一、基础知识

1、GRE隧道

GRE隧道是一种网络通信协议，使用通用路由封装（GRE）技术，能够将一种网络协议下的数据报文封装在另一种网络协议中，从而实现在另一个网络层协议中的传输。

GRE隧道的基本概念和工作方式

• 基本概念：GRE隧道提供了一种在网络之间建立点对点连接的方法，可以在不兼容的网络之间传递数据。
• 封装和解封装：GRE技术通过封装原始数据报文，在外部加上一个新的GRE头部信息，经过传输到达目的地后再进行解封装，还原成原始数据报文格式。
• 隧道安全：通过使用关键字（Key）和校验和（Checksum）来确保数据传输的安全性和完整性。
• 技术支持：GRE支持多种网络协议之间的封装，包括IPv4、IPv6等，使其具有很高的灵活性和适用性。

GRE隧道的技术特性与优势

• 兼容性：GRE支持多种网络协议，可以轻松地在不同网络环境之间传输数据，解决了网络不兼容的问题。
• 安全性：虽然GRE本身不提供加密功能，但可以与IPSec等加密协议结合使用，增强数据传输的安全性。
• 灵活性：GRE隧道不需要特定的路由器或交换机支持，只需要两端设备支持GRE协议即可轻松部署和管理。

2、IPSec加密

PSec（Internet Protocol Security）是为IP网络提供安全性的协议和服务的集合，主要用于增强VPN（Virtual Private Network，虚拟专用网）的安全性。IPSec通过为IP通信提供加密和认证服务，确保数据在不安全的网络环境如Internet中传输的安全性。这种技术是VPN中常用的一种，以保障远程访问和数据传输的安全性和私密性。

在传统的IP通信中，数据包容易被截取或篡改，而IPSec通过加密和认证两种主要方式，有效地提高了数据传输的安全性。加密过程使用ESP（Encapsulating Security Payload）协议，保证数据的机密性，防止数据在传输过程中被窃听。而认证则通过AH（Authentication Header）协议来实施，它确认数据发送方的身份并确保数据在传输过程中未被篡改，保持信息的完整性。

二、组网需求

1. 总部和分部可通过出口防火墙 NAPT方式访问Internet。
2. 总部和分部内部运行OSPF，归属区域0，进程号为1，为了方便管理需要在OSPF中发布Loopback地址。
3. 在FW1和FW2间启用GRE隧道，隧道内承载OSPF协议，使总部和分部内网连通。
4. IPSec VPN针对GRE隧道内数据进行加密，其中isakmp策略定义加密算法采用3des，散列算法采用md5，预共享密钥为huawei@123。DH组使用2。转换集myset定义加密验证方式为esp-des esp-md5-hmac，加密图定义为mymap。

三、有线网络配置

1、基础网络信息配置

为了方便测试，所有已激活的防火墙接口都开启service-manage ping permit

FW1

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123
<USG6000V1>system-view 
[USG6000V1]sysname FW1
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.10.254 24
[FW1-GigabitEthernet1/0/0]service-manage ping permit      # 允许PING流量通过
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/1]service-manage ping permit
[FW1-GigabitEthernet1/0/1]int l0
[FW1-LoopBack0]ip add 1.1.1.1 32
[FW1-LoopBack0]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface g1/0/1
[FW1-zone-untrust]quit
[FW1]firewall zone trust 	
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]quit

FW2

Username:admin
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123
<USG6000V1>system-view 	
[USG6000V1]sysname FW2
[FW2]int l0
[FW2-LoopBack0]ip add 3.3.3.3 32
[FW2-LoopBack0]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 20.1.1.1 24
[FW2-GigabitEthernet1/0/2]service-manage ping permit
[FW2-GigabitEthernet1/0/2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 192.168.20.254 24
[FW2-GigabitEthernet1/0/0]service-manage ping permit
[FW2-GigabitEthernet1/0/0]quit
[FW2]firewall zone trust 
[FW2-zone-trust]add interface g1/0/0
[FW2-zone-trust]quit
[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2
[FW2-zone-untrust]quit

Internet

<Huawei>system-view 
[Huawei]sysname Internet
[Internet]int g0/0/1
[Internet-GigabitEthernet0/0/1]ip add 10.1.1.2 24
[Internet-GigabitEthernet0/0/1]int g0/0/2
[Internet-GigabitEthernet0/0/2]ip add 20.1.1.2 24
[Internet-GigabitEthernet0/0/2]int g0/0/0
[Internet-GigabitEthernet0/0/0]ip add 100.1.1.254 24
[Internet-GigabitEthernet0/0/0]int l0
[Internet-LoopBack0]ip add 2.2.2.2 32
[Internet-LoopBack0]quit

2、OSPF动态路由协议配置

FW1

[FW1]ospf 1 router-id 1.1.1.1
[FW1-ospf-1]area0
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0	
[FW1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit

FW2

[FW2]ospf 1 router-id 3.3.3.3
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[FW2-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit

3、Easy IP配置

总部

出口防火墙FW1添加默认路由

[FW1]ip route-static 0.0.0.0 0 10.1.1.2

FW1添加NAT策略

[FW1]nat-policy 
[FW1-policy-nat]rule name ZB-to-Internet
[FW1-policy-nat-rule-ZB-to-Internet]source-zone trust 
[FW1-policy-nat-rule-ZB-to-Internet]destination-zone untrust 	
[FW1-policy-nat-rule-ZB-to-Internet]source-address 192.168.10.0 24
[FW1-policy-nat-rule-ZB-to-Internet]action source-nat easy-ip 
[FW1-policy-nat-rule-ZB-to-Internet]quit
[FW1-policy-nat]quit

FW1添加安全策略

[FW1]security-policy
[FW1-policy-security]rule name ZB-to-Internet
[FW1-policy-security-rule-ZB-to-Internet]source-zone trust 
[FW1-policy-security-rule-ZB-to-Internet]destination-zone untrust 
[FW1-policy-security-rule-ZB-to-Internet]action permit 
[FW1-policy-security-rule-ZB-to-Internet]quit
[FW1-policy-security]quit

使用PC1访问PC4，然后查看FW1的会话表

分部

出口防火墙FW2添加默认路由

[FW2]ip route-static 0.0.0.0 0 20.1.1.2

FW2添加NAT策略

[FW2]nat-policy 
[FW2-policy-nat]rule name FB-to-Internet	
[FW2-policy-nat-rule-FB-to-Internet]source-zone trust 
[FW2-policy-nat-rule-FB-to-Internet]destination-zone untrust 
[FW2-policy-nat-rule-FB-to-Internet]source-address 192.168.20.0 24
[FW2-policy-nat-rule-FB-to-Internet]action source-nat easy-ip 
[FW2-policy-nat-rule-FB-to-Internet]quit
[FW2-policy-nat]quit

FW2添加安全策略

[FW2]security-policy
[FW2-policy-security]rule name FB-to-Internet
[FW2-policy-security-rule-FB-to-Internet]source-zone trust 
[FW2-policy-security-rule-FB-to-Internet]destination-zone untrust 
[FW2-policy-security-rule-FB-to-Internet]action permit 
[FW2-policy-security-rule-FB-to-Internet]quit
[FW2-policy-security]quit

使用PC2访问PC4，然后查看FW2的会话表

4、GRE隧道

FW1

[FW1]int Tunnel 0
[FW1-Tunnel0]ip add 200.1.1.1 24
[FW1-Tunnel0]tunnel-protocol gre 
[FW1-Tunnel0]source 10.1.1.1
[FW1-Tunnel0]destination 20.1.1.1
[FW1-Tunnel0]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface Tunnel 0          # 将Tunnel接口添加到untrust区域
[FW1-zone-untrust]quit
[FW1]security-policy
[FW1-policy-security]rule name GRE                # 放行GRE协议数据
[FW1-policy-security-rule-GRE]source-zone local untrust 
[FW1-policy-security-rule-GRE]destination-zone local untrust 
[FW1-policy-security-rule-GRE]action permit 
[FW1-policy-security-rule-GRE]quit
[FW1-policy-security]quit

FW2

[FW2]int Tunnel 0
[FW2-Tunnel0]ip add 200.1.1.2 24
[FW2-Tunnel0]tunnel-protocol gre 	
[FW2-Tunnel0]source 20.1.1.1
[FW2-Tunnel0]destination 10.1.1.1
[FW2-Tunnel0]quit	
[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface Tunnel 0
[FW2-zone-untrust]quit
[FW2]security-policy
[FW2-policy-security]rule name GRE
[FW2-policy-security-rule-GRE]source-zone local untrust 	
[FW2-policy-security-rule-GRE]destination-zone local untrust 
[FW2-policy-security-rule-GRE]action permit 
[FW2-policy-security-rule-GRE]quit
[FW2-policy-security]quit

在FW1上查看Tunnel接口的工作状态

在FW2上查看Tunnel接口的工作状态

5、GRE隧道中承载OSPF路由协议

FW1

[FW1]ospf 1 router-id 1.1.1.1	
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]network 200.1.1.1 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]quit
[FW1-ospf-1]quit

FW2

[FW2]ospf 1 router-id 3.3.3.3
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]network 200.1.1.2 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]quit
[FW2-ospf-1]quit

FW1上查看OSPF邻居状态

FW2上查看OSPF邻居状态

FW2上查看OSPF路由条目

6、测试总部与分部之间的连通性

在PC1上 PING PC2，可以看到无法PING通，这是因为在FW2的眼中，通过Tunnel隧道过来的区域是Untrust，在防火墙的出厂定义中，不同的区域之间默认无法连通（除了local和trust），所以我们需要添加untrust到trust区域的策略

FW1

[FW1]security-policy
[FW1-policy-security]rule name untrust-to-trust
[FW1-policy-security-rule-untrust-to-trust]source-zone untrust 
[FW1-policy-security-rule-untrust-to-trust]destination-zone trust 
[FW1-policy-security-rule-untrust-to-trust]action permit 
[FW1-policy-security-rule-untrust-to-trust]quit
[FW1-policy-security]quit

FW2

[FW2]security-policy
[FW2-policy-security]rule name untrust-to-trust
[FW2-policy-security-rule-untrust-to-trust]source-zone untrust 
[FW2-policy-security-rule-untrust-to-trust]destination-zone trust 	
[FW2-policy-security-rule-untrust-to-trust]action permit 
[FW2-policy-security-rule-untrust-to-trust]quit
[FW2-policy-security]quit

重新使用PC1 PING PC2

查看FW1的防火墙会话表可以看到存在一条GRE的记录

7、IPSec VPN配置

FW1–配置IPSec安全提议

[FW1]ipsec proposal tran1
[FW1-ipsec-proposal-tran1]encapsulation-mode transport				# 只保护IP包的有效负载(传输模式)
[FW1-ipsec-proposal-tran1]quit

FW1–配置IKE安全提议

[FW1]ike proposal 10
[FW1-ike-proposal-10]quit          # 使用默认配置即可

FW1–配置IKE对等体

[FW1]ike peer FW2
[FW1-ike-peer-FW2]ike-proposal 10					# 关联上述定义的安全提议
[FW1-ike-peer-FW2]pre-shared-key huawei@123         # 配置用于身份验证的密码
[FW1-ike-peer-FW2]quit

FW1–配置IPSec安全框架

[FW1]ipsec profile FW1
[FW1-ipsec-profile-FW1]proposal tran1 	
[FW1-ipsec-profile-FW1]ike-peer FW2
[FW1-ipsec-profile-FW1]quit

FW1–隧道口上应用IPsec安全框架

[FW1]int Tunnel 0
[FW1-Tunnel0]ipsec profile FW1
[FW1-Tunnel0]quit

FW2–配置IPSec安全提议

[FW2]ipsec proposal tran1
[FW2-ipsec-proposal-tran1]encapsulation-mode transport 
[FW2-ipsec-proposal-tran1]quit

FW2–配置IKE安全提议

[FW2]ike proposal 10
[FW2-ike-proposal-10]quit

FW2–配置IKE对等体

[FW2]ike peer FW1
[FW2-ike-peer-FW1]ike-proposal 10	
[FW2-ike-peer-FW1]pre-shared-key huawei@123
[FW2-ike-peer-FW1]quit

FW2–配置IPSec安全框架

[FW2]ipsec profile FW2
[FW2-ipsec-profile-FW2]proposal tran1 
[FW2-ipsec-profile-FW2]ike-peer FW1
[FW2-ipsec-profile-FW2]quit

FW2–隧道口上应用IPsec安全框架

[FW2]int Tunnel 0
[FW2-Tunnel0]ipsec profile FW2
[FW2-Tunnel0]quit

验证–FW1上查看IKE协商建立的安全联盟信息

验证–FW2上查看IKE协商建立的安全联盟信息

验证–FW1上查看IPsec安全提议tran1的默认配置信息

验证–FW1上查看ike安全提议10的默认配置信息

验证–使用PC1 PING PC2，进行抓包，可以看到有ESP包