HCIA網絡基礎（三）

    GRE協議
        報文：Ether+IP+GRE+IPX+Payload
        GRE是對某些網絡層協議的數據報進行封裝，使這些封裝的數據報能夠在另外一個網絡層協議中傳輸
            通過在IP頭
        GRE封裝和解封裝原理：
            1.設備從連接私網的接口接收到報文後，檢查報文頭中的目的IP地址字段，在路由表查找出接口，如果發現出接口是隧道接口，則將報文發送給隧道模塊進行處理
            2.隧道模塊接收到報文後對報文進行GRE封裝，即添加GRE報文頭。然後，設備給報文添加傳輸協議報文頭，即IP報文頭。該IP報文頭的源地址就是隧道源地址，目的地址就是隧道目的地址
            3.最後，設備根據新添加的IP報文頭目的地址，在路由表中查找相應的出接口，併發送報文。之後，封裝後的報文將在公網中傳輸。
            4.接收端設備從連接公網的接口收到報文後，首先分析IP報文頭，如果發現協議類型字段的值爲47，表示協議爲GRE，於是出接口將報文交給GRE模塊處理。GRE模塊去掉IP報文頭和GRE報文頭，並根據GRE報文頭的協議類型字段，發現此報文的協議爲私網中運行的協議，於是將報文交給該協議處理。
        Keepalive檢測：用於檢測隧道對端是否可達
        GRE配置：
            interface tunnel 0/0/0
            ip address X.X.X.X 24   兩端的tunnel沒有任何關聯
            tunnel-portocol gre
            source X.X.X.X 也可用出接口寫法
            destination X.X.X.X
            一般配置一條到達對方的靜態路由，出接口爲隧道口
            keepalive配置：
                在隧道接口下：
                    keepalive period 3
    IPSEC VPN
        IPSec是通過AH和ESP兩個安全協議實現IP數據報的安全傳送
        IKE協議提供密鑰協商，建立和維護安全聯盟SA服務
        配置：
                acl 3001
                rule permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
                ike proposal 1 創建IKE的視圖
                ike peer BJ-site v1 協商對等體
                     remote-address 101.1.1.1 設置對端的IP地址
                     pre-shared-key simple huawei@123 定義共享密鑰
                     ike proposal 1 調用
                     注：查看peer信息
                         display ike peer
                         display ike peer verbose 查看仔細信息
                 ipsec proposal 1 調用
                     注：查看display ipsec proposal
                 ipsec policy ipsec-ply 10 isakmp  名字隨意
                    security acl 3001 調用抓取的流量
                    ike-peer BJ-site  
                    proposal 1 調用
                ipsec policy ipsec-ply 在物理接口上應用安全策略
                注：記得寫靜態
    鏈路聚合
        採用鏈路聚合技術可以在不進行硬件升級的條件下，通過將多個物理接口捆綁爲一個邏輯接口，來達到增加鏈路帶寬的目的。
        採用備份鏈路的機制，可以有效的提高設備之間鏈路的可靠性。
        鏈路聚合能夠提高鏈路帶寬，增強網絡可用性，支持負載分擔
        鏈路模式：
            手工負載分擔模式
            LACP模式
            配置：
                二層配置：
                    interface eth-trunk 1
                    trunkport g0/0/1 to g0/0/3
                三層配置：
                    interface eth-trunk 1
                    undo portswitch  爲Eth-Trunk邏輯口分配一個IP地址
                    ip address 100.1.1.1 24
                    trunkport g0/0/1 to g0/0/3 將3個口都綁在了邏輯接口上s
    DHCP
        端口號：服務器67 客戶端68
        工作原理：點擊此處
        配置：
            dhcp enable
            進接口：
                dhcp select interface
                dhcp server dns-list x.x.x.x 關聯接口和接口地址池
                dhcp server excluded-ip-address x.x.x.x x.x.x.x
                dhcp sever lease day 3
    NAT網絡地址轉換
        靜態NAT 1對1映射
            一個公網IP只能分配給唯一一個內網主機
            配置：
                nat nat static global x.x.x.x inside x.x.x.x
                查看：dispiay nat static
        動態NAT n對n
            動態NAT基於地址池來實現私有地址和公有地址的轉換
            配置：
                nat outbound 2000 address-group 1 no-pat 將ACL和地址池關聯起來，表示ACL中規定的地址可以使用地址池進行地址轉換
                查看：display nat address-group 1
        NAPT:網絡地址端口轉換
            網絡地址端口轉換NAPT允許多個內部地址映射到同一個公有地址的不同端口
        NAT 服務器
            可使外網用戶訪問內網服務器
        Easy IP
            Easy IP允許將多個內部地址映射到網關出接口地址上的不同端口。
            配置：
                進接口：
                    nat outbound 2000 對acl2000定義的地址段進行地址轉換，並且直接使用該接口的IP地址作爲NAT轉換後的地址。