SECGATE防火墙与JUNIPER路由器GREVPN功能操作手册.doc

SecGate防火墙与Juniper路由器GRE VPN操作手册网御神州科技有限公司2010-10-22修改历史版本 日期 修订人 说明1.02010-10-22王立利新建目 录1.项目背景42.基本配置42.1.GRE隧道配置42.2.GRE路由配置52.3.GRE策略配置63.GRE测试案例73.1.网络拓扑图73.2.防火墙配置83.3.WEB配置方法83.3.1.GRE隧道配置83.3.2.策略路由配置83.3.3.安全规则配置93.4.CLI配置方法94.故障诊断与排除101. 项目背景锐捷某高校需求，要求防火墙能与juniper 路由器建立起GRE 隧道，保障应用层数据可以通讯2. 基本配置GRE（Generic Routing Encapsulation，通用路由封装）协议是对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE 是VPN（Virtual Private Network）的第三层隧道协议，隧道是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报进行封装及解封装。2.1. GRE隧道配置在“VPN配置>>GRE VPN>>GRE隧道”，点击，将显示以下页面，该页面主要配置GRE VPN的基本参数。GRE VPN基本配置菜单说明：域 名说 明隧道名称GRE隧道名称，唯一标识，符合命名规则，必须以“gre-”开头，以此区分GRE VPN隧道与其它隧道。系统自动添加与“隧道名称”一样的虚设备接口本地网关VPN隧道的本地IP地址，应该和“网络配置>>安全网关IP”中该接口的IP地址一致本地IP地址，不支持动态IP地址，如ADSL拨号远程网关GRE隧道使用的远程网关IP地址GRE设备IPGRE 隧道虚设备的IP地址，GRE接口的网络地址可以不是申请得到的网络地址。用户设置通道两端的网络地址应该位于同一网段上。这些配置在GRE两端都必须配置，并且确保地址在同一网段。GRE虚设备IP主要是起路由作用GRE掩码GRE 隧道虚设备的IP地址掩码GRE隧道双方的GRE虚设备IP地址的掩码配置一样GRE KEYGRE隧道双方KEY一样才能正常通信，否则丢弃。默认不设置，如果设置0，表示不设置KEY，范围在1到4294967295整数之间。（可选项）设置检验和在GRE协议头中添加检验和，默认不启用。（可选项）备注备注中不像名称那样对输入字符串进行了严格的限制，备注中可以输入任何字符，但是必须小于等于255个字节，即255个英文字符或者127个汉字。（可选项）2.2. GRE路由配置在“网络配置>>策略路由”，点击将显示如下界面：GRE路由菜单说明：域 名说 明路由按目的IP路由。目的地址当指定目的IP/掩码/下一跳网关，表示按目的IP路由。即只要指定内容中无源IP地址，则按目的IP地址路由。默认目的IP地址为any。GRE隧道中，特指对端GRE隧道保护子网。掩码目的地址的掩码。下一跳地址将指定的源IP地址的数据包，或者，将指定的目的IP地址的数据包，发送到该IP所在设备上。当选中“路由”或“源路由”时，界面上只显示一个“下一条地址”。当选择路由时，可以选择要走的vpn设备名而不输入下一跳IP地址。Vpn设备只有目的路由时，可以选择此项，使匹配此路由的走指定的vpn设备。该项会自动提供IPsec vpn设备和GRE隧道设备选择。备份设备当选择基于路由的VPN时，支持对VPN隧道的备份，一旦主VPN设备对应的VPN隧道断线后，会将VPN流量切换到备份设备对应的VPN隧道，保证VPN网络的高可靠性。GRE隧道不支持VPN备份设备。2.3. GRE策略配置因GRE隧道是点到点通信，防火墙收到GRE数据包，先解包，然后查询状态表、安全规则表。所以只需要添加包过滤规则即可。为了使安全规则更加细粒度的精确匹配，配置如下：3. GRE测试案例3.1. 网络拓扑图拓扑说明：1) 左边的网络A地址为10.34.0.0/255.255.252.0，范围为10.34.0.0-10.34.3.255，网关的内部IP地址为10.34.1.4，网关在公网上的IP地址为20.20.20.20/24，公网的网关为20.20.20.1(模拟公网地址)。 2) 右边的网络B地址为10.34.4.0/255.255.252.0，范围为10.34.4.0-10.34.7.255，网关的内部IP地址为10.34.4.4，网关在公网上的IP地址为10.60.39.222/16，公网的网关为10.60.39.254。 3) 为了使用GRE隧道连接网络A和网络B，GRE隧道类似一个虚拟信道，该信道两端的IP地址为10.34.127.1和10.34.127.2。 实现功能：网络A与网络B通过GRE隧道进行数据通信。3.2. 防火墙配置3.3. WEB配置方法3.3.1. GRE隧道配置其中界面中，对应每条GRE隧道状态是可控的，当用户想关闭某条GRE隧道时，直接点击界面对应“状态图标”即可，并且立即生效。如果启用GRE隧道，则重复上述操作，再次点击即可。3.3.2. 策略路由配置需要两条目的路由即可：其中一条，保护子网“10.34.4.0/22”目的路由，下一跳走GRE隧道设备其中一条，通往对端GRE设备地址“10.60.39.222”的目的路由。3.3.3. 安全规则配置3.4. CLI配置方法1、 拓扑图中左边防火墙配置配置接口IP地址：sysip add fe1 20.20.20.20 255.255.255.0 ping on admin onsysip add fe6 10.34.1.4 255.255.252.0 ping on admin on配置GRE隧道vpngre add gre-fe1 remote 10.60.39.222 local 20.20.20.20 ip 10.34.127.1 mask 255.255.255.0 配置路由：route add droute 10.34.4.0/255.255.255.0 gre-fe1route add droute 10.60.39.222/255.255.255.255 20.20.20.1双向包过滤安全策略：policy add permit from 10.34.4.0/255.255.252.0 to 10.34.1.4/255.255.252.0 policy add permit from 10.34.1.4/255.255.252.0 to 10.34.4.0/255.255.252.02、 右边Juniper设备配置1） 登录系统用户名：root密码：juniper123登录成功后出现：root%. 输入cli,进入管理模式2） 进入配置模式configure3） Set interfaces em0 unit 0 family address 10.60.39.223/16 # 配置em0 接口IP4） Set interfaces em1 unit 0 family address 10.34.4.4/22 #配置em1接口IP5） 配置虚拟接口TunnelSet interfaces gre unit 0 description “TO RT-01 Tunnel”Set interfaces gre unit 0 tunnel source 10.60.39.223 #本端公网IPSet interfaces gre unit 0 tunnel destination 20.20.20.20 #远端公网IPSet interfaces gre unit 0 family address 10.34.127.2/24 #配置隧道虚拟地址6） 设置Tunnel 路由Set routeing-options static route 10.34.0.0/22 qualifies-next-hop gre.07) Set routeing-options static route 22.22.22.22/32 next-hop 10.60.39.2548) Commit 9） GRE隧道查询Show interfaces gre Show interfaces gre briefShow interfaces gre extensive 4. 故障诊断与排除GRE 的配置相对比较简单，但要注意配置的一致性，大部分的错误都可以通过使用以下方法定位。这里仅就一种错误进行分析。如图所示：故障之一：Tunnel两端接口配置正确且Tunnel 两端、以及保护子网间无法正常通信。故障排除：可以按照如下步骤进行排查。Ø 查询GRE隧道基本参数是否与对端GRE设备参数一致，且本地与远程地址是否都正确Ø 路由查找：1) 查询是否存在通向对端GRE隧道IP地址的路由信息2) 查询是否存在通向对端保护子网的路由信息，且下一跳为GRE隧道设备。如果在上一步的输出中发现缺少相应的静态路由，则需要通过命令行或者WEB界面添加静态路由。在防火墙上配置如下：Route add droute 10.60.39.222/255.255.255.255 20.20.20.1route add droute 10.34.4.0/255.255.252.0 <GRE接口名>Ø 安全规则查询：若以上依然不通，则需要查找一下安全规则，是否存在网络A与网络B通信的包过滤规则。（添加双向细粒度匹配安全规则）故障之二：Tunnel两端接口配置正确且Tunnel 两端可以ping 通，FTP数据无法下载。Ø GRE数据包经过网络中间设备分片处理，但从Linux操作系统发送出来的GRE数据包，IP头均不让分片。所以导致丢包现象，如果中间网络设备支持，会通过路径MTU发现机制等措施，会返回一个消息，否则直接降低虚接口MTU值。解决办法：修改防火墙TCP MSS值到合适值即可。若GRE设备系统为linux系统时，发出的GRE封装的IP数据包不让分片。X86防火墙和Cisco路由器发出的GRE封装的IP数据包让分片。