GRE协议
报文:Ether+IP+GRE+IPX+Payload
GRE是对某些网络层协议的数据报进行封装,使这些封装的数据报能够在另外一个网络层协议中传输
通过在IP头
GRE封装和解封装原理:
1.设备从连接私网的接口接收到报文后,检查报文头中的目的IP地址字段,在路由表查找出接口,如果发现出接口是隧道接口,则将报文发送给隧道模块进行处理
2.隧道模块接收到报文后对报文进行GRE封装,即添加GRE报文头。然后,设备给报文添加传输协议报文头,即IP报文头。该IP报文头的源地址就是隧道源地址,目的地址就是隧道目的地址
3.最后,设备根据新添加的IP报文头目的地址,在路由表中查找相应的出接口,并发送报文。之后,封装后的报文将在公网中传输。
4.接收端设备从连接公网的接口收到报文后,首先分析IP报文头,如果发现协议类型字段的值为47,表示协议为GRE,于是出接口将报文交给GRE模块处理。GRE模块去掉IP报文头和GRE报文头,并根据GRE报文头的协议类型字段,发现此报文的协议为私网中运行的协议,于是将报文交给该协议处理。
Keepalive检测:用于检测隧道对端是否可达
GRE配置:
interface tunnel 0/0/0
ip address X.X.X.X 24 两端的tunnel没有任何关联
tunnel-portocol gre
source X.X.X.X 也可用出接口写法
destination X.X.X.X
一般配置一条到达对方的静态路由,出接口为隧道口
keepalive配置:
在隧道接口下:
keepalive period 3
IPSEC VPN
IPSec是通过AH和ESP两个安全协议实现IP数据报的安全传送
IKE协议提供密钥协商,建立和维护安全联盟SA服务
配置:
acl 3001
rule permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
ike proposal 1 创建IKE的视图
ike peer BJ-site v1 协商对等体
remote-address 101.1.1.1 设置对端的IP地址
pre-shared-key simple huawei@123 定义共享密钥
ike proposal 1 调用
注:查看peer信息
display ike peer
display ike peer verbose 查看仔细信息
ipsec proposal 1 调用
注:查看display ipsec proposal
ipsec policy ipsec-ply 10 isakmp 名字随意
security acl 3001 调用抓取的流量
ike-peer BJ-site
proposal 1 调用
ipsec policy ipsec-ply 在物理接口上应用安全策略
注:记得写静态
链路聚合
采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的。
采用备份链路的机制,可以有效的提高设备之间链路的可靠性。
链路聚合能够提高链路带宽,增强网络可用性,支持负载分担
链路模式:
手工负载分担模式
LACP模式
配置:
二层配置:
interface eth-trunk 1
trunkport g0/0/1 to g0/0/3
三层配置:
interface eth-trunk 1
undo portswitch 为Eth-Trunk逻辑口分配一个IP地址
ip address 100.1.1.1 24
trunkport g0/0/1 to g0/0/3 将3个口都绑在了逻辑接口上s
DHCP
端口号:服务器67 客户端68
工作原理:点击此处
配置:
dhcp enable
进接口:
dhcp select interface
dhcp server dns-list x.x.x.x 关联接口和接口地址池
dhcp server excluded-ip-address x.x.x.x x.x.x.x
dhcp sever lease day 3
NAT网络地址转换
静态NAT 1对1映射
一个公网IP只能分配给唯一一个内网主机
配置:
nat nat static global x.x.x.x inside x.x.x.x
查看:dispiay nat static
动态NAT n对n
动态NAT基于地址池来实现私有地址和公有地址的转换
配置:
nat outbound 2000 address-group 1 no-pat 将ACL和地址池关联起来,表示ACL中规定的地址可以使用地址池进行地址转换
查看:display nat address-group 1
NAPT:网络地址端口转换
网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口
NAT 服务器
可使外网用户访问内网服务器
Easy IP
Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。
配置:
进接口:
nat outbound 2000 对acl2000定义的地址段进行地址转换,并且直接使用该接口的IP地址作为NAT转换后的地址。