GRE協議
報文:Ether+IP+GRE+IPX+Payload
GRE是對某些網絡層協議的數據報進行封裝,使這些封裝的數據報能夠在另外一個網絡層協議中傳輸
通過在IP頭
GRE封裝和解封裝原理:
1.設備從連接私網的接口接收到報文後,檢查報文頭中的目的IP地址字段,在路由表查找出接口,如果發現出接口是隧道接口,則將報文發送給隧道模塊進行處理
2.隧道模塊接收到報文後對報文進行GRE封裝,即添加GRE報文頭。然後,設備給報文添加傳輸協議報文頭,即IP報文頭。該IP報文頭的源地址就是隧道源地址,目的地址就是隧道目的地址
3.最後,設備根據新添加的IP報文頭目的地址,在路由表中查找相應的出接口,併發送報文。之後,封裝後的報文將在公網中傳輸。
4.接收端設備從連接公網的接口收到報文後,首先分析IP報文頭,如果發現協議類型字段的值爲47,表示協議爲GRE,於是出接口將報文交給GRE模塊處理。GRE模塊去掉IP報文頭和GRE報文頭,並根據GRE報文頭的協議類型字段,發現此報文的協議爲私網中運行的協議,於是將報文交給該協議處理。
Keepalive檢測:用於檢測隧道對端是否可達
GRE配置:
interface tunnel 0/0/0
ip address X.X.X.X 24 兩端的tunnel沒有任何關聯
tunnel-portocol gre
source X.X.X.X 也可用出接口寫法
destination X.X.X.X
一般配置一條到達對方的靜態路由,出接口爲隧道口
keepalive配置:
在隧道接口下:
keepalive period 3
IPSEC VPN
IPSec是通過AH和ESP兩個安全協議實現IP數據報的安全傳送
IKE協議提供密鑰協商,建立和維護安全聯盟SA服務
配置:
acl 3001
rule permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
ike proposal 1 創建IKE的視圖
ike peer BJ-site v1 協商對等體
remote-address 101.1.1.1 設置對端的IP地址
pre-shared-key simple huawei@123 定義共享密鑰
ike proposal 1 調用
注:查看peer信息
display ike peer
display ike peer verbose 查看仔細信息
ipsec proposal 1 調用
注:查看display ipsec proposal
ipsec policy ipsec-ply 10 isakmp 名字隨意
security acl 3001 調用抓取的流量
ike-peer BJ-site
proposal 1 調用
ipsec policy ipsec-ply 在物理接口上應用安全策略
注:記得寫靜態
鏈路聚合
採用鏈路聚合技術可以在不進行硬件升級的條件下,通過將多個物理接口捆綁爲一個邏輯接口,來達到增加鏈路帶寬的目的。
採用備份鏈路的機制,可以有效的提高設備之間鏈路的可靠性。
鏈路聚合能夠提高鏈路帶寬,增強網絡可用性,支持負載分擔
鏈路模式:
手工負載分擔模式
LACP模式
配置:
二層配置:
interface eth-trunk 1
trunkport g0/0/1 to g0/0/3
三層配置:
interface eth-trunk 1
undo portswitch 爲Eth-Trunk邏輯口分配一個IP地址
ip address 100.1.1.1 24
trunkport g0/0/1 to g0/0/3 將3個口都綁在了邏輯接口上s
DHCP
端口號:服務器67 客戶端68
工作原理:點擊此處
配置:
dhcp enable
進接口:
dhcp select interface
dhcp server dns-list x.x.x.x 關聯接口和接口地址池
dhcp server excluded-ip-address x.x.x.x x.x.x.x
dhcp sever lease day 3
NAT網絡地址轉換
靜態NAT 1對1映射
一個公網IP只能分配給唯一一個內網主機
配置:
nat nat static global x.x.x.x inside x.x.x.x
查看:dispiay nat static
動態NAT n對n
動態NAT基於地址池來實現私有地址和公有地址的轉換
配置:
nat outbound 2000 address-group 1 no-pat 將ACL和地址池關聯起來,表示ACL中規定的地址可以使用地址池進行地址轉換
查看:display nat address-group 1
NAPT:網絡地址端口轉換
網絡地址端口轉換NAPT允許多個內部地址映射到同一個公有地址的不同端口
NAT 服務器
可使外網用戶訪問內網服務器
Easy IP
Easy IP允許將多個內部地址映射到網關出接口地址上的不同端口。
配置:
進接口:
nat outbound 2000 對acl2000定義的地址段進行地址轉換,並且直接使用該接口的IP地址作爲NAT轉換後的地址。
HCIA網絡基礎(三)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.