阿福

1、 GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的
IPSEC over GRE：acl匹配的就是业务流
2、 GRE over IPSEC：ike对等体中remote-address地址是对方公网口的物理地址
IPSEC over GRE：ike对等体中remote-address地址是对方tunnel接口地址
3、 GRE over IPSEC：ipsec policy应用在本地物理接口上
IPSEC over GRE：ipsec policy应用在本地tunnel接口上
4、 对于IPSEC VPN，若一端公网地址固定，一端公网地址不固定（如通过PPPOE拨号方式），则两端IKE对等体需配置为野蛮模式，且公网地址不固定端需使..

一台内网网站的服务器，通过在防火墙的电信外网口做Nat Server，内网172的网段和192.168.200网段走电信出口，192.168.38.0/24网段通过策略路由走网通出口，防火墙上配置了nat dns-map，目前遇到的问题是走电信出口的网段机器可以正常访问内网网站的域名（Ping域名时返回的是服务器的内网IP地址），走网通出口的网段机器无法访问内网网站域名（Ping域名时返回的是服务器的公网IP地址），怎样解决此问题？



以下是主要的拓扑图和配置


拓扑图.jpg (32.52 KB)

2012-3-20 14:39





<WLZX-U200-A>dis cu

#

version 5.20, Release 5116P02

#

sysname WLZX-U200-A

#

clock timezone GMT add 08:00:00

#

undo voice vlan mac-address 00e0-bb00-0000

#

domain default enable system

#

router id 172.20.1.1

#

telnet server enable

#

acl number 2000

rule 10 permit source 172.20.202.0 0.0.0.255

rule 20 permit source 192.168.200.0 0.0.0.255

acl number 2001

rule 10 permit source 192.168.38.0 0.0.0.255

#

acl number 3001

rule 10 permit ip source 192.168.38.0 0.0.0.255 destination 192.168.200.168 0

rule 20 permit ip source 192.168.38.0 0.0.0.255 destination 61.190.*.19 0

#

vlan 1

#

radius scheme system

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

pki domain default

  crl check disable

#

user-group system

#               

interface LoopBack0

ip address 172.20.202.9 255.255.255.255

#

interface GigabitEthernet0/0

port link-mode route

#

interface GigabitEthernet0/1

port link-mode route

ip address 172.20.203.1 255.255.255.252

ip policy-based-route 1

#

interface GigabitEthernet0/2

port link-mode route

ip address 172.20.203.254 255.255.255.252

ip policy-based-route 1

#

interface GigabitEthernet0/4

port link-mode route

nat outbound 2001

ip address 218.104.*.210 255.255.255.248

#

interface GigabitEthernet0/5

port link-mode route

nat outbound 2000

nat server protocol tcp global 61.190.*.19 www inside 192.168.200.168 www

ip address 61.190.*.18 255.255.255.240

#

ospf 1

default-route-advertise always

area 0.0.0.0

  network 172.20.203.0 0.0.0.3

  network 172.20.203.252 0.0.0.3

  network 172.20.1.1 0.0.0.0

#

policy-based-route 1 permit node 5

   if-match acl 3001

policy-based-route 1 permit node 10

   if-match acl 2001

   apply ip-address next-hop 218.104.*.209

#

ip route-static 0.0.0.0 0.0.0.0 61.190.*.17

ip route-static 0.0.0.0 0.0.0.0 218.104.*.209 preference 100

#

nat dns-map domain www.hf.com protocol tcp ip 61.190.*.19 port www

#

load xml-configuration

#

user-interface con 0

user-interface vty 0 4

authentication-mode scheme

#

return
 


引用:
原帖由 zhangnianqing 于 2012-3-21 09:13 发表

1) Cisco Catalyst 6500 VSS系统概述
　　Cisco Catalyst 6500系列虚拟交换系统1440初始版本可以整合两台物理的Cisco catalyst 6500系列交换机成为一台单一逻辑上的虚拟交换机。图5介绍了VSS的工作模式，两台Cisco Catalyst 6509交换机配置虚拟交换系统后，就可以当作一台单独的Cisco Catalyst 6509交换机进行管理。

　　图 5. Cisco Virtual Switching System
　　启用虚拟交换系统技术是通过一条特殊的链路来绑定两个机架成为一个虚拟的交换系统，这个特殊的链路称之为虚拟交换机链路(Virtual Switch Link,VSL)。VSL承载特殊的控制信息并使用一个头部封装每个数据帧穿过这条链路。
　　2) Cisco Catalyst 6500 虚拟交换系统1440架构体系
　　Cisco Catalyst 6500虚拟交换系统允许合并两个交换机成为一台无论是从网络控制层面和管理视图上在网络上都是一个单独的设备实体。对于邻居，这个虚拟交换系统相当于一台单独的交换机或者路由器。
　　在虚拟交换系统中，其中一个机箱指定为活跃交换机，另一台被指定为备份虚拟交换机。所有的控制层面的功能，包括管理(SNMP，Telnet，SSH等)，二层协议(BPDU,PDUs，LACP等)，三层协议(路由协议等)，以及软件数据等，都是由活跃交换机的引擎进行管理。在活跃交换机上的超级引擎与备份交换机引擎上的PFC负责响应处理硬件转发信息到分布式转发卡(DFC)之上贯穿整个虚拟交换系统。

　　图6. Components of Cisco Virtual Switching System
　　从数据层面和流量转发图上来看，在虚拟交换系统1440中的所有交换机都参与流量转发。在活跃虚拟交换机超级引擎上的PFC执行为所有进入活跃虚拟交换机的流量转发查找，反之呢位于备份状态的交换机引擎上的PFC执行为所有进行备份状态交换机流量转发查找。
　　加之所有DFCs通过整个Cisco虚拟交换系统同时执行数据包查询，这样就使Cisco虚拟交换系统合计就有超过800Mpps的IPv4查询性能。因为虚拟交换系统中的所有交换矩阵都处于活跃状态，那么虚拟交换系统整体的交换矩阵性能达到1440Gbps，即1.44Tbps。
　　3) 无环路技术
　　VSS系统通过MEC(多机箱以太通道)建立一个无环路的拓扑结构，如下图所示

　　图7、 VSS 1440 Loop-Free Logical View with Multichassis EtherChannel
　　VSS系统对外体现为单一独立的设备，通过STP技术来防止内部环路的产生。
　　4) VSS管理
　　Cisco Catalyst 6500系列虚拟交换系统1440的基本原理是设计允许集中管理全部网络和硬件资源，包括三层协议(OSPF、EIGRP、BGP等等)和二层协议(SPT、UDLD、LACP、流控等)。在Cisco虚拟交换系统中一个超级引擎被**为整个虚拟系统的主管理单元。
　　带有担当主要管理单元的这个机箱应用为活跃交换机，另一交换机箱应用为备份交换机。做为主要管理单元的引擎作为活跃引擎，而在虚拟交换系统另一个机箱中的引擎作为一个热备份引擎。可以使用下面的命令检查这个设置信息。
　　5) VSS系统部署
　　* 硬件需求：
　　o10GE引擎：VS-S720-10G-3C或者VS-S720-10G-3CXL;
　　o机箱支持：Cisco Catalyst 6503-E, 6504-E, 6506, 6506-E, 6509, 6509-E, 6509-NEB-A, 6509-V-E, 6513， Cisco 7604, 7609, 7613
　　oPFC, DFC, and CFC 转发卡：支持DFC3C or DFC3CXL 卡，不支持DFC3A/3B/3BXL
　　* 软件要求：12.2(33)SXH1 or later
　　* VSS模式支持两个成员即两个机框，每机框一个引擎，支持所有带有CFC转发卡的6700系列以太网模块，支持NAM1和NAM2，暂时不支持WAN模块，支持的服务器模块见下表：
　　* 部署VSS前后的逻辑拓扑如图8和图9如示

   在两台交换机上的启动startup-config 配置文件的VSS配置必须一致

   如果更新了交换机的优先级或者抢占功能,只有在保存了配置文件和交换机启后,配置才会生效
   对于线路冗余, 在VSL配置的时候为每个交换机配置至少2个端口; 对于模块冗余, 2个端口可以位于机箱的不同交换模块上
 
转换到VSS
     默认情况下,cat 6500 系列交换机是配置为独立模式的, 当交换机为VSS模式时,VSS整合了2个交换机到一个VSS系统
为了转换2个独立系统到一个VSS, 需要进行如下的配置:
1 ..

以前针对私网用户如何用公网域名访问本地私网内的SERVER这样的解决方法,一般是在内网建立DNS服务器, 针对用户的这种需求，华为在v3.4-0108版本后，提供了一种内网用户通过外网域名直接访问内网服务器的方法－dns map。nat dns-map命令实现了对由外网发往内网的DNS应答报文作网络地址转换的同时，替换报文内容中A类应答的IP地址。也就是在替换dns response报文IP头中的目的地址的同时，也替换了报文内容中域名和IP地址映射关系。


..

H3C MSR系列的路由器，查看本机的MAC地址、序列号信息和生产日期信息等可以使用dis device manuinfo 命令查看，以下是执行结果：


slot 0

DEVICE_NAME          : 20-20

DEVICE_SERIAL_NUMBER : 210235a28mb09c000110

MAC_ADDRESS          : 0023-89a2-2a21

MANUFACTURING_DATE   : 2009-12-16

VENDOR_NAME          : H3C
下面是5040路由器上的执行结果
dis dev..

 
DR 和BDR 的选举原则：
1、广播网络或NBMA 类型的网络需要选举指定路由器DR（Designated Router）和备份指定路由器BDR（Backup Designated Router）；
2、路由器接口的优先级Priority 将影响接口在选举DR 时所具有的资格。优先级为0 的路由器不会被选举为DR 或BDR；
3、DR 由本网段中所有路由器共同选举。Priority 大于0 的路由器都可作为“候选者”，选票就是Hello 报文，OSPF 路由器将自己选出的DR 写入Hello 报文中，发给网段上的其它路由器。当同一网段的两台路由器都宣布自己是DR 时，Priority 高的胜出。如..

OSPF的LSA类型种类繁多，往往让人头晕恶心。然后OSPF又是目前应用最广泛的IGP协议，我们不得不对它进行研究。OSPF的LSA类型一共有11种（之前说错12种自己数来数去少一种，哈哈，纠正下），分别是：

LSA1 路由器LSA（Router LSA）



LSA2  网络LSA（Network LSA）



LSA3 网络汇总LSA（Network summary LSA）



LSA4  ASBR汇总LSA（ASBR summary LSA）



LSA5  自治系统外部LSA （Autonomous system external LSA）



LSA6  组成员LSA （Group membership LSA） *目前不支持..

TCP/IP的全部IP协议号

 

 

十进制 关键字 协议

======= ======= ==============

0 HOPOPT IPv6 逐跳选项

1 ICMP Internet 控制消息

2 IGMP Internet 组管理

3 GGP 网关对网关

4 IP IP 中的 IP（封装）

5 ST 流

6 TCP 传输控制

7 CBT CBT

8 EGP 外部网关协议

9 IGP 任何专用内部网关

（Cisco 将其用于 IGRP）

10 BBN-RCC-MON BBN RCC 监视

11 NVP-II 网络语音协议

12 PUP PUP

13 ARGUS ARGUS

14 EMCON EMCON

15 XNET 跨网调试器

16 CHAOS Chaos

17 UDP 用..

虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
VRRP既没用UDP，也没用TCP，VRRP包封装在IP包中发送，协..

什么是FlexLink？

答：FlexLink 能够提供第2层永续性，一般在接入交换机和分布交换机之间运行。它的收敛时间优于生成树协议/快速生成树协议/IEEE 802.1w。FlexLink 在Cisco Catalyst 3000 和 Cisco Catalyst 6000 系列交换机上实施，收敛时间低于100ms。换言之，从主链路的故障检测，到通过备用链路转发流量，总收敛时间低于100ms。FlexLink 成对部署，即需要两个端口。其中一个端口为主端口，另一个端口为从端口。这两个端口可以是接入端口、EtherChannel?端口或中继端口。
问：FlexLink 是否关闭 Cisco Catalyst 3560-E 上的生成..

背板带宽：表示的是我们的接口处理器或者接口卡和核心交换引擎之间的速度，大家可能都知道我们计算一个交换机要达到线速转发的一个背板带宽的标准是》=2*端口数量*端口带宽哈，大家也看得到现在的交换机标称的背板带宽都大于我们的那个理论值，但是交换机的线速转发的实际情况并不一定是这样，那是因为他还不是最核心的参数。交换机背板是设计值，可以大于等于交换容量（此为达到线速交换机的一个标准）。厂家在设计的时候考虑了将来模块的升级，比如模块从开始的百兆升级到支持千兆、万兆，端口密度增加等。背板带宽一般是指模块化交..

UDP Helper技术介绍




UDP Helper
网络中的主机有时需要通过发送广播报文，来获得网络配置或查询网络中其他设备的名称。但是，当主机与服务器或待查询的设备不在同一个广播域时，主机就无法获得所需要的信息。
为解决上述问题，设备提供了UDP Helper功能。通过该功能可以实现对指定UDP端口的IP广播报文进行中继转发，即将指定UDP端口的广播报文转换为单播报文发送给指定的目的服务器，起到中继的作用。
使能UDP Helper功能后，如果设备接收到广播报文，将根据报文的UDP目的端口号来判断是否要对其中继转发，并进行相应的处..

前言

4月21日，在省某局进行全省专网网络设备的巡检，当远程巡检到某市局路由器时，发现个很奇怪的问题，该市局至其中一县局的互连接口配置中，互连IP地址不在同一个网段，却可以正常通信。



由于直接粘贴文字出现格式问题，有兴趣的朋友请下载附件Word文档，绝版原创!五一由我亲自打造奉献给论坛的特别礼物，千万不要错过哦！
附件下载地址：
http://down.51cto.com/data/202112

 
源自http://bbs.51cto.com/thread-819471-2.html
以我的看法是他两个接口配置一个VLAN， 比如Vlan 2 （E1,E2）Vlan3（E3,E4）Vlan4（E5,E6），网线的连接是E2连E3，E4连E5，E1连源主机，E6连目标主机。。 当源主机发一个包的时候从E1口进入打上了Vlan2的标记，从E2口从来的去掉了Vlan标记，并再次进入E3口并打上了Vlan3的标记，然后从E4 口出来去掉Vlan标记，然后再进入E5口打上Vlan4的标记，最后从E6口出来并去掉了Vlan标记而到达了目标主机，回包的过程也是一样的。如此连接便使一个数据从设备的所有接口上走了一道。所以说..

1、在系统视图下执行delete static-routes all，可以一次删除所有静态路由，包括缺省路由
2、查看中低端路由器回收站中的文件
（1）中低端路由器提供回收站功能，在VRP1.74-0113以后的版本使用delete命令删（2）除的文件保留在回收站中，只有使用delete /unreserved命令才能真正删除文件。

（3）使用dir命令不显示已经被删除并被放入回收站中的文件，只要使用dir /all命令才能显示回收站中的文件，这些文件的文件名被“[ ]”包含。

（4）中低端路由器使用reset recycle-bin命令清除回收站中的文件，彻底释放Flash空间..

H3C模拟器在打开“router.bat”后，出现一个错误，请大家帮忙看看打开模拟器，当运行到 Adapters installed: 的时候会出现错误，Exception occor开头的一大堆英文谢谢大家帮忙啊~~
答案：重新安装WinPcap_3_0    出现 存在文件提示时候 选择 最后一个No to all

如何通过配置来实现IP+MAC+端口绑定功能通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。

配置思想是先在VLAN下配置的静态绑定表，静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。

例如配置IP地址10.1.1.1，MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface Ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] port default vlan 100

[HUAWEI-Ethernet0..

网络拓扑如下
 

 

一、公司A端外网路由器配置

#
//定义允许NAT的数据流
acl number 2000
 rule 10 permit source 192.168.1.0 0.0.0.255 

#
interface Ethernet0/0
 port link-mode route
 //在公网接口绑定NAT转换
 nat outbound 2000
 ip address 12.12.12.1 255.255.255.0
#
//私网接口
interface Ethernet0/1
 port link-mode route
 ip address 192.168.1.1 255.255.255.0

//配置默认路由
ip route-static 0.0.0.0 0.0.0.0 12.12.12.2 
 




//配置去往内网网段的回程路由
ip route-static 192.168.1.0 255.255.255.0 10.0.0.2
 



二、公司A端外网路由器配置


#
//定义需要保护的安全数据流
acl number 3000
 rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 


#
 //指定本端的IKE名字
 ike local-name rta
 





#
ike peer rtb
 //指定为野蛮模式
 exchange-mode aggressive
 pre-shared-key 123
 //使用name识别
 id-type name
 //对端名字
 remote-name rtb
 //对端地址，私网侧必须配置
 remote-address 23.23.23.3
 

 //使能NAT检测与穿越
 nat traversal

#
//定义IPSec提议
ipsec proposal to_rtb       （注：使用默认值：隧道模式、MD5认证、DES加密）
#
//定义IPSec策略，协商方式为isakmp，即使用IKE协商
ipsec policy to_rtb 1 isakmp
 //定义需要加密传送的ACL
 security acl 3000
 //选择使用的IKE对等体
 ike-peer to_rtb
 //选择安全策略
 proposal to_rtb
#
interface Ethernet0/0
 port link-mode route
 description WAN
 ip address 10.0.0.2 255.255.255.0
 //将安全策略绑定在端口下
 ipsec policy to_rtb
#
interface Ethernet0/1
 port link-mode route
 description LAN
 ip address 192.168.1.1 255.255.255.0
#
 //定义默认路由
 ip route-static 0.0.0.0 0.0.0.0 10.0.0.1
 
 


三、公司B端路由器配置

#
//定义需要保护的安全数据流
acl number 3000

 rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255


#
 //指定本端的IKE名字
 ike local-name rtb
 




#
ike peer rta
 //指定为野蛮模式
 exchange-mode aggressive
 pre-shared-key 123
 //使用name识别
 id-type name
 //对端名字
 remote-name rta   //使能NAT检测与穿越


 


 nat traversal

#
//定义IPSec提议
ipsec proposal to_rtb       （注：使用默认值：隧道模式、MD5认证、DES加密）
#
//定义IPSec策略，协商方式为isakmp，即使用IKE协商
ipsec policy to_rtb 1 isakmp
 //定义需要加密传送的ACL
 security acl 3000
 //选择使用的IKE对等体
 ike-peer to_rtb
 //选择安全策略
 proposal to_rtb
#
interface Ethernet0/0
 port link-mode route
 description WAN
 ip address 23.23.23.3 255.255.255.0
 //将安全策略绑定在端口下
 ipsec policy to_rta
#
interface Ethernet0/1
 port link-mode route
 description LAN
 ip address 192.168.1.1 255.255.255.0
#
 //定义默认路由
 ip route-static 0.0.0.0 0.0.0.0 23.23.23.2
 
配置完成后IPSEC的连接必须由A公司端先发起，在A公司端的内网路由器上通过命令ping -a 192.168.1.1 192.168.2.1来激活IPSEC连接，ping完成后通过display ike sa和display ipsec sa查看ike和ipsec的sa建立情况。
 
配置关键点：
1) 先配置A端外网路由器的NAT，保证A端内网可以访问B端的公网路由器
2) A和B都要定义IKE Local-Name；
3) 使用IKE Peer的野蛮模式；
4) 指定IKE Peer的id-type为name；
5) A和B都需要指定remote-name；
6) A上还需要指定remote-address，因为A端处于私网侧；
7) A和B都需要使能NAT探测与穿越。


 
 [/img]..

网络拓扑如下
 

 
 
 1、公司A端路由器配置

#
//定义需要保护的安全数据流
acl number 3000
 rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 

#



//定义IKE对等体
ike peer to_rtb
 //使用预设口令身份验证
 pre-shared-key 123
 //对等体的IP地址，注意是GRE Tunnel的地址
 remote-address 10.0.0.2
#
//定义IPSec提议
ipsec proposal to_rtb       （注：使用默认值：隧道模式、MD5认证、DES加密）
#
//定义IPSec策略，协商方式为isakmp，即使用IKE协商
ipsec policy to_rtb 1 isakmp
 //定义需要加密传送的ACL
 security acl 3000
 //选择使用的IKE对等体
 ike-peer to_rtb
 //选择安全策略
 proposal to_rtb
#
interface Ethernet0/0
 port link-mode route
 description WAN
 ip address 12.12.12.1 255.255.255.0
#
interface Ethernet0/1
 port link-mode route
 description LAN
 ip address 192.168.1.1 255.255.255.0
#
//定义GRE隧道
interface Tunnel0
//隧道口地址，用于IKE协商和GRE封装
 ip address 10.0.0.1 255.255.255.252
 //指定隧道的源
 source 12.12.12.1
 //指定隧道的目的
 destination 23.23.23.3

 //将IPSec策略绑定到GRE隧道上
 ipsec policy to_rtb

#
 //定义默认路由
 ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
 //定义静态路由，可以使用动态路由代替
 ip route-static 192.168.2.0 255.255.255.0 Tunnel0
 
 
2、公司B端路由器配置
 
 




#
//定义需要保护的安全数据流
acl number 3000
 rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 

#



//定义IKE对等体
ike peer to_rta
 //使用预设口令身份验证
 pre-shared-key 123
 //对等体的IP地址，注意是GRE Tunnel的地址
 remote-address 10.0.0.2
#
//定义IPSec提议
ipsec proposal to_rta       （注：使用默认值：隧道模式、MD5认证、DES加密）
#
//定义IPSec策略，协商方式为isakmp，即使用IKE协商
ipsec policy to_rta 1 isakmp
 //定义需要加密传送的ACL
 security acl 3000
 //选择使用的IKE对等体
 ike-peer to_rta
 //选择安全策略
 proposal to_rta
#
interface Ethernet0/0
 port link-mode route
 description WAN
 ip address 23.23.23.3 255.255.255.0
#
interface Ethernet0/1
 port link-mode route
 description LAN
 ip address 192.168.2.1 255.255.255.0
#
//定义GRE隧道
interface Tunnel0
//隧道口地址，用于IKE协商和GRE封装
 ip address 10.0.0.2 255.255.255.252
 //指定隧道的源
 source 23.23.23.3
 //指定隧道的目的
 destination 12.12.12.1
 //将IPSec策略绑定到GRE隧道上
 ipsec policy to_rta

#
 //定义默认路由
 ip route-static 0.0.0.0 0.0.0.0 23.23.23.2
 //定义静态路由，可以使用动态路由代替
 ip route-static 192.168.1.0 255.255.255.0 Tunnel0
 

 
 
配置完成后先在两边的任意一台路由器上ping一下对端，假设在公司A上PING对端，使用命令
ping -a 192.168.1.1 192.168.2.1 ，然后通过display ike sa和display ipsec sa查看ike和ipsec的sa建立情况；另，可以通过debug ipsec和gre的数据报文查看一下数据封装的顺序，IPSEC OVER GRE方式是先IPSEC封装，然后再进行GRE封装的。
 
 
 配置关键点：


1) IKE Peer的Remote address是对方的GRE隧道口IP地址，不是物理接口地址；
2) IPSec策略绑定到GRE隧道上；
3)定义静态路由或策略路由将需要加密的流量引入到GRE隧道上。
[/img]..