防火墙使用VRRP虚地址建立GRE典型配置

防火墙使用VRRP虚地址建立GRE典型配置

一、组网需求：

两端防火墙设备计划建立GRE隧道，但由于一端为VRRP组网，所以需要使用VRRP的虚地址来创建GRE Tunnel。在VRRP发生切换的时候，相应的GRE隧道也可以发生切换，进行备份。

【注意】：GRE Tunnel接口上是无法运行VRRP协议的，但可以运行OSPF、IPSec、组播等协议。

二、配置步骤：

1. FW A配置

#                                                                               

interface Tunnel100                                                            

 ip address 100.1.1.2 255.255.255.252                                          

 source 8.1.1.2                                                                 

 destination 8.1.1.10              //destination地址指向VRRP虚地址

#                                                                              

firewall zone trust                                                            

 add interface GigabitEthernet0/0                                                                                                      

 add interface Tunnel100           //Tunnel口也必须加入安全域

 set priority 85  

2. FW B配置

B1和B2的配置完全相同

#                                                                               

interface Tunnel100                                                            

 ip address 100.1.1.1 255.255.255.252                                          

 source 8.1.1.10                   //source地址使用VRRP虚地址

 destination 8.1.1.2

#                                                                              

firewall zone trust                                                            

 add interface GigabitEthernet0/0                                                                                                      

 add interface Tunnel100           //Tunnel口也必须加入安全域                                                

 set priority 85 

完成上述配置后，发现接口协议UP，也可以ping通本端，但却无法ping通对端。

[FW_B1]dis ip inter br                                     

*down: administratively down                                                    

(s): spoofing                                                                  

 Interface                   IP Address      Physical Protocol     Description 

 Tunnel100                   100.1.1.1       up       up           Tunnel100...

[FW_B1]ping 100.1.1.1                                      

  PING 100.1.1.1: 56  data bytes, press CTRL_C to break                        

Reply from 100.1.1.1: bytes=56 Sequence=1 ttl=255 time=1 ms 

[FW_B1]ping 100.1.1.2                                      

  PING 100.1.1.2: 56  data bytes, press CTRL_C to break                        

    Request time out    

三、原因分析

原因在于B1设备属于V3平台防火墙，在引用VRRP虚地址作为GRE的source地址时，GRE Tunnel只是在控制平面协议UP了，但无法真正在数据平面完成数据转发。

解决办法：

在B1上配置Loopback地址(B2上配置相同)，使得GRE隧道引用的VRRP虚地址以实际接口的形式存在，这样就可以完成数据转发了。

[FW_B1]ip address 8.1.1.10 255.255.255.255    //注意掩码为32位即可

[FW_B1]ping 100.1.1.2                                                

  PING 100.1.1.2: 56  data bytes, press CTRL_C to break                        

Reply from 100.1.1.2: bytes=56 Sequence=1 ttl=255 time=1 ms

对于V5的防火墙来说，不存在上述问题，即可以直接使用VRRP虚地址来建立GRE隧道。

四、配置关键点：

1，GRE隧道使用VRRP的虚地址作为source(destination)地址；

2，配置和VRRP虚地址一样(掩码不同)的Loopback地址。