華爲防火牆HCIA學習筆記04 _GRE ***

華爲防火牆HCIA學習筆記04 GRE ***

***簡介

***定義

• 虛擬專用網***(Virtual Private Network)是一種"通過共享的公共網絡建立私有的數據通道，將各個需要接入這張虛擬網的網絡或終端通過通道連接起來，構成一個專用的、具有一定安全性和服務質量保證的網絡 "。
• 虛擬 ：用戶不再需要擁有實際的專用長途數據線路，而是利用公網線路建立自己的私有網絡 。
• 專用網絡：用戶可以爲自己制定一個最符合自己需求的網絡 。
• 傳統的***組網主要採用專線***和基於客戶端設備的加密***兩種方式。
  • 第一種方式的成本比較高，擴展性也不好；
  • 第二種方式對用戶端設備及人員的要求較高。
• IETF草案對基於IP的***的理解是："使用IP機制仿真出一個私有的廣域網"。
• 隨着IP數據通信技術的不斷髮展，基於IP的***技術逐漸成爲***市場的主流。

 

***分類

• L3***
  • 三層***主要是指***技術工作在協議棧的網絡層。
    • 以IPSec ***技術爲例，IPSec報頭與IP報頭工作在同一層次，封裝報文時或者是以IPinIP的方式進行封裝，或者是IPSec報頭與IP報頭同時對數據載荷進行封裝。
  • 除IPSec ***技術外，主要的三層***技術還有GRE ***。
    • GRE ***產生的時間比較早，實現的機制也比較簡單。GRE ***可以實現任意一種網絡協議在另一種網絡協議上的封裝。與IPSec相比，安全性沒有得到保證，只能提供有限的簡單的安全機制。
• L2***
  • 二層***則是指***技術工作在協議棧的數據鏈路層。
    • 二層***主要包括的協議有點到點隧道協議（PPTP, Point-to-Point Tunneling Protocol）、二層轉發協議（L2F, Layer 2 Forwarding）以及二層隧道協議（L2TP, Layer 2 Tunneling Protocol）。

 

***的應用場景

• Site-to-Site ***
  • 用於兩個局域網之間建立連接。
  • 可採用的***技術：IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。
• Client-to-Site ***
  • 用於客戶端與企業內網之間建立連接。
  • 可採用的***技術：SSL、IPSec、L2TP、L2TP over IPSec。

 

GRE ***

GRE ***簡介

• General Routing Encapsulation，簡稱GRE，是一種三層***封裝技術。GRE可以對某些網絡層協議（如IPX、Apple Talk、IP等）的報文進行封裝，使封裝後的報文能夠在另一種網絡中（如IPv4）傳輸，從而解決了跨越異種網絡的報文傳輸問題。異種報文傳輸的通道稱爲Tunnel（隧道）。

 

GRE報文處理過程

• PC_A通過GRE隧道訪問PC_B時，FW_A和FW_B上的報文轉發過程如下：
  • PC_A訪問PC_B的原始報文進入FW_A後，首先匹配路由表。
  • 根據路由查找結果，FW_A將報文送到Tunnel接口進行GRE封裝，增加GRE頭，外層加新IP頭。
  • FW_A根據GRE報文的新IP頭的目的地址（2.2.2.2），再次查找路由表。
  • FW_A根據路由查找結果轉發報文。
  • FW_B收到GRE報文後，首先判斷這個報文是不是GRE報文。封裝後的GRE報文會有個新的IP頭，這個新的IP頭中有個Protocol字段，字段中標識了內層協議類型，如果Protocol字段值是47，就表示這個報文是GRE報文。如果是GRE報文，FW_B則將該報文送到Tunnel接口解封裝，去掉新的IP頭、GRE頭，恢復爲原始報文；如果不是，則報文按照普通報文進行處理。
  • FW_B根據原始報文的目的地址再次查找路由表，然後根據路由匹配結果轉發報文。

總結：

FW_A的轉發路徑：匹配路由表 - - > Tunnel接口封裝 - - > 再次匹配路由表 - - > 轉發數據。

FW_B收到報文轉發路徑：檢查報文協議 - - > GRE 報文 - - > Tunnel接口解封裝 - - > 匹配路由 - - > 轉發報文 。

 

GRE安全策略

• PC_A發出的原始報文進入Tunnel（假定Tunnel接口加入GRE區域）接口這個過程中，報文經過的安全域間是Trust—>GRE；原始報文被GRE封裝後，FW_A在轉發這個報文時，報文經過的安全域間是Local—>Untrust。華爲防火牆默認發出***報文不需要安全策略。
• 當報文到達FW_B時，FW_B會進行解封裝。在此過程中，報文經過的安全域間是Untrust—>Local；GRE報文被解封裝後，FW_B在轉發原始報文時，報文經過的安全域間是GRE—>Trust。

實驗：

GRE ***

需求：

配置GRE ***使得深圳公司和廣州公司能夠互訪。

 

思路：

1. 配置GRE

a：配置Tunnel接口

b：將Tunnel接口加入防火牆區域

2. 配置***路由

a：局域網目的路由

3. 配置安全策略

 

命令行配置：

GRE配置：

FW1配置，FW2配置相同

//創建隧道

[SH_FW]interface Tunnel 0

[SH_FW-Tunnel0]ip add 10.1.1.1 24

[SH_FW-Tunnel0]tunnel-protocol gre

[SH_FW-Tunnel0]source g1/0/0

[SH_FW-Tunnel0]destination 101.1.1.1

 

//將隧道加入防火牆區域

[SH_FW]firewall zone name gre

[SH_FW-zone-gre]set priority 20

[SH_FW-zone-gre]add int Tunnel 0

 

//配置Tunnel路由，將流量引入Tunnel口。

[SH_FW]ip route-static 192.168.2.0 24 Tunnel 0

 

SZ_FW安全策略：由深圳防火牆發送流量到廣州

security-policy

//第一條安全策略

rule name sz_gz_icmp

source-zone trust

destination-zone gre

source-address 192.168.1.1 mask 255.255.255.255

destination-address 192.168.2.1 mask 255.255.255.255

service icmp

action permit

 

//第二條安全策略，實際上不需要，寫了也沒用

rule name sz_gz_gre

source-zone local

destination-zone untrust

source-address 202.1.1.1 mask 255.255.255.255

destination-address 101.1.1.1 mask 255.255.255.255

//指定一條協議，gre的協議號爲47

service protocol 47

action permit

 

//第三條安全策略，廣州回包報文或廣州發送給深圳的報文。由於上一條安全策略可以省略，所以不會創建會話。

rule name gz_sz_reply

source-zone untrust

destination-zone local

source-address 101.1.1.1 mask 255.255.255.255

destination-address 202.1.1.1 mask 255.255.255.255

service protocol 47

action permit

 

廣州防火牆策略：從深圳防火牆發送過來的流量

security-policy

rule name sz_gz_gre

source-zone untrust

destination-zone local

source-address 202.1.1.1 mask 255.255.255.255

destination-address 101.1.1.1 mask 255.255.255.255

service protocol 47

action permit

 

rule name sz_gz_icmp

source-zone gre

destination-zone trust

source-address 192.168.1.1 mask 255.255.255.255

destination-address 192.168.2.1 mask 255.255.255.255

service icmp

action permit

 

安全策略原理：

深圳防火牆策略分析：

PC1發送ICMP報文到PC2

1. 源地址爲192.168.1.1目的地址爲192.168.2.1

2. PC1將ICMP報文發送到SZ_FW的G1/0/1口，此端口爲trust區域，防火牆查路由表

發現將路由轉發到Tunnel接口，此接口屬於gre區域。所以第一條安全規則爲：

souce zone：trust

destination zone: gre

protocol：icmp

3. Tunnel口根據gre協議將原始報文的私網源碼IP封裝成公網源碼IP。新的源目IP：

source：202.1.1.1

destination：101.1.1.1

ip：202.1.1.1屬於g1/0/0接口，此接口屬於local區域，

ip：101.1.1.1屬於untrust區域

所以第二條安全規則：

source zone：local

destination zone：untrust

protocol：gre

4. PC2的回包，GZ_FW同樣也會將局域網IP轉換爲GRE IP回包給本地，使用GRE協議

所以第三條安全策略：

source ip: 101.1.1.1

destination ip: 202.1.1.1

source zone: untrust

destinatio zone: local

protocol: gre

 

防火牆安全策略：

1. 華爲防火牆對任何本地發出***流量都不需要安全策略。

2. 收到GRE的流量需要安全策略。

 

廣州防火牆接收流量策略分析：

1. 收到流量的協議爲GRE，源IP：202.1.1.1 目標IP：101.1.1.1

2. 由源目IP可知，源區域爲untrust，目標區域爲local，因此第一條安全策略爲：

source: 202.1.1.1

destination: 101.1.1.1

source zone: untrust

destination zone: local

protocol: gre(47)

3. 因爲是GRE協議，所以需要將流量轉發給GRE模塊處理，去掉IP頭部和GRE頭部。

因此得到的源目IP爲source: 192.168.1.1 destination: 192.168.2.1，

查路由表可知：192.168.1.1爲Tunnel口，屬於GRE區域。192.168.2.1 屬於trust

區域。由此得出第二條安全規則：

source: 192.168.1.1

destination: 192.168.2.1

source zone: gre

destination zone: trust

protocol: icmp

 

以上路由策略皆爲PC1-->PC2方向，PC2-->PC1方向反向思考？

 

GRE ***和NAT在同一設備上：

需求：

使PC1使用NAT技術訪問Server2，同時使用GRE ***技術訪問PC2

 

思路：基礎配置以完成爲前提。

1. 配置NAT-EASY

a. 配置nat-policy，easy ip不需要地址池。

2. 配置GRE ***

a. 配置GRE Tunnel

b. 注意：一定要將Tunnel接口加入區域

c. 配置***路由

3. 配置安全策略

a. 配置nat-security，使用內網能夠訪問公網

b. 配置GRE安全策略。

 

命令行：

1. 配置NAT-EASY IP

nat-policy

rule name nat_trust_untrust

source-zone trust

egress-interface GigabitEthernet1/0/0

source-address 192.168.1.0 mask 255.255.255.0

destination-address 8.8.8.8 mask 255.255.255.255

service http

service icmp

action source-nat easy-ip

 

2. 配置NAT安全策略：

security-policy

rule name nat_trust_untrust

source-zone trust

destination-zone untrust

source-address 192.168.1.0 mask 255.255.255.0

destination-address 8.8.8.8 mask 255.255.255.255

service http

service icmp

action permit

 

3. 配置GRE ***

interface Tunnel0

ip address 10.1.1.1 255.255.255.0

tunnel-protocol gre

source 202.1.1.1

destination 101.1.1.1

 

3.1 注意：一定要將Tunel接口加入區域

[SH_FW]firewall zone gre

[SH_FW-zone-gre]add int Tunnel 0

 

4. 配置***路由：

[SH_FW]ip route-static 192.168.2.0 24 Tunnel 0

 

5. 配置GRE安全策略：此配置爲FW1

 

security-policy

 

//發往廣州公司報文

rule name ***_trust_gre

source-zone trust

destination-zone gre

source-address 192.168.1.0 mask 255.255.255.0

destination-address 192.168.2.0 mask 255.255.255.0

service http

service icmp

action permit

 

//從廣州公司迴應的報文，到防火牆的公網接口

rule name ***_untrust_local

source-zone untrust

destination-zone local

source-address 101.1.1.1 mask 255.255.255.255

destination-address 202.1.1.1 mask 255.255.255.255

service gre

action permit

 

//從廣州公司發來的報文，防火牆到私網的PC

rule name ***_gre_trust

source-zone gre

destination-zone trust

source-address 192.168.2.0 mask 255.255.255.0

destination-address 192.168.1.0 mask 255.255.255.0

service http

service icmp

 

FW2的配置和FW1類似，方向相反。

 

GRE ***和NAT不在同一設備上

需求：

1. 在NAT_FW上配置NAT_Server，使內網IP轉換爲公網IP。

2. 在SZ_FW_***上配置GRE ***，使深圳公司的內網能夠訪問北京公司的內網。

 

思路：

1. 基礎配置（IP地址完成），需要配置防火牆區域，路由

2. 在NAT_FW上配置NAT-Server.

3. 在SZ_FW_***和BJ_FW_***中配置GRE ***

4. 分別配置安全策略。

 

命令行：

1. 在NAT_FW配置nat-server

[NAT_FW]nat server ***_gre protocol 47 global interface g1/0/1 inside 172.16.12.1

 

2. 在SZ_FW_***配置GRE ***

interface Tunnel0

ip address 10.1.1.1 255.255.255.0

tunnel-protocol gre

source 172.16.12.1

destination 101.1.1.1

 

[SZ_FW_***]ip route-static 192.168.2.0 24 Tunnel 0

 

[SZ_FW_***]firewall zone trust

[SZ_FW_***-zone-trust]add interface Tunnel 0

 

思路：因爲NAT_FW上配置了NAT-Server，所以Tunnel 0

中的source直接填寫172.16.12.1

 

3. 在BJ_FW_***中配置GRE ***

interface Tunnel0

ip address 10.1.1.2 255.255.255.0

tunnel-protocol gre

source GigabitEthernet1/0/1

destination 202.1.1.1

 

[BJ_FW_***]firewall zone trust

[BJ_FW_***-zone-trust]add interface Tunnel 0

 

[BJ_FW_***]ip route-static 192.168.1.0 24 Tunnel 0

 

思路：destination 202.1.1.1 不能填寫內網地址，但是

NAT-FW中配置了NAT-Server，所以填寫NAT-FW外網接口的

IP地址

 

4. 在NAT-FW上配置安全策略

security-policy

 

//BJ回來的報文

rule name ***_untrust_trust

source-zone untrust

destination-zone trust

source-address 101.1.1.1 mask 255.255.255.255

destination-address 172.16.12.1 mask 255.255.255.255

destination-address 202.1.1.1 mask 255.255.255.255

service gre

action permit

 

//SZ發出去的報文

rule name ***_trust_untrust

source-zone trust

destination-zone untrust

source-address 172.16.12.1 mask 255.255.255.255

destination-address 101.1.1.1 mask 255.255.255.255

service gre

action permit

 

5. 在BJ_FW_***上配置安全策略

 

//SZ發過來的報文

rule name ***_untrust_trust

source-zone untrust

destination-zone local

destination-zone trust

source-address 202.1.1.1 mask 255.255.255.255

destination-address 101.1.1.1 mask 255.255.255.255

service gre

action permit

 

6. 在SZ_FW_***中配置安全策略

 

//從BJ過來的報文

security-policy

rule name ***_trust_local

source-zone trust

destination-zone local

source-address 101.1.1.1 mask 255.255.255.255

destination-address 172.16.12.1 mask 255.255.255.255

service gre

action permit

 

感謝騰訊課堂的JACK老師