H3CSE笔记系列 | 带你走进广域网,一篇能让你知道侧重点(可用于知识点复习)

2019-10-14 15:36:34 浏览数 (1)

V**:

核心思想:封装

前提条件:先保证公网通【静态路由协议】

相当于:在中间运营商打通一根专线,也就是隧道两端地址要在同一网段而且通常使用私网地址。

GRE

通用路由封装

中间设备拆包时,拆到承载协议

GRE:通过查找路由协议向tunnel口引流,便于后期数据的封装

路由协议:私网路由,用于学习对端私网,

静态:

代码语言:javascript复制
ip route-static 对端私网网段  掩码  本端tunnel 口名称

ospf/rip:宣告本端私网网段,以及本端tunnel口地址

私网路由协议的协议报文,也是通过tunnel口传播

tunnel口封装完成之后,查找新的路由,以封装后产生得新的目的地址查找路由表,将数据发往公网,此时往往通过默认路由引流,引向公网

在公网仍然以封装后的新地址作为目的地址,查表转发,最终发到接收端

接收端解封装,露出私网IP头,然后拿着私网IP头中的目的地址查找私网路由,发送到终端

注意:tunnel口UP的条件是有去destination的路由

注意:如果内网用的是动态路由,一定不要把tunnel口的source宣告进去

总部用模板不写ACL【也就是地址固定的一方可以这样做】

IPSEC

一种V**技术

可以对传输的报文进行加密和验证,提高网络的安全性

有四种组合方式

  • AH 传输
  • AH 隧道
  • ESP 传输
  • ESP 隧道

默认的一种方式:ESP 隧道

再进行密钥协商和policy协商的时候建议使用IKE【网间秘钥交换】

ipsec配置思路

一、基础配置

地址,路由

二、确定感兴趣流

通过定义ACL来确定要保护的数据

三、部署IKE

IKE的安全联盟:IKE proposal 【名称】

注意:名称 不要复杂,否则后期调用会出现漏写的问题

IKEkeychain的部署

IKE profile

四、安全联盟的部署【决定对数据进行怎样的加密和验证】

IPsec transform-set

protocol esp

ESP en 3-des

ESP au sha1

五、IPsec policy的部署

IPsec policy 名称 序列号 isakmp//IKE协商

security acl number

Ike-profile

transform-set

remote-address 对端地址//对端IPsec policy下发的接口 所在地址

六、接口下发

在接口下输入:IPsec apply policy 名称

GRE OVER IPSEC

GRE首先封装数据,然后GRE封装好的数据再由IPsec来封装一次,接着扔出去,此时用于GRE隧道封装的源和目的往往是手工指定的loopback地址,也就是用loopback来实现gre的封装。

配置思路

一、基础配置

地址

路由【内网要有向gretunnel口引流的路由,往往用动态 或者静态明细】

二、配置ipsec

IPSEC的配置和上面“ipsec配置思路”相同

注意:但是此时ACL里面匹配的地址是GRE隧道的源和目的地址。不再是内网的业务流。ipsecpolicy此时往往下发到公网出口。

三、配置GRE

按照GRE基本配置完成即可。只不过此时GRE的源和目的,不再写公网出口地址,而是用指定的loopback地址封装

四、内网路由一定要用动态或者静态明细,不建议使用默认路由

此时的内网路由,主要的作用是用来向gre的tunnel口引流

IPSEC OVER GRE

ipsec的外面又用gre进行了一次封装,私网数据流被ipsec直接封装,也就是说此时ipsec的ACL里面写的是私网数据

配置思路

一、基础配置

地址,路由

二、配置ipsec

参照上面“ipsec配置思路”进行配置,ACL写的是私网数据,注意此时ipsec policy下发到tunnel口, ipsec封装完成之后产生的新的IP头, 源就是本端tunnel口地址,目的地址就是对端tunnel口地址,由此可以看出,在进行ipsec配置的时候指定的remote-address都是对端的tunnel口地址。

三、配置GRE

此时gre往往用公网出口地址直接封装

注意:私网要有向tunnel口引流的静态明细路由,或者是BGP路由

注意:此时内网一定不要出现rip,ospf路由协议,因为此时私网所有信息,都要经过ipsec封装,私网路由协议的协议报文也不例外,然而ipsec又不支持组播,rip,ospf又恰巧是通过组播来更新报文,所以此时内网不能用rip和ospf。

MPLS

多协议标签交换

多协议:MPLS可以封装基于多种协议工作的数据;

MPLS封装好的数据,可以在多种协议上转发。

标签分发协议

LDP

mpbgp

LDP:往往用于分配公网标签

mpbgp:往往用于分配私网标签

默认组合:

DU 有序 自由

BGPMPLSV**配置思路

一、基本配置

接口配地址

配置公网OSPF,保证PE之间loopback口互通

二、在PEP上即所有公网设备,上面分别启用MPLS以及LDP公网设备的互联接口即公网口,下面也要开启MPLS以及LDP

三、配置本地V**

规划V**实例的名称,在V**实例下配置rd,以及rt

四、在对应的PE连接CE的接口下进行V**实例绑定

注意,绑定完成之后,会有日志提醒【意思是该接口地址被移除】。所以在接口下绑定完实例,一定记得重新配一下该接口地址

五、在PE之间建立MP-BGP其实就是在V**v4试图下使能邻居关系,此时PE之间建立IBGP关系

六、配置PE和CE间路由,注意使用路由协议多实例,也就是使用不同协议进程,同时加上V**实例,如果PE和CE之间使用非BGP路由协议,则注意路由的互相引入,如果PE和CE之间也是建立BGP邻居,此时往往用EBGP建立,配置邻居关系的时候,注意在V**实例下配置

0 人点赞