企业跨地域互联:GRE隧道部署与互通配置

运维闲章印时光2026-02-13 8:20

一、什么是 GRE(通用路由封装)

GRE(Generic Routing Encapsulation) ,即通用路由封装协议,是一种三层 VPN 隧道技术

它的核心作用:把原本不能跨公网传输的数据包,重新打包封装,像 "快递包裹" 一样,在互联网上安全、透明地传输。

简单理解:

总部和分公司都在公网上;

直接访问不安全、也无法直接互通;

通过两端设备(防火墙 / 路由器)建立一条虚拟的 "专线";

数据走这条虚拟通道,就像在同一个局域网里互通。

特点

配置简单、部署快;

不依赖专用线路,利用现有互联网即可;

能封装多种协议,实现跨地域互通;

配合华为 USG6000 防火墙,可再叠加安全策略,更稳定可靠求。

二、设备核心配置思路

1、总部与分公司两台PC可以相互访问;

2、总部与分公司跨运营商,通过私网地址可以互访。

三、配置步骤

3.1 拓扑图

3.2 ISP(运营商) 的配置如下

sysname ISP

interface G0/0/1

ip address 100.1.1.2 30

interface G0/0/2

ip address 200.1.1.2 30

interface LoopBack0

ip address 8.8.8.8 32

3.3 KM_VPN的配置如下(以下都是web页面配置,简单方便)

sysname KM_VPN

#防火墙web管理地址配置

interface G0/0/0

description to MGMT

ip address 192.168.56.11 24

service-manage all permit

#接口IP配置

interface G1/0/0

description to PC_IP

ip address 192.168.255.254 24

service-manage ping permit

interface G1/0/2

description to ISP

ip address 100.1.1.1 30

service-manage ping permit

#创建Tunnel0( GRE接口 )接口,并配置接口IP地址

interface Tunnel0

ip address 10.1.1.1 30

tunnel-protocol gre

source 100.1.1.1

destination 200.1.1.1

alias GRE_vpn

#创建安全域( 单独用于GRE接口的 ),并把GRE接口加入安全域

firewall zone name Tunnet0

set priority 70

add interface Tunnel0

#把其他接口加入对应的安全域

firewall zone trust

add interface GigabitEthernet0/0/0

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/2

#配置对象IP地址

ip address-set KMPC_IP type object

address 0 192.168.255.0 mask 24

ip address-set QJPC_IP type object

address 0 172.16.255.0 mask 24

ip address-set RGE_IP_D type object

address 0 200.1.1.1 mask 32

ip address-set GRE_IP_S type object

address 0 100.1.1.1 mask 32

#安全策略

security-policy

rule name 上网策略

source-zone trust

destination-zone untrust

source-address address-set KMPC_IP

action permit

#NAT策略

nat-policy

rule name NAT策略

source-zone trust

egress-interface GigabitEthernet1/0/2

source-address address-set KMPC_IP

action source-nat easy-ip

#配置静态路由

ip route-static 0.0.0.0 0.0.0.0 100.1.1.2

ip route-static 172.16.255.0 255.255.255.0 Tunnel0 10.1.1.2

#安全策略(GRE配置,配置三条策略即可)

security-policy

rule name GRE-Trust_Gre #协议为ICMP

source-zone trust

destination-zone Tunnet0

source-address address-set KMPC_IP

destination-address address-set QJPC_IP

service icmp

action permit

rule name GRE-Untr_local #协议为GRE

source-zone untrust

destination-zone local

source-address address-set RGE_IP_D

destination-address address-set GRE_IP_S

service gre

action permit

rule name GRE-Gre_Trust #协议为ICMP

source-zone Tunnet0

destination-zone trust

source-address address-set QJPC_IP

destination-address address-set KMPC_IP

service icmp

action permit

3.4 QJ_VPN的配置如下

sysname QJ_VPN

#防火墙web管理地址配置

interface G0/0/0

description to MGMT

ip address 192.168.56.12 24

service-manage all permit

#接口IP配置

interface G1/0/0

description to PC_IP

ip address 172.16.255.254 24

service-manage ping permit

interface G1/0/2

description to ISP

ip address 200.1.1.1 30

service-manage ping permit

#创建并进入Tunnel接口视图,并配置接口IP地址

interface Tunnel0

ip address 10.1.1.2 30

tunnel-protocol gre

source 200.1.1.1

destination 100.1.1.1

alias GRE_vpn

#创建安全域,并把对应的接口加入安全域

firewall zone name Tunnet0

set priority 70

add interface Tunnel0

#把接口加入对应的安全域

firewall zone trust

add interface GigabitEthernet0/0/0

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/2

#配置对象IP地址

ip address-set KMPC_IP type object

address 0 192.168.255.0 mask 24

ip address-set QJPC_IP type object

address 0 172.16.255.0 mask 24

ip address-set RGE_IP_S type object

address 0 200.1.1.1 mask 32

ip address-set GRE_IP_D type object

address 0 100.1.1.1 mask 32

#安全策略

security-policy

rule name 上网策略

source-zone trust

destination-zone untrust

source-address address-set QJPC_IP

action permit

#NAT策略

nat-policy

rule name NAT策略

source-zone trust

egress-interface GigabitEthernet1/0/2

source-address address-set QJPC_IP

action source-nat easy-ip

#配置静态路由

ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

ip route-static 192.168.255.0 255.255.255.0 Tunnel0 10.1.1.1

#安全策略(GRE配置)

security-policy

rule name GRE-Trust_Gre #协议为ICMP

source-zone trust

destination-zone Tunnet0

source-address address-set QJPC_IP

destination-address address-set KMPC_IP

service icmp

action permit

rule name GRE-Untr_local #协议为GRE

source-zone untrust

destination-zone local

source-address address-set RGE_IP_D

destination-address address-set GRE_IP_S

service gre

action permit

rule name GRE-Gre_Trust #协议为ICMP

source-zone Tunnet0

destination-zone trust

source-address address-set KMPC_IP

destination-address address-set QJPC_IP

service icmp

action permit

  • 测试结果
4.1 总部与分公司PC终端互ping

4.2 抓包

通过网盘分享的文件:企业跨地域互联隧道部署与互通配置.7z

防火墙账号密码:admin/Huawei@123

链接: https://pan.baidu.com/s/1mDziDHrd-yw9XPb5_IHkYw?pwd=2p9s 提取码: 2p9s

相关推荐
铅笔小新z几秒前
【Linux】线程同步与互斥
linux·服务器
koo3641 分钟前
周报5.31
网络
それども13 分钟前
怎么理解TCP的状态
java·网络·网络协议·tcp/ip·dubbo
其实防守也摸鱼19 分钟前
告别单个变量,用列表和字典批量管理你的 Python 数据
开发语言·网络·软件测试·python·web安全·数据结构,编程教程
欧神附体12332 分钟前
计算机网络之专业名词中英文解释(第一弹)
网络
ylscode35 分钟前
Pentest Swarm AI:开源群体智能架构如何重构自主渗透测试的边界
网络·安全·安全威胁分析
AI行业学习41 分钟前
CC-Switch 下载、安装windows\macOS \Linux 安装
linux·运维·macos
KaMeidebaby1 小时前
卡梅德生物技术快报|基因测序技术在 46,XY 性发育障碍变异筛查中的流程与数据分析
服务器·前端·数据库·人工智能·算法·数据挖掘·数据分析
weixin_429630261 小时前
3.51 Centra-Net:一种跨场景的集中式视觉定位网络
网络
mosaic_born1 小时前
systemctl restart reload enable 重启服务时的区别
linux
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Codex 接入 DeepSeek API 完整配置文档06DeepSeek V4 + Claude Code thinking mode 400 错误修复方案07裂开!ChatGPT 居然开始要手机号验证,附详细解决方法08CC-Switch & Claude 基于 Linux 服务器安装使用指南09几个好用的ip纯净度检测网站10API Key 登录 Codex 也能用插件了,还支持会话删除和导出