H3C-F5000 Tunnel无法建立GRE连接,更换为H3C-MSR2600路由器后GRE连接建立,问题,为什么H3C-F5000不能建立GRE?这个特性还需要特别的license吗?
在F5000上所有端口均加入了安全域,包括互联接口,tunnel接口,loopback接口,并且在安全策略是全放通,action pass。GRE建立不起来,在F5000上通过debug抓包,发现对端有发送GRE请求报文,而F5000却是一个报文都没发。对端路由器上抓包也反映了这个情况,F5000的报文是一个都没有,什么都没收到。
UPF路由器----------------------------DCGW接入交换机---------------------用户端F5000防火墙
loopback 100.127.2.1 loopback 100.127.2.2
tunnel0 100.126.2.1 tunnel0 100.126.2.2
[F5000]disp version
H3C Comware Software, Version 7.1.064, Release 9660P18
Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath F5000-A uptime is 0 weeks, 3 days, 19 hours, 53 minutes
Last reboot reason: User reboot
Boot image: sda0:/F5080FW-CMW710-BOOT-R9660P18.bin
Boot image version: 7.1.064, Release 9660P18
Compiled Nov 11 2021 15:00:00
System image: sda0:/F5080FW-CMW710-SYSTEM-R9660P18.bin
System image version: 7.1.064, Release 9660P18
Compiled Nov 11 2021 15:00:00
Feature image(s) list:
sda0:/F5080FW-CMW710-SECESCAN-R9660P18.bin, version: 7.1.064
Compiled Nov 11 2021 15:00:00
SLOT 1
Uptime is 0 weeks, 3 days, 19 hours, 53 minutes
CPU type: Multi-core CPU
DDR3 SDRAM Memory: 32752M bytes
SD0: 3776M bytes
NSQ1MPBHA PCB Version: Ver.A
NSQ1MPBBHB PCB Version: Ver.A
NSQ1MPHDBHA PCB Version: Ver.A
NSQ1MPGC4BHA PCB Version: Ver.A
NSQ1MPLEDBHA PCB Version: Ver.A
CPLD_A Version: 2.0
CPLD_B Version: 2.0
Release Version:SecPath F5000-A-9660P18
Basic BootWare Version:1.09
Extend BootWare Version:1.09
根本原因在于:H3C F5000作为一款高端防火墙,其设计初衷是安全防护,很多高级路由功能(包括GRE)默认是关闭的,或者需要明确的配置授权(包括License和命令行开启)才能正常工作。而MSR2600作为路由器,其核心功能就是路由和隧道,这些功能是默认开启的。
您遇到的现象“对端有发送GRE请求报文,而F5000却一个报文都没发”是关键的诊断线索。这说明:
网络层是通的:对端的GRE报文能到达F5000,证明底层IP路由、安全域和安全策略的放通是有效的。
问题出在F5000本身:F5000收到了GRE报文(协议号47),但它没有按照GRE协议的逻辑进行处理和回复。这通常不是因为配置错误,而是因为功能未启用。
关键点:在H3C的防火墙产品线上,GRE隧道功能通常需要单独的License授权。没有对应的License,相关功能在软件层面是被禁用的,即使配置了命令也无法生效。
排查方法:在F5000上执行以下命令检查License状态:
display license
查看输出中是否有与 “VPN”、“GRE” 或 “Tunnel” 相关的特性License,并确认其状态为 “Active”(激活)。
解决方案:如果缺少相关License,请联系H3C或您的供应商,申请并激活对应的功能License。
关键点:即使有了License,某些防火墙的高级路由功能也需要通过命令行显式开启。
排查方法:检查是否开启了IP报文强制解封装功能。GRE属于一种隧道封装,这个命令至关重要。
解决方案:在系统视图下尝试开启以下功能:
system-view
# 开启对IP报文的解封装功能(常用命令)
ip reassemble
# 某些版本也可能需要或叫做(请查阅对应版本的配置指南)
tunnel gre enable
请注意:具体命令名称可能因Comware V7版本略有差异,请务必查阅您设备版本(7.1.064, Release 9660P18
)的官方配置手册。
关键点:F5000支持硬件快速转发(基于ASIC芯片),但某些复杂的隧道协议处理可能需要软件转发来参与初始建立或完全处理。如果GRE流量被错误的匹配到了硬件转发策略,可能会导致异常。
排查方法:可以尝试在Tunnel接口或物理接口上关闭快速转发,强制其采用软件处理,用于排查问题。
interface Tunnel0
undo ip fast-forwarding
或者,在对应的入方向物理接口(接收对端GRE报文的接口)上:
interface GigabitEthernet x/x/x
undo ip fast-forwarding inbound
解决方案:如果关闭快速转发后GRE隧道得以建立,则说明是快速转发策略或硬件芯片对该协议的支持问题。后续可以再精细调整策略或咨询H3C技术支持确认该版本固件是否存在相关已知问题。
关键点:早期的H3C防火墙有“路由模式”和“策略模式”之分。在某些极端情况下,工作模式可能会影响高级路由功能的可用性。但您使用的V7版本通常不需要关心这个,这个可能性较低。
请您按照以下顺序进行操作:
首先检查License:执行 display license
,确认是否有激活的VPN或GRE相关特性。这是可能性最大的原因。
尝试开启功能命令:在系统视图下,依次尝试输入 ip reassemble
和 tunnel gre enable
(请以官方文档为准)并保存配置,然后重启Tunnel接口(先 shutdown
再 undo shutdown
)观察效果。
检查版本支持:访问H3C官网,查询您使用的F5000-A-9660P18这个具体版本的特性支持矩阵或版本说明,明确GRE是否是一个标准支持功能,以及是否有已知的BUG。
联系H3C技术支持:如果以上步骤均无法解决,您收集好如下信息后联系H3C原厂技术支持是最快的方式:
display version
(您已提供)
display license
F5000上关于Tunnel和GRE的完整配置片段
拓扑图(您已提供)
在F5000和对端设备上做的 debugging ip packet
或 debugging tunnel
的输出结果(您已部分进行)
您遇到的问题很好地体现了防火墙和路由器的设计哲学差异:路由器追求功能丰富和连接性,而防火墙默认一切皆禁止,只有在安全和授权都允许的情况下才提供功能。GRE功能在F5000上需要额外的授权和开启操作,正是这种设计思想的体现。
谢谢大佬为我解答
谢谢大佬为我解答
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明