虛擬私有網絡也就是VPN(Virtual Private Network),主要解決分公司訪問總公網內網,或者出差辦公的人員訪問總公司內網而設定的一種技術。
他可以在任意有互聯網通路的地方,進行訪問公司總部的服務器。這只是一個應用場景 ,還有其他的應用場景,比如學校、醫院、研發機構等都可以用的到。
VPN是沿用了現在現有的網絡,通過封閉、密碼認證等方式,在現在的網絡中開闢出一個單獨的通道,讓我們使用,這個通道我們稱之為隧道。
今天來介紹一種vpn技術,GRE技術:即通用路由封裝協議GRE(General Routing Encapsulation)。
GRE封裝過程可以分為兩步
第一:將私網的IP地址前面加上GRE頭部信息
第二步:在GRE頭前面再加上新的IP頭部信息。
配置案例如下
IP地址配置如拓撲圖
首先測試一下,各公網網絡能不能通
現在來做測試 ,防火牆FW1就可以ping通防火牆FW2了,這就說明互聯網是通了。
現在pc1是ping不通pc2的
現在我們建立隧道,讓這2個pc,通過虛擬隧道直連
配置防火牆FW1的隧道接口
[USG6000-FW1]interface Tunnel 1
[USG6000-FW1-Tunnel1]ip address 20.1.1.1 24
[USG6000-FW1-Tunnel1]tunnel-protocol gre
[USG6000-FW1-Tunnel1]source 11.1.1.1
同理在FW2上建立tunnel隧道
[USG6000-FW2]interface tunnel 1
[USG6000-FW2-Tunnel1]ip address 20.1.1.2 24
[USG6000-FW2-Tunnel1]tunnel-protocol gre
[USG6000-FW2-Tunnel1]source 12.1.1.1
[USG6000-FW2-Tunnel1]destination 11.1.1.1
[USG6000-FW2-Tunnel1]quit
FW1定義一個靜態路由
[USG6000-FW1]ip route-static 192.168.2.0 24 Tunnel 1
FW2防火牆配置靜態路由
[USG6000-FW2]ip route-static 192.168.1.0 24 Tunnel 1
配置FW1
[USG6000-FW1]firewall zone dmz
[USG6000-FW1-zone-dmz]add interface Tunnel 1
配置FW2
[USG6000-FW2]firewall zone dmz
[USG6000-FW2-zone-dmz]add interface tunnel 1
配置FW1安全策略
[USG6000-FW1]security-policy
[USG6000-FW1-policy-security]rule name dmz_local
[USG6000-FW1-policy-security-rule-dmz_local]source-zone dmz
[USG6000-FW1-policy-security-rule-dmz_local]source-zone local
[USG6000-FW1-policy-security-rule-dmz_local]destination-zone dmz
[USG6000-FW1-policy-security-rule-dmz_local]destination-zone local
[USG6000-FW1-policy-security-rule-dmz_local]action permit
[USG6000-FW1]security-policy
[USG6000-FW1-policy-security]rule name dmz_trust
[USG6000-FW1-policy-security-rule-dmz_trust]source-zone dmz
[USG6000-FW1-policy-security-rule-dmz_trust]source-zone trust
[USG6000-FW1-policy-security-rule-dmz_trust]destination-zone dmz
[USG6000-FW1-policy-security-rule-dmz_trust]destination-zone trust
[USG6000-FW1-policy-security-rule-dmz_trust]action permit
配置FW2安全策略
[USG6000-FW2]security-policy
[USG6000-FW2-policy-security]rule name dmz_local
[USG6000-FW2-policy-security-rule-dmz_local]source-zone dmz
[USG6000-FW2-policy-security-rule-dmz_local]source-zone local
[USG6000-FW2-policy-security-rule-dmz_local]destination-zone dmz
[USG6000-FW2-policy-security-rule-dmz_local]destination-zone local
[USG6000-FW2-policy-security-rule-dmz_local]action permit
[USG6000-FW2]security-policy
[USG6000-FW2-policy-security]rule name dmz_trust
[USG6000-FW2-policy-security-rule-dmz_trust]source-zone dmz
[USG6000-FW2-policy-security-rule-dmz_trust]source-zone trust
[USG6000-FW2-policy-security-rule-dmz_trust]destination-zone dmz
[USG6000-FW2-policy-security-rule-dmz_trust]destination-zone trust
[USG6000-FW2-policy-security-rule-dmz_trust]action permit
現在來測試一下PC1去ping主機PC2的時候是通的。
閱讀更多 思源Edward 的文章