2023学年完整公开课版GREVPN

1GREVPN学完本课程后，您将能够了解GREVPN的基本原理配置GREVPN目标2目录31.GREVPN概述2.配置GREVPNGRE协议概述4GRE(GenericRoutingEncapsulation):是对某些网络层协议（如：IP,IPX,AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel（隧道）。INTERNET总部GRETunnel防火墙A防火墙BIPX网络IPX网络链路层GREIPXIPPayloadGRE的实现-隧道接口5隧道接口（Tunnel接口）是为实现报文的封装而提供的一种点对点类型的虚拟接口，与Loopback接口类似，都是一种逻辑接口目的地址隧道接口IP地址封装类型源地址GRE的实现-封装与解封装6FWAFWBGRETUNNELNexthop:tunnel协议字段:47封装解封GRE报文处理过程7GRE安全策略8PC_A发出的原始报文进入Tunnel接口这个过程中，报文经过的安全域间是Trust—>DMZ；原始报文被GRE封装后，FW_A在转发这个报文时，报文经过的安全域间是Local—>Untrust当报文到达FW_B时，FW_B会进行解封装。在此过程中，报文经过的安全域间是Untrust—>Local；GRE报文被解封装后，FW_B在转发原始报文时，报文经过的安全域间是DMZ—>Trust。目录91.GRE概述2.GRE配置GREVPN典型应用场景描述10运行IP协议的两个子网网络1和网络2，通过在防火墙A和防火墙B之间使用三层隧道协议GRE实现互联。INTERNET总部GRETunnelG1/0/11.1.1.1/24Tunnel110.1.1.1/24Tunnel110.1.1.2/24G1/0/15.5.5.5/24防火墙A防火墙B10.3.1.0/2410.3.2.0/24GREVPN配置思路11基础配置配置tunnel逻辑接口配置到对端网络内网网段的路由放开相应的域间规则GREVPN典型配置(命令行)12配置防火墙A。基本配置（略）。创建并配置Tunnel1接口[USG_A]interfacetunnel1[USG_A-Tunnel1]ipaddress10.1.1.124[USG_A-Tunnel1]tunnel-protocolgre[USG_A-Tunnel1]source1.1.1.1[USG_A-Tunnel1]destination5.5.5.5配置从防火墙A经过Tunnel1接口到Group2的静态路由。[USG_A]iproute-static10.3.2.0255.255.255.0tunnel1将tunnel1加入Untrust区域，并配置相应域间转发策略。(略)防火墙B的配置与A基本一致，只需调换隧道的源地址和目的地址以及默认路由。（略）Web配置13隧道验证和关键字识别作为GRE

VPN的安全机制，为可选配置。配置Tunnel接口的源地址和目的地址。本节总结GREVPN介绍配置GREV