Quidway Eudemon 100/100E/200/200S 配置指南 安全防范分册7 配置 GRE文档版本 02 (2007-05-11)华为技术有限公司i目目 录录 7 配置配置 GRE.....................................................................................................................................7-17.1 简介...............................................................................................................................................................7-27.2 配置 GRE......................................................................................................................................................7-27.2.1 建立配置任务......................................................................................................................................7-27.2.2 配置 GRE.............................................................................................................................................7-37.2.3 检查配置结果......................................................................................................................................7-47.3 维护...............................................................................................................................................................7-47.3.1 调试 GRE.............................................................................................................................................7-47.4 配置举例.......................................................................................................................................................7-57.4.1 配置 GRE 示例....................................................................................................................................7-5Quidway Eudemon 100/100E/200/200S 配置指南 安全防范分册7 配置 GRE文档版本 02 (2007-05-11)华为技术有限公司iii插图目录插图目录图 7-1 GRE 应用组网图......................................................................................................................................7-5Quidway Eudemon 100/100E/200/200S 配置指南 安全防范分册7 配置 GRE文档版本 02 (2007-05-11)华为技术有限公司7-17 配置配置 GRE关于本章本章描述内容如下表所示。
标题内容7.1 简介GRE 简介7.2 配置 GRE介绍 GRE 的配置过程配置举例:配置 GRE 示例7.3 维护介绍 GRE 的维护方法7.4 配置举例介绍 GRE 的组网举例7 配置 GREQuidway Eudemon 100/100E/200/200S 配置指南 安全防范分册7-2华为技术有限公司文档版本 02 (2007-05-11)7.1 简介GRE 是 VPN(Virtual Private Network)的第三层隧道协议,在协议层之间采用了一种 被称之为 Tunnel(隧道)的技术Tunnel 是一个虚拟的点对点的连接,在实际中可以 看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在 这个通路上传输,并且在一个 Tunnel 的两端分别对数据报进行封装及解封装7.2 配置 GRE7.2.1 建立配置任务应用环境当需要在一个单一协议的网络上传输多种协议的报文时,即可在防火墙上配置 GRE 功 能前置任务在配置 GRE 前,需要完成以下任务:配置防火墙的工作模式(可选)配置接口 IP 地址配置接口加入安全区域不能配置工作于透明模式下的接口的 IP 地址。
数据准备在配置 GRE 前,需要准备以下数据:序号数据1Tunnel 接口号2GRE 隧道的源端 IP 地址、掩码3GRE 隧道的目的 IP 地址、掩码4Tunnel 接口的识别关键字Quidway Eudemon 100/100E/200/200S 配置指南 安全防范分册7 配置 GRE文档版本 02 (2007-05-11)华为技术有限公司7-3配置过程序号数据1Tunnel 接口号2GRE 隧道的源端 IP 地址、掩码网络拓扑结构简单时,可以选择配置过程 1;网络拓扑结构复杂时,可以选择配置过程 27.2.2 配置 GRE在配置 GRE 时请注意,为保证数据流的正确转发,请将物理接口与其承载的 Tunnel 接口加入到同一个安全区域中在 RFC1701 中规定:若 GRE 报文头中的 Checksum 位置位,则校验和有效发送方将 根据 GRE 头及 payload 信息计算校验和,并将包含校验和的报文发送给对端接收方 对接收到的报文计算校验和,并与报文中的校验和比较,如果一致则对报文进一步处 理,否则丢弃隧道两端可以根据实际需要选择是否配置校验和,从而决定是否触发校验功能如果 本端配置了校验和而对端没有配置,则本端将不会对接收到的报文进行校验和检查; 相反本端没有配置校验和而对端已配置,本端将对从对端发来的报文进行校验和检查。
在 RFC1701 中规定:若 GRE 报文头中的 KEY 字段置位,则收发双方将进行通道识别 关键字的验证,只有 Tunnel 两端配置的识别关键字完全一致时才能通过验证,否则将 报文丢弃可以根据实际组网需求选择配置步骤 10 或步骤 11隧道两端设备正常转发 GRE 封装的报文的前提是两端设备上均存在经过 Tunnel 转发 的路由当防火墙没有运行动态路由协议时,可以手工配置一条到达未进行 GRE 封装的报文的 目的地址的路由,下一跳是对端 Tunnel 接口的地址当防火墙运行动态路由协议时,需要在 Tunnel 接口上和与私网相连的防火墙接口上使 能该动态路由协议步骤 1 执行命令 system-view,进入系统视图步骤 2 执行命令 interface tunnel number,创建虚拟 Tunnel 接口,并进入相应视图步骤 3 执行命令 tunnel-protocol gre,配置 Tunnel 接口报文的封装模式(可选)如果配置 Tunnel 接口报文的封装格式,则必须确保 Tunnel 两端的配置相同(目前只支 持 GRE 封装模式) 不能对两个或两个以上使用同种封装协议的 Tunnel 接口配置完全相同的源地址和目的 地址。
7 配置 GREQuidway Eudemon 100/100E/200/200S 配置指南 安全防范分册7-4华为技术有限公司文档版本 02 (2007-05-11)步骤 4 执行命令 source { ip-address | interface-type interface-number },配置 Tunnel 接口的源端 地址Tunnel 的源端地址应为发送 GRE 报文的实际物理接口的地址或实际物理接口,目的地 址应为接收 GRE 报文的实际物理接口的 IP 地址步骤 5 执行命令 destination ip-address,配置 Tunnel 接口的目的端地址Tunnel 的源端地址与目的端地址唯一标识了一个通道,两端地址应互为源地址和目的 地址步骤 6 执行命令 ip address ip-address { mask | mask-length },配置 Tunnel 接口的网络地址为支持动态路由协议,需要配置 Tunnel 接口的网络地址Tunnel 接口的网络地址可以 不是申请得到的网络地址用户配置通道两端的网络地址应该位于同一网段上这些 配置在 Tunnel 两端都必须配置,并且确保地址在同一网段。
步骤 7 执行命令 gre checksum,配置 Tunnel 两端进行端到端校验(可选)步骤 8 执行命令 gre key key-number,配置 Tunnel 接口的识别关键字(可选)步骤 9 执行命令 quit,退回系统视图步骤 10 执行命令 ip route-static ip-address { mask | mask-length } { interface-type interface-number | gateway-address } [ preference value ] [ reject | blackhole ],配置静态路由步骤 11 配置动态路由(略)动态路由的配置,请参见《Quidway Eudemon 100/100E/200/200S 防火墙 配置指南 网际互联分册》 结束结束7.2.3 检查配置结果操作命令查看 Tunnel 接口的工作状态display interface tunnel [ number ]7.3 维护7.3.1 调试 GRE在出现 GRE 运行故障时,请在用户视图下执行 debugging 命令对 GRE 进行调试,查 看调试信息,定位故障并分析故障原因。
打开调试开关的操作步骤请参考《Quidway Eudemon 100/100E/200/200S 防火墙 配置指南 系统管理分册》中“系统维护”的内容 有关 debugging 命令的解释请参考《Quidway Eudemon 100/100E/200/200S 防火墙 命 令参考》 Quidway Eudemon 100/100E/200/200S 配置指南 安全防范分册7 配置 GRE文档版本 02 (2007-05-11)华为技术有限公司7-5操作命令调试 GRE 隧道debugging tunnel7.4 配置举例举例中出现的接口编号以 Eudemon 200 为例,实际配置时。