1676539395,

组网及说明

一、 组网图和描述

防火墙内网接口1/0/0接内网，外网接口1/0/1作为外网上网，现外网用户路由器通过访问防火墙外网口的1.1.1.1地址建立Gre隧道，让对端20.1.1.0/24网段地址和防火墙内网10.1.1.0/24网段互访。

防火墙内网口1/0/0为Trust安全域、外网口1/0/1为Untrust安全域，gre接口tunnel0为Untrust安全域。

组网配置：

本地GRE的tunnel0接口地址为100.1.1.1，对端GRE的tunnel0接口地址为200.1.1.1。

配置步骤

二、安全策略配置

GREVPN建立

security-policy ip

rule 1 name gre

  action pass

  source-zone Untrust

  destination-zone Local

source-ip-host 2.1.1.1

source-ip-host 200.1.1.1

destination-ip-host 1.1.1.1

destination-ip-host 100.1.1.1

 

security-policy ip

rule 2 name gre2

  action pass

  source-zone Local

  destination-zone Untrust

source-ip-host 1.1.1.1

source-ip-host 100.1.1.1

destination-ip-host 2.1.1.1

destination-ip-host 200.1.1.1

 

GREVPN用户互访

rule 3 name gre3

  action pass

  source-zone Untrust

  destination-zone Trust

source-ip-subnet 20.1.1.0 255.255.255.0

destination-ip-subnet 10.1.1.0 255.255.255.0

 

rule 4 name gre4

  action pass

  source-zone Trust

  destination-zone Untrust

source-ip-subnet 10.1.1.0 255.255.255.0

destination-ip-subnet 20.1.1.0 255.255.255.0

 

Rule4规则为rule3规则安全域、地址互反，用于主动访问对端内网时候放通。

配置关键点

策略解释：

创建rule1、rule2：

Rule1:对端路由器到防火墙需要外网流量从g1/0/1进入防火墙，且目的为防火墙本身，属于本地报文，因此目的安全域为Local，而g1/0/1属于Untrust安全域，所以流量的走向是：源安全域Untrust到目的安全域Local，目的ip是防火墙公网地址1.1.1.1以及隧道接口地址100.1.1.1，源地址是对端路由器的公网地址2.1.1.1以及对端隧道接口地址200.1.1.1。

Rule2规则为rule1规则安全域、地址互反，可以主动找对端建立链接。

 

创建rule3、rule4：

Rule3:GRE建立成功后对端网络需要访问本端网络，防火墙从tunnel0口接收gre流量后，根据目的地址再将流量从g1/0/0转发出去。而g1/0/0属于trust安全域，tunnel0接口属于Untrust安全域，所以流量的走向是：源安全域Untrust到目的安全域trust。源地址为对端内网网段20.1.1.0/24目的网段为本地内网10.1.1.0/24。

CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。本文来源：知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,GREVPN安全策略放行