实验环境:

这里我们用一台华为s3526交换机模拟INTERNET   两个H3C防火墙   两台Quidway S2403H-HI交换机

左右两边分别用华为的防火墙连接两个192.168.1.0和192.168.2.0网段的局域网

实现廉价连接使用×××技术

为了让两个局域网互相通信,在两个防火墙之间采用gre隧道技术(所谓隧道是逻辑的虚拟的)

实验目的:

在×××基础上建立GRE隧道技术实现192.168.1.0和192.168.2.0网段的局域网之间的互联。

实验拓扑:

华为×××+GRE_VPN

S3526交换机的配置(模拟internet)

<Quidway>system-view

[Quidway]sysname isp

创建vlan并把端口加入到vlan

[isp]vlan 10

[isp-vlan10]port e0/10

[isp-vlan10]vlan 20

[isp-vlan20]port e0/20

[isp-vlan20]quit

配置接口地址

[isp]int Vlan-interface 10

[isp-Vlan-interface10]ip add 61.130.130.2 255.255.255.252

[isp-Vlan-interface10]int vlan 20

[isp-Vlan-interface20]ip add 61.130.132.2 255.255.255.252

[isp]dis ip routing-table

华为×××+GRE_GRE_02

一:基本接口配置

fw1的配置

<H3C>system-view

[H3C]sysname fw1

配置接口地址

[fw1]interface eth0/0

[fw1-Ethernet0/0]ip add 192.168.1.254 24

[fw1-Ethernet0/0]int eth0/4

[fw1-Ethernet0/4]ip add 61.130.130.1 30

[fw1-Ethernet0/4]quit

把接口加入到区域

[fw1]firewall zone untrust 开启一个非信任区域

[fw1-zone-untrust]add interface eth0/4 把接口加入到区域

[fw1-zone-untrust]ping 61.130.130.2 测试和外网的连通性

华为×××+GRE_VPN_03

[fw1]ip route-static 0.0.0.0 0 61.130.130.2 配默认路由

华为×××+GRE_防火墙_04

fw2的配置

<H3C>system-view

[H3C]sysname fw2

配置接口地址

[fw2]int eth0/0

[fw2-Ethernet0/0]ip add 192.168.2.254 24

[fw2-Ethernet0/0]loopback  这里为了方便把e0/0口设置成loopback

[fw2-Ethernet0/0]int eth0/4

[fw2-Ethernet0/4]ip add 61.130.132.1 30

[fw2-Ethernet0/4]quit

把接口添加到区域

[fw2]firewall zone trust  开启一个信任区域

[fw2-zone-trust]add interface eth0/0

[fw2-zone-untrust]ping 61.130.132.2 测试与外网的连通性

华为×××+GRE_VPN_05

[fw2]dis ip routing-table 查看路由表

华为×××+GRE_防火墙_06

[fw2]ip route-static 0.0.0.0 0 61.130.132.2 配置默认路由

[fw2]ping 61.130.130.1  测试与fw1的连通性

华为×××+GRE_VPN_07

说明此时fw1与fw2之间已经能通信了

Pc1的配置

华为×××+GRE_华为_08

此时pc1与pc2之间不能访问既192.168.1.0和192.168.2.0之间不能访问

华为×××+GRE_GRE_09

二:×××和GRE的配置

fw1的vpn和gre设置

[fw1]interface Tunnel 10 建立编号为10的隧道

[fw1-Tunnel10]ip add 192.168.4.1 24 设置隧道接口地址

[fw1-Tunnel10]tunnel-protocol gre 设置隧道类型为gre

[fw1-Tunnel10]source 61.130.130.1 设置源地址

[fw1-Tunnel10]destination 61.130.132.1 设置目标地址

[fw1-Tunnel10]quit

[fw1]ip route-static 192.168.2.0 24 Tunnel 10 设置2.0网段的隧道出口为 Tunnel20

[fw1]firewall zone untrust 开启一个非信任区域

[fw1-zone-untrust]add interface Tunnel 10 把隧道接口加入到区域

[fw1-zone-untrust]ping 192.168.4.2 测试隧道之间的连通性

华为×××+GRE_GRE_10

fw2的vpn和gre配置

[fw2]int Tunnel 20 建立编号为20的隧道

[fw2-Tunnel20]tunnel-protocol gre 设置隧道类型gre

[fw2-Tunnel20]ip add 192.168.4.2 24

[fw2-Tunnel20]source 61.130.132.1 设置源地址源地址

[fw2-Tunnel20]destination  61.130.130.1 设置目标地址

[fw2]ip route-static 192.168.1.0 24 Tunnel 20 设置1.0网段的隧道出口为 Tunnel20

[fw2]firewall zone untrust    开启一个非信任区域

[fw2-zone-untrust]add interface Tunnel 20 把隧道接口加入到区域

[fw2]dis ip routing-table 查看路由表

华为×××+GRE_VPN_11

实验结果:

此时gre隧道已经建立好了pc1与pc2之间能互相访问既192.168.1.0和192.168.2.0之间能通信

华为×××+GRE_华为_12