组网及说明

组网图如下：
在ACG1000设备（版本R6606P09）上建一个lo1接口，地址为1.1.1.1/32做测试用，公网口地址为ge4：20.0.0.2，创建一个GRE tunnel0:10.0.0.2/24，tunnel-source：20.0.0.2，tunnel-destination：20.0.0.1
对于防火墙F1020（9323P21）：公网口地址为：20.0.0.1，接PC的地址为10.10.10.10，创建一个GRE tunnel0:10.0.0.1
测试PC地址：10.10.10.11

问题描述

做ACG设备与防火墙的GRE隧道对接，因为官网上没有相关的ACG的GRE配置指导，且只能在命令行进行配置。两侧配置和注意事项如下。

过程分析

在ACG1000设备当中，GRE功能不支持在web上进行配置，只能在命令行配置，ACG1000相关配置如下：
ACG的GRE配置：
interface lo1
 ip address 1.1.1.1/24
!
interface tunnel 0 mode gre
 mtu 1476
 ip address 10.0.0.2/24
!
interface tunnel0
 tunnel source 20.0.0.2
 tunnel destination 20.0.0.1
!
要增加一条指向GRE tunnel的静态路由

查看GRE tunnel口的状态如下：

在ACG上查看路由状态：

防火墙的GRE配置：
#
interface Tunnel1 mode gre
 ip address 10.0.0.1 255.255.255.0
 source 20.0.0.1
 destination 20.0.0.2
#
策略全放通
在防火墙上也增加一条静态路由指向对端私网目的地址：
 1.1.1.1/32 Static 60 0 0.0.0.0 Tun1
记得要在ACG的web页面下勾选ping选项，否则只会单通。
 

解决方法

在ACG1000（版本6606P09）和防火墙上增加的相关配置如上述所示，值得注意的是两端都要增加一条路由指向GRE的tunnel口。