作为网工,如何将网络设备,通过GRE-VPN技术实现异地局域网互通
目前,许多企事业都面临着将分布在不同地点的办公室、分支机构和团队连接起来的需求。为了实现异地局域网的互通,GRE-VPN(通用路由封装虚拟私人网络)技术应运而生。GRE-VPN技术通过在公共互联网上建立安全的隧道,将远程网络设备连接在一起, 实现了异地局域网之间的无缝互通 。通过GRE-VPN技术,网络工程师能够在不同地理位置的局域网之间建立安全、高效的数据传输通道,使得分布式团队能够方便地共享文件、应用程序和资源。
本文对 GRE-VPN隧道技术 进行了整理,通过深入了解和应用GRE-VPN技术,网络工程师将能够为企事业单位提供更加灵活、可靠的网络解决方案,提高工作效率和协作能力,有需要的友友们可以参考下。
GRE-VPN隧道技术介绍
GRE-VPN(通用路由封装虚拟私人网络)技术是一种在公共互联网上建立安全隧道的网络技术,用于实现异地局域网的互通。它通过将网络数据封装在通用路由封装(GRE)协议中,然后通过互联网传输,将远程网络设备连接在一起。
GRE-VPN技术的工作原理:
是在源端和目的端之间建立一个虚拟的GRE隧道。在这个隧道中,将原始数据封装在GRE包中,然后通过互联网传输到目的地。在目的地,GRE包被解封,还原为原始数据,并交付给目的地网络设备。这样,源端和目的端的网络设备就能够像在同一局域网中一样进行通信和数据交换。
GRE-VPN技术的优势:
是扩展性,它可以轻松地连接位于不同地理位置的网络设备,无论是在同一城市还是跨越国际边界。此外,GRE-VPN提供了一种安全的通信方式,通过对GRE包进行加密和身份验证,确保数据在传输过程中的机密性和完整性。此外,GRE-VPN技术还具有灵活性,可以与其他网络安全技术(如IPSec)结合使用,提供更高级的安全保护。
实验需求:
总公司A 位于西安,分公司B 位于杭州,现要求将西安和杭州网络打通,形成一个内网,实现杭州分公司B 的员工可以通过内网IP 来访问西安总公司的服务器。
注意:
由于经费有限不宜购买专线,故希望通过GRE隧道解决。
实验目的
保证杭分PC1:192.168.6.2
总部server:192.168.10.2
要求两地局域网互通,即192.168.6.2能够ping 通 192.168.10.2
网络拓扑:
实验配置:
互联网ISP AR1配置:
在企事业单位的网络环境中,这部分我们不要需要配置,由isp 方设置。
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]undo inf
[Huawei]undo info-center en
Info: Information center is disabled.
[Huawei]
[Huawei]int
[Huawei]interface gi
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add
[Huawei-GigabitEthernet0/0/0]ip address 13.1.1.2 30
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int
[Huawei]interface gi
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 23.1.1.1 30
[Huawei-GigabitEthernet0/0/1]q
杭州分公司内网出口路由器AR2配置:
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysna
[Huawei]sysname hangfen
[hangfen]
[hangfen]int
[hangfen]interface gi
[hangfen]interface GigabitEthernet 0/0/0
[hangfen-GigabitEthernet0/0/0]ip add 13.1.1.1 30
Jun 18 2023 15:06:38-08:00 hangfen %%01IFNET/4/LINK_STATE(l)[0]:The line protoco
l IP on the interface GigabitEthernet0/0/0 has entered the UP state.
[hangfen-GigabitEthernet0/0/0]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 13.1.1.1 255.255.255.252
#
return
[hangfen-GigabitEthernet0/0/0]q
[hangfen]int
[hangfen]interface gi
[hangfen]interface GigabitEthernet 0/0/1
[hangfen-GigabitEthernet0/0/1]ip add 192.168.6.1 24
Jun 18 2023 15:07:42-08:00 hangfen %%01IFNET/4/LINK_STATE(l)[1]:The line protoco
l IP on the interface GigabitEthernet0/0/1 has entered the UP state.
[hangfen-GigabitEthernet0/0/1]
[hangfen-GigabitEthernet0/0/1]q
#添加静态路由
[hangfen]ip route-static 0.0.0.0 0 13.1.1.2
[hangfen]
#NAT转换,实现杭分 内网机器能够访问外网
[hangfen]
[hangfen]acl 2000
[hangfen-acl-basic-2000]rule 5 permit source ?
IP_ADDR<X.X.X.X> Address of source
any Any source
[hangfen-acl-basic-2000]rule 5 permit source any
[hangfen-acl-basic-2000]q
[hangfen]
[hangfen-GigabitEthernet0/0/0]nat outbound 2000
[hangfen-GigabitEthernet0/0/0]q
[hangfen]
[hangfen]
西安总部内网出口路由器AR3配置:
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]undo inf
[Huawei]undo info-center en
Info: Information center is disabled.
[Huawei]
[Huawei]int gi
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 23.1.1.2 30
[Huawei-GigabitEthernet0/0/0]
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int gi
[Huawei]int GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.1 24
[Huawei-GigabitEthernet0/0/1]
[Huawei-GigabitEthernet0/0/1]
[Huawei-GigabitEthernet0/0/1]q
[Huawei]sysna
[Huawei]sysname xian
#添加静态路由
[xian]ip route-static 0.0.0.0 0 23.1.1.1
[xian]
#NAT 转换,实现总公司内网 能够访问外网
[xian]
[xian]acl 2000
[xian-acl-basic-2000]rule 5 permit ?
fragment Check fragment packet
none-first-fragment Check the subsequence fragment packet
source Specify source address
time-range Specify a special time
vpn-instance Specify a VPN-Instance
<cr> Please press ENTER to execute command
[xian-acl-basic-2000]rule 5 permit sou
[xian-acl-basic-2000]rule 5 permit source ?
IP_ADDR<X.X.X.X> Address of source
any Any source
[xian-acl-basic-2000]rule 5 permit source any
[xian-acl-basic-2000]q
[xian]
[xian]interface GigabitEthernet 0/0/0
[xian-GigabitEthernet0/0/0]nat outbound 2000
[xian-GigabitEthernet0/0/0]
[xian-GigabitEthernet0/0/0]q
[xian]
测试:
此时我们通过杭分的内网ip能否访问西安总公司的服务器192.168.10.2 呢?
经测试不通,为此,我们可以通过通过GRE 和端口映射两种办法来解决,本文档中采用的是GRE方式,打通两地的网络
我们继续配置
GRE配置
AR2路由器:
[hangfen]int
[hangfen]interface Tu
[hangfen]interface Tunnel ?
<0-0> Tunnel interface slot number
[hangfen]interface Tunnel 0/0/3
[hangfen-Tunnel0/0/3]
[hangfen-Tunnel0/0/3]tu
[hangfen-Tunnel0/0/3]tunnel-protocol gre
[hangfen-Tunnel0/0/3]tunnel-protocol gre ?
p2mp Point to multi-point GRE mode
<cr> Please press ENTER to execute command
[hangfen-Tunnel0/0/3]tunnel-protocol gre
[hangfen-Tunnel0/0/3]sou
[hangfen-Tunnel0/0/3]source 13.1.1.1
[hangfen-Tunnel0/0/3]des
[hangfen-Tunnel0/0/3]des?
description Specify interface description
destination Destination address of the tunnel interface
[hangfen-Tunnel0/0/3]desti
[hangfen-Tunnel0/0/3]destination 23.1.1.2
[hangfen-Tunnel0/0/3]ip add 10.13.1.1 30
Jun 18 2023 16:08:45-08:00 hangfen %%01IFNET/4/LINK_STATE(l)[0]:The line protoco
l IP on the interface Tunnel0/0/3 has entered the UP state.
[hangfen-Tunnel0/0/3]
[hangfen-Tunnel0/0/3]q
[hangfen]
[hangfen]ip route-static 192.168.10.0 24 Tunnel 0/0/3
[hangfen]
AR3配置:
[xian]int
[xian]interface tu
[xian]interface Tunnel 0/0/3
[xian-Tunnel0/0/3]tu
[xian-Tunnel0/0/3]tunnel-protocol gre
[xian-Tunnel0/0/3]sou
[xian-Tunnel0/0/3]source 23.1.1.2
[xian-Tunnel0/0/3]dest
[xian-Tunnel0/0/3]destination 13.1.1.1
[xian-Tunnel0/0/3]ip add 10.13.1.2 30
[xian-Tunnel0/0/3]
[xian-Tunnel0/0/3]q
[xian]
#添加静态路由
[xian]ip route-static 192.168.6.0 24 10.13.1.1
[xian]
测试:
杭分内网主机能够ping 通 西安总公司内网服务器ip 。
查看路由表:
AR2
AR3
写在最后:
自我设限,固步自封,唯有突破极限,才能发掘潜能。以上就是本期整理的《作为网工,如何将网络设备,通过GRE-VPN技术实现异地局域网互通》,自己经历过的风雨,所以知道你也会坚强。你的【点赞】+【关注】,我会自动解读为认可。
作者简介:
我是“网络系统技艺者”,系统运维工程师一枚,持续分享【网络技术+系统运维技术】干货。码字不易,如果您觉得文章还可以,就收藏吧,也许在以后某个时间能够用得到。