已解决: 回复： CISCO PACKET TRACER使用ASA5506收到OSPF HELLO不放行

du.yu1 · ‎11-04-2021

如下图，R5与R3之间搭建GRE隧道，通过OSPF宣告各自路由地址段，在没有ASA的时候正常；

考虑到实际组网，R3前会存在防火墙，所以加入ASA2，在ASA2上将R3的Gig0/0/0接口地址：172.220.0.2 NAT 为 202.100.2.3；

ASA2上的ACL配置：

object network router_static

host 172.220.0.2

!

route outside 0.0.0.0 0.0.0.0 202.100.2.10 1

!

access-list OUT-IN extended permit ip host 202.100.1.1 host 172.220.0.2

!

access-group OUT-IN in interface outside

object network router_static

nat (inside,outside) static 202.100.2.3

实际验证时，从R5ping 202.100.2.3正常，但是OSPF HELLO到ASA2后不放行，请问大佬ASA2哪里配置可以将该GRE隧道打通。

ilay · ‎11-05-2021

试试PT中的asa能不能通过协议号来写，不支持的话基本上只能通过eve或者其他的设备来模拟了。

如果想要通过gre跑动态路由协议，需要保证gre隧道正常建立起来，针对防火墙来说也就是放行gre流量，组播的流量和防火墙没关系，毕竟gre通了，过R3-R5的数据都是被GRE二次封装过的，和防火墙没啥关系了。

ilay · ‎11-05-2021

1. 拓扑不清晰，不清楚详细的编址情况，提到的R2也看不到在哪儿

2.R3-R5配置GRE,那么R3和R5应该是路由可达的，中间ASA做NAT又是干啥?

3.GRE报文要穿ASA的话，需要放心GRE，不放行的话GRE是建立不起来的。

看着糊里糊涂的，你先整理整理看看怎么能让别人把你的这个问题看清楚吧

du.yu1 · ‎11-05-2021

不好意思，有点着急了，刚把组网图更新了标注，R2应该是打错了，应该是R3；

2.R3-R5配置GRE,那么R3和R5应该是路由可达的，中间ASA做NAT又是干啥?

原本R3与R5之间已经是通的，增加了ASA主要是考虑到R3路由器在实际场景中大概率是在防火墙里面所以才加上；

3.GRE报文要穿ASA的话，需要放心GRE，不放行的话GRE是建立不起来的。

目前通过tracer工具看，access-list命令后的协议是没有gre的，如下图

参考了部分资料说ASA需要调整为透明模式才能支持组播报文的转发，参考下图，看到这里似乎觉得当前的packet tracer工具似乎不能支撑这个测试，请大佬赐教

ilay · ‎11-05-2021

试试PT中的asa能不能通过协议号来写，不支持的话基本上只能通过eve或者其他的设备来模拟了。

如果想要通过gre跑动态路由协议，需要保证gre隧道正常建立起来，针对防火墙来说也就是放行gre流量，组播的流量和防火墙没关系，毕竟gre通了，过R3-R5的数据都是被GRE二次封装过的，和防火墙没啥关系了。

YilinChen · ‎11-05-2021

1、看图是没有R2的，R2在哪里？

2、如果是要实现R5和R3在已经建立GRE通道的前提下，在GRE内跑OSPF，且在网络环境下中间存在NAT；建议通过GRE OVER IPSEC 来实现；

3、要明确一个概念，GRE协议是独立的协议，并不是TCP或UDP，有自己独的协议号，对应到防火墙需要针对GRE协议做策略放行，同时新的问题也来，如果经过NAT，在最外层的包头中，源IP地址已经变化了，到底谁和谁对接，远端设备该如何理解识别？

du.yu1 · ‎11-05-2021

谢谢，大概明白是怎么回事了，打算换一个工具试试