HCIA网络基础(三)

    GRE协议
        报文:Ether+IP+GRE+IPX+Payload
        GRE是对某些网络层协议的数据报进行封装,使这些封装的数据报能够在另外一个网络层协议中传输
            通过在IP头
        GRE封装和解封装原理:
            1.设备从连接私网的接口接收到报文后,检查报文头中的目的IP地址字段,在路由表查找出接口,如果发现出接口是隧道接口,则将报文发送给隧道模块进行处理
            2.隧道模块接收到报文后对报文进行GRE封装,即添加GRE报文头。然后,设备给报文添加传输协议报文头,即IP报文头。该IP报文头的源地址就是隧道源地址,目的地址就是隧道目的地址
            3.最后,设备根据新添加的IP报文头目的地址,在路由表中查找相应的出接口,并发送报文。之后,封装后的报文将在公网中传输。
            4.接收端设备从连接公网的接口收到报文后,首先分析IP报文头,如果发现协议类型字段的值为47,表示协议为GRE,于是出接口将报文交给GRE模块处理。GRE模块去掉IP报文头和GRE报文头,并根据GRE报文头的协议类型字段,发现此报文的协议为私网中运行的协议,于是将报文交给该协议处理。
        Keepalive检测:用于检测隧道对端是否可达
        GRE配置:
            interface tunnel 0/0/0
            ip address X.X.X.X 24   两端的tunnel没有任何关联
            tunnel-portocol gre
            source X.X.X.X 也可用出接口写法
            destination X.X.X.X
            一般配置一条到达对方的静态路由,出接口为隧道口
            keepalive配置:
                在隧道接口下:
                    keepalive period 3
    IPSEC VPN
        IPSec是通过AH和ESP两个安全协议实现IP数据报的安全传送
        IKE协议提供密钥协商,建立和维护安全联盟SA服务
        配置:
                acl 3001
                rule permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
                ike proposal 1 创建IKE的视图
                ike peer BJ-site v1 协商对等体
                     remote-address 101.1.1.1 设置对端的IP地址
                     pre-shared-key simple huawei@123 定义共享密钥
                     ike proposal 1 调用
                     注:查看peer信息
                         display ike peer
                         display ike peer verbose 查看仔细信息
                 ipsec proposal 1 调用
                     注:查看display ipsec proposal
                 ipsec policy ipsec-ply 10 isakmp  名字随意
                    security acl 3001 调用抓取的流量
                    ike-peer BJ-site  
                    proposal 1 调用
                ipsec policy ipsec-ply 在物理接口上应用安全策略
                注:记得写静态
    链路聚合
        采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的。
        采用备份链路的机制,可以有效的提高设备之间链路的可靠性。
        链路聚合能够提高链路带宽,增强网络可用性,支持负载分担
        链路模式:
            手工负载分担模式
            LACP模式
            配置:
                二层配置:
                    interface eth-trunk 1
                    trunkport g0/0/1 to g0/0/3
                三层配置:
                    interface eth-trunk 1
                    undo portswitch  为Eth-Trunk逻辑口分配一个IP地址
                    ip address 100.1.1.1 24
                    trunkport g0/0/1 to g0/0/3 将3个口都绑在了逻辑接口上s
    DHCP
        端口号:服务器67 客户端68
        工作原理:点击此处
        配置:
            dhcp enable
            进接口:
                dhcp select interface
                dhcp server dns-list x.x.x.x 关联接口和接口地址池
                dhcp server excluded-ip-address x.x.x.x x.x.x.x
                dhcp sever lease day 3
    NAT网络地址转换
        静态NAT 1对1映射
            一个公网IP只能分配给唯一一个内网主机
            配置:
                nat nat static global x.x.x.x inside x.x.x.x
                查看:dispiay nat static
        动态NAT n对n
            动态NAT基于地址池来实现私有地址和公有地址的转换
            配置:
                nat outbound 2000 address-group 1 no-pat 将ACL和地址池关联起来,表示ACL中规定的地址可以使用地址池进行地址转换
                查看:display nat address-group 1
        NAPT:网络地址端口转换
            网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口
        NAT 服务器
            可使外网用户访问内网服务器
        Easy IP
            Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。
            配置:
                进接口:
                    nat outbound 2000 对acl2000定义的地址段进行地址转换,并且直接使用该接口的IP地址作为NAT转换后的地址。

上一篇:GRE协议基础配置


下一篇:openstack ovs-gre 网速慢解决方案