網(wǎng)絡(luò)運(yùn)維|靜態(tài)路由的GRE隧道應(yīng)用

2020-06-14 16:09 作者：艾銻無(wú)限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下L2TPvpn使用實(shí)例， 網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+

北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+

+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

應(yīng)用靜態(tài)路由的GRE隧道

組網(wǎng)需求

 

配置思路

操作步驟

· 配置USG_A。

1. 配置接口基本參數(shù)。

a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中，單擊GE0/0/1對(duì)應(yīng)的。

c. 在“修改GigabitEthernet”界面中，配置如下：

§ 安全區(qū)域：trust

§ IP地址：10.1.1.1

§ 子網(wǎng)掩碼：255.255.255.0

其他配置項(xiàng)采用缺省值。

d. 單擊“應(yīng)用”。

e. 在“接口列表”中，單擊GE0/0/2對(duì)應(yīng)的。

f. 在“修改GigabitEthernet”界面中，配置如下：

§ 安全區(qū)域：untrust

§ IP地址：200.1.1.1

§ 子網(wǎng)掩碼：255.255.255.0

其他配置項(xiàng)采用缺省值。

g. 單擊“應(yīng)用”。

2. 配置GRE隧道接口。

 說(shuō)明：

GRE隧道接口可以加入到任意一個(gè)安全區(qū)域。當(dāng)GRE隧道接口和源端接口（源端地址所屬的接口）不在同一安全區(qū)域中時(shí)，需要配置域間包過(guò)濾，使兩個(gè)安全區(qū)域能夠互相訪問(wèn)。

a. 選擇“VPN > GRE > GRE”。

b. 在“GRE接口列表”中，單擊“新建”。
c. 配置GRE隧道接口參數(shù)。

3. 對(duì)于USG系列，配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常。對(duì)于USG BSR/HSR系列，不需要執(zhí)行此步驟。

a. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。

. 選擇“防火墻 > 安全策略 > 本地策略”。

i. 在“本地策略”中單擊“新建”。配置如下參數(shù)：

§ 源安全區(qū)域：untrust

§ 源地址：200.10.1.0/24

§ 動(dòng)作：permit

ii. 單擊“應(yīng)用”。

a. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。

i. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

ii. 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。

§ 源安全區(qū)域：trust

§ 目的安全區(qū)域：untrust

§ 源地址：10.1.1.0/24

§ 目的地址：192.168.1.0/24

§ 動(dòng)作：permit

iii. 單擊“應(yīng)用”。

iv. 重新在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。

§ 源安全區(qū)域：untrust

§ 目的安全區(qū)域：trust

§ 源地址：192.168.1.0/24

§ 目的地址：10.1.1.0/24

§ 動(dòng)作：permit

v. 單擊“應(yīng)用”。

1. 配置USG_A到網(wǎng)絡(luò)B的靜態(tài)路由，出接口為GRE隧道接口。

a. 選擇“路由 > 靜態(tài) > 靜態(tài)路由”。

b. 在“靜態(tài)路由列表”中，單擊“新建”。

c. 在“新建靜態(tài)路由”界面中，配置如下：

§ 目的地址：192.168.1.0

§ 掩碼：255.255.255.0

§ 出接口：Tunnel

其他配置項(xiàng)采用缺省值。

a. 單擊“應(yīng)用”。

· 配置USG_B。

1. 配置接口基本參數(shù)。

a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。

b. 在“接口列表”中，單擊GE0/0/1對(duì)應(yīng)的。

c. 在“修改GigabitEthernet”界面中，配置如下：

§ 安全區(qū)域：trust

§ IP地址：192.168.1.1

§ 子網(wǎng)掩碼：255.255.255.0

其他配置項(xiàng)采用缺省值。

d. 單擊“應(yīng)用”。

e. 在“接口列表”中，單擊GE0/0/2對(duì)應(yīng)的。

f. 在“修改GigabitEthernet”界面中，配置如下：

§ 安全區(qū)域：untrust

§ IP地址：200.10.1.1

§ 子網(wǎng)掩碼：255.255.255.0

其他配置項(xiàng)采用缺省值。

g. 單擊“應(yīng)用”。

2. 配置GRE隧道接口。

 說(shuō)明：

GRE隧道接口可以加入到任意一個(gè)安全區(qū)域。當(dāng)GRE隧道接口和源端接口（源端地址所屬的接口）不在同一安全區(qū)域中時(shí)，需要配置域間包過(guò)濾，使兩個(gè)安全區(qū)域能夠互相訪問(wèn)。

a. 選擇“VPN > GRE > GRE”。

b. 在“GRE接口列表”中，單擊“新建”。

c. 配置GRE隧道接口參數(shù)。

3. 對(duì)于USG系列，配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常。對(duì)于USG BSR/HSR系列，不需要執(zhí)行此步驟。

a. 配置Local安全區(qū)域和Untrust安全區(qū)域之間的安全策略。

. 選擇“防火墻 > 安全策略 > 本地策略”。

i. 在“本地策略”中單擊“新建”。配置如下參數(shù)：

§ 源安全區(qū)域：untrust

§ 源地址：200.1.1.0/24

§ 動(dòng)作：permit

ii. 單擊“應(yīng)用”。

a. 配置Trust安全區(qū)域和Untrust安全區(qū)域之間的安全策略。

i. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

ii. 在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。

§ 源安全區(qū)域：trust

§ 目的安全區(qū)域：untrust

§ 源地址：192.168.1.0/24

§ 目的地址：10.1.1.0/24

§ 動(dòng)作：permit

iii. 單擊“應(yīng)用”。

iv. 重新在“轉(zhuǎn)發(fā)策略列表”中單擊“新建”。配置如下參數(shù)。

§ 源安全區(qū)域：untrust

§ 目的安全區(qū)域：trust

§ 源地址：10.1.1.0/24

§ 目的地址：192.168.1.0/24

§ 動(dòng)作：permit

v. 單擊“應(yīng)用”。

1. 配置USG_B到網(wǎng)絡(luò)A的靜態(tài)路由，出接口為GRE隧道接口。

a. 選擇“路由 > 靜態(tài) > 靜態(tài)路由”。

b. 在“靜態(tài)路由列表”中，單擊“新建”。

c. 在“新建靜態(tài)路由”界面中，配置如下：

§ 目的地址：10.1.1.0

§ 掩碼：255.255.255.0

§ 接口：Tunnel

其他配置項(xiàng)采用缺省值。

a. 單擊“應(yīng)用”。

結(jié)果驗(yàn)證