VPN之GRE隧道协议案例配置

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

VPN 虚拟专用网,全称:Virtual Private Network 是一种基于公共数据网的服务,它主要依赖ISP,在公共网络中建立虚拟专用通信网络。

隧道技术:在VPN中广泛使用了隧道技术,隧道是一种封装技术,它是利用一种网络协议来传输另一种网络协议。即利用一种网络协议,将其它的一些协议产生的数据报文封装在自己的报文中,而后在网络中传输,它的通信只是一个虚拟的连接。

隧道是通过隧道协议来实现,隧道协议包括:第二层隧道协议(PPTP、L2TP)和第三层隧道协议(GRE、IPsec),下面主要讲解第三层隧道协议:GRE

GRE隧道协议

GRE 通用路由封装协议,英文名称:Generic Routing Encapsulation 它实际上是一种封装协议,提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为tunnel(隧道)

GRE数据包的格式是乘客协议、封装协议与运输协议3部分组成

1.乘客协议:用户要传输的数据,这是真正用户要传输的数据,可以是IP或IPX等

2.封装协议:用于建立、保持、拆卸隧道的协议,比如GRE、IPSEC,它把乘客协议报文进行“包装”,加上一个GRE头部,然后再把封装好的原始报文和GRE头部,放在IP 地方的“数据区”,由IP进行传输。

3.运输协议:主要是指乘客协议被封装协议封装之后要发送出去应用的协议,现在我们主要使用的是IP协议。

如果使用我们平时发信来比喻的话,乘客协议就是我们写的信的内容(不同的协议就等于是不同的语言),而封装协议就是指信封,它对信件进行封装,而运输协议就是我们用哪种方式(协议)把信送出去。

示例:gre在中小企业中的应用

拓扑图

现在我们的要求就是让北京总公司与上海分公司通过广域网之后,两边内网能够相互通信,由于是实验环境,我们使用一个三层交换机来模拟广域网,为了保证其安全性,使用两

个H3C的防火墙来做GRE接入

第二阶段:配置广域网通信

1.配置广域网

system

Enter system view, return to user view with Ctrl+Z.

[Quidway]vlan 10 //创建vlan10

[Quidway-vlan10]port eth0/1 //将1端口加入vlan

[Quidway-vlan10]vlan 20 //创建vlan20

[Quidway-vlan20]port eth0/2 //将端口2加入

[Quidway-vlan20]int vlan 10

[Quidway-Vlan-interface10]ip add 61.130.131.1 255.255.255.0 //配置vlan ip [Quidway-Vlan-interface10]int vlan 20

[Quidway-Vlan-interface20]ip add 61.130.130.1 255.255.255.0 //配置vlan ip

2.北京总公司防火墙配置

system

[H3C]int eth0/0

[H3C-Ethernet0/0]ip add 192.168.1.1 24 //配置内网网关

[H3C-Ethernet0/0]int eth0/4

[H3C-Ethernet0/4]ip add 61.130.131.2 24 //配置外网ip

[H3C]firewall zone untrust

[H3C-zone-untrust]add int eth0/4 //将eth0/4加入untrust区域[H3C-zone-untrust]

[H3C]ip route-static 0.0.0.0 0 61.130.131.1 //配置静态路由

3.上海分公司防火墙配置

system

System View: return to User View with Ctrl+Z.

[H3C]int eth0/0

[H3C-Ethernet0/0]ip add 192.168.2.1 24 //内网网关

[H3C-Ethernet0/0]int eth0/4

[H3C-Ethernet0/4]ip add 61.130.130.2 24 //外网IP

[H3C]firewall zone untrust

[H3C-zone-untrust]add int eth0/4 //将eth0/4加入untrust区域[H3C]ip route-static 0.0.0.0 0 61.130.130.1 //配置静态路由

4.测试

使用北京防火墙ping上海防火墙端口ip

[H3C]ping 61.130.130.2

PING 61.130.130.2: 56 data bytes, press CTRL_C to break

Reply from 61.130.130.2: bytes=56 Sequence=1 ttl=254 time=19 ms

Reply from 61.130.130.2: bytes=56 Sequence=2 ttl=254 time=6 ms

Reply from 61.130.130.2: bytes=56 Sequence=3 ttl=254 time=5 ms

Reply from 61.130.130.2: bytes=56 Sequence=4 ttl=254 time=5 ms

Reply from 61.130.130.2: bytes=56 Sequence=5 ttl=254 time=6 ms

--- 61.130.130.2 ping statistics ---

5 packet(s) transmitted

相关文档
最新文档