防火墙GRE-VPN项目
更新时间:2023-03-08 09:39:22 阅读量: 综合文库 文档下载
- 防火墙gre隧道推荐度:
- 相关推荐
防火墙GRE-VPN项目
一、项目目的
1、理解GRE-VPN的基本原理。 2、掌握GRE-VPN配置方法。 3、掌握防火墙安全区域的划分 4、掌握防火墙安全策略的配置 5、掌握防火墙NAT策略的配置 二、组网环境
华为USG6000V 路由器(或者三层交换机) PC 三、组网拓扑图
两台 一台 两台
四、配置步骤 1、互联网AR1的配置
[Huawei]interface LoopBack 0
[Huawei-LoopBack0]ip address 10.10.10.10 32
配置测试用的回环地址
[Huawei-LoopBack0]quit
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.254 24 [Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 2.2.2.254 24
2、FW1防火墙的配置 1)GRE相关的配置
[USG6000V1]security-policy
[USG6000V1-policy-security]default action permit 将防火墙的默认安全策略改为允许所有
备注:
开启允许所有的目的是方便测试GRE,待GRE测试正确后在编写详细的安全策略即可,届时在修改默认策略为拒绝所有
[USG6000V1-policy-security]quit
[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 1.1.1.1 24 配置公网接口的IP
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.1.254 24 配置内网的网关地址
[USG6000V1-GigabitEthernet1/0/1]quit [USG6000V1]interface Tunnel 1
GRE协议的封装必须借助Tunnel接口,Tunnel是虚拟接口
备注:
Tunnel是一个虚拟的点对点连接,可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路,使封装的数据能够在通路上传输,并在一个Tunnel的两端分别对数据进行封装和解封装。
[USG6000V1-Tunnel1]tunnel-protocol gre
封装Tunnel的协议为GRE协议
[USG6000V1-Tunnel1]ip address 100.100.100.1 24 配置Tunnel接口的IP地址
[USG6000V1-Tunnel1]source 1.1.1.1 封装源地址为1.1.1.1,即本端的公网接口地址 [USG6000V1-Tunnel1]destination 2.2.2.2 封装目的地址为2.2.2.2,即对端的公网接口地址
备注:
GRE-VPN通俗点讲其实就是将原始的源目IP通过GRE协议封装后,添加一个新的IP头部,并且以本端公网接口IP为源、以对端公网接口IP为目的,从而骗过互联网,实现隧道传输。
[USG6000V1-Tunnel1]gre key cipher 123456
设置GRE的封装密码
[USG6000V1-Tunnel1]quit
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0 [USG6000V1-zone-untrust]quit
互联网安全区域为UNTRUST
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1 [USG6000V1-zone-trust]quit
内部网络安全区域为TRUST
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface Tunnel 1 [USG6000V1-zone-dmz]quit
备注:
防火墙的过滤是基于安全区域的,Tunnel虽是虚拟接口,同样也必须加入安全区域。
[USG6000V1]ip route-static 0.0.0.0 0 1.1.1.254
配置去往公网的缺省路由
[USG6000V1]ip route-static 192.168.2.0 255.255.255.0 Tunnel 1 配置到对端内部网络的路由,下一跳为Tunnel接口
备注:
此处为通过静态路由添加路由,也可通过动态路由宣告,宣告时只需宣告内网网段和Tunnel接口对应的网段即可,切记不可宣告公网网段,否则会导致十分严重的后果。以ospf为例如下: [USG6000V1]ospf 1
[USG6000V1-ospf-1]area 0
[USG6000V1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255(内网对应的网段) [USG6000V1-ospf-1-area-0.0.0.0]network 100.100.100.0 0.0.0.255(Tunnel接口对应的网段)
2)NAT策略的配置
[USG6000V1]nat-policy
进入NAT策略配置
[USG6000V1-policy-nat]rule name inter
创建NAT策略并命名
[USG6000V1-policy-nat-rule-inter]source-zone trust
指定源区域
[USG6000V1-policy-nat-rule-inter]destination-zone untrust 指定目的区域
[USG6000V1-policy-nat-rule-inter]action nat easy-ip 选择easy-ip
备注:
防火墙中的easy-ip即PAT
3)安全策略的配置
安全策略的配置主要通过命令display firewall session table verbose查看对应的会话列表编写即可,较为简单。
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name gre
创建允许GRE协议的安全策略
[USG6000V1-policy-security-rule-gre]source-zone untrust [USG6000V1-policy-security-rule-gre]destination-zone local [USG6000V1-policy-security-rule-gre]service protocol 47 GEP协议是基于IP协议的,协议号为47
[USG6000V1-policy-security-rule-gre]action permit [USG6000V1-policy-security-rule-gre]quit [USG6000V1-policy-security]rule name ping
创建ping测试的安全策略
[USG6000V1-policy-security-rule-ping]source-zone trust dmz
[USG6000V1-policy-security-rule-ping]destination-zone trust untrust
备注:
此处的目的区域untrust是内网访问互联网的安全策略,亦可分开编写,原理相同。
[USG6000V1-policy-security-rule-ping]service icmp [USG6000V1-policy-security-rule-ping]action permit [USG6000V1-policy-security-rule-ping]quit
[USG6000V1-policy-security]default action deny 修改默认安全策略为拒绝所有
3、FW2防火墙的配置 1)GRE相关的配置
[USG6000V1]security-policy
[USG6000V1-policy-security]default action permit [USG6000V1-policy-security]quit
[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 2.2.2.2 24 [USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.254 24 [USG6000V1-GigabitEthernet1/0/1]quit [USG6000V1]interface Tunnel 1
[USG6000V1-Tunnel1]tunnel-protocol gre
[USG6000V1-Tunnel1]ip address 100.100.100.254 24 [USG6000V1-Tunnel1]source 2.2.2.2
dmz 封装源地址为2.2.2.2,即本端的公网接口地址 [USG6000V1-Tunnel1]destination 1.1.1.1 封装目的地址为1.1.1.1,即对端的公网接口地址
备注:
和对端的的配置源目对换
[USG6000V1-Tunnel1]gre key cipher 123456
备注:
GRE协议为对称加密,所以本端和对端都要配置此命令并且必须保证密码一致。
[USG6000V1-Tunnel1]quit
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0 [USG6000V1-zone-untrust]quit [USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1 [USG6000V1-zone-trust]quit [USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface Tunnel 1 [USG6000V1-zone-dmz]quit
[USG6000V1]ip route-static 0.0.0.0 0 2.2.2.254
[USG6000V1]ip route-static 192.168.1.0 255.255.255.0 Tunnel 1
2)NAT策略的配置
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name inter
[USG6000V1-policy-nat-rule-inter]source-zone trust
[USG6000V1-policy-nat-rule-inter]destination-zone untrust [USG6000V1-policy-nat-rule-inter]action nat easy-ip
3)安全策略的配置
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name gre
[USG6000V1-policy-security-rule-gre]source-zone untrust [USG6000V1-policy-security-rule-gre]destination-zone local [USG6000V1-policy-security-rule-gre]service protocol 47 [USG6000V1-policy-security-rule-gre]action permit [USG6000V1-policy-security-rule-gre]quit [USG6000V1-policy-security]rule name ping
[USG6000V1-policy-security-rule-ping]source-zone trust dmz
[USG6000V1-policy-security-rule-ping]destination-zone trust untrust
[USG6000V1-policy-security-rule-ping]service icmp [USG6000V1-policy-security-rule-ping]action permit [USG6000V1-policy-security-rule-ping]quit
dmz
[USG6000V1-policy-security]default action deny
4、PC配置IP及测试 PC1配置IP:192.168.1.1 子网掩码:255.255.255.0 网关地址:192.168.1.254
PC2配置IP:192.168.2.1 子网掩码:255.255.255.0 网关地址:192.168.2.254
备注:
VPN本端和对端的内网网段必须不同。
PC1访问PC2测试如下
PC1访问互联网测试如下(互联网10.10.10.10做测试)
PC2测试略
正在阅读:
防火墙GRE-VPN项目03-08
一年级奥数天天练试题及答案11-15
简介自我介绍02-24
2009-11-25 软件源代码安全检测 - 打印09-04
嵌入式系统期末考试题库及答案12-14
人教版三年级英语上册第一单元测试题105-21
最新部编语文三年级上词语期中期末归纳整理总复习 基础知识必记1-3单元- 201-28
暑期社会实践心得体会08-06
极致温柔的治愈短句_朋友圈温柔文案08-03
- 《江苏省环境水质(地表水)自动监测预警系统运行管理办法(试行)》
- 安乐死合法化辩论赛立论稿(浙大新生赛)
- 公共科目模拟试卷公务员考试资料
- 我国固定资产投资FAI对GDP的影响
- 大学生创新创业训练计划项目申请书大创项目申报表
- 完美版—单片机控制步进电机
- 2013资阳中考化学试题
- 18.两位数减一位数退位(397道)
- 工程量计算规则
- 二年级操行评语(下)
- 第3章 流程控制语句
- 浅基桥墩加固技术
- 课题研究的主要方法
- 5100软件说明书 - 图文
- 车间技术员年终总结
- 关于印发《中铁建工集团开展项目管理实验室活动方案》的通知
- 经典诵读结题报告
- 地下水动力学习题答案
- 2018年全国各地高考数学模拟试题平面解析几何试题汇编(含答案解
- 街道办事处主任2018年度述职述廉报告
- 防火墙
- 项目
- GRE
- VPN
- 五治七律学习心得体会
- 2015-2020年中国眼镜制造行业分析与投资前景预测报告 - 图文
- 2011高考数学一轮复习精讲精练系列教案:三角函数
- 钢筋支架计算书
- 中国上下五千年论文
- 拨开浮云见月明 详解手机双核处理器 - 图文
- 步步高 学案导学设计高中数学 3.2一元二次不等式及其解法(二)
- 会计制度设计复习题及答案讲解
- 人教版二年级语文下册第二单元测试题
- “十三五”重点项目-功夫酸项目可行性研究报告
- 做一名有责任心的教师
- 先秦文学第二课时周代文学
- 汉王OCR企业票据自动录入归档管理系统
- 2015年全国大学生数学建模竞赛获奖名单(初稿)
- 2016-2022年中国光纤连接器网卡行业市场分析及投资方向研究报告
- 偶氮二异丁腈安全技术说明书
- 金融市场风险的定量度量方法及MATLAB实现毕业论文
- 安新教师招聘14年考试时间
- 哈头才当至康巴什供水工程施工管理工作报告(新)
- 2016-2022年中国玻璃瓶市场运营状况分析及投资前景价值评估报告