目录
前言:
一、VPN
1、技术背景:
2、作用:
3、优势:
4、隧道技术
5、分类
二、GRE
1、GRE简介:
2、GRE VPN:
3、GRE报文结构
4、GRE VPN工作过程
5、GRE VPN 的优缺点:
6、多Tunnel口冗余
7、GRE VPN配置方法:
三、MGRE
1、简介
2. 工作原理:
3、MGRE VPN配置方法
4、MGRE环境下的RIP网络
四、基于RIP的MGRE实验
前言:
广域网中的俩大技术:
宽带接入技术----普通用户
专线接入技术----适合企业总公司和分公司的上网方式
专线接入技术图解:
一、VPN
(virtual private network)---虚拟专用网
1、技术背景:
通过专线连接分支机构成本高;
PSTN拨号(电话线拨号上号)成本高,速率低;
2、作用:
利用共享公网构建专有私网---跨越公网,能访问私网主机
(引用老师笔记)
3、优势:
部署简单快捷;
与私有网络一样提供安全性、可靠性和可管理性;
通过Internet互连,不受地理位置限制,成本低;
简化用户侧的配置和维护工作
(引用老师笔记)
目标IP:200.2.2.2 源IP:100.1.1.1+目标IP:192.168.2.1 源IP:192.168.1.1+数据
4、隧道技术
定义:使用一种协议去封装另一种协议
(引用老师笔记)
相关概念:
载荷数据:被封装的原始数据
载荷协议:被封装在内层的协议(私网IP头部)
封装协议:对载荷协议的封装方式(标识用哪种VPN)
承载协议:再次封装的外层协议 (公网IP头部)
5、分类
按使用场景:
(1)site-to-site vpn:站点到站点的VPN,用于连接不同分支机构的VPN
LAN-TO-LAN VPN: 双方的公网地址必须是静态的。
IPsec VPN:一种网络层的安全保障技术,在公网上为两个私有网络提 供安全通信通道,通过加密通道保证连接的安 全。
GRE VPN: 最简单的VPN,一般和 IPsec VPN搭配使用
(2)access vpn:用于把单个移动用户接入到公司内网
L2TP VPN:隧道到传送PPP网络,二层VPN,用 L2TP VPN构建 access VPN----此技术被淘汰
SSL VPN:SSL VPN是解决远程用户访问公司敏感数据最简单最安全的技术
按工作层次:
二层VPN:L2TP VPN(已经被淘汰)
三层VPN: IPSEC VPN 和 GRE VPN
七层VPN:SSL VPN
二、GRE
1、GRE简介:
Genric Routing Encapsulation,通用路由封装,标准的三层隧道技术,是一种点对点的隧道,在任意 一种网络协议上传送任意一种其他网络协议的封装方法。
2、GRE VPN:
直接使用GRE封装建立GRE隧道,在一种协议的网络上传送其他协议;虚拟的隧道接口(Tunnel)
3、GRE报文结构
(引用老师笔记)
载荷数据:被封装的原始数据
载荷协议:被封装在内层的协议
封装协议:对载荷协议封装的方式---GRE头
承载协议:再次封装的外层协议
(引用老师笔记)
4、GRE VPN工作过程
隧道起点找到私网路由,数据包发往Tunel口
数据包在Tunel口进行封装公网IP头部
根据公网IP头部查找路由表,并转发
数据包在公网(隧道)进行传输
查找公网路由并解除公网IP头部封装
隧道终点查找私网路由并转发至目的主机
GRE VPN工作过程:
(引用老师笔记)
发送端:
ip route-static 192.168.2.0 24 10.1.1.2 出接口:tunnel0/0/0(R1)
目标IP:200.2.2.2 源IP:100.1.1.1+GRE头+目标IP:192.168.2.1 源IP:192.168.1.1+数据
接收端:
ip route-static 192.168.1.0 24 10.1.1.1 出接口:tunnel0/0/0(R2)
目标IP:100.1.1.1 源IP:200.2.2.2+GRE头+目标IP:192.168.1.1 源IP:192.168.2.1+数据
5、GRE VPN 的优缺点:
(1)优点:
可以用当前最为普遍的IP网络作为承载网络;
支持多种协议;
支持组播和动态路由协议;
rip--224.0.0.9 ospf---224.0.0.5(DROTHRT )/224.0.0.6(DR和BDR监听的地址)
配置简单、部署容易;
(2)缺点:
点对点隧道;
静态配置隧道参数;
布置复杂连接关系时,代价巨大;
缺乏安全性;
不能分割地址空间(不能解决私网地址冲突的问题)
6、多Tunnel口冗余
作用:主隧道转发数据,备用隧道处于空间状态;需要开启Keepalive来检测隧道运行状态
(1)Tunnel接口虚假状态与静态路由
(2)Tunnel接口Keepalive
[h3c-tunnel]keepalive "interval time"配置隧道保活
7、GRE VPN配置方法:
发送端:
[r1]interface Tunnel 0/0/0 --- 创建GRE随道接口
[r1-Tunnel0/0/0]ip address 192.168.3.1 24 ---- 配置隧道IP地址
[r1-Tunnel0/0/0]tunnel-protocol gre ---- 定义封装方式
[r1-Tunnel0/0/0]source 100.1.1.1 ---- 定义隧道被封装的源地址
[r1-Tunnel0/0/0]destination 100.2.2.3---- 定义隧道被封装的目标地址
两边配置一样,配置完了注意添加路由。之后内网之间便可以ping通了,可以用ping -a测试。
三、MGRE
(Multi Genric Routing Encapsulation)
1、简介
定义:多点通用路由封装协议,适合多个分公司需要和总部连接的情况
特点:通过构建公共隧道实现总部和分部、分部与分部之间的通信
所有私网中,有一方的公网地址必须固定,其他私网公网地址可以不固定
NHRP协议---下一跳解析协议----分支站点动态向中心站点注册自己的公网和隧道地址信息
2. 工作原理:
在私网中选择一个NHRP中心站点,其出口的公网IP必须是固定的;
NHRP中心站点要求所有分支都需要将自己公网接口IP和隧道IP发给中心站点。(发生变化就需要重新发送。)
NHRP中心会将所有的分支的地址映射关系动态的记录在本地。发送信息时查询即可
分支之间需要发送信息也需要获取这个映射关系,就需要先问NHRP中心站点要。
3、MGRE VPN配置方法
[r1]interface Tunnel 0/0/0 --- 创建GRE随道接口
[r1-Tunnel0/0/0]ip address 192.168.3.1 24 ---- 配置隧道IP地址
[r1-Tunnel0/0/0]tunnel-protocol gre p2mp ---- 定义封装方式
[r1-Tunnel0/0/0]source 100.1.1.1 ---- 定义隧道被封装的源地址
NHRP的配置
中心站点配置: [R1-Tunnel0/0/0]nhrp network-id 100 创建NHRP域
分支站点配置:
[R2]int Tunnel 0/0/0
[R2-Tunnel0/0/0]ip add 192.168.5.2 24
[R2-Tunnel0/0/0]tunnel-protocol gre p2mp
[R2-Tunnel0/0/0]source GigabitEthernet 0/0/0
[R2-Tunnel0/0/0]nhrp network-id 100 //分支加入中心站点域100
[R2-Tunnel0/0/0]nhrp entry 中心隧道地址 中心公网接口地址 register
// 分支找中心注册自己的信息
4、MGRE环境下的RIP网络
在MGRE环境下使用RIP来获取未知网段的路由信息
1、只有中心获取到分支的路由信息,但是分支并没有获取到中心的路由信息;
解决方法:在中心上开启伪广播
2、分支在中心开启伪广播后,只能获取到中心的路由信息,但是无法获取分支之间的路由信息; 解决方案:关闭接口的水平分割
四、基于RIP的MGRE实验
