甘肃省通信管理局网站,今天的新闻报道,我们的服务理念和价值观,ASP.NET实用网站开发 课后答案GRE和MGRE VPN---虚拟专用网络。指依靠ISP#xff08;运营商#xff09;或其他公有网络基础设施上构建的专用的安全数据通信网络。该网络是属于逻辑上的。​ 核心机制—隧道机制#xff08;封装技术#xff09; GRE—通用路由封装 ​ 三层隧道技术#xff0c;并且是属于…GRE和MGRE VPN---虚拟专用网络。指依靠ISP运营商或其他公有网络基础设施上构建的专用的安全数据通信网络。该网络是属于逻辑上的。​ 核心机制—隧道机制封装技术 GRE—通用路由封装 ​ 三层隧道技术并且是属于点到点的隧道。 [r1]interface Tunnel 0/0/0 ---创建一个虚拟隧道接口接口序号只能变最后一个数字范围0/0/0-0/0/511 [r1-Tunnel0/0/0]ip address 192.168.3.1 24 [r1-Tunnel0/0/0]tunnel-protocol gre ---定义隧道所使用的协议 [r1-Tunnel0/0/0]source 12.0.0.1 ---定义封装中的源地址信息 [r1-Tunnel0/0/0]destination 23.0.0.3 ---定义封装中的目的地址信息r1配完r3也要配置测试隧道是否成功建立 [r1]ping 192.168.3.3 ----ping对方的隧道地址PING 192.168.3.3: 56 data bytes, press CTRL_C to breakReply from 192.168.3.3: bytes56 Sequence1 ttl255 time20 msReply from 192.168.3.3: bytes56 Sequence2 ttl255 time20 msReply from 192.168.3.3: bytes56 Sequence3 ttl255 time30 msReply from 192.168.3.3: bytes56 Sequence4 ttl255 time30 msReply from 192.168.3.3: bytes56 Sequence5 ttl255 time30 ms​ 一定要添加私网路由信息将其导入到隧道接口。 [r1]ip route-static 192.168.2.0 24 192.168.3.3 [r3]ip route-static 192.168.1.0 24 192.168.3.1测试 [r1]ping -a 192.168.1.1 192.168.2.1 ---要使用-a规定源IP不然路由器会使用12.0.0.1去测试扩展接收方在接收到报文时看到封装后的目的IP是自己的往常逻辑会直接对三层进行解封装但是GRE不同接口看到报文的协议号为47GRE协议号47就会直接将报文完整的交给隧道接口因为它本身接口没有开启GRE协议就算解封装了不认识GRE也会直接将报文丢了 keepalive机制 keepalive机制是用来检测隧道对端是否可达。一般一端开启即可因为发送和回复的报文都是keepalive报文 内容都是一样的 当某端开启该机制后会周期性发送keepalive报文对端收到后会回复keepalive报文。当一定次数未收到回复 报文则认为该隧道不可用。默认3次每一次发送时间间隔为5秒[r1-Tunnel0/0/0]keepalive [r1-Tunnel0/0/0]keepalive period 10 retry-times 5 ---用来更改次数与时间间隔5次间隔10秒period设置发送周期retry-times重传次数MGRE—多点通用路由封装 NHRP—下一跳解析协议 MGRE环境是属于P2MP网络可以近似的看做是NBMA网络。但是其本质还是点到点。Hub and Spoke架构---中心到站点架构在私网环境中选择一个出口物理IP不变的设备作为NHRP的中心节点NHS。这样剩下的分支就 可以知晓中心的隧道IP和物理IP地址。然后NHRP协议要求所有分支将自己的物理IP和隧道IP的对应关系 发送给NHS一旦发生改变就会发送。这样NHS就拥有所有分支的地址映射关系并记录在本地。 在发送数据报文之前查询NHS决定封装数据。 中心 [r1]interface Tunnel0/0/0 [r1-Tunnel0/0/0]ip address 192.168.5.1 255.255.255.0 [r1-Tunnel0/0/0]tunnel-protocol gre p2mp ---修改接口的封装协议为MGRE [r1-Tunnel0/0/0]source 15.0.0.1[r1-Tunnel0/0/0]nhrp network-id 1 --默认值为0范围1-4294967295改不改都行要改所有的设备都要改分支 [r2] Tunnel0/0/0 [r2-Tunnel0/0/0]ip address 192.168.5.2 255.255.255.0 [r2-Tunnel0/0/0]tunnel-protocol gre p2mp [r2-Tunnel0/0/0]source GigabitEthernet0/0/0 ---规定封装源为GE0/0/0接口的IP地址 [r2-Tunnel0/0/0]nhrp entry 192.168.5.1 15.0.0.1 register --第一个IP为隧道地址第二个为物理地址都是中心的1、告知本端hub节点的隧道IP与物理IP的对应关系2、向hub节点注册本地的隧道IP与物理IP的对应关系补全路由信息 [r1]ip route-static 192.168.2.0 24 192.168.5.2 [r1]ip route-static 192.168.3.0 24 192.168.5.3[r2]ip route-static 192.168.1.0 24 192.168.5.1 ----下一跳均为Hub节点 [r2]ip route-static 192.168.3.0 24 192.168.5.1[r3]ip route-static 192.168.1.0 24 192.168.5.1 [r3]ip route-static 192.168.2.0 24 192.168.5.1DSVPN动态智能VPN技术可以随时增加和删除虚拟隧道专线和节点下面两者相加组成 MGRENHRP shortcut方式分支路由汇聚到总部每一个分支编写的路由信息的下一跳均为hub节点。非shortcut方式非便捷方式分支之间相互学习路由。下一跳分别是分支的隧道IP地址。而非hub节点。扩展 Hub - SpokeNHRP映射表静态关系 Spoke - SpokeNHRP映射表动态关系 在非shortcut方式下NHRP映射表动态关系7200S(2小时)老化时间 非shortcut 解释图中的数字为报文顺序 首先在r2里有着3.0网段下一条对应虚拟网段接口5.3虚拟网段接口5.1对应真实接口吓一跳15.0.0.1r3中有着2.0网段下一条对应虚拟网段接口5.2虚拟网段接口5.1对应真实接口吓一跳15.0.0.1r2要发送信息给3.0网段时知道要发送给虚拟网段接口5.3但NHRP表中没有对应虚拟网段接口5.3的真实端口IP发现缺少有误就封装中心的对应真实接口让中心转发。而此时有ICMP数据需要发送ICMP数据发送优先级比填补缺少对应高所以先发送ICMP数据给r1hub随后发送NHRP报文问r1要r3的地址信息。r1先接收到ICMP报文查看是给r3的就进行转发给r3随后接收到NHRP报文虽然r1有r3的地址信息但r1不会直接回复会转发给r3征求r3意见r3先接收到ICMP报文正常回复ICMP报文随后接收到NHRP请求报文r3直接发送给r2因为NHRP请求报文中有原IP信息25.0.0.2虽然NHRP请求报文中有r2的NHRP映射关系但r3并不会保存下来因为在r3看来并不是我主动要的优先度最低不可信。只有自己要的才是可信的但r2接收到r3发送的NHRP应答报文会直接将r3虚拟网段接口5.3的对应真实接口35.0.0.3写进NHRP映射表中因为这是r2主动请求的。此时r1将r3发送的ICMP报文转发给r2r2要再发送ICMP报文就直接发送给r3而r3要去回复ICMP报文报文时发现NHRP表中没有对应虚拟网段接口5.2的真实端口IP他也要发送NHRP请求报文给r1,然后r1转发给r2r2再直接发送NHRP应答报文给r3当r3将虚拟网段接口5.2的对应真实接口25.0.0.2写进NHRP映射表中时两者的虚拟隧道就算建立起来了。当r2与r3两者都不发消息不发消息超过7200S(2小时)老化时间这条隧道就会被拆除。 shortcut 解释图中的数字为报文顺序 r2要发送ICMP报文给r3先发送给r1因为是shortcut方式所以去往3.0网段下一跳写的就是5.1,5.1在NHRP映射表中有所以在r2看来没有错误r1接收后将ICMP报文转发给r3再给r2发送重定向报文原因和携带内容下面配置后面有写。r2接收到重定向报文像r1发送NHRP请求报文r1再转发给r3r3接收到NHRP请求报文就直接给r2发送NHRP应答报文。有区别的是r3接收到第一次r1转发的ICMP报文会给r1发送ICMP回复报文r1接收后也会转发给r2但也会给r3发送一个重定向报文原理与上面一样r3也会给r1发送一个NHRP请求报文与上面一样最后r2与r3都NHRP映射表数据都改了就建立了一个虚拟隧道 在shortcut方式下如果需要分支之间独立建立隧道则需要添加如下配置[r1-Tunnel0/0/0]nhrp redirect ---hub节点配置开启重定向功能r1发现数据从r2发送进入Tunnel0/0/0 又从Tunnel0/0/0出去转发给r3发现是次优路径才会给r2发送重定向报文报文里面有3.0网段对应的 真实端口IP为192.168.5.3 [r2-Tunnel0/0/0]nhrp shortcut ---在spoke节点配置使能shortcut功能未开启该功能则代表分支站点 无法响应重定向报文。如果不开启r2收到r1的重定向报文会认为自己可以正常收发消息(去3.0网段下 一跳为5.1,5.1又映射为15.0.0.1)没有错误不需要更改直接将重定向报文丢弃 [r3-Tunnel0/0/0]nhrp shortcut​ 以非shortcut方式进行DSVPN组网时分支站点可以自主发现NHRP映射表中存在关系缺少的现象从而主动向hub节点申请通讯对端的映射关系。而在shortcut组网环境下分支站点无法自主发现需要hub节点通过重定向报文参与到分支之间的隧道建立过程。