GRE概述:
通用路由封裝(GRE: Generic Routing Encapsulation)是通用路由封裝協議,可以對某些網絡層協議的數據報進行封裝,使這些被封裝的數據報能夠在IPV4網絡中傳輸。
簡單來說就是,將原數據包進行封裝,添加上GRE包頭及公網包頭,使原報文的 源IP地址及目的IP地址變為公網IP地址,使其能夠被運營商的公網路由識別並進行傳輸。屬於VPN 技術的一種,可對不同協議的報文進行完全透明的封裝,不改變原報文的任何結構與數據。經常用於路由協議(如OSPF,RIP,BGP等)傳輸、模擬專線直連等場景。
GRE封裝過程:
interface Tunnel1 mode gre ---創建隧道接口1,模式為GRE
description to-jz ---備注信息
ip address 192.168.1.1 255.255.255.252 ---配置接口IP地址,一般為30為掩碼,確定兩個固定的IP地址。配置IP后,會激活接口的三層屬性。
source *.*.*.* ---GRE源地址(一般為本地公網出接口IP地址)
destination *.*.*.* ---GRE目的地址(一般為對端公網出接口IP地址)
-----加入安全域
security-zone name Trust ----進入需要加入的安全域
import interface Tunnel1 ----將隧道接口加入安全域
華為USG6300系列防火牆配置命令:
------創建隧道接口
interface Tunnel1
description tosmx ----備注
ip address 192.168.1.2 255.255.255.252
tunnel-protocol gre ----接口模式設置為GRE
source *.*.*.*
destination *.*.*.*
service-manage ping permit ----開放ping
-----加入安全域
firewall zone trust ----進入需要加入的安全域
add interface Tunnel1 ----將隧道接口加入安全域
至此,GRE隧道的配置完成,可互ping對端的 GRE隧道IP地址進行測試。
------------------------------------------------------------------------------------------------------
路由添加
GRE配置完成后,相當於在兩個設備之間,拉起了一條傳輸專線。想要進行通信,還需把相關數據引入這條專線,就需要配置路由了,這里可以使用動態路由(OSPF,RIP,BGP等),也可使用靜態路由。
靜態路由的配置:
ip route-static 10.0.0.0 8 Tunnel 1
由於GRE隧道是一種類似P2P線路的模式,出接口對端一定會對應一個唯一的下一跳地址,因此配置路由只需指定出接口即可,下一跳可配可不配,不會對傳輸造成影響。