华三F100系列防火墙 、华为USG6300系列防火 GRE 隧道配置

GRE概述：

通用路由封装（GRE: Generic Routing Encapsulation）是通用路由封装协议，可以对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在IPV4网络中传输。

简单来说就是，将原数据包进行封装，添加上GRE包头及公网包头，使原报文的 源IP地址及目的IP地址变为公网IP地址，使其能够被运营商的公网路由识别并进行传输。属于VPN 技术的一种，可对不同协议的报文进行完全透明的封装，不改变原报文的任何结构与数据。经常用于路由协议（如OSPF,RIP,BGP等）传输、模拟专线直连等场景。

GRE封装过程：

1、 Router A 连接Group 1 的接口收到X 协议报文后，首先交由X 协议处理

2、X 协议检查报文头中的目的地址域来确定如何路由此包

3、 若报文的目的地址要经过Tunnel 才能到达，则设备将此报文发给相应的Tunnel 接口

4、 Tunnel 口收到此报文后进行GRE 封装，在封装IP 报文头后，设备根据此IP 包的目的地址及路由表对报文进行转发，从相应的网络接口发送出去。

 

华三F100系列防火墙配置命令：

-----创建隧道接口

interface Tunnel1 mode gre        ---创建隧道接口1，模式为GRE
description to-jz　　---备注信息
ip address 192.168.1.1 255.255.255.252    ---配置接口IP地址，一般为30为掩码，确定两个固定的IP地址。配置IP后，会激活接口的三层属性。
source *.*.*.*    ---GRE源地址（一般为本地公网出接口IP地址）
destination *.*.*.*   ---GRE目的地址（一般为对端公网出接口IP地址）

-----加入安全域

security-zone name Trust    ----进入需要加入的安全域

import interface Tunnel1    ----将隧道接口加入安全域

华为USG6300系列防火墙配置命令：

------创建隧道接口

interface Tunnel1    
description tosmx     ----备注
ip address 192.168.1.2 255.255.255.252
tunnel-protocol gre     ----接口模式设置为GRE
source *.*.*.*
destination *.*.*.*
service-manage ping permit    ----开放ping

-----加入安全域

firewall zone trust    ----进入需要加入的安全域

add interface Tunnel1      ----将隧道接口加入安全域

至此，GRE隧道的配置完成，可互ping对端的 GRE隧道IP地址进行测试。

------------------------------------------------------------------------------------------------------

路由添加

GRE配置完成后，相当于在两个设备之间，拉起了一条传输专线。想要进行通信，还需把相关数据引入这条专线，就需要配置路由了，这里可以使用动态路由（OSPF,RIP,BGP等），也可使用静态路由。

静态路由的配置：

ip route-static 10.0.0.0 8 Tunnel 1

由于GRE隧道是一种类似P2P线路的模式，出接口对端一定会对应一个唯一的下一跳地址，因此配置路由只需指定出接口即可，下一跳可配可不配，不会对传输造成影响。