最佳答案
本案例適用於軟件平台為Comware V7係列防火牆:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。
注:本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上進行配置和驗證的。
總部和分部各有一台防火牆部署在互聯網出口,因業務需要兩端內網業務需要通過GRE VPN相互訪問。IP地址及接口規劃如下表所示:
|
公司名稱 |
外網接口 |
公網地址/掩碼 |
公網網關 |
內網接口 |
內網地址/掩碼 |
|
總部 |
1/0/3 |
101.88.26.34/30 |
101.88.26.33 |
1/0/4 |
192.168.10.0/24 |
|
分部 |
1/0/3 |
198.76.26.90/30 |
198.76.26.89 |
1/0/4 |
192.168.20.0/24 |
#輸入命令“system-view”進入係統視圖後為1/0/3接口配置101.88.26.34/30的地址,並配置nat地址轉換。
<H3C>system-view //進入係統視圖
[H3C]interface GigabitEthernet 1/0/3 //進入1/0/3口
[H3C-GigabitEthernet1/0/3]ip address 101.88.26.34 255.255.255.252//配置外網口ip地址和掩碼
[H3C-GigabitEthernet1/0/3]nat outbound //開啟nat轉換
[H3C-GigabitEthernet1/0/3]quit //退出
#在1/0/4接口配置連接內網地址192.168.10.1/24。
[H3C]interface GigabitEthernet 1/0/4 //進入1/0/4口
[H3C-GigabitEthernet1/0/4]ip address 192.168.10.1 255.255.255.0 //指定IP地址為192.168.10.1
[H3C-GigabitEthernet1/0/4]quit //退出當前視圖
#配置默認路由目的地址及掩碼為0.0.0.0、下一跳(網關)地址為101.88.26.33。
[H3C]ip route-static 0.0.0.0 0 101.88.26.33
5.2 總部側GRE VPN配置
5.2.1 新建Tunnel 0隧道接口
#新建Tunnel 0隧道接口,並配置IP地址為1.1.1.1/24,指定Tunnel 0接口源地址與目的地址分別對應總部分支側的公網地址。
[H3C]interface Tunnel 0 mode gre //新建Tunnel 0隧道接口
[H3C-Tunnel0]ip address 1.1.1.1 255.255.255.0 //配置IP地址為1.1.1.1/24
[H3C-Tunnel0]source 101.88.26.34 //指定Tunnel 0接口源地址
[H3C-Tunnel0]destination 198.76.26.90 //指定目的地址
[H3C-Tunnel0]quit //退出
5.2.2 新建到tunnel接口的明細路由
#新建一條目的地址為192.168.20.0/24,下一跳(網關)地址為tunnel0接口的路由,用於匹配去往192.168.20.0/24網段的路由客戶通過隧道轉發。
[H3C]ip route-static 192.168.20.0 24 Tunnel 0
5.3.1 將外網、內網、tunnel接口加入對應安全
#外網接口加untrust區域、內網接口、tunnel接口加入trust區域。
[H3C]security-zone name Untrust //進入untrust域
[H3C-security-zone-Untrust]import interface GigabitEthernet 1/0/3 //將1/0/1端口加入到Untrust域
[H3C-security-zone-Untrust]quit //退出
[H3C]security-zone name Trust //進入trust域
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/4 //將1/0/4端口加入到trust域
[H3C-security-zone-Trust]import interface Tunnel 0 //將tunnel0端口加入到trust域
[H3C-security-zone-Trust]quit //退出當前視圖
1. 放通trust到untrust、local的安全策略,使內網用戶訪問網絡的同時能管理防火牆設備。
[H3C]security-policy ip //創建ipv4安全策略
[H3C-security-policy-ip]rule 5 name trust-untrust、local //創建規則5
[H3C-security-policy-ip-5-trust-untrust、local]action pass //設置動作為允許
[H3C-security-policy-ip-5-trust-untrust、local]source-zone trust //添加源安全域Trust
[H3C-security-policy-ip-5-trust-untrust、local]destination-zone untrust //添加目的安全域Untrust
[H3C-security-policy-ip-5-trust-untrust、local]destination-zone local //添加目的安全域local
[H3C-security-policy-ip-5-trust-untrust、local]quit //退出
[H3C-security-policy-ip]quit //退出當前視圖
2. 放通untrust到trust目的地址為192.168.20.0/24網段到192.168.10.0/24網段的數據
#新建IPV4地址對象組分部網段與總部網段分別對應192.168.20.0/24與192.168.10.0/24網段。
[H3C]object-group ip address 分部網段 //新建IPV4地址對象組分部網段
[H3C-obj-grp-ip-分部網段]0 network subnet 192.168.20.0 255.255.255.0 //添加192.168.20網段
[H3C-obj-grp-ip-分部網段]quit //退出當前視圖
[H3C]object-group ip address 總部網段 //新建IPV4地址對象組總部網段
[H3C-obj-grp-ip-總部網段]0 network subnet 192.168.10.0 255.255.255.0 //添加192.168.10網段
[H3C-obj-grp-ip-總部網段]quit //退出當前視圖
#新建IPV4策略放通untrust-trust
[H3C]security-policy ip //創建ipv4安全策略
[H3C-security-policy-ip]rule 10 name untrust-trust //創建規則10
[H3C-security-policy-ip-10-untrust-trust]action pass //設置動作為允許
[H3C-security-policy-ip-10-untrust-trust]source-zone untrust //添加源安全域Untrust
[H3C-security-policy-ip-10-untrust-trust]destination-zone trust //添加目的安全域Trust
[H3C-security-policy-ip-10-untrust-trust]source-ip分部網段 //添加源地址組分部網段
[H3C-security-policy-ip-10-untrust-trust]destination-ip總部網段 //添加目的地址組總部網段
[H3C-security-policy-ip-10-untrust-trust]quit //退出
[H3C-security-policy-ip]quit //退出當前視圖
#放通同安全域間的安全策略
[H3C]security-zone intra-zone default permit //放通同安全域間的安全策略
5.4 分部側防火牆GRE配置
分部防火牆與總部側防火牆配置方法一致。
#使用總部側PC機PING測試分部側PC機測試:
可以看到在總部側訪問分部數據可達,並且通過“display interface Tunnel 0”可以看到收發包數量。
<H3C>display interface Tunnel 0
Tunnel0
Current state: UP
Line protocol state: UP
Description: Tunnel0 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 1476
Internet address: 1.1.1.1/24 (primary)
Tunnel source 101.88.26.34, destination 198.76.26.90
Tunnel keepalive disabled
Tunnel TTL 255
Tunnel protocol/transport GRE/IP
GRE key disabled
Checksumming of GRE packets disabled
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 5 packets, 420 bytes, 0 drops
Output: 5 packets, 420 bytes, 0 drops
[H3C]save force
- 2024-08-08回答
- 評論(0)
- 舉報
-
(0)
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論