GRE-防火墙与路由实现
介绍GRE的封装概念、GRE报文转发流程、安全策略以及GRE安全选项等内容。
GRE封装
无论哪一种封装技术,其基本的构成要素都可以分为3个部分:乘客协议、封装协议和运输协议,GRE也不例外。
•乘客协议
乘客协议是指用户在传输数据时所使用的原始网络协议。
•封装协议
封装协议的作用就是用来“包装”乘客协议对应的报文,使原始报文能够在新的网络中传输。
•运输协议
运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议。
在FW中GRE使用到的协议如图1所示。可以看出,GRE能够承载的乘客协议包括IPv4、IPv6和MPLS协议,GRE所使用的运输协议是IPv4协议。
执行命令system-view,进入系统视图。
b.执行命令interface tunnel interface-number,创建Tunnel接口,并进入Tunnel接口视图。
c.执行命令ip address ip-address { mask | mask-length },配置Tunnel接口的IP地址。
建议本端的Tunnel接口IP地址与对端的Tunnel接口IP地址在同一网段。
这里还可以执行命令ip address unnumbered interface interface-type interface-number,通过IP地址借用的方式来配置Tunnel接口的IP地址。一般情况下,Tunnel接口借用的是内网物理接口或者Loopback接口的IP地址。
执行命令tunnel-protocol gre,配置Tunnel接口为GRE隧道模式。
在配置GRE隧道相关命令前,必须首先执行此命令。
缺省情况下,Tunnel接口的隧道模式为none。
执行命令source { source-ip-address | interface-type interface-number },配置Tunnel接口的源地址或源接口。
•source-ip-address通常为隧道源接口(本端与公网连接的物理接口,例如图1中的FW_A上的GE1/0/1接口)或本端Loopback接口的IP地址。
•本端的source-ip-address需要与对端的dest-ip-address保持一致。
•interface-type interface-number通常为隧道源接口(本端与公网连接的物理接口)或本端Loopback接口号。
可选:执行命令mtu mtu-value,配置接口的MTU。
如果需要改变Tunnel接口最大传输单元,需配置此命令。
建议Tunnel接口的MTU值小于隧道源接口(本端与公网连接的物理接口)的MTU值减去封装头(GRE报文头+新IP报文头)长度。
可选:执行命令keepalive [ period period ] [ retry-times retry-times ],启用GRE的Keepalive功能。
•缺省情况下,未启用GRE的Keepalive功能。
•启用GRE的Keepalive功能后,GRE隧道的本端会周期性的向对端发送keepalive报文,以检测GRE隧道的状态。如果GRE隧道对端不可达,本端的Tunnel接口状态会被置为Down。这就避免了因对端不可达而造成的数据黑洞。
period表示本端发送keeplive报文的时间间隔。如果本端发送retry-times次keeplive报文后,对端仍没有回应,则认为对端不可达。
•GRE的Keepalive功能是单向的,对端是否支持或启用Keepalive功能不影响本端的Keepalive功能。但建议在GRE隧道两端都启用Keepalive功能
可选:执行命令tunnel gre smart-fragment enable,开启GRE报文预分片功能。
缺省情况下,GRE报文预分片功能处于关闭状态。
为了保证承载Tunnel接口的物理接口在封装GRE头后不分片,Tunnel接口的MTU值实际为Tunnel接口的MTU配置值与物理接口的MTU值减去封装头的长度进行比较后的较小值,也因此Tunnel接口实际的MTU值始终小于等于物理接口的MTU值减去封装头的长度,这样即使当GRE报文在封装头部后的长度超过物理接口的MTU值,设备也会提前将GRE报文在Tunnel接口下进行报文分片处理,即GRE报文预分片功能。因此在GRE报文预分片功能处于开启状态下,Tunnel接口的MTU值并不一定等于MTU的配置值。如果想要Tunnel接口的MTU值一直保持与MTU的配置值相等,则可以使用命令undo tunnel gre smart-fragment enable关闭GRE报文预分片功能。
执行命令firewall zone [ name ] zone-name,进入安全区域视图。
执行命令add interface tunnel tunnel-number,将Tunnel接口加入安全区域中。
执行命令display interface tunnel [ interface-number ],查看Tunnle接口的工作状态。
FW1:
interface Tunnel1ip address 192.168.1.1 255.255.255.0tunnel-protocol gresource 1.1.1.1destination 1.1.2.2FW2:interface Tunnel1ip address 192.168.1.1 255.255.255.0tunnel-protocol gresource 1.1.2.2destination 1.1.1.1将tunnel接口加入trust放开安全策略两边都一样rule name internetsource-zone trustdestination-zone untrustaction permitrule name l-ut 测试ping使用的,方便两边网络可达测试rule name policy2source-zone localsource-zone untrustdestination-zone localdestination-zone untrustservice greaction permit
FW1:
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
ip route-static 10.0.10.0 255.255.255.0 Tunnel1FW2:
ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
ip route-static 172.16.10.0 255.255.255.0 Tunnel1
路由更简单,都不需要设置安全策略的,设置静态/动态路由保证包可达
路由A:
interface Tunnel0/0/0ip address 192.168.1.1 255.255.255.0 tunnel-protocol gresource 1.1.1.2destination 2.2.2.2
路由B:
interface Tunnel0/0/0ip address 192.168.1.2 255.255.255.0 tunnel-protocol gresource 2.2.2.2destination 1.1.1.2
GRE-防火墙与路由实现相关推荐
- H3C V7 旁挂防火墙静态路由引流
H3C V7 旁挂防火墙静态路由引流 业务需求 企业新增防火墙,把防火墙旁挂在核心交换机旁边,需要交换机通过静态路由的方式将业务流量引向防火墙,实现防火墙对网络的保护. 交换机主要配置: dis cu ...
- CentOS 7防火墙开启路由功能和开放特定端口
开启路由功能 firewall-cmd --add-masquerade 开启路由功能转发功能 linux系统上线设置 1.更改ssh端口r 先增加多个ssh端口再关闭原来的端口 首先修改 vi /e ...
- ensp防火墙出口路由双链路运营商,负载分担及设备冗余
USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,并保护内网不受网络攻击. 学习内容: 用户网关在出口防火墙接口处,汇聚交换机作为中转站不做配置,直接连接下面的接入交 ...
- 学习笔记:防火墙智能路由选路
简介 当FW作为网络出口设备拥有多条出口链路时,智能选路功能可以根据管理员设置的带宽.权重和优先级自动探测链路质量并动态地选择出接口,保证链路资源得到充分利用,提升用户的上网体验. • 全局选路策略 ...
- 查看 linux 硬件信息:内存、分区、系统、环境变量、防火墙、路由、端口监听、进程、CPU...
前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家.点击跳转到教程. 一.linux CPU大小: 其实应该通过Physical Processor ID来区分单核和双核 ...
- linux 编译配置内核路由功能,Linux下多播路由的实现-网管专栏,防火墙和路由
前言(只是一些废话,不想看的可以略过) ===================================== 多播路由是一个很好的技术,在internet上实现了对数据的"广播&quo ...
- linux+ip+路由设置,Linux下IP巧设置-网管专栏,防火墙和路由
如何实现ip伪装?假设你现在有一台linux主机通过ddn专线连接到internet上,有自己的ip和域名,同时还与20台win95工作站通过hub连接,你现在完全可以通过ip伪装来实现这20台win ...
- 通用路由封装协议--GRE的简单配置
基于华为设备简单配置GRE GRE--通用路由封装协议 一.GRE是什么? 二.GRE有什么用? 1.多协议本地网可以通过GRE隧道传输 2.与IPSec结合,保护组播数据 三.GRE怎么用? 1.隧 ...
- 防火墙——GRE隧道讲解
目录 基本概念 简介 特点 核心功能 GRE封装 VPN封装三要素 乘客协议 封装协议 运输协议 GRE头部报文 注意事项 使用动态路由建立隧道问题 VPN隧道口虚假状态的问题 基本概念 简介 GRE ...
- 网络工程师(路由交换)必备面试题
一. TCP/IP通信原理 物理层1. OSI七层模型与TCP/IP模型的区别?2. 异步传输与同步传输的优缺点与区别.应用场景?3. 多模光纤与单模光纤的区别以及用途?4. RJ45线序568A和5 ...
最新文章
- android 画布实现签名,Android 自定义View手写签名并保存图片
- faster-rcnn网络
- 北京科技大学天津学院第三届智能车校内赛总决赛完美落幕
- Hibernate4实战 之 第四部分:关系映射
- 多文档版的的正则表达式工具
- Codeforces Round #538 (Div. 2) F. Please, another Queries on Array? 线段树 + 欧拉函数
- 银行家算法:解决多线程死锁问题
- 使用node中的express解决vue-cli加载不到dev-server.js的问题
- linux mysql root用户密码_Linux下修改Mysql的用户(root)的密码
- hackintool怎么重建缓存_mysql表数据装满了怎么办?自增id引发的bug。
- eclipse import的项目报autowired cannot be resolved to a type的错误
- bzoj2298: [HAOI2011]problem a
- R语言大小写字母转换
- 国际混淆C代码大赛获奖作品部分源码
- ImageJ -介绍与安装
- 卫星电视的双本振,单本振及高频头相关知识普及
- “企业级零代码黑客马拉松大赛”决赛名单公布
- 第三方支付的流程分析与总结
- 共享计算机后无法访问磁盘,Win10系统下无法访问共享硬盘怎么办?
- 在部队当程序员是什么体验?