拓展任務(wù)8配置基于OSPF協(xié)議的GRE隧道，實(shí)現(xiàn)私網(wǎng)之間的隧道互訪圖8-1所示為GRE隧道應(yīng)用組網(wǎng)示意，防火墻A和防火墻B通過Internet相連，兩者通過公網(wǎng)路由可達(dá)，路由器R1模擬ISP的路由器。網(wǎng)絡(luò)A和網(wǎng)絡(luò)B是兩個私有的網(wǎng)絡(luò)，內(nèi)部部署了靜態(tài)路由。通過在兩臺防火墻之間建立GRE隧道實(shí)現(xiàn)兩個私有網(wǎng)絡(luò)的互聯(lián)。圖8-1GRE隧道應(yīng)用組網(wǎng)示意【配置思路】防火墻A和防火墻B的配置思路相同。（1）配置接口IP地址、安全區(qū)域、路由，完成網(wǎng)絡(luò)基本參數(shù)的配置。（2）在防火墻A和防火墻B上分別創(chuàng)建一個Tunnel接口，作為GRE隧道兩端的接口。（3）配置Tunnel接口的相關(guān)參數(shù)，包括封裝協(xié)議、隧道的源地址與目的地址等。（4）在防火墻A和防火墻B上配置配置OSPF動態(tài)路由。啟用一個OSPF進(jìn)程，指定運(yùn)行OSPF協(xié)議的接口。在本例中，網(wǎng)絡(luò)A中的私網(wǎng)網(wǎng)段10.1.1.0/24和Tunnel地址所在的網(wǎng)段172.16.2.0/24需要通過GRE隧道發(fā)布給網(wǎng)絡(luò)B，隧道兩端Tunnel接口通過GRE隧道建立起鄰接關(guān)系。（5）配置安全策略，允許GRE隧道的建立和流量的轉(zhuǎn)發(fā)。（6）驗(yàn)證和調(diào)試，檢查能否滿足任務(wù)需求?！九渲貌襟E】配置防火墻A（1）配置接口IP地址<FW_A>system-view[FW_A]interfaceGigabitEthernet1/0/1[FW_A-GigabitEthernet1/0/1]ipaddress1.1.1.124[FW_A-GigabitEthernet1/0/1]quit[FW_A]interfaceGigabitEthernet1/0/2[FW_A-GigabitEthernet1/0/2]ipaddress10.1.1.124[FW_A-GigabitEthernet1/0/2]quit（2）創(chuàng)建Tunnel接口[FW_A]interfaceTunnel1//創(chuàng)建Tunnel接口，將其作為隧道接口[FW_A-Tunnel1]ipaddress172.16.2.124[FW_A-Tunnel1]quitTunnel接口的IP地址可以任意配置，但不能與其他IP地址沖突。當(dāng)使用動態(tài)路由協(xié)議生成經(jīng)過Tunnel接口轉(zhuǎn)發(fā)的路由時，GRE隧道兩端的Tunnel接口的IP地址必須配置為同一網(wǎng)段。（3）將接口加入安全區(qū)域[FW_A]firewallzoneuntrust[FW_A-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW_A-zone-untrust]quit[FW_A]firewallzonetrust[FW_A-zone-trust]addinterfaceGigabitEthernet1/0/2[FW_A-zone-trust]quit[FW_A]firewallzonedmz[FW_A-zone-dmz]addinterfacetunnel1[FW_A-zone-dmz]quit（4）配置Tunnel接口的相關(guān)參數(shù)[FW_A]interfaceTunnel1[FW_A-Tunnel1]tunnel-protocolgre //配置隧道的封裝協(xié)議為GRE[FW_A-Tunnel1]source1.1.1.1 //配置隧道的源地址[FW_A-Tunnel1]destination2.2.2.2 //配置隧道的目的地址[FW_A-Tunnel1]grekeycipher123456 /*設(shè)置GRE隧道的識別關(guān)鍵字，兩端的關(guān)鍵字要配置一致，通過這種弱安全機(jī)制防止錯誤識別、接收其他地方來的報文*/[FW_A-Tunnel1]keepalive/*使能GRE隧道的keepalive功能,使能keepalive功能后，GRE隧道源端周期性的發(fā)送keepalive報文。每發(fā)送一個，如果沒有收到響應(yīng)報文，則不可達(dá)計(jì)數(shù)器加1。如果此計(jì)數(shù)器的值到達(dá)預(yù)先設(shè)置的參數(shù)值retry-times還沒收到響應(yīng)報文，就認(rèn)為對端不可達(dá)。*/[FW_A-Tunnel1]quit（5）配置路由配置訪問公網(wǎng)的路由[FW_A]iproute-static0.0.0.001.1.1.2//指向公網(wǎng)的路由配置OSPF路由，將網(wǎng)絡(luò)A的私網(wǎng)網(wǎng)段10.1.1.0/24和Tunnel接口對應(yīng)的網(wǎng)段172.16.2.0/24通過OSPF發(fā)布出去。[FW_A]ospf1[FW_A-ospf-1]area0[FW_A-ospf-1-area-0.0.0.0]network10.1.1.00.0.0.255[FW_A-ospf-1-area-0.0.0.0]network172.16.2.00.0.0.255[FW_A-ospf-1-area-0.0.0.0]quit[FW_A-ospf-1]quit（6）配置安全策略配置Trust區(qū)域和DMZ互訪的安全策略，允許封裝前和解封裝后的報文通過。[FW_A]security-policy[FW_A-policy-security]rulenamepolicy1//Trust區(qū)域和DMZ互訪的安全策略也可拆分為兩條規(guī)則，此處簡化為一條規(guī)則[FW_A-policy-security-rule-policy1]source-zonetrustdmz[FW_A-policy-security-rule-policy1]destination-zonedmztrust[FW_A-policy-security-rule-policy1]actionpermit[FW_A-policy-security-rule-policy1]quit配置Local區(qū)域和Untrust區(qū)域互訪的安全策略，允許封裝后的GRE報文通過。[FW_A-policy-security]rulenamepolicy2//Local區(qū)域和Untrust區(qū)域互訪的安全策略，此處簡化為一條規(guī)則[FW_A-policy-security-rule-policy2]source-zonelocaluntrust[FW_A-policy-security-rule-policy2]destination-zoneuntrustlocal[FW_A-policy-security-rule-policy2]servicegre//匹配的服務(wù)為GRE協(xié)議報文[FW_A-policy-security-rule-policy2]serviceospf//匹配的服務(wù)為OSPF協(xié)議報文[FW_A-policy-security-rule-policy2]actionpermit[FW_A-policy-security-rule-policy2]quit步驟2：配置防火墻B防火墻B的配置思路和防火墻A的完全相同。（1）配置接口IP地址<FW_B>system-view[FW_B]interfaceGigabitEthernet1/0/1[FW_B-GigabitEthernet1/0/1]ipaddress2.2.2.224[FW_B-GigabitEthernet1/0/1]quit[FW_B]interfaceGigabitEthernet1/0/2[FW_B-GigabitEthernet1/0/2]ipaddress10.1.2.124[FW_B-GigabitEthernet1/0/2]quit（2）創(chuàng)建Tunnel接口[FW_B]interfaceTunnel1[FW_B-Tunnel1]ipaddress172.16.2.224[FW_B-Tunnel1]quit（3）將接口加入安全區(qū)域[FW_B]firewallzoneuntrust[FW_B-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW_B-zone-untrust]quit[FW_B]firewallzonetrust[FW_B-zone-trust]addinterfaceGigabitEthernet1/0/2[FW_B-zone-trust]quit[FW_B]firewallzonedmz[FW_B-zone-dmz]addinterfacetunnel1[FW_B-zone-dmz]quit（4）配置Tunnel接口的相關(guān)參數(shù)[FW_B]interfaceTunnel1[FW_B-Tunnel1]tunnel-protocolgre[FW_B-Tunnel1]source2.2.2.2[FW_B-Tunnel1]destination1.1.1.1[FW_B-Tunnel1]grekeycipher123456//與防火墻A的關(guān)鍵字保持一致[FW_B-Tunnel1]keepalive[FW_B-Tunnel1]quit（5）配置路由配置訪問公網(wǎng)的路由[FW_A]iproute-static0.0.0.002.2.2.1//指向公網(wǎng)的路由配置OSPF路由，將網(wǎng)絡(luò)A的私網(wǎng)網(wǎng)段10.1.2.0/24和Tunnel接口對應(yīng)的網(wǎng)段172.16.2.0/24通過OSPF發(fā)布出去。[FW_B]ospf1[FW_B-ospf-1]area0[FW_B-ospf-1-area-0.0.0.0]network10.1.2.00.0.0.255[FW_B-ospf-1-area-0.0.0.0]network172.16.2.00.0.0.255[FW_B-ospf-1-area-0.0.0.0]quit[FW_B-ospf-1]quit（6）配置安全策略[FW_B]security-policy[FW_B-policy-security]rulenamepolicy1[FW_B-policy-security-rule-policy1]source-zonetrustdmz[FW_B-policy-security-rule-policy1]destination-zonedmztrust[FW_B-policy-security-rule-policy1]actionpermit[FW_B-policy-security-rule-policy1]quit[FW_B-policy-security]rulenamepolicy2[FW_B-policy-security-rule-policy2]source-zonelocaluntrust[FW_B-policy-security-rule-policy2]destination-zoneuntrustlocal[FW_B-policy-security-rule-policy2]servicegre[FW_B-policy-security-rule-policy2]serviceospf[FW_B-policy-security-rule-policy2]actionpermit[FW_B-policy-security-rule-policy2]quit步驟3：配置其他網(wǎng)絡(luò)設(shè)備（1）配置路由器R1<R1>system-view[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress1.1.1.224[R1-GigabitEthernet0/0/1]quit[R1]interfaceGigabitEthernet0/0/2[R1-GigabitEthernet0/0/2]ipaddress2.2.2.124[R1-GigabitEthernet0/0/2]quit（2）配置計(jì)算機(jī)1和計(jì)算機(jī)2配置計(jì)算機(jī)1和計(jì)算機(jī)2的IP地址及網(wǎng)關(guān)，網(wǎng)關(guān)設(shè)置為防火墻內(nèi)網(wǎng)口的IP地址，具體配置方法省略。步驟4：驗(yàn)證和調(diào)試（1）互聯(lián)測試網(wǎng)絡(luò)A中的計(jì)算機(jī)1與網(wǎng)絡(luò)B中的計(jì)算機(jī)2能夠相互ping通。（2）查看路由表在防火墻A和防火墻B上查看路由表，這里僅列出防火墻A的輸出信息。<FW_A>displayiprouting-table2025-02-1415:32:29.110RouteFlags:R-relay,D-downloadtofib------------------------------------------------------------------------------RoutingTables:PublicDestinations:10Routes:10Destination/MaskProtoPreCostFlagsNextHopInterface0.0.0.0/0Static600RD1.1.1.2GigabitEthernet1/0/11.1.1.0/24Direct00D1.1.1.1GigabitEthernet1/0/11.1.1.1/32Direct00