VPN之GRE隧道協(xié)議案例配置

VPN虛擬專用網(wǎng)，全稱：VirtualPrivateNetwork是一種基于公共數(shù)據(jù)網(wǎng)的服務(wù)，它主要依賴ISP，在公共網(wǎng)絡(luò)中建立虛擬專用通信網(wǎng)絡(luò)。隧道技術(shù)：在VPN中廣泛使用了隧道技術(shù)，隧道是一種封裝技術(shù)，它是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議。即利用一種網(wǎng)絡(luò)協(xié)議，將其它的一些協(xié)議產(chǎn)生的數(shù)據(jù)報文封裝在自己的報文中，而后在網(wǎng)絡(luò)中傳輸，它的通信只是一個虛擬的連接。隧道是通過隧道協(xié)議來實現(xiàn)，隧道協(xié)議包括：第二層隧道協(xié)議(PPTP、L2TP)和第三層隧道協(xié)議(GRE、IPsec)，下面主要講解第三層隧道協(xié)議：GREGRE隧道協(xié)議GRE通用路由封裝協(xié)議，英文名稱：GenericRoutingEncapsulation

它實際上是一種封裝協(xié)議，提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，使報文能夠在異種網(wǎng)絡(luò)中傳輸，異種報文傳輸?shù)耐ǖ婪Q為tunnel（隧道）GRE數(shù)據(jù)包的格式是乘客協(xié)議、封裝協(xié)議與運輸協(xié)議3部分組成1.乘客協(xié)議：用戶要傳輸?shù)臄?shù)據(jù)，這是真正用戶要傳輸?shù)臄?shù)據(jù)，可以是IP或IPX等2.封裝協(xié)議：用于建立、保持、拆卸隧道的協(xié)議，比如GRE、IPSEC，它把乘客協(xié)議報文進(jìn)行“包裝”，加上一個GRE頭部，然后再把封裝好的原始報文和GRE頭部，放在IP地方的“數(shù)據(jù)區(qū)”，由IP進(jìn)行傳輸。3.運輸協(xié)議：主要是指乘客協(xié)議被封裝協(xié)議封裝之后要發(fā)送出去應(yīng)用的協(xié)議，現(xiàn)在我們主要使用的是IP協(xié)議。如果使用我們平時發(fā)信來比喻的話，乘客協(xié)議就是我們寫的信的內(nèi)容(不同的協(xié)議就等于是不同的語言)，而封裝協(xié)議就是指信封，它對信件進(jìn)行封裝，而運輸協(xié)議就是我們用哪種方式(協(xié)議)把信送出去。示例：gre在中小企業(yè)中的應(yīng)用拓?fù)鋱D現(xiàn)在我們的要求就是讓北京總公司與上海分公司通過廣域網(wǎng)之后，兩邊內(nèi)網(wǎng)能夠相互通信，由于是實驗環(huán)境，我們使用一個三層交換機來模擬廣域網(wǎng)，為了保證其安全性，使用兩個H3C的防火墻來做GRE接入第二階段：配置廣域網(wǎng)通信1.配置廣域網(wǎng)<Quidway>systemEntersystemview,returntouserviewwithCtrl+Z.[Quidway]vlan10

//創(chuàng)建vlan10[Quidway-vlan10]porteth0/1

//將1端口加入vlan[Quidway-vlan10]vlan20

//創(chuàng)建vlan20[Quidway-vlan20]porteth0/2

//將端口2加入[Quidway-vlan20]intvlan10[Quidway-Vlan-interface10]ipadd

//配置vlanip[Quidway-Vlan-interface10]intvlan20[Quidway-Vlan-interface20]ipadd

//配置vlanip2.北京總公司防火墻配置<H3C>system[H3C]inteth0/0[H3C-Ethernet0/0]ipadd24

//配置內(nèi)網(wǎng)網(wǎng)關(guān)[H3C-Ethernet0/0]inteth0/4[H3C-Ethernet0/4]ipadd24

//配置外網(wǎng)ip[H3C]firewallzoneuntrust[H3C-zone-untrust]addinteth0/4

//將eth0/4加入untrust區(qū)域[H3C-zone-untrust][H3C]iproute-static0

//配置靜態(tài)路由3.上海分公司防火墻配置<H3C>systemSystemView:returntoUserViewwithCtrl+Z.[H3C]inteth0/0[H3C-Ethernet0/0]ipadd24

//內(nèi)網(wǎng)網(wǎng)關(guān)[H3C-Ethernet0/0]inteth0/4[H3C-Ethernet0/4]ipadd24

//外網(wǎng)IP[H3C]firewallzoneuntrust[H3C-zone-untrust]addinteth0/4

//將eth0/4加入untrust區(qū)域[H3C]iproute-static0

//配置靜態(tài)路由4.測試使用北京防火墻ping上海防火墻端口ip[H3C]pingPING:56

databytes,pressCTRL_CtobreakReplyfrom:bytes=56Sequence=1ttl=254time=19msReplyfrom:bytes=56Sequence=2ttl=254time=6msReplyfrom:bytes=56Sequence=3ttl=254time=5msReplyfrom:bytes=56Sequence=4ttl=254time=5msReplyfrom:bytes=56Sequence=5ttl=254time=6ms---pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=5/8/19ms第二階段：隧道配置1.北京總公司防火墻配置[H3C]intTunnel10

//創(chuàng)建隧道10[H3C-Tunnel10]tunnel-protocolgre

//gre封裝協(xié)議[H3C-Tunnel10]source

//源ip（外網(wǎng)合法ip）[H3C-Tunnel10]destination

//目的ip（對端合法ip）[H3C-Tunnel10]ipadd24

//隧道ip[H3C-Tunnel10]quit[H3C]iproute-staticTunnel10//靜態(tài)路由，指出到達(dá)網(wǎng)段的路由進(jìn)入tunnel10進(jìn)行傳輸[H3C]firewallzoneuntrust

[H3C-zone-untrust]addintTunnel10

//把隧道加入非安全區(qū)域2.上?？偣痉阑饓ε渲肹H3C]intTunnel20[H3C-Tunnel20]tunnel-protocolgre[H3C-Tunnel20]source[H3C-Tunnel20]destination[H3C-Tunnel20]ipadd24[H3C-Tunnel20]quit[H3C]iproute-staticTunnel20[H3C]firewallzoneuntrust[H3C-zone-untrust]addinterfaceTunnel203.測試使用北京總公司一個主機ping上海分公司的網(wǎng)關(guān)C:DocumentsandSettingsAdministrator>pingPingingwith32bytesofdata:Replyfrom:bytes=32time=8msTTL=254Replyfrom:bytes=32time=5msTTL=254Replyfrom:bytes=32time=4msTTL=254Replyfrom:bytes=32ti