10-30 在USG_A上配置GRE隧道接口

对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。
1. 配置Local安全区域和Untrust安全区域之间的安全策略。
  1. 选择“防火墙 > 安全策略 > 本地策略”。
  2. 在“本地策略”中单击“新建”。配置如下参数：
    - 源安全区域：untrust
    - 源地址：200.10.1.0/24
    - 动作：permit
  3. 单击“应用”。
2. 配置Trust安全区域和Untrust安全区域之间的安全策略。
  - 选择“防火墙 > 安全策略 > 转发策略”。
  - 在“转发策略列表”中单击“新建”。配置如下参数。
    - 源安全区域：trust
    - 目的安全区域：untrust
    - 源地址：10.1.1.0/24
    - 目的地址：192.168.1.0/24
    - 动作：permit
  - 单击“应用”。
  - 选择“防火墙 > 安全策略 > 转发策略”。
  - 在“转发策略列表”中单击“新建”。配置如下参数。
    - 源安全区域：untrust
    - 目的安全区域：trust
    - 源地址：192.168.1.0/24
    - 目的地址：10.1.1.0/24
    - 动作：permit
  - 单击“应用”。
配置USG_A到网络B的静态路由，出接口为GRE隧道接口。
1. 选择“路由 > 静态 > 静态路由”。
2. 在“静态路由列表”中，单击“新建”。
3. 在“新建静态路由”界面中，配置如下：
  - 目的地址：192.168.1.0
  - 掩码：255.255.255.0
  - 接口：Tunnel

其他配置项采用缺省值。

单击“应用”。
配置USG_A的IPSec隧道。
1. 选择“VPN > IPSec > IPSec”，单击“新建”，选择“场景”为“点到点”。
2. 配置USG_A的IPSec策略基本信息，并指定对端网关，预共享密钥为abcde。
3. 在“待加密的数据流”中单击“新建”，按如下数据增加一条数据流规则。
4. 展开“安全提议”中的“高级”，按如下参数配置IPSec安全提议。

本例中所使用的安全提议参数全部为缺省配置，用户可以直接使用而不用逐一对照配置。如果实际应用场景中对安全提议参数有明确要求时，可以对安全提议参数进行修改，且隧道两端所使用的安全提议配置必须相同。

单击“应用”。完成USG_A的配置。

配置USG_B。
1. 配置接口基本参数。
  1. 选择“网络 > 接口 > 接口”。
  2. 在“接口列表”中，单击GE0/0/1对应的。
  3. 在“修改GigabitEthernet”界面中，配置如下：
    - 安全区域：trust
    - IP地址：192.168.1.1
    - 子网掩码：255.255.255.0

其他配置项采用缺省值。

单击“应用”。
在“接口列表”中，单击GE0/0/2对应的。
在“修改GigabitEthernet”界面中，配置如下：
- 安全区域：untrust
- IP地址：200.10.1.1
- 子网掩码：255.255.255.0

其他配置项采用缺省值。

单击“应用”。
配置GRE隧道接口。

说明：
GRE隧道接口可以加入到任意一个安全区域。当GRE隧道接口和源端接口（源端地址所属的接口）不在同一安全区域中时，需要配置域间包过滤，使两个安全区域能够互相访问。

选择“VPN > GRE > GRE”。
在“GRE接口列表”中，单击“新建”。
配置GRE隧道接口参数，如图10-31所示。

图10-31 在USG_B上配置GRE隧道接口

对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。
1. 配置Local安全区域和Untrust安全区域之间的安全策略。
  - 选择“防火墙 > 安全策略 > 本地策略”。
  - 在“本地策略”中单击“新建”。配置如下参数：
    - 源安全区域：untrust
    - 源地址：200.1.1.0/24
    - 动作：permit
  - 单击“应用”。
2. 配置Trust安全区域和Untrust安全区域之间的安全策略。
  - 选择“防火墙 > 安全策略 > 转发策略”。
  - 在“转发策略列表”中单击“新建”。配置如下参数。
    - 源安全区域：trust
    - 目的安全区域：untrust
    - 源地址：192.168.1.0/24
    - 目的地址：10.1.1.0/24
    - 动作：permit
  - 单击“应用”。
  - 选择“防火墙 > 安全策略 > 转发策略”。
  - 在“转发策略列表”中单击“新建”。配置如下参数。
    - 源安全区域：untrust
    - 目的安全区域：trust
    - 源地址：10.1.1.0/24
    - 目的地址：192.168.1.0/24
    - 动作：permit
  - 单击“应用”。
配置USG_B到网络A的静态路由，出接口为GRE隧道接口。
1. 选择“路由 > 静态 > 静态路由”。
2. 在“静态路由列表”中，单击“新建”。
3. 在“新建静态路由”界面中，配置如下：
  - 目的地址：10.1.1.0
  - 掩码：255.255.255.0
  - 接口：Tunnel

其他配置项采用缺省值。

单击“应用”。
配置USG_B的IPSec隧道。
1. 选择“VPN > IPSec > IPSec”，单击“新建”，选择“场景”为“点到点”。
2. 配置USG_B的IPSec策略基本信息，并指定对端网关，预共享密钥为abcdde。
3. 在“待加密的数据流”中单击“新建”，按如下数据增加一条数据流规则。
4. 展开“安全提议”中的“高级”，按如下参数配置IPSec安全提议。