" />
侧边栏壁纸
博主头像
计算机技术学习

  • 累计撰写 32 篇文章
  • 累计创建 46 个标签
  • 累计收到 9 条评论

目 录CONTENT

文章目录
网络

配置基于OSPF的GRE隧道

Jhl
Jhl
2026-05-15 / 0 评论 / 0 点赞 / 4 阅读 / 0 字
温馨提示:
部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

组网需求

如下所示,FW1和FW2通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,内部部署了OSPF动态路由。通过在两台FW之间建立GRE隧道实现两个私有IP网络跨越Internet交互OSPF路由信息。

6.png

配置思路

  1. 在FW1和FW1上分别创建一个Tunnel接口。
    在Tunnel接口中指定隧道的源IP地址和目的IP等封装参数。

  2. 配置OSPF动态路由。

启用一个OSPF进程,指定运行OSPF协议的接口。在本例中,网络1中的私网网段172.16.1.0/24和Tunnel地址所在的网段192.168.12.0/24需要通过GRE隧道发布给网络2,隧道两端Tunnel接口通过GRE隧道建立起邻接关系。

  1. 配置安全策略,允许GRE隧道的建立和流量的转发。

操作步骤

1.配置接口的IP地址,并将接口加入安全区域

FW1

防火墙首次登录需要修改密码,登录默认用户名密码admin/Admin@123。

#进入系统视图
<USG6000V1>system-view
#修改设备名称
[USG6000V1]sysname FW1

#进入接口GE0/0/0视图
[FW1]interface GigabitEthernet 1/0/0
#为接口GE1/0/0配置IP地址为12.12.12.1,子网掩码为255.255.255.0
[FW1-GigabitEthernet1/0/0]ip address 12.12.12.1 24
#从接口视图返回到系统视图
[FW1-GigabitEthernet1/0/0]quit 

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 172.16.1.1 24
[FW1-GigabitEthernet1/0/1]quit

#创建编号为1的Tunnel接口,并进入该Tunnel接口视图
[FW1]interface Tunnel 1
[FW1-Tunnel1]ip address 192.168.12.1 24
[FW1-Tunnel1]quit

#进入Trust安全区域视图
[FW1]firewall zone trust 
#将接口GigabitEthernet1/0/0加入到Trust安全区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/1
#从安全区域视图返回到系统视图
[FW1-zone-trust]quit

[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/0
[FW1-zone-untrust]quit

[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface Tunnel 1
[FW1-zone-dmz]quit

FW2

<USG6000V1>system-view
[USG6000V1]sysname FW2

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 172.16.2.2 24
[FW1-GigabitEthernet1/0/0]quit 

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 21.21.21.2 24
[FW1-GigabitEthernet1/0/1]quit

[FW1]interface Tunnel 1
[FW1-Tunnel1]ip address 192.168.12.2 24
[FW1-Tunnel1]quit

[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1-zone-trust]quit

[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]quit

[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface Tunnel 1
[FW1-zone-dmz]quit

Internet

<Huawei>sys
[Huawei]sys Internet

[Internet]int GigabitEthernet 0/0/0
[Internet-GigabitEthernet0/0/0]ip address 12.12.12.2 24
[Internet-GigabitEthernet0/0/0]quit

[Internet]int GigabitEthernet 0/0/1
[Internet-GigabitEthernet0/0/1]ip address 21.21.21.1 24
[Internet-GigabitEthernet0/0/1]quit

PC1

7-JfmT.png

PC2

8-rsXa.png

2.配置路由

在FW1和FW2上配置静态路由使模拟Internet网络互通。

将网络1和网络2的私网网段172.16.1.0/24、172.16.2.0/24和Tunnel接口对应的网段192.168.12.0/24通过OSPF发布出去。

提示:建议在这一步操作时,在FW1或FW2的出接口上进行抓包,方便后续根据抓包结果进行验证。

FW1

#配置FW1到FW2网络互通
[FW1]ip route-static 21.21.21.0 24 12.12.12.2

#启动OSPF
[FW1]ospf 1
#配置172.16.1.0、192.168.12.0网段所在的区域为区域0
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit

FW2

[FW1]ip route-static 12.12.12.0 24 21.21.21.1

[FW2]ospf 1
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit

3.配置Tunnel接口的封装参数

需要配置封装协议、源地址/接口、目的地址、认证。

FW1

[FW1]interface Tunnel 1
#配置Tunnel接口为GRE隧道模式
[FW1-Tunnel1]tunnel-protocol gre
#配置Tunnel接口的源地址或源接口
[FW1-Tunnel1]source GigabitEthernet1/0/0
#配置Tunnel 1接口的目的端地址为21.21.21.2
[FW1-Tunnel1]destination 21.21.21.2
#设置隧道的识别关键字
[FW1-Tunnel1]gre key cipher 123456
[FW1-Tunnel1]quit

FW2

[FW2]interface Tunnel1
[FW2-Tunnel1] tunnel-protocol gre
[FW2-Tunnel1] source 21.21.21.2
[FW2-Tunnel1] destination 12.12.12.1
[FW2-Tunnel1] gre key cipher 123456
[FW2-Tunnel1]quit

4.配置域间安全策略

需要配置PC到FW(Trust到DMZ)、FW到FW(Local到Untrust)的安全策略。

注意:由于安全策略具有方向性,所需要需要配置双向的安全策略。可以使用FW1和FW2中方法进行配置。

FW1

[FW1]security-policy

#配置允许封装前的报文通过域间安全策略
[FW1-policy-security]rule name 1
[FW1-policy-security-rule-1]source-zone trust 
[FW1-policy-security-rule-1]destination-zone dmz 
[FW1-policy-security-rule-1]action permit 
[FW1-policy-security-rule-1]quit 
[FW1-policy-security]rule name 2
[FW1-policy-security-rule-1]source-zone dmz 
[FW1-policy-security-rule-1]destination-zone trust
[FW1-policy-security-rule-1]action permit 
[FW1-policy-security-rule-1]quit 

#配置允许封装后的GRE报文通过域间安全策略
[FW1-policy-security]rule name 3
[FW1-policy-security-rule-2]source-zone local 
[FW1-policy-security-rule-2]destination-zone untrust 
[FW1-policy-security-rule-2]action permit 
[FW1-policy-security-rule-2]quit
[FW1-policy-security]rule name 4
[FW1-policy-security-rule-2]source-zone untrust 
[FW1-policy-security-rule-2]destination-zone local 
[FW1-policy-security-rule-2]action permit 
[FW1-policy-security-rule-2]quit

FW2

[FW2]security-policy

[FW2-policy-security]rule name 1
[FW2-policy-security-rule-1]source-zone trust dmz
[FW2-policy-security-rule-1]destination-zone dmz trust
[FW2-policy-security-rule-1]action permit
[FW2-policy-security-rule-1]quit

[FW2-policy-security] rule name 2
[FW2-policy-security-rule-2]source-zone local untrust
[FW2-policy-security-rule-2]destination-zone untrust local
[FW2-policy-security-rule-2]action permit
[FW2-policy-security-rule-2]quit

5.验证配置结果

在FW1使用display ip routing-table命令查看路由表。可以看到目的地址为172.16.2.0/24,出接口为Tunnel1的路由。

FW1

[FW1]display ip routing-table
2026-05-15 09:50:56.920 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 10       Routes : 10       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

     12.12.12.0/24  Direct  0    0           D   12.12.12.1      GigabitEthernet1/0/0
     12.12.12.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet1/0/0
     21.21.21.0/24  Static  60   0          RD   12.12.12.2      GigabitEthernet1/0/0
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
     172.16.1.0/24  Direct  0    0           D   172.16.1.1      GigabitEthernet1/0/1
     172.16.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet1/0/1
     172.16.2.0/24  OSPF    10   1563        D   192.168.12.2    Tunnel1
   192.168.12.0/24  Direct  0    0           D   192.168.12.1    Tunnel1
   192.168.12.1/32  Direct  0    0           D   127.0.0.1       Tunnel1

如下图所示,Wireshark捕获到了GRE报文。这说明OSPF报文被作为载荷,封装在了新的隧道IP报文中,通过模拟Internet网络发送给对端来交互OSPF路由。

10.png

网络1中的PC1与网络2中的PC2能够相互ping通

PC1

PC>ping 172.16.2.10

Ping 172.16.2.10: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 172.16.2.10: bytes=32 seq=2 ttl=126 time=16 ms
From 172.16.2.10: bytes=32 seq=3 ttl=126 time=15 ms
From 172.16.2.10: bytes=32 seq=4 ttl=126 time=32 ms
From 172.16.2.10: bytes=32 seq=5 ttl=126 time=15 ms

--- 172.16.2.10 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/19/32 ms

如下图所示,Wireshark捕获到了GRE报文。这说明原始的ICMP报文(内层 IP:源172.16.1.10 -> 目的172.16.2.10)被作为载荷,封装在了新的隧道IP报文中(外层 IP:源12.12.12.1 -> 目的21.21.21.2),通过隧道传输给对端。

11.png

0
FW 防火墙 GRE ENSP 静态路由 动态路由 OSPF
版权归属: Jhl
本文链接: https://www.ljh99.cn/archives/1778839130063
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区