GRE 味皮恩配置实验

一、实验目的

1.掌握GRE 味皮恩的基本原理。

2.掌握GRE 味皮恩的配置方法。

3.掌握防火墙安全区域的划分及安全策略的配置。

4.掌握防火墙NAT策略的配置。

 

二、实验的仪器、设备、材料

路由器、PC机、防火墙.

三、实验内容及实验原理

网络的配置要求如下:

1、局域网需求

地址设计如图所示

2、资源访问

(1)192.168.1.0/24 和192.168.2.0/24网段可以通过NAT (easyip) 方式访问外网，假设

AR1为两个网段的默认路由，AR1上的loo0为模拟外网。

(2)192.168.1.0/24和192.168.2.0/24网段借助于在FW1和FW2.上配置GRE 味皮恩的形式

来进行访问。

 

四、实验步骤

以下配置以FW1为例进行配置，FW2与此类似

1、配置相应端口地址

AR1：

[AR1]int loo0

[AR1-LoopBack0]ip add 8.8.8.8 32

[AR1-LoopBack0]q

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ip add 1.1.1.2 24

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/1]ip add 5.5.5.6 24

 

FW1:

[FW1]int g1/0/1

[FW1-GigabitEthernet1/0/1]ip add 1.1.1.1 24

[FW1-GigabitEthernet1/0/1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24

 

PC1:

 

2、配置安全区域

[FW1]firewall zone trust

[FW1-zone-trust]add int g1/0/0

[FW1-zone-trust]firewall zone untrust

[FW1-zone-untrust]add int g1/0/1

 

3、配置安全策略

trust区域到untrust区域

[FW1]security-policy

[FW1-policy-security]rule name t_u

[FW1-policy-security-rule-t_u]source-zone trust

[FW1-policy-security-rule-t_u]destination-zone untrust

[FW1-policy-security-rule-t_u]source-address 192.168.1.0 mask 255.255.255.0

[FW1-policy-security-rule-t_u]action permit

 

4、配置NAT策略

[FW1]nat-policy

[FW1-policy-nat]rule name t_u

[FW1-policy-nat-rule-t_u]source-zone trust

[FW1-policy-nat-rule-t_u]destination-zone untrust

[FW1-policy-nat-rule-t_u]source-address 192.168.1.0 24

[FW1-policy-nat-rule-t_u]action source-nat easy-ip

 

5、配置默认路由

[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

测试(1):从两个内网分别ping外网，查看是否能ping通

PC1 ping 外网

 

PC2 ping 外网

 

 

 

6.配置隧道口( tunnel 1)

(1)配置tunnel1的基本信息

[FW1]int tunnel 1

[FW1-Tunnel1]ip add 192.168.12.1 24

[FW1-Tunnel1]tunnel-protocol gre

[FW1-Tunnel1]source 1.1.1.1

[FW1-Tunnel1]destination 5.5.5.5

[FW1-Tunnel1]gre key cipher 111111

 

(2)将tunnel 1加入到untrust区域

[FW1]firewall zone untrust

[FW1-zone-untrust]add int tunnel 1

 

(3)配置私网访问的路由，即下一跳为tunnel1

[FW1]ip route-static 192.168.2.0 24 Tunnel 1

 

7.配置隧道访问的安全策略

(1)配置untrust区域到trust区域的安全策略

[FW1]security-policy

[FW1-policy-security]rule name u_t

[FW1-policy-security-rule-u_t]source-zone untrust

[FW1-policy-security-rule-u_t]destination-zone trust

[FW1-policy-security-rule-u_t]source-address 192.168.12.0 mask 255.255.255.0

[FW1-policy-security-rule-u_t]action permit

(2)放行gre协议的数据，也就是从untrust 区域到local区域

[FW1]security-policy

[FW1-policy-security]rule name gre

[FW1-policy-security-rule-gre]source-zone untrust

[FW1-policy-security-rule-gre]destination-zone local

[FW1-policy-security-rule-gre]service protocol 47

[FW1-policy-security-rule-gre]action permit

 

测试(2): 从PC1 ping PC2,查看是否能ping通，抓取数据包并简要分析。

 

 

分析：GRE 味皮恩采用了隧道技术,两个站点的路由器之间通过公网连接彼此的物理接口,并且通过物理接口进行传输数据。两个路由器上分别建立一个虚拟接口,两个虚拟接口之间建立点对点虚拟连接,形成一条跨越公网的隧道。