组网需求

如下所示，FW1和FW2通过Internet相连，两者公网路由可达。网络1和网络2是两个私有的IP网络，通过在两台FW之间建立GRE隧道实现两个私有IP网络互联。

数据规划

设备	数据	描述
FW2	接口配置	接口号：GigabitEthernet 1/0/0 IP地址：12.12.12.1/24 安全区域：Untrust
		接口号：GigabitEthernet 1/0/1 IP地址：172.16.1.1/24 安全区域：Trust
	GRE配置	接口名称：Tunnel IP地址：192.168.12.1/24 源地址：12.12.12.1/24 目的地址：21.21.21.2/24 隧道识别关键字：123456
FW2	接口配置	接口号：GigabitEthernet 1/0/0 IP地址：21.21.21.1/24 安全区域：Untrust
		接口号：GigabitEthernet 1/0/1 IP地址：172.16.2.2/24 安全区域：Trust
	GRE配置	接口名称：Tunnel IP地址：192.168.12.2/24 源地址：21.21.21.2/24 目的地址：12.12.12.1/24 隧道识别关键字：123456
Internet	接口配置	接口号：GigabitEthernet 0/0/0 IP地址：12.12.12.2/24
		接口号：GigabitEthernet 0/0/1 IP地址：21.21.21.1/24

配置思路

在FW_A和FW_B上分别创建一个Tunnel接口。
在Tunnel接口中指定隧道的源IP地址和目的IP等封装参数。
配置静态路由，将出接口指定为本设备的Tunnel接口。
该路由的作用是将需要经过GRE隧道传输的流量引入到GRE隧道中。
配置安全策略，允许GRE隧道的建立和流量的转发。

操作步骤

1.配置接口的IP地址，并将接口加入安全区域

FW1

防火墙首次登录需要修改密码，登录默认用户名密码admin/Admin@123。

#进入系统视图
<USG6000V1>system-view
#修改设备名称
[USG6000V1]sysname FW1

#进入接口GE0/0/0视图
[FW1]interface GigabitEthernet 1/0/0
#为接口GE1/0/0配置IP地址为12.12.12.1，子网掩码为255.255.255.0
[FW1-GigabitEthernet1/0/0]ip address 12.12.12.1 24
#从接口视图返回到系统视图
[FW1-GigabitEthernet1/0/0]quit 

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 172.16.1.1 24
[FW1-GigabitEthernet1/0/1]quit

#创建编号为1的Tunnel接口,并进入该Tunnel接口视图
[FW1]interface Tunnel 1
[FW1-Tunnel1]ip address 192.168.12.1 24
[FW1-Tunnel1]quit

#进入Trust安全区域视图
[FW1]firewall zone trust 
#将接口GigabitEthernet1/0/0加入到Trust安全区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/1
#从安全区域视图返回到系统视图
[FW1-zone-trust]quit

[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/0
[FW1-zone-untrust]quit

[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface Tunnel 1
[FW1-zone-dmz]quit

FW2

<USG6000V1>system-view
[USG6000V1]sysname FW2

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 172.16.2.2 24
[FW1-GigabitEthernet1/0/0]quit 

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 21.21.21.2 24
[FW1-GigabitEthernet1/0/1]quit

[FW1]interface Tunnel 1
[FW1-Tunnel1]ip address 192.168.12.2 24
[FW1-Tunnel1]quit

[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1-zone-trust]quit

[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]quit

[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface Tunnel 1
[FW1-zone-dmz]quit

Internet

<Huawei>sys
[Huawei]sys Internet

[Internet]int GigabitEthernet 0/0/0
[Internet-GigabitEthernet0/0/0]ip address 12.12.12.2 24
[Internet-GigabitEthernet0/0/0]quit

[Internet]int GigabitEthernet 0/0/1
[Internet-GigabitEthernet0/0/1]ip address 21.21.21.1 24
[Internet-GigabitEthernet0/0/1]quit

PC1

PC2

2.配置路由

FW1

#配置FW1到FW2网络互通
[FW1]ip route-static 21.21.21.0 24 12.12.12.2

#将需要经过GRE隧道传输的流量引入到GRE隧道中
[FW1]ip route-static 172.16.2.0 24 Tunnel 1

FW2

[FW1]ip route-static 12.12.12.0 24 21.21.21.1

[FW1]ip route-static 172.16.1.0 24 Tunnel 1

3.配置Tunnel接口的封装参数

需要配置封装协议、源地址/接口、目的地址、认证。

FW1

[FW1]interface Tunnel 1
#配置Tunnel接口为GRE隧道模式
[FW1-Tunnel1]tunnel-protocol gre
#配置Tunnel接口的源地址或源接口
[FW1-Tunnel1]source GigabitEthernet1/0/0
#配置Tunnel 1接口的目的端地址为21.21.21.2
[FW1-Tunnel1]destination 21.21.21.2
#设置隧道的识别关键字
[FW1-Tunnel1]gre key cipher 123456
[FW1-Tunnel1]quit

FW2

[FW2]interface Tunnel1
[FW2-Tunnel1] tunnel-protocol gre
[FW2-Tunnel1] source 21.21.21.2
[FW2-Tunnel1] destination 12.12.12.1
[FW2-Tunnel1] gre key cipher 123456
[FW2-Tunnel1]quit

4.配置域间安全策略

需要配置PC到FW(Trust到DMZ)、FW到FW(Local到Untrust)的安全策略。

注意：由于安全策略具有方向性，所需要需要配置双向的安全策略。可以使用FW1和FW2中方法进行配置。

FW1

[FW1]security-policy

#配置允许封装前的报文通过域间安全策略
[FW1-policy-security]rule name 1
[FW1-policy-security-rule-1]source-zone trust 
[FW1-policy-security-rule-1]destination-zone dmz 
[FW1-policy-security-rule-1]action permit 
[FW1-policy-security-rule-1]quit 
[FW1-policy-security]rule name 2
[FW1-policy-security-rule-1]source-zone dmz 
[FW1-policy-security-rule-1]destination-zone trust
[FW1-policy-security-rule-1]action permit 
[FW1-policy-security-rule-1]quit 

#配置允许封装后的GRE报文通过域间安全策略
[FW1-policy-security]rule name 3
[FW1-policy-security-rule-2]source-zone local 
[FW1-policy-security-rule-2]destination-zone untrust 
[FW1-policy-security-rule-2]action permit 
[FW1-policy-security-rule-2]quit
[FW1-policy-security]rule name 4
[FW1-policy-security-rule-2]source-zone untrust 
[FW1-policy-security-rule-2]destination-zone local 
[FW1-policy-security-rule-2]action permit 
[FW1-policy-security-rule-2]quit

FW2

[FW2]security-policy

[FW2-policy-security]rule name 1
[FW2-policy-security-rule-1]source-zone trust dmz
[FW2-policy-security-rule-1]destination-zone dmz trust
[FW2-policy-security-rule-1]action permit
[FW2-policy-security-rule-1]quit

[FW2-policy-security] rule name 2
[FW2-policy-security-rule-2]source-zone local untrust
[FW2-policy-security-rule-2]destination-zone untrust local
[FW2-policy-security-rule-2]action permit
[FW2-policy-security-rule-2]quit

5.验证配置结果

在FW1使用display ip routing-table命令查看路由表。可以看到目的地址为172.16.2.0/24，出接口为Tunnel1的路由。

FW1

网络1中的PC1与网络2中的PC2能够相互ping通

PC1

#第一次ping测试时，前1~2个报文丢失，正是因为在等ARP解析完成。
PC>ping 172.16.2.10

Ping 172.16.2.10: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 172.16.2.10: bytes=32 seq=2 ttl=126 time=16 ms
From 172.16.2.10: bytes=32 seq=3 ttl=126 time=16 ms
From 172.16.2.10: bytes=32 seq=4 ttl=126 time=31 ms
From 172.16.2.10: bytes=32 seq=5 ttl=126 time=15 ms

--- 172.16.2.10 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/19/31 ms

如下图所示，Wireshark捕获到了GRE报文，Key值为0x00001e240。这说明原始的ICMP报文（内层 IP：源172.16.1.10 -> 目的172.16.2.10）被作为载荷，封装在了新的隧道IP报文中（外层 IP：源12.12.12.1 -> 目的21.21.21.2），准备通过隧道传输给对端。

目录CONTENT

配置基于静态路由的GRE隧道