前置配置

1)防火墙基本转发配置（①添加安全区域，②安全转发策略，③配置默认路由，④基本的NAT策略）

①添加安全区域

firewall zone trust

add interface GigabitEthernet1/0/0

firewall zone untrust

add interface GigabitEthernet1/0/1

②防火墙的安全转发策略

FW1：

security-policy

rule name gre_over_ipsec

source-zone local trust untrust

destination-zone local local trust untrust

action permit

FW2：

security-policy

rule name gre_over_ipsec

source-zone local trust untrust

destination-zone local local trust untrust

action permit

③配置默认路由

FW1：

ip route-static 0.0.0.0 0.0.0.0 192.168.10.254

FW2：

ip route-static 0.0.0.0 0.0.0.0 192.168.20.254

④基本的NAT策略

如果防火墙内部网络设备不需要访问互联网（ISP），则无需配置

2)允许ping访问防火墙的外网接口

[USG6000V1]int 接口

[USG6000V1]service-manage ping permit

3)连通检查：

FW1防火墙的外网接口能够ping通FW2防火墙的外网接口

防火墙配置内层GRE隧道：

FW1：

配置Tunnel接口

[FW1]interface Tunnel 0

[FW1-Tunnel0]tunnel-protocol gre

[FW1-Tunnel0]ip address 192.168.1.1 24

[FW1-Tunnel0]source 192.168.10.1

[FW1-Tunnel0]destination 192.168.20.1

将创建的Tunnel接口添加到untrust区域

[FW1]firewall zone untrust

[FW1-zone-untrust]add interface Tunnel 0

配置GRE VPN访问对端网络的静态路由

[FW1]ip route-static 192.168.200.0 24 Tunnel 0

FW2：

配置Tunnel接口

[FW2]interface Tunnel 0

[FW2-Tunnel0]tunnel-protocol gre

[FW2-Tunnel0]ip address 192.168.1.2 24

[FW2-Tunnel0]source 192.168.20.1

[FW2-Tunnel0]destination 192.168.10.1

将创建的Tunnel接口添加到untrust区域

[FW2]firewall zone untrust

[FW2-zone-untrust]add interface Tunnel 0

配置GRE VPN访问对端网络的静态路由

[FW2]ip route-static 192.168.100.0 24 Tunnel 0

连通检查：

使用命令查看GRE VPN隧道建立情况

display interface Tunnel 0

使用命令查看GRE VPN会话建立情况

display firewall session table

PC1能够ping通PC2，此时数据包以明文的形式传输

GRE隧道配置成功

防火墙配置外层IPSec隧道：

FW1：

配置FW1防火墙acl列表匹配GRE隧道流量

[FW1]acl 3000

[FW1-acl-adv-3000]rule 5 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

配置FW1防火墙ike安全提议

[FW1]ike proposal 1

配置FW1防火墙的对等体

[FW1]ike peer site2

[FW1-ike-peer-site2]pre-shared-key cipher huawei

[FW1-ike-peer-site2]ike-proposal 1

[FW1-ike-peer-site2]remote-add 192.168.1.2 #使用对端的隧道IP地址

配置FW1防火墙的ipsec安全提议

[FW1]ipsec proposal 1

[FW1-ipsec-proposal-1]encapsulation-mode tunnel

[FW1-ipsec-proposal-1]esp authentication-algorithm sha2-256

[FW1-ipsec-proposal-1]esp encryption-algorithm aes-256

[FW1-ipsec-proposal-1]transform esp

配置FW1防火墙的ipsec安全策略

[FW1]ipsec policy site1 1 isakmp

[FW1-ipsec-policy-isakmp-site1-1]security acl 3000

[FW1-ipsec-policy-isakmp-site1-1]ike-peer site2

[FW1-ipsec-policy-isakmp-site1-1]proposal 1

将安全策略应用到Tunnel接口

[FW1]interface Tunnel 0

[FW1-Tunnel0]ipsec policy site1

FW2：

配置FW2防火墙acl列表匹配GRE隧道流量

[FW2]acl 3000

[FW2-acl-adv-3000]rule 5 permit ip source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

配置FW2防火墙ike安全提议

[FW2]ike proposal 1

配置FW2防火墙的对等体

[FW2]ike peer site1

[FW2-ike-peer-site1]pre-shared-key cipher huawei

[FW2-ike-peer-site1]ike-proposal 1

[FW2-ike-peer-site1]remote-id-type ip

[FW2-ike-peer-site1]remote-add 192.168.1.1 #使用对端的隧道IP地址

配置FW2防火墙的ipsec安全提议

[FW2]ipsec proposal 1

[FW2-ipsec-proposal-1]encapsulation-mode tunnel

[FW2-ipsec-proposal-1]esp authentication-algorithm sha2-256

[FW2-ipsec-proposal-1]esp encryption-algorithm aes-256

[FW2-ipsec-proposal-1]transform esp

配置FW2防火墙的ipsec安全策略

[FW2]ipsec policy site2 1 isakmp

[FW2-ipsec-policy-isakmp-site2-1]security acl 3000

[FW2-ipsec-policy-isakmp-site2-1]ike-peer site1

[FW2-ipsec-policy-isakmp-site2-1]proposal 1

将安全策略应用到Tunnel接口

[FW2]interface Tunnel 0

[FW2-Tunnel0]ipsec policy site2

连通检查：

使用命令查看IKE安全联盟

dis ike sa

IPSec安全联盟建立情况

dis ipsec sa

PC1能够ping通PC2，此时数据包以加密的形式传输

GRE over IPSec隧道配置成功