V**:
核心思想:封装
前提条件:先保证公网通【静态路由协议】
相当于:在中间运营商打通一根专线,也就是隧道两端地址要在同一网段而且通常使用私网地址。
GRE
通用路由封装
中间设备拆包时,拆到承载协议
GRE:通过查找路由协议向tunnel口引流,便于后期数据的封装
路由协议:私网路由,用于学习对端私网,
静态:
代码语言:javascript复制
ip route-static 对端私网网段 掩码 本端tunnel 口名称
ospf/rip:宣告本端私网网段,以及本端tunnel口地址
私网路由协议的协议报文,也是通过tunnel口传播
tunnel口封装完成之后,查找新的路由,以封装后产生得新的目的地址查找路由表,将数据发往公网,此时往往通过默认路由引流,引向公网
在公网仍然以封装后的新地址作为目的地址,查表转发,最终发到接收端
接收端解封装,露出私网IP头,然后拿着私网IP头中的目的地址查找私网路由,发送到终端
注意:tunnel口UP的条件是有去destination的路由
注意:如果内网用的是动态路由,一定不要把tunnel口的source宣告进去
总部用模板不写ACL【也就是地址固定的一方可以这样做】
IPSEC
一种V**技术
可以对传输的报文进行加密和验证,提高网络的安全性
有四种组合方式
- AH 传输
- AH 隧道
- ESP 传输
- ESP 隧道
默认的一种方式:ESP 隧道
再进行密钥协商和policy协商的时候建议使用IKE【网间秘钥交换】
ipsec配置思路
一、基础配置
地址,路由
二、确定感兴趣流
通过定义ACL来确定要保护的数据
三、部署IKE
IKE的安全联盟:IKE proposal 【名称】
注意:名称 不要复杂,否则后期调用会出现漏写的问题
IKE的keychain的部署
IKE profile
四、安全联盟的部署【决定对数据进行怎样的加密和验证】
IPsec transform-set
protocol esp
ESP en 3-des
ESP au sha1
五、IPsec policy的部署
IPsec policy 名称 序列号 isakmp//IKE协商
security acl number
Ike-profile
transform-set
remote-address 对端地址//对端IPsec policy下发的接口 所在地址
六、接口下发
在接口下输入:IPsec apply policy 名称
GRE OVER IPSEC
GRE首先封装数据,然后GRE封装好的数据再由IPsec来封装一次,接着扔出去,此时用于GRE隧道封装的源和目的往往是手工指定的loopback地址,也就是用loopback来实现gre的封装。
配置思路
一、基础配置
地址
路由【内网要有向gre的tunnel口引流的路由,往往用动态 或者静态明细】
二、配置ipsec
IPSEC的配置和上面“ipsec配置思路”相同
注意:但是此时ACL里面匹配的地址是GRE隧道的源和目的地址。不再是内网的业务流。ipsecpolicy此时往往下发到公网出口。
三、配置GRE
按照GRE基本配置完成即可。只不过此时GRE的源和目的,不再写公网出口地址,而是用指定的loopback地址封装
四、内网路由一定要用动态或者静态明细,不建议使用默认路由
此时的内网路由,主要的作用是用来向gre的tunnel口引流
IPSEC OVER GRE
ipsec的外面又用gre进行了一次封装,私网数据流被ipsec直接封装,也就是说此时ipsec的ACL里面写的是私网数据
配置思路
一、基础配置
地址,路由
二、配置ipsec
参照上面“ipsec配置思路”进行配置,ACL写的是私网数据,注意此时ipsec policy下发到tunnel口, ipsec封装完成之后产生的新的IP头, 源就是本端tunnel口地址,目的地址就是对端tunnel口地址,由此可以看出,在进行ipsec配置的时候指定的remote-address都是对端的tunnel口地址。
三、配置GRE
此时gre往往用公网出口地址直接封装
注意:私网要有向tunnel口引流的静态明细路由,或者是BGP路由
注意:此时内网一定不要出现rip,ospf路由协议,因为此时私网所有信息,都要经过ipsec封装,私网路由协议的协议报文也不例外,然而ipsec又不支持组播,rip,ospf又恰巧是通过组播来更新报文,所以此时内网不能用rip和ospf。
MPLS
多协议标签交换
多协议:MPLS可以封装基于多种协议工作的数据;
MPLS封装好的数据,可以在多种协议上转发。
标签分发协议
LDP
mpbgp
LDP:往往用于分配公网标签
mpbgp:往往用于分配私网标签
默认组合:
DU 有序 自由
BGPMPLSV**配置思路
一、基本配置
接口配地址
配置公网OSPF,保证PE之间loopback口互通
二、在PE和P上即所有公网设备,上面分别启用MPLS以及LDP公网设备的互联接口即公网口,下面也要开启MPLS以及LDP
三、配置本地V**
规划V**实例的名称,在V**实例下配置rd,以及rt
四、在对应的PE连接CE的接口下进行V**实例绑定
注意,绑定完成之后,会有日志提醒【意思是该接口地址被移除】。所以在接口下绑定完实例,一定记得重新配一下该接口地址。
五、在PE之间建立MP-BGP其实就是在V**v4试图下使能邻居关系,此时PE之间建立IBGP关系
六、配置PE和CE间路由,注意使用路由协议多实例,也就是使用不同协议进程,同时加上V**实例,如果PE和CE之间使用非BGP路由协议,则注意路由的互相引入,如果PE和CE之间也是建立BGP邻居,此时往往用EBGP建立,配置邻居关系的时候,注意在V**实例下配置