华为路由器和防火墙配置GRE.docVIP

目 录 7 配置GRE 7-1 7.1 简介 7-2 7.2 配置GRE 7-2 7.2.1 建立配置任务 7-2 7.2.2 配置GRE 7-3 7.2.3 检查配置结果 7-4 7.3 维护 7-4 7.3.1 调试GRE 7-4 7.4 配置举例 7-5 7.4.1 配置GRE示例 7-5 插图目录 图7-1 GRE应用组网图 7-5 配置GRE 关于本章 本章描述内容如下表所示。 标题 内容 7.1 简介 GRE简介 7.2 配置GRE 介绍GRE的配置过程。 配置举例：配置GRE示例 7.3 维护 介绍GRE的维护方法。 7.4 配置举例 介绍GRE的组网举例。 简介 GRE是VPN（Virtual Private Network）的第三层隧道协议，在协议层之间采用了一种被称之为Tunnel（隧道）的技术。Tunnel是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报进行封装及解封装。 配置GRE 建立配置任务 应用环境 当需要在一个单一协议的网络上传输多种协议的报文时，即可在防火墙上配置GRE功能。 前置任务 在配置GRE前，需要完成以下任务： 配置防火墙的工作模式（可选） 配置接口IP地址 配置接口加入安全区域 不能配置工作于透明模式下的接口的IP地址。 数据准备 在配置GRE前，需要准备以下数据： 序号 数据 1 Tunnel接口号 2 GRE隧道的源端IP地址、掩码 3 GRE隧道的目的IP地址、掩码 4 Tunnel接口的识别关键字 配置过程 序号 数据 1 Tunnel接口号 2 GRE隧道的源端IP地址、掩码 网络拓扑结构简单时，可以选择配置过程1；网络拓扑结构复杂时，可以选择配置过程2。 配置GRE 在配置GRE时请注意，为保证数据流的正确转发，请将物理接口与其承载的Tunnel接口加入到同一个安全区域中。 在RFC1701中规定：若GRE报文头中的Checksum位置位，则校验和有效。发送方将根据GRE头及payload信息计算校验和，并将包含校验和的报文发送给对端。接收方对接收到的报文计算校验和，并与报文中的校验和比较，如果一致则对报文进一步处理，否则丢弃。 隧道两端可以根据实际需要选择是否配置校验和，从而决定是否触发校验功能。如果本端配置了校验和而对端没有配置，则本端将不会对接收到的报文进行校验和检查；相反本端没有配置校验和而对端已配置，本端将对从对端发来的报文进行校验和检查。 在RFC1701中规定：若GRE报文头中的KEY字段置位，则收发双方将进行通道识别关键字的验证，只有Tunnel两端配置的识别关键字完全一致时才能通过验证，否则将报文丢弃。 可以根据实际组网需求选择配置步骤10或步骤11。 隧道两端设备正常转发GRE封装的报文的前提是两端设备上均存在经过Tunnel转发的路由。 当防火墙没有运行动态路由协议时，可以手工配置一条到达未进行GRE封装的报文的目的地址的路由，下一跳是对端Tunnel接口的地址。 当防火墙运行动态路由协议时，需要在Tunnel接口上和与私网相连的防火墙接口上使能该动态路由协议。 执行命令system-view，进入系统视图。 执行命令interface tunnel number，创建虚拟Tunnel接口，并进入相应视图。 执行命令tunnel-protocol gre，配置Tunnel接口报文的封装模式（可选）。 如果配置Tunnel接口报文的封装格式，则必须确保Tunnel两端的配置相同（目前只支持GRE封装模式）。 不能对两个或两个以上使用同种封装协议的Tunnel接口配置完全相同的源地址和目的地址。 执行命令source { ip-address | interface-type interface-number }，配置Tunnel接口的源端地址。 Tunnel的源端地址应为发送GRE报文的实际物理接口的地址或实际物理接口，目的地址应为接收GRE报文的实际物理接口的IP地址。 执行命令destination ip-address，配置Tunnel接口的目的端地址。 Tunnel的源端地址与目的端地址唯一标识了一个通道，两端地址应互为源地址和目的地址。 执行命令ip address ip-address { mask | mask-length }，配置Tunnel接口的网络地址。 为支持动态路由协议，需要配置Tunnel接口的网络地址。Tunnel接口的网络地址可以不是申请得到的网络地址。用户配置通道两端的网络地址应该位于同一网段上。这些配置在Tunnel两端都必须配置，并且确保地址在同一网段。