思科路由器之小結

虛擬專用網***（virtual private network）被定義為通過乙個公用網路（通常是網際網路）建立乙個臨時的、安全的連線，是一條穿過混亂的公用網路的安全、穩定的隧道。

***依靠isp（internet服務提供商）和其他nsp（網路服務提供商），在公用網路中建立專用的資料通訊網路的技術。在虛擬專用網中，任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。

***是對企業內部網的擴充套件，提供了高效能、低價位的網際網路安全接入。

***的工作原理：*** 客戶端和***閘道器建立一條連線，稱為隧道（tunnel），然後將使用者資料報封裝成ip 報文後通過該隧道傳送給*** 閘道器，*** 閘道器收到資料報並拆封後就可以讀到真正有意義的報文了。反向的處理也一樣。隧道兩側可以對報文進行加密處理，使internet 上的其它使用者無法讀取，因而是安全可靠的。隧道可以通過隧道協議來實現，根據是在osi 模型的第二層還是第三層實現隧道，隧道協議分為第二層隧道協議和第三層隧道協議。

第二層隧道協議:第二層隧道協議是將整個ppp 幀封裝在內部隧道中。現有的第二層隧道協議有：

pptp（point-to-point tunneling protocol）：點到點隧道協議，該協議支援點到點ppp 協議在ip 網路上的隧道封裝，pptp 作為乙個呼叫控制和管理協議，使用一種增強的gre（generic routing encapsulation，通用路由封裝）技術為傳輸的ppp 報文提供流控和擁塞控制的封裝服務。

l2tp（layer 2 tunneling protocol）：二層隧道協議，由ietf 起草，微軟等公司參與，並且已經成為標準rfc。l2tp 既可用於實現撥號*** 業務，也可用於實現專線*** 業務。

第三層隧道協議:使用者資料在網路協議棧的第3層被封裝。現有的第三層隧道協議有：

ipsec（ip security）協議：ipsec 協議不是乙個單獨的協議，它給出了ip 網路上資料安全的一整套體系結構，包括ah（authentication header）、esp（encapsulating security payload）、ike（internet key exchange）等協議。來保證資料報在網路上傳輸時的完整性、真實性、防重放和私有性。

gre（generic routing encapsulation）協議：這是通用路由封裝協議，用於實現任意一種網路層協議在另一種網路層協議上的封裝。

另外還有就是mpls ***和ssl ***。

以第三層隧道協議為例，總結一下它們的具體配置。

一、ipsec配置：

ipsec的兩個階段釋義：

ipsec階段1 - 第一階段ike安全協商，通過確認遠端閘道器是否具有匹配的pre-shared金鑰，來進行2個***閘道器或***客戶端的相互認證。

ipsec階段2 - 第二階段ipsec安全協商，通過ipsec的連線引數來生成保護***資料流的會話金鑰。在階段二，我們將從階段1的diffie-hellman金鑰交換中摘取新的金鑰資訊，並將其作為保護***資料流的會話金鑰。一旦完成階段二的協商，就會建立***連線，以備使用。

二、gre配置：

gre是tunnel介面的一種封裝協議，所以要進行gre封裝首先必須建立tunnel。一旦隧道建立起來，就可以進行gre的加封裝和解封裝。

第一步：加封裝

tunnel 收到此包後交給gre模組進行封裝，gre模組封裝完成後交由ip模組處理，ip模組做完相應處理後根據此包的目的位址及路由表交由相應的網路介面處理。

第二步：解封裝

解封裝的過程則和上述加封裝的過程相反。從tunnel介面收到的報文交給ip模組，ip模組檢查此包的目的位址，發現是此路由器後進行相應的處理（和普通的ip資料報相同）剝掉ip包頭然後交給gre模組，gre模組進行相應處理後（如檢驗金鑰等），去掉gre包頭然後交給ipx模組，ipx模組將此包按照普通的ipx資料報處理即可。

三、mpls ***配置：

mpls（multiprotocol label switching）是多協議標籤交換的簡稱，mpls引入標籤機制，用短而定長的標籤來把選路和**分開。由標籤來規定乙個分組通過網路的路徑，資料傳輸通過標籤交換路徑完成。

mpls *** 模型中，包含三個組成部分：ce、pe 和p：

ce（customer edge）裝置：是使用者網路邊緣裝置，有介面直接與服務提供商相連，可以是路由器或是交換機等。ce「感知」不到*** 的存在。

pe（provider edge）路由器：即運營商邊緣路由器，是運營商網路的邊緣裝置，與使用者的ce 直接相連。mpls 網路中，對*** 的所有處理都發生在pe路由器上。

p（provider）路由器：運營商網路中的骨幹路由器，不和ce 直接相連。p 路由器需要支援mpls 能力.

mpls ***簡單配置示例：

規劃bgp mpls ***網路：

1、確定路由器的角色(p,pe,ce)

2、確定pe與ce路由方式(bgp, rip, ospf, static)

3、確定pe的vrf規劃(vrf ,rd ,rt ,inte***ce)

配置步驟：

1、配置pe路由器

2、配置p路由器

3、驗證測試

配置pe：配置vrf

（router）#ip cef

router-if# mpls ip

router#ip vrf vrf_name

router-vrf#rd rd_number

router-vrf#router-target export rt rt_number

router-vrf#router-target import rt rt_number

配置p路由器：

(router) # ip cef　　

(router-if) # tag-switching ip

或者(router) # ip cef

(router-if)# mpls ip

啟用cef，在需要的介面啟用打標籤機制

配置pe路由器-介面啟用vrf

(router)#inte***ce serial1/1

(router-if)#ip vrf forwarding vrf-name

配置pe路由器—配置pe與ce路由

採用靜態路由

ip route vrf vrfname dest-ip submask next-hop

配置pe路由器—配置mp-ibgp

router bgp 223

neighbor 10.0.4.1 remote-as 223

neighbor 10.0.4.1 update-source loopback0

no auto-summary

address-family ipv4 vrf c_a

redistribute static

no auto-summary

no synchronization

exit-address-family

address-family ***v4

neighbor 10.0.4.1 activate

neighbor 10.0.4.1 send-community both

no auto-summary

exit-address-family

通過以上的總結，更好的學習和運用***，歡迎交流。

思科路由器 之小結

思科路由器 之小結

思科路由器

思科路由器相關

相關推薦

思科路由器之小結

思科路由器之小結