防火墙内网接口1/0/0接内网,外网接口1/0/1作为外网上网,现外网用户路由器通过访问防火墙外网口的1.1.1.1地址建立Gre隧道,让对端20.1.1.0/24网段地址和防火墙内网10.1.1.0/24网段互访。
防火墙内网口1/0/0为Trust安全域、外网口1/0/1为Untrust安全域,gre接口tunnel0为Untrust安全域。
组网配置:
本地GRE的tunnel0接口地址为100.1.1.1,对端GRE的tunnel0接口地址为200.1.1.1。
security-policy ip
rule 1 name gre
action pass
source-zone Untrust
destination-zone Local
source-ip-host 2.1.1.1
source-ip-host 200.1.1.1
destination-ip-host 1.1.1.1
destination-ip-host 100.1.1.1
security-policy ip
rule 2 name gre2
action pass
source-zone Local
destination-zone Untrust
source-ip-host 1.1.1.1
source-ip-host 100.1.1.1
destination-ip-host 2.1.1.1
destination-ip-host 200.1.1.1
rule 3 name gre3
action pass
source-zone Untrust
destination-zone Trust
source-ip-subnet 20.1.1.0 255.255.255.0
destination-ip-subnet 10.1.1.0 255.255.255.0
rule 4 name gre4
action pass
source-zone Trust
destination-zone Untrust
source-ip-subnet 10.1.1.0 255.255.255.0
destination-ip-subnet 20.1.1.0 255.255.255.0
Rule4规则为rule3规则安全域、地址互反,用于主动访问对端内网时候放通。
创建rule1、rule2:
Rule1:对端路由器到防火墙需要外网流量从g1/0/1进入防火墙,且目的为防火墙本身,属于本地报文,因此目的安全域为Local,而g1/0/1属于Untrust安全域,所以流量的走向是:源安全域Untrust到目的安全域Local,目的ip是防火墙公网地址1.1.1.1以及隧道接口地址100.1.1.1,源地址是对端路由器的公网地址2.1.1.1以及对端隧道接口地址200.1.1.1。
Rule2规则为rule1规则安全域、地址互反,可以主动找对端建立链接。
创建rule3、rule4:
Rule3:GRE建立成功后对端网络需要访问本端网络,防火墙从tunnel0口接收gre流量后,根据目的地址再将流量从g1/0/0转发出去。而g1/0/0属于trust安全域,tunnel0接口属于Untrust安全域,所以流量的走向是:源安全域Untrust到目的安全域trust。源地址为对端内网网段20.1.1.0/24目的网段为本地内网10.1.1.0/24。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作