网络安全技术选择题_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
网络安全技术选择题
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
你可能喜欢查看: 22257|回复: 101
通用路由封装简介和基本配置方法
jiayan72392
本帖最后由 詩、未詺 于
08:52 编辑
（本文部分内容参考思科网络技术学院CCNP相关教程。因其为收费内容，故不便提供原文链接，敬请见谅。）
众所周知，IPSec可用于封装各种诸如路由器到路由器，防火墙到路由器，PC到路由器和PC到服务器之间的数据包，以保证数据包在这些设备之间的传输安全。它包含2种数据封装方式，他们是通道模式和传输模式。传输模式仅封装数据包的有效负载，而通道模式还会额外封装数据包的报头。在本文中，让我们一起关注IPSec通道模式中的一个比较常用的封装方法：通用路由封装（Generic Routing Encapsulation，以下简称GRE）。GRE会使用一种GRE专有的封装报头来加密数据包的报头和有效负载。网络设计者通常会使用这种封装方法来隐藏数据包的IP报头并以此作为GRE封装负载的一部分。通过隐藏此类信息，网络设计者可以让数据通过“隐藏通道”传输至另一个网络并且无须改变任何网络的底层架构。以下介绍GRE的基础配置方法：
GRE.jpg (42.45 KB, 下载次数: 7)
12:59 上传
首先大致介绍一下本网络拓扑图中的大致信息：网络中包含了3台思科路由器。R1和R2，R2和R3通过串行的方式互联。我们将在R1和R3之间配置一条GRE通道。在R1路由器中，串行接口S0/0/0的地址为：192.168.12.1/24，另一端连接至R2的串行接口，地址为：192.168.12.2/24。R2串行接口S0/0/1地址为：192.168.23.2/24，连接至R3串行接口S0/0/1，地址为：192.168.23.1，此区域内所有接口均通过增强型内部网关路由协议（Enhanced Interior Gateway Routing Protocol，以下简称EIGRP）相连接，区域1。另外，这里特别为R1和R3建立2个回路接口（Loopback），用于本次实验环境。在正式开始配置GRE通道之前，请允许本人解释一下本拓扑结构在实际应用环境中的意义。在本图中，R2可以被看作是一个连接2个（R1和R3）远程站点的中间机构，在R1和R3之间建立一个GRE通道可以允许两者之间建立起一个简单的VPN并且相互提供路由。此类基于GRE通道的VPN在缺省前提下是不会被封装的，不过通过简单的配置即可实现数据封装。下面开始在R1和R3之间配置GRE通道：GRE通道是一个被用作连接2个节点设备的逻辑接口。它和之前提到Loopback接口有些类似，它们都是被软件创造出的虚拟接口。在此环境中，由于涉及到2台设备，您就必须在2台设备上分别配置通道端口并将其连接。在思科互联网操作系统12.0以上版本中，首先您需要进入配置模式，创建通道接口，在此环境中，通道号码定义为0。然后，指定通道的源端口名称和目标端口的IP地址，再为其手动配置通道接口的IP地址和子网掩码即可。相关命令如下：R1(config)# int tunnel0 R1(config-if)# tunnel source serial0/0/0 R1(config-if)# tunnel destination 192.168.23.3 R1(config-if)# ip address 172.16.13.1 255.255.255.0R3(config)# int tunnel0 R3(config-if)# tunnel source serial0/0/1 R3(config-if)# tunnel destination 192.168.12.1 R3(config-if)# ip address 172.16.13.3 255.255.255.0在完成配置后，您可以通过Ping命令来检查通道端口的连通性:R1# ping 172.16.13.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.13.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/69/72 msR3# ping 172.16.13.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.13.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/68/72 ms正如前文所述，在GRE通道配置完成后，我们仍然需要配置一个动态路由协议来确保远程站点可以动态学习到哪些IP网络正在访问它们。这里，我们依旧使用EIGRP协议，不过我们把这个GRE通道定义为区域2。相关命令如下：R1(config)# router eigrp 2 R1(config-router)# no auto-summary R1(config-router)# network 172.16.0.0R3(config)# router eigrp 2 R3(config-router)# no auto-summary R3(config-router)# network 172.16.0.0完成后我们可以使用show ip eigrp neighbors 2命令来检查是否在路由协议中已经包括对方。R1# show ip eigrp neighbors 2 IP-EIGRP neighbors for process 2 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 172.16.13.3 Tu0 10 00:01:14 100 R3# show ip eigrp neighbors 2 IP-EIGRP neighbors for process 2 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 172.16.13.1 Tu0 13 00:02:47
2最后我们可以查看3台路由器的路由表：R1# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C 192.168.12.0/24 is directly connected, Serial0/0/0 172.16.0.0/24 is subnetted, 3 subnets C 172.16.13.0 is directly connected, Tunnel0 C 172.16.1.0 is directly connected, Loopback0 D 172.16.3.0 [90/] via 172.16.13.3, 00:04:23, Tunnel0 D 192.168.23.0/24 [90/2681856] via 192.168.12.2, 03:06:16, Serial0/0/0
R2# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C 192.168.12.0/24 is directly connected, Serial0/0/0 C 192.168.23.0/24 is directly connected, Serial0/0/1
R3# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set D 192.168.12.0/24 [90/2681856] via 192.168.23.2, 03:06:54, Serial0/0/1 172.16.0.0/24 is subnetted, 3 subnets C 172.16.13.0 is directly connected, Tunnel0 D 172.16.1.0 [90/] via 172.16.13.1, 00:05:12, Tunnel0 C 172.16.3.0 is directly connected, Loopback0 C 192.168.23.0/24 is directly connected, Serial0/0/1从三个路由表中可以看到R1和R3可以互相识别对方的通道路由（回路地址），然而，R2并没有参与在其中，所以它并不能显示出任何关于GRE通道的信息。
在这些配置完成之后，R2并不需要被告知在R1和R3后面会有一个私有网络，它所做的仅是根据数据包的指向目标传递IP数据。在此实验中，因为在GRE通道中的传输数据都会被一个新的IP报头给封装，所以R2仅根据最外面的IP报头来传输数据。此时需要在GRE通道的两侧配置一个路由协议，这样就可以保证远程站点可以动态学习到哪些IP网络正在访问它们。
来瞧瞧~~看看佳佳~~
来支持了！
看不懂 这些玩意！
来凑个热闹
果然是路由高手。。。
jiayan72392
果然是路由高手。。。
fengsu 发表于
仔细看，其实这篇文章不是很难懂的
头像被屏蔽
晕了，标记一下，以后有需要再看，刚考完应该放松
jiayan72392
晕了，标记一下，以后有需要再看，刚考完应该放松
冲冲 发表于
BS乃，乃欠我好多RQ
有吗？我怎么没印象？
bao_moge2002
头像被屏蔽
后排学习，支持
波导的勇者
& & 还在准备初三 看不懂
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
热爱音乐,篮球,田径,网络！
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(980)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'ipsec vpn数据包的封装和传输过程',
blogAbstract:'如何建造一个虚拟专用网采用传统的广域网建立跨地区的企业专网，往往需要租用昂贵的数字专线。能否找到一个既安全又廉价的实现办法呢？VPN是通过因特网上将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的办法。它最大的优点在于异地子网间的通信就象在一个子网内一样安全，虚拟专用网络由此而得名。 VPN的三个基本要素 1. IP封装 VPN系统的第一个基本要素是使用IP封装。若一个IP包包含其他IP包时，就称为IP封装。IP封装可以使两个实际上分离的网络计算机看上去像比邻的——相互之间只是由一个路由器分开，但是它们是通过许多网络路由器和网关分开的，这些路由器和网关也可能不用同一个地址空间。 例如，若有两个使用PPTP（Point-to-Point Tunneling Protocol）的RAS（Remote Access Service）服务器连',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:6,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'热爱音乐,篮球,田径,网络！',
hmcon:'1',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}