华为防火墙-6

防火墙A
interface Tunnel1
 ip address 10.1.1.1 255.255.255.0
 tunnel-protocol gre
 source 1.2.3.4
 destination 2.2.2.2

[FW_A] firewall zone dmz

[FW_A-zone-dmz] add interface Tunnel 1

 rule name gre
  service gre
  action permit
#
ip route-static 10.100.0.0 24 Tunnel 1

防火墙B
interface Tunnel1
 ip address 10.1.1.2 255.255.255.0
 tunnel-protocol gre
 source 2.2.2.2
 destination 1.2.3.4

[FW_B] firewall zone dmz

[FW_B-zone-dmz] add interface Tunnel 1

 rule name gre
  service gre
  action permit
#
ip route-static 10.10.0.0 24 Tunnel 1
ip route-static 10.20.0.0 24 Tunnel 1

    有一点需要注意，使用OSPF动态路由方式时，如果GRE隧道对应的公网接口也使用OSPF发布路由，那我们就需要用一个新的OSPF进程来发布私网网段和Tunnel接口所在网段了，以免私网报文直接通过公网接口转发，而不是通过GRE隧道转

GRE关键字验证
[USG6000V1-Tunnel1]gre key 12345
隧道两端防火墙上设置的关键字必须相同。

GRE校验和验证
[USG6000V1-Tunnel1]gre checksum

GRE保活
[USG6000V1-Tunnel1]keepalive 

根据session表细化安全策略
[FW_A] display firewall session table verbose