Linux與網絡設備 GRE配置經驗總結

GRE 介紹及應用場景

GRE（General Routing Encapsulation），即通用路由封裝，是一種三層 VPN 技術。它的最大作用是可以對某些網絡層協議的報文進行封裝，如對路由協議、語音、視頻等組播報文或IPv6報文進行封裝。同時，也能夠與 IPSec 結合，解決 GRE 的安全問題。

本文主要介紹 linux 與網絡設備（華為防火墻、華為路由器、Juniper SRX防火墻）對接 GRE 的配置方法。

GRE 報文

如下圖所示，GRE 是按照 TCPIP 協議棧進行逐層封裝，新的 IP 頭會封裝在原有的 IP 頭中，然后運送出去，封裝操作是通過 Tunnel 接口完成的，GRE 協議經過 Tunnel 口時，會將接口的封裝協議設置為 GRE 協議。

GRE 的配置場景

centos 7.6 與華為防火墻建立 GRE 隧道

拓撲圖

實現目標

CentOS 與華為防火墻建立 GRE 隧道；
華為防火墻背后的內網網段 192.168.1.0/24 通過 GRE 隧道從 CentOS 到 Internet；
CentOS 配置端口映射，將 192.168.1.10 的 8080 端口映射到 CentOS 的公網地址 200.1.1.1 的 8080 端口。

配置

CentOS

配置接口與路由

[root@CentOS ~]# vim /etc/sysconfig/network-scripts/ifcfg-tun0
DEVICE=tun0
BOOTPROTO=none
ONBOOT=yes
DEVICETYPE=tunnel
TYPE=GRE
PEER_INNER_IPADDR=172.16.1.2
PEER_OUTER_IPADDR=100.1.1.1
MY_INNER_IPADDR=172.16.1.1
MY_OUTER_IPADDR=200.1.1.1
[root@CentOS ~]# vim /etc/sysconfig/network-scripts/route-tun0
192.168.1.0/24 via 172.16.1.2
[root@CentOS ~]# ifup tun0

Iptables 配置

# 安裝 iptables 管理服務
[root@CentOS ~]# yum install iptables-services
# 在 INPUT 方向要放行對端的公網地址
[root@CentOS ~]# iptables -I INPUT -s 100.1.1.1/32 -j ACCEPT
# 配置源地址轉換
[root@CentOS ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 200.1.1.1
# 端口映射
[root@CentOS ~]# iptables -t nat -A PREROUTING -d 200.1.1.1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.1.10:8080
# 保存 iptables
[root@CentOS ~]# service iptables save

開啟 ipv4 轉發

[root@CentOS ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@CentOS ~]# sysctl -p

華為防火墻

本次以華為 USG6300E 系列防火墻為例：

配置接口，并添加到安全區域

interface Tunnel0
ip address 172.16.1.2 255.255.255.0
tunnel-protocol gre
source 100.1.1.1
destination 200.1.1.1
# 將接口添加到安全區域內
[USG6300E] firewall zone tunnel
firewall zone name tunnel
set priority 75
add interface Tunnel0

配置安全策略

在實際的實施中，可以將策略收緊一些，根據需求限制源和目的地址。如果條件允許的話，可以先將默認安全策略設置為 permit，待調通之后，再修改安全策略：security-policy
rule name tunnel_out
source-zone trust
destination-zone tunnel
action permit

rule name tunnel_in
source-zone tunnel
destination-zone trust
action permit
# 放行 tunnel 到 untrust 的流量
rule name tunnel_untrust
source-zone tunnel
destination-zone untrust
action permit

配置策略路由

[USG6300E]policy-based-route
#
policy-based-route
rule name PBR
source-zone trust
source-address 192.168.1.0 mask 255.255.255.0
action pbr egress-interface Tunnel0配置 No-NAT設置去往隧道的流量不使用源地址轉換：[USG6300E-policy-nat]dis th
nat-policy
rule name SNAT
source-zone tunnel
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
action no-nat

驗證

主要有如下幾個測試方法：

在 CentOS 或防火墻 ping 對端的隧道地址；
使用 192.168.1.0/24 網段內的設備 traceroute 公網地址，查看經過的路徑以確認是否經過隧道轉發。

Ubuntu 18 與華為路由器建立 GRE 隧道

拓撲圖

實現目標

Ubuntu 18 與華為路由器建立 GRE 隧道；
華為防火墻背后的內網網段 192.168.1.0/24 通過 GRE 隧道從 CentOS 到 Internet；
Ubuntu 配置端口映射，將 192.168.1.10 的 8080 端口映射到 CentOS 的公網地址 200.1.1.1 的 8080 端口。

配置

Ubuntu

netplan 配置

root@ubunt18demo:~# vim /etc/netplan/00-installer-config.yaml
network:
ethernets:
ens3:
addresses:
- 200.1.1.1/24
gateway4: 200.1.1.254
nameservers:
addresses:
- 114.114.114.114
tunnels:
tun0:
mode: gre
local: 200.1.1.1
remote: 100.1.1.1
addresses: [ 172.16.1.1/24 ]
routes:
- to: 192.168.1.0/24
via: 172.16.1.2
# 可以先執行 netplan try 驗證一下，如果沒有斷掉的話可以按 ENTER 確認配置
# 如果和主機 SSH 中斷，可以等待 120S 會自動恢復
root@ubunt18demo:~# netplay try

iptables 設置

Ufw 是 Ubuntu 的防火墻配置工具，底層還是調用 iptables 處理的：# 啟用 ufw
ufw enable
# 放行 SSH
ufw allow ssh
# 放行 GRE 對端進入的流量
ufw allow from 100.1.1.1/32
# 配置 nat 映射
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 200.1.1.1
iptables -t nat -A PREROUTING -d 200.1.1.1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.1.10:8080
# 將 ufw 設置為開機自啟動
systemctl enable ufw開啟 ipv4 轉發：echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

華為路由器

以 AR1200 系列路由器為例：

配置接口interface Tunnel0/0/1
ip address 172.16.1.2 255.255.255.0
tunnel-protocol gre
source 100.1.1.1
destination 200.1.1.1

配置策略路由# 配置 ACL
[AR1200] acl number 3000
[AR1200-acl-adv-3000] rule 10 permit ip destination 192.168.1.0 0.0.0.255
# 配置流分類
[AR1200] traffic classifier togretunnel
[AR1200-classifier-togretunnel] if-match acl 3000
# 配置流行為
[AR1200] traffic behavior togretunnel
[AR1200-behavior-togretunnel] redirect ip-nexthop 172.16.1.1
# 配置流策略
[AR1200] traffic policy togretunnel
[AR1200-trafficpolicy-vlan10] classifier togretunnel behavior togretunnel
# 在內網口調用流策略
[AR1200] interface gigabitethernet 1/0/1
[AR1200-GigabitEthernet3/0/0] traffic-policy togretunnel inbound

驗證

驗證方法同 CentOS 與華為防火墻建立 GRE 隧道一致。

Juniper SRX 防火墻的 GRE 配置

SRX 防火墻的出接口如果使用了 route-instances，那么配置 tunnel 口時，一定要注意增加 route-instance destination，如下所示：

set interfaces gr-0/0/0 unit 0 tunnel source 100.1.1.1
set interfaces gr-0/0/0 unit 0 tunnel destination 200.1.1.1
set interfaces gr-0/0/0 unit 0 tunnel routing-instance destination EXAMPLE-INSTANCE
set interfaces gr-0/0/0 unit 0 family inet address 172.16.1.2/24

另外策略路由在 SRX 中稱為 FBF，還有 No-NAT的配置示例如下：

# 配置 firewall filter，匹配需要進入隧道的流量
set firewall filter to-GreTunnel term 1 from source-address 192.168.1.0/24
set firewall filter to-GreTunnel term 1 then routing-instance EXAMPLE-INSTANCE
set firewall filter to-GreTunnel term 3 then accept

set routing-options rib-groups global import-rib EXAMPLE-INSTANCE.inet.0

# 配置去往 Gre Tunnel 的路由
set routing-instances EXAMPLE-INSTANCE instance-type forwarding
set routing-instances EXAMPLE-INSTANCE routing-options interface-routes rib-group inet global
set routing-instances EXAMPLE-INSTANCE routing-options static route 0.0.0.0/0 next-hop 172.16.1.1

# 在內網口調用 firewall filter
set interfaces reth2 unit 0 family inet filter input to-GreTunnel

# 去往隧道口的流量不做 SNAT
set security nat source rule-set Gre-snat from zone Trust
set security nat source rule-set Gre-snat to zone EXAMPLE-INSTANCE
set security nat source rule-set Gre-snat rule to-cn2-no-nat match source-address 192.168.1.0/24
set security nat source rule-set Gre-snat rule to-cn2-no-nat match destination-address 0.0.0.0/0
set security nat source rule-set Gre-snat rule to-cn2-no-nat then source-nat off

CentOS 的策略路由

如果有使用 Linux 作為中轉的場景，也就是說華為防火墻和 Linux 建立 GRE 隧道，Linux 又和其他設備建立，由 Linux 做中轉流量，這種場景下，可以在 Linux 配置策略路由，如下所示：

# 臨時配置，重啟后會消失，可以作為調試使用
ip rule add from 192.168.1.0/24 table 100 pref 10
ip route add 0.0.0.0/0 via 200.1.1.254 table 100

# 將配置持久化
vim /etc/sysconfig/network-scripts/rule-eth0
from 192.168.1.0/24 table 100 pref 10

vim /etc/sysconfig/network-scripts/route-eth0
default via 172.16.1.1 dev tun0

# 驗證命令
ip rule show
ip route show table 100