目录

  • 前言
  • 一、实验内容与目标
  • 二、实验组网图
  • 三、实验需要的软、硬件
  • 四、实验步骤
  • (一)实验任务一 GRE VPN 基本配置
  • 1、静态路由
  • 2、动态路由
  • (二)实验任务二 GRE VPN 隧道验证
  • (三)实验任务三 GRE VPN 隧道 Keepalive
  • 五、实验总结


前言

通用路由封装(GRE)是一种三层VPN封装技术,用于将使用一个路由协议的数据包封装在另一协议的数据包中。GRE隧道是在广域网上建立直接的点对点连接,简化单独网络之间的连接,适用于各种网络层协议。本案例以最基础的GRE隧道配置案例来学习如何配置一条GRE隧道。

一、实验内容与目标

完成本实验,应该能够达到以下目标
1、配置GRE VPN 隧道;
2、配置GRE VPN与路由协议协同工作;
3、使用display命令获取GREVPN配置和运行信息;

二、实验组网图

USG6000 gre隧道_静态路由

三、实验需要的软、硬件

1、 HCL模拟器软件
2、 PC电脑

四、实验步骤

各设备接口IP地址:

USG6000 gre隧道_静态路由_02

(一)实验任务一 GRE VPN 基本配置

1、静态路由

SWA配置:

[SWA]interface Vlan-interface 1
[SWA-Vlan-interface1]ip address 1.1.1.2 24
[SWA-Vlan-interface1]qu
[SWA]vlan 2
[SWA-vlan2]qu
[SWA]interface Vlan-interface 2
[SWA-Vlan-interface2]ip address 2.2.2.2 24
[SWA-Vlan-interface2]qu
[SWA]interface GigabitEthernet 1/0/2
[SWA-GigabitEthernet1/0/2]port access vlan 2

RTA配置
基础配置:

[RTA]int g0/0
[RTA-GigabitEthernet0/0]ip address 192.168.1.1 24
[RTA-GigabitEthernet0/0]qu
[RTA]int g0/1
[RTA-GigabitEthernet0/1]ip address 1.1.1.1 24
[RTA-GigabitEthernet0/1]qu

GRE配置:

[RTA]interface Tunnel0 mode gre  ## 创建隧道接口并定义隧道类型为GRE
[RTA-Tunnel0]ip address 192.168.3.1 30 ## 配置隧道的IP地址
[RTA-Tunnel0]source 1.1.1.1## 配置隧道的源地址(封装报文头的)
[RTA-Tunnel0]destination 2.2.2.1## 配置隧道目的地址(封装报文头的)
[RTA-Tunnel0]qu

其他配置:

[RTA]ip route-static 0.0.0.0 0 1.1.1.2 ##配置公网静态路由
[RTA]ip route-static 192.168.2.0 24 Tunnel0 ##配置私网静态路由

RTB配置
基础配置:

[RTB]int g0/0
[RTB-GigabitEthernet0/0]ip address 192.168.2.1 24
[RTB-GigabitEthernet0/0]qu
[RTB]int g0/1
[RTB-GigabitEthernet0/1]ip address 2.2.2.1 24
[RTB-GigabitEthernet0/1]qu

GRE配置:

[RTB]interface Tunnel0 mode gre  ## 创建隧道接口并定义隧道类型为GRE
[RTB-Tunnel0]ip address 192.168.3.2 30 ## 配置隧道的IP地址
[RTB-Tunnel0]source 2.2.2.1## 配置隧道的源地址(封装报文头的)
[RTB-Tunnel0]destination 1.1.1.1## 配置隧道目的地址(封装报文头的)
[RTB-Tunnel0]qu

其他配置:

[RTB]ip route-static 0.0.0.0 0 2.2.2.2 ##配置公网静态路由
[RTB]ip route-static 192.168.1.0 24 Tunnel0 ##配置私网静态路由

测试结果

USG6000 gre隧道_静态路由_03


USG6000 gre隧道_静态路由_04

2、动态路由

SWA配置

[SWA]ospf 110 router-id 2.2.2.2## 创建OSPF 进程110 ,RID 手工指定为 2.2.2.2 
[SWA-ospf-110]area 0                    ## 宣告在骨干区域中
[SWA-ospf-110-area-0.0.0.0]network 1.1.1.0 0.0.0.255     ## 宣告的网段
[SWA-ospf-110-area-0.0.0.0]network 2.2.2.0 0.0.0.255     ## 宣告的网段

RTA配置
清除静态路由:

[RTA]undo ip route-static 0.0.0.0 0 1.1.1.2
[RTA]undo ip route-static 192.168.2.0 24 Tunnel0

配置OSPF:

[RTA]ospf 110 router-id 1.1.1.1         ## 创建OSPF 进程110 ,RID 手工指定为 1.1.1.1 
[RTA-ospf-110]area 0                    ## 宣告在骨干区域中
[RTA-ospf-110-area-0.0.0.0]network 1.1.1.0 0.0.0.255     ## 宣告的网段
[RTA-ospf-110-area-0.0.0.0]qu
[RTA-ospf-110]qu

配置动态路由:

[RTA]rip 1											//手工指定RIP进程的进程ID (Process-ID)
[RTA-rip-1]version 2							//指定该进程所运行的RIP版本为RIPv2
[RTA-rip-1]network 192.168.1.0		//通过network命令用于在192.168.1.0网段的接口上激活RIP
[RTA-rip-1]network 192.168.3.0			//通过network命令用于在 192.168.3.0网段的接口上激活RIP

RTB配置
清除静态路由:

[RTB]undo ip route-static 0.0.0.0 0 2.2.2.2
[RTB]undo ip route-static 192.168.1.0 24 Tunnel0

配置OSPF:

[RTB]ospf 110 router-id 3.3.3.3         ## 创建OSPF 进程110 ,RID 手工指定为 3.3.3.3 
[RTB-ospf-110]area 0                    ## 宣告在骨干区域中
[RTB-ospf-110-area-0.0.0.0]network 2.2.2.0 0.0.0.255     ## 宣告的网段
[RTB-ospf-110-area-0.0.0.0]qu
[RTB-ospf-110]qu

配置动态路由:

[RTB]rip 1											//手工指定RIP进程的进程ID (Process-ID)
[RTB-rip-1]version 2							//指定该进程所运行的RIP版本为RIPv2
[RTB-rip-1]network 192.168.2.0		//通过network命令用于在192.168.2.0网段的接口上激活RIP
[RTB-rip-1]network 192.168.3.0			//通过network命令用于在 192.168.3.0网段的接口上激活RIP

测试结果

USG6000 gre隧道_静态路由_05


USG6000 gre隧道_封装_06

(二)实验任务二 GRE VPN 隧道验证

RTA配置:

[RTA]interface Tunnel0
[RTA-Tunnel0]gre key 1234

RTB配置:

[RTB]interface Tunnel0
[RTB-Tunnel0]gre key 1234

注意:

由于RTA和RTB上配置了 RIP 路由,如果隧道验证值长时间不匹配,RIP会删除来自对方的私网路由。在这种情况下,配置了正确的隧道验证值后需要等待 RIP 重新学习路由。

测试结果

只有 RTA和RTB的密钥相等的情况下才能ping通

USG6000 gre隧道_网络_07


USG6000 gre隧道_VPN_08

(三)实验任务三 GRE VPN 隧道 Keepalive

在RTA和RTB上删除 RIP 路由协议的配置恢复静态路由配置,然后删除SWA、RTA和RTB的OSPF配置,接着开启keepalive,最后验证 PCA和PCB是否可以连通。
SWA配置

[SWA]undo ospf 110

RTA配置

[RTA]undo rip 1
[RTA]undo ospf 110
[RTA]ip route-static 0.0.0.0 0 1.1.1.2 ##配置公网静态路由
[RTA]ip route-static 192.168.2.0 24 Tunnel0 ##配置私网静态路由
[RTA]interface Tunnel0
[RTA-Tunnel0]keepalive

RTB配置

[RTB]undo rip 1
[RTB]undo ospf 110
[RTB]ip route-static 0.0.0.0 0 2.2.2.2 ##配置公网静态路由
[RTB]ip route-static 192.168.1.0 24 Tunnel0 ##配置私网静态路由
[RTB]interface Tunnel0
[RTB-Tunnel0]keepalive

结果

用display interface tunnel指令查看过热隧道接口状态信息

USG6000 gre隧道_VPN_09


USG6000 gre隧道_USG6000 gre隧道_10

五、实验总结

本实验旨在掌握GRE隧道的基础配置。然而,GRE协议存在一个严重缺陷:缺乏安全加密机制。因此,通常会将IPSec技术与GRE相结合,先建立GRE隧道对报文进行GRE封装,随后再建立IPSec隧道对报文实施加密,由此确保报文在传输过程中的完整性和保密性。采用这种"GRE over IPSec"的混合隧道技术,不仅能够充分利用GRE隧道在路由和寻址方面的优势,同时也能够借助IPSec隧道强大的安全保护能力,从而实现高效、安全的数据传输,满足现代网络对安全性和可靠性的苛刻要求。